Сбербанк начал уведомлять клиентов о переносе их биометрических данных в ГИС ЕБС. Сообщения приходят в виде пуш-уведомлений и SMS.
Банки должны передать данные в государственную систему до 30 сентября 2023 г. Уведомить о передаче клиентов они обязаны за 30 дней. С согласия клиента через месяц данные перенесутся в ГИС ЕБС "по защищенному каналу в автоматическом режиме", рассказал представитель пресс-службы Сбербанка. Если человек не одобрит передачу биометрических данных в ГИС ЕБС, их удалят из системы "Сбера".
В Центре биометрических технологий подсчитали, что из 75 млн накопленных коммерческими системами биометрических данных (изображения лица) приблизительно 30 млн хранятся в Сбербанке.
"Клиентов, не возражающих передать биометрические персональные данные в ЕБС, "Сбер" продолжит обслуживать по биометрии без изменений. В случае несогласия клиентам останутся доступны другие способы аутентификации. Процесс передачи данных мы планируем завершить в сентябре 2023 г.", - прокомментировал представитель пресс-службы банка.
Как объяснила Мария Телегина, юрист, эксперт образовательной платформы Moscow Digital School (входит в Ultimate Education), в данном случае действует модель "тихого" согласия - то есть прямого согласия клиента на передачу данных не нужно. Это значит, если клиент проигнорирует уведомление банка, то его данные уйдут в ГИС ЕБС. "Такой подход используется, поскольку кредитным организациям сложно собрать в кратчайшие сроки согласия большого количества клиентов. При этом физическое лицо вправе отозвать согласие на обработку данных как из банка, так и из ЕБС в любой момент", - объяснила юрист.
Александра Орехович, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ), объяснила, что отказ можно будет направить через "Госуслуги" или МФЦ.
В будущем "Сбер" перейдет на сбор биометрии только в ЕБС и обработку в системе векторов - цифровых слепков личности путем преобразования фотографий. Представитель банка добавил, что для защиты собственной системы компания использует сертифицированные средства криптографической защиты во всех каналах применения биометрии. "Сбер" будет и дальше предлагать удобные биометрические сервисы, качество услуг не изменится", - подытожил представитель банка.
Консультант по информационной безопасности Positive Technologies Алексей Лукацкий, комментируя новость для "Коммерсанта", заявил, что хранить данные в одной системе удобно, однако не очень безопасно: пока там было немного данных, ее не взламывали, однако вскоре ситуация может измениться.
Однако Павел Кузнецов, директор по продуктам компании "Гарда Технологии", рассказал ComNews, что диверсификация мест хранения персональных данных сама по себе не делает это хранение безопаснее. "Задавшись конкретной целью, злоумышленники вполне могут собрать содержательную выжимку данных как из одной, так и из нескольких различных систем. Тем более что за 100%-ную защищенность хотя бы одной из сотен тысяч информационных систем, активно используемых гражданами, я бы поручаться не стал", - прокомментировал Кузнецов.
В то же время он считает понятными опасения в отношении сбора всех данных в одной точке. "Остается надеяться, что владельцы системы централизованного хранения уже на этапе архитектурного проектирования предусмотрели соблюдение требований информационной безопасности, а при работе самой системы будут активно использовать как ее собственные функции защиты, так и наложенные средства, такие, например, как решения database firewall и network detection & response для мониторинга трафика к узлам хранения данных и реагирования на нелегитимную активность", - сказал Павел Кузнецов.
Анна Швецова