Comments 56
В конце марта 2021 года «Ростелеком» предложил защитить биометрию россиян с помощью криптографического модуля, который будет шифровать канал связи, чтобы мошенники не могли перехватить биометрические данные.
Вот этот момент совсем не понятен, значит ли это, что сейчас данные из банков в ЕБС ходят по сети в открытом виде, даже без TLS?
Отправляют распечатки же. Ксерокопии. Почтой России.
Цифровизация? Бигдата? Блокчейн? Где сдавали биометрию в то отделение и идите!
А вообще странная новость — ещё не запустили толком, а уже перезапускаем.
А вообще странная новость — ещё не запустили толком, а уже перезапускаем
6,6 млрд руб
А для вполне стандартной процедуры по смене паспорта, с которой сталкиваются все, госуслуги помогают только место в очереди занять, не более. Потому как при приходе в паспортный стол нужно заново заполнить туже самую анкету, что и на госуслугах (и не дай бог сделаешь маленькую опечатку — пиши все заново), да и ещё и фотографии извольте в бумажном виде принести.
Госуслуги и МФЦ это удобная прослойка между гос органами и гражданами и постепенно идёт большая интеграция, хоть и как положено, не без косяков.
Жена недавно меняла, в МФЦ… Никаких ужасов.
Электронную отчётность предпринимателей тоже на заре появления распечатывали в налоговой, ставили подпись и сканировали обратно. А ПФР принимала на флоппи дисках(в 2016! году).
Базы падают, компьютер регулярно зависает, а обслуживать людей надо. Вот и работают по старинке.
Это системная проблема, ей уже не первый год. И как заставить государство эффективно работать, я не знаю.
Только на них линукс (из личного опыта — RedOS Муром был), а рабочий софт поддержки этого линукса не имеет.
И делайте с этим что хотите.
Зато кто-то отчитался об успешном импортозамещении.
Я тут чипироваться недавно ходил. На госуслугах, как положено, заполнил анкету, где были указаны паспортные данные, данные моего полиса и т.д., выбрал поликлинику, куда госуслуги передали мои данные, как мне было сказано. Когда я пришел в поликлинику, мне сунули в руки бумажку, в которую мне нужно было вписать паспортные данные, данные полиса и все остальное, что госуслуги, вроде как, передали в мою поликлинику.
Шифрование канала не поможет избежать методов социальной инженирии по добыче биометрических данных.
Несколько месяцев внушал родителям, что при любом входящем (даже от меня) не надо отвечать «Да»
Это глупости. Образец голоса в ЕБС не подразумевает слово «Да».
Если серьёзно, то такой доверчивый банк, который ведётся на «да», сказанное определённым голосом, поведётся и на мошенника, который представится Вами. Но такая излишняя доверчивость банка остаётся проблемой банка, Вы операцию не санкционировали.
Как показывает практика, подобные проблемы становятся проблемами пользователей. Достаточно вспомнить случаи, когда квартиры людей продавали без их ведома, используя ЭЦП.
Часто стали на БФМ рассказывать, а его по некоторым слухам слушает сам знаете кто (тут типа я подмигнул и показал пальцев в верх).
И да, наверное владельцу потерянной квартиры от того что это единичный случай, сразу же полегчало (нет).
люди бояться утечек этой информации
Люди знают что эти данные утекут и что за мелкий прайс будет доступен пробив как и по любым другим базам.
и не знают, какие преимущества они могут получить
Потому что преимущества эти незначительны по сравнению с рисками перед государственной машиной.
Там из преимуществ вроде бы дистанционное открытие счёта, но ведь и сейчас так можно, карту привезут домой, подписал пару бумаг и у тебя есть интернет банк, где открывай всё, что хочешь.
Можно посмотреть на опыт некоторых стран, которым пришлось озаботиться из-за COVID этим вопросом — оказывается даже просто начеркать обычную подпись мышкой на веб-странице вполне достаточно для многих дел и не является заметной дырой в безопасности (случаев мошенничества ощутимо больше «среднего по больнице» не стало). В свою очередь РФ далеко не последняя страна в области технических решений для удалённых операций (например, у нас очень активно используются ЭЦП), но это не мешает случаться всяким скандалам вида «у пенсионерки отобрали квартиру с помощью поддельной ЭЦП».
Все эти биометрии, ЭЦП и т. д. — это просто «синтаксический сахар». Если с коррупцией хорошо борятся, а спецслужбы хорошо ловят мошенников, то сделки отлично заключаются дистнационно просто загрузкой фоточки паспорта на сайте и нажанием кнопки «Я согласен». Если данные процессы работают плохо, то даже самые навороченные технические решения не помогут.
Эксперт «Коммерсанта» пояснил, что граждане РФ не стремятся сдавать биометрию из-за непонимания ее значения в современном информационном мире. По его мнению, люди бояться
утечек этой информации и не знают, какие преимущества они могут получить.
У меня вроде и образование айтишное, и опыт работы соответствующий, но я тоже отношусь к этой категории «дремучих россиян». Может быть, профиты данной технологии действительно под вопросом?
Всякие Google/Apple Pay быстро прижились (по крайней мере среди любителей гаджетов), потому что действительно убирают лишние девайсы (банковские карты), а биометрия как поможет? От смартфона она избавиться не даст (слишком много у смартфона других важных функций, которыми мы пользуюемся гораздо чаще, чем в метро входим), а если есть смартфон, то он уже отлично справляется с задачами аунтификации (хоть с помощью QR-кодов на экране, хоть с помощью NFC — вариантов тут придумали на любой вкус, цвет и бюджет). При этом любая аунтификация на смартфоне может быть сброшена в случае компроментации — любой пароль и ПИН-код можно сменить, ключ шифрования перегенерировать, любой девайс можно сбросить к заводским настройкам (ну или в самом крайнем случае просто купить новый) и т. д. А биометрические данные у человека одни на всю жизнь.
Любой безопасник знает, что при внедрении любой новой системы безопасности, один из первых вопросов, который нужно себе задать — «допустим, нас взломали, несмотря на все обещания рекламных буклетов, как быстро мы сможем оправиться после взлома?». И биометрия по этому параметру проигрывает практически всем альтернативам. Там где она используется не по указке сверху, а по рациональным соображениям, всегда есть какой-то ещё второй фактор. В секретный бункер супер-злодея (или супер-героя) по одному отпечатку пальца проходят только в фильмах (и, что характерно, даже там нередко отсутствие второго фактора выходит боком для персонажей).
Я паспорт и сейчас не ношу. Пару раз сотрудники полиции меня пытались убедить, что я не прав, но не смогли доказать свои слова ничем.
и не задержат для выяснения личности
Я всегда охотно соглашаюсь быть задержанным для выяснения личности, только прошу в протоколе написать основания для такого задержания. После чего сотрудники полиции прощаются со мной и каждый идет по своим делам.
Только вести себя нужно спокойно, не орать, не истерить, не угрожать прокурором. Нормальные сотрудники тоже не дураки, они прекрасно понимают, что весь этот геморрой с задержанием обычного прохожего без оснований выйдет им, в итоге, боком. А если речь о негодяе в погонах, который вас решил чему-то "поучить" на ровном месте, то вас ни паспорт, ни биометрия, ни анальный зонд не спасут.
А преимущество только одно — имея слепки всех граждан, после митинга можно ловить не только тех недоумков у кого есть фотка ВКонтакте, а вообще всех.
Как эта технология рекламируется: на Вас посмотрела камера, узнала в лицо, и провела оплату за покупку, допустим. Или счёт в банке открыли. Или кредит выдали. Выглядит как единственный канал подтверждения личности, а это уже пугает. Как-то не хочется расплачиваться за покупки чужого человека, специально он прикинется другим или просто будет сбой в системе — хвостов потом не найдешь, а по логам всё будет красиво.
У нас и безо всяких азиатов приставы регулярно взыскивают деньги с тезок. Потому что они не несут никакой персональной ответственности.
Ошибки порождает множество слабо связанных и криво синхронизированных баз и не заинтересованность людей разбираться в этом. Раз в какое то время пытаются свести в одну. Но тут как в анекдоте про 14 стандартов.
Потому что они винтики корявой системы. Они не видят что это не тот человек. Им приходит предписание от налоговой, и они обязаны его исполнить.
Да, никто не виноват, просто сотни людей получают себе геморрой и прямые убытки и никто не несет за это персональную ответственность. А сотни госслужащих за это получают премии.
Я сам сталкивался аж с четырёх кратным списанием долга налоговой.
Первый как и положено списала сама налоговая и зачем то(возможно одновременно) отправила предписание приставу списать задолженность. Предписание сразу со всех счетов/карт. Т.к. ни на одной карте у меня не было достаточно денег, списали со всех. Но сумма получилась гораздо больше выставленного требования. Как мне объяснили по телефону, они не владеют информацией по счетам и списывают со всех, а потом лишнее возвращают. Деньги действительно вернули, но я остался в лёгкой степени похудения от такой работы системы. И даже не знаю куда и на кого жаловаться. Толи на налоговую, то ли на приставов.
Так я именно об этом и пишу. Если бы налоговый инспектор и пристав несли бы персональную ответственность за подобный цирк, таких "ошибок" было бы гораздо меньше. Все от безответственности и безнаказанности.
Но нет единой и независимой службы качества, потому и всё в кривь да вкось.
Мне, как налогоплательщику, это все не интересно. Мне интересно, чтобы люди, которых я содержу и которым я плачу зарплату, мне же, в итоге, проблем не создавали.
Главная проблема биометрической авторизации заключается в следующем. Она иммутабельна во времени. Если мы будем рассматривать любой другой способ, например пароль, то в случае компрометации он легко заменяем, вы просто придумываете новый пароль и защита снова активна. В случае биометрии, вы этого не сможете сделать. Вы не сможете изменить сигнатуру отпечатков пальцев, лица, голоса, сетчатки. И проблематика эта имеет отложенный характер, сейчас это возможно все будет хорошо защищено, но базы биометрических данных все равно будут протекать в сеть, при этом как показал эксперимент, персональные данные банками сливаются очень быстро. Пройдет десять лет, технологии совершенствуются, защита биометрических баз устареет, но вот данные вашей биометрии совершенно не потеряют своей актуальности и вы окажетесь в ловушке компрометации без возможности из нее выбраться.
Есть рекламные звонки, волнами по несколько звонков раз в две-три недели. В основном медицинские центры звонят.
персональные данные клиента сбера утекли
А вы почитайте внимательнее подписанное соглашение об обработке ПД. Я так сильно подозреваю, что там есть что-то вроде "всем и всегда на усмотрение банка".
Для продолжения эксперимента можно попробовать написать официальную бумагу об отзыве разрешения на обработку ПД у них и всех кому они их выдали.
Теже опсосы спокойно торгуют «обезличинной» целевой бд телефонных номеров.
И сбер наверняка официально отдаёт «обеличенные» данные.
Ну, а то, что для государства номер телефона является идентификатором личности, это вообще никого не волнует, кроме самой индентифицируемой личности.
тем больше будет получать «Ростелеком», например, несколько сотен рублей за одно обращение.
Невзирая на бесполезность технологии для обычных людей, одно это остановит абсолютно всех. Кто в здоровом уме будет платить за аутентификацию несколько сотен рублей? Им придётся закон принять для начала, который заставит людей это делать. Так что их текущая попытка также будет провальной.
“Ъ” рассказал детали планов правительства и «Ростелекома» по перезапуску системы сбора биометрических данных россиян