На практике таких случаев пока не встречалось — обычно используется связка разных идентификаторов. С технической стороны аутентификация затрагивает только часть — это проверка, что данные подлинные (например, биометрический вектор) и что у пользователя есть нужные права (то есть всё совпало).
Если говорить про правоприменение, то в ситуациях, где в процесс автоматизации включены биометрия — лицо или голос, позиция регулятора скорее будет на стороне распространения требований закона.
РКН, когда рассматривает обращения по возможным нарушениям при обработке персональных данных, сначала анализирует предоставленную информацию — есть ли вообще признаки нарушения и формирует соответствующий ответ. Поэтому на первом этапе ответственность за сбор и предоставление сведений лежит на заявителе. Если данных недостаточно, РКН может назначить проверку, чтобы выяснить больше, либо выявить нарушения во время плановой проверки оператора. Что касается примера, где РКН отказался признать предоставленные сведения доказательством — окончательное решение здесь всё равно за судом. Поэтому при желании всегда можно обратиться в суд. Например, в Санкт-Петербурге уже были похожие кейсы: в некоторых учебных заведениях хотели внедрить биометрию в СКУД, но суд встал на сторону родителей. Он указал, что сбор биометрии возможен только с согласия самого человека, а дети (несовершеннолетние) не могут дать такое согласие сами, в отличие от других типов ПДн, где согласие может дать родитель. Один из таких кейсов — дело от 22.02.2023 № А27-10550/2022 (г. Кемерово): https://www.sudact.ru/arbitral/doc/jN8srStYspJO/
В этом конкретном случае этап идентификации не используется. Тем не менее, закон 572-ФЗ применяется, даже если аутентификация проходит по голосу или лицу. Но есть исключения — в некоторых ситуациях можно обойтись без подключения к ЕБС, если использовать аккредитованные организации или самому пройти аккредитацию как компания, которая проводит биометрическую аутентификацию. По факту, сейчас всё, что связано с биометрией (голос, лицо), подпадает под действие этого закона.
Вектор в Единой биометрической системе — это по сути уникальный набор данных, полученный после обработки биометрии (например, фото лица).
Идентификация — это когда система сначала определяет, кто перед ней, а потом проверяет, верны ли эти данные. То есть вектор здесь — уникальный идентификатор человека.
Аутентификация — это когда человек уже «представился» (например, приложил карту), и система просто сверяет: его ли это лицо.
В нашем случае, если других способов подтверждения нет и система просто перебирает все векторы в базе, чтобы найти совпадение по лицу — это уже идентификация, а не аутентификация. А значит, такая обработка попадает под более строгие правила.
Если организация использует СКУД и не подключена к ЕБС, то использовать биометрию (например, фото или голос) для идентификации она не может.
Согласно п. 3 ст. 11 ФЗ-152, оператор не имеет права отказывать человеку в обслуживании, если тот не хочет сдавать биометрию — это подтверждается и судебной практикой. За нарушение — ответственность по п. 2 ст. 13.11 КоАП.
Что касается СКУД «по лицу» с карточкой — такая схема нужна, чтобы исключить передачу карты другому человеку. Карта служит как ключ, а лицо — как подтверждение, что это именно тот человек, кому карта выдана.
Под ранее полученными данными здесь имеется в виду, что система сначала считывает карту, находит в базе нужного сотрудника и уже потом сравнивает лицо с сохранённым фото. Это аутентификация, а не идентификация — система не перебирает всю базу, она просто сверяет, тот ли это человек.
С учётом разъяснений Роскомнадзора и судебной практики — биометрию можно использовать только если есть альтернатива. То есть никто не обязан её сдавать, и каждый вправе отказаться. Исключение — разве что работа на объектах с повышенной опасностью.
Понимаем, в маленьком городе с серым рынком труда уволить — это реально страшно. Но именно поэтому всё так и держится: никто не хочет рисковать. Вася молчит — система работает. Но важно помнить: о рисках сбора биометрии давно известно, и основная ответственность лежит на операторе. Это он отвечает за последствия, не Вася. А если все будут молчать, завтра будет не только биометрия, но и что похуже.
Если "Васю" не слушают, он вполне может обратиться в Роскомнадзор с запросом: законна ли обработка его данных и правомерно ли ограничивать проход, если он не дал согласие на биометрию. Ответ от РКН можно потом показать руководству. А если вопрос дойдёт до увольнения — уже можно идти в Трудовую инспекцию, чтобы разобраться с правовыми основаниями.
Речь шла о доступе в контролируемую зону через СКУД с использованием БПДн. Обязывать всех проходить только по биометрии нельзя, если это не предусмотрено НПА — должны быть альтернативы. Согласно ФЗ-152, обработка ПДн (в том числе БПДн) должна быть законной и справедливой. Нужны чёткие цели и правовые основания, чаще всего — согласие субъекта (если не подпадает под исключения из ст.6). Оператор обязан разъяснять основания отказа при непредоставлении ПДн. Пример: в реестре РКН указано, что у ООО «Яндекс.Такси» цели и перечень БПДн задекларированы — по другим юрлицам тоже можно посмотреть: https://pd.rkn.gov.ru/operators-registry/operators-list/
Хорошо, что есть такие осведомленные эксперты в массовых коммуникациях. И да, это была постирония, потому что в официальных регламентах в основе лежат действительно ОСМЫЛЕННЫЕ принципы (посмотрите приложенный к статье перечень заблокированных ресурсов — там большинство не вызывает спора). Но при этом на практике мы видим, что и как из этой, казалось бы, благой деятельности получается. И как бы материал вообще посвящен системности проблемы блокировок.
Спасибо, что следите за нашими публикациями. Статья может служить отправной точкой в поиске уязвимостей для начинающих специалистов или владельцев веб-сервисов.
Лучшая защита – это нападение. Именно так можно найти уязвимые места в системе, что и является целью тестирования на проникновение и этичного хакинга. Веб-сканеры позволяют автоматизировать некоторые рутинные части процесса поиска уязвимостей и находить тривиальные ошибки безопасности на веб-ресурсах, экономя время специалистов. Описание принципов нападения не менее важно, чем описание принципов защиты. Есть достаточное количество руководств по написанию безопасного кода и безопасных приложений, но часто ими пренебрегают.
Помогите создать безопасный интернет.
С удовольствием выслушаем ваши предложения и, возможно, напишем статью.
На сколько мы поняли, да, Arachni не обновляется уже порядка двух лет и репозиторий уязвимостей тоже. Несмотря на это, все позиции OWASP TOP10 (2017) арахни ищет замечательно. Возможно будет обновление, когда будет новый актуальный топ owasp.
Information
Rating
511-th
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
На практике таких случаев пока не встречалось — обычно используется связка разных идентификаторов. С технической стороны аутентификация затрагивает только часть — это проверка, что данные подлинные (например, биометрический вектор) и что у пользователя есть нужные права (то есть всё совпало).
Если говорить про правоприменение, то в ситуациях, где в процесс автоматизации включены биометрия — лицо или голос, позиция регулятора скорее будет на стороне распространения требований закона.
РКН, когда рассматривает обращения по возможным нарушениям при обработке персональных данных, сначала анализирует предоставленную информацию — есть ли вообще признаки нарушения и формирует соответствующий ответ. Поэтому на первом этапе ответственность за сбор и предоставление сведений лежит на заявителе. Если данных недостаточно, РКН может назначить проверку, чтобы выяснить больше, либо выявить нарушения во время плановой проверки оператора. Что касается примера, где РКН отказался признать предоставленные сведения доказательством — окончательное решение здесь всё равно за судом. Поэтому при желании всегда можно обратиться в суд. Например, в Санкт-Петербурге уже были похожие кейсы: в некоторых учебных заведениях хотели внедрить биометрию в СКУД, но суд встал на сторону родителей. Он указал, что сбор биометрии возможен только с согласия самого человека, а дети (несовершеннолетние) не могут дать такое согласие сами, в отличие от других типов ПДн, где согласие может дать родитель. Один из таких кейсов — дело от 22.02.2023 № А27-10550/2022 (г. Кемерово): https://www.sudact.ru/arbitral/doc/jN8srStYspJO/
В этом конкретном случае этап идентификации не используется. Тем не менее, закон 572-ФЗ применяется, даже если аутентификация проходит по голосу или лицу. Но есть исключения — в некоторых ситуациях можно обойтись без подключения к ЕБС, если использовать аккредитованные организации или самому пройти аккредитацию как компания, которая проводит биометрическую аутентификацию. По факту, сейчас всё, что связано с биометрией (голос, лицо), подпадает под действие этого закона.
Вектор в Единой биометрической системе — это по сути уникальный набор данных, полученный после обработки биометрии (например, фото лица).
Идентификация — это когда система сначала определяет, кто перед ней, а потом проверяет, верны ли эти данные. То есть вектор здесь — уникальный идентификатор человека.
Аутентификация — это когда человек уже «представился» (например, приложил карту), и система просто сверяет: его ли это лицо.
В нашем случае, если других способов подтверждения нет и система просто перебирает все векторы в базе, чтобы найти совпадение по лицу — это уже идентификация, а не аутентификация. А значит, такая обработка попадает под более строгие правила.
Если организация использует СКУД и не подключена к ЕБС, то использовать биометрию (например, фото или голос) для идентификации она не может.
Согласно п. 3 ст. 11 ФЗ-152, оператор не имеет права отказывать человеку в обслуживании, если тот не хочет сдавать биометрию — это подтверждается и судебной практикой. За нарушение — ответственность по п. 2 ст. 13.11 КоАП.
Что касается СКУД «по лицу» с карточкой — такая схема нужна, чтобы исключить передачу карты другому человеку. Карта служит как ключ, а лицо — как подтверждение, что это именно тот человек, кому карта выдана.
Под ранее полученными данными здесь имеется в виду, что система сначала считывает карту, находит в базе нужного сотрудника и уже потом сравнивает лицо с сохранённым фото. Это аутентификация, а не идентификация — система не перебирает всю базу, она просто сверяет, тот ли это человек.
С учётом разъяснений Роскомнадзора и судебной практики — биометрию можно использовать только если есть альтернатива. То есть никто не обязан её сдавать, и каждый вправе отказаться. Исключение — разве что работа на объектах с повышенной опасностью.
Понимаем, в маленьком городе с серым рынком труда уволить — это реально страшно. Но именно поэтому всё так и держится: никто не хочет рисковать. Вася молчит — система работает. Но важно помнить: о рисках сбора биометрии давно известно, и основная ответственность лежит на операторе. Это он отвечает за последствия, не Вася. А если все будут молчать, завтра будет не только биометрия, но и что похуже.
Если "Васю" не слушают, он вполне может обратиться в Роскомнадзор с запросом: законна ли обработка его данных и правомерно ли ограничивать проход, если он не дал согласие на биометрию. Ответ от РКН можно потом показать руководству. А если вопрос дойдёт до увольнения — уже можно идти в Трудовую инспекцию, чтобы разобраться с правовыми основаниями.
За нарушения при обработке БПДн предусмотрены штрафы по ст. 13.11 КоАП РФ.
Речь шла о доступе в контролируемую зону через СКУД с использованием БПДн. Обязывать всех проходить только по биометрии нельзя, если это не предусмотрено НПА — должны быть альтернативы. Согласно ФЗ-152, обработка ПДн (в том числе БПДн) должна быть законной и справедливой. Нужны чёткие цели и правовые основания, чаще всего — согласие субъекта (если не подпадает под исключения из ст.6). Оператор обязан разъяснять основания отказа при непредоставлении ПДн.
Пример: в реестре РКН указано, что у ООО «Яндекс.Такси» цели и перечень БПДн задекларированы — по другим юрлицам тоже можно посмотреть: https://pd.rkn.gov.ru/operators-registry/operators-list/
Вы можете подписаться и следить за нашей ежемесячной рубрикой "Топ самых интересных CVE за месяц" :)
Благодарим вас за проявленный интерес к нашей статье :)
Пользуемся сканером по поиску уязвимостей собственной разработки.
Действительно интересная уязвимость, спасибо за дополнение :)
Лучшая защита – это нападение. Именно так можно найти уязвимые места в системе, что и является целью тестирования на проникновение и этичного хакинга. Веб-сканеры позволяют автоматизировать некоторые рутинные части процесса поиска уязвимостей и находить тривиальные ошибки безопасности на веб-ресурсах, экономя время специалистов. Описание принципов нападения не менее важно, чем описание принципов защиты. Есть достаточное количество руководств по написанию безопасного кода и безопасных приложений, но часто ими пренебрегают.
С удовольствием выслушаем ваши предложения и, возможно, напишем статью.