Cбор биометрических данных. Как защищается наша биометрия на практике

[rtkprg3]

Целая куча сугубо прикладных вопросов:
1) Я верно понял, что для использования подтвержденной биометрии обязательно требуются сертифицированные камеры, микрофоны и компьютер без лишнего программного обеспечения? То есть понятия "удаленная аутентификация" и "подтвержденная биометрия" несовместимы? Обязательно надо прийти лично?
2) входит ли в подтвержденную биометрию радужка глаза или отпечатки пальцев? Если нет, то как отличить близнецов?
3) были ли зафиксированы случаи ошибки подтвержденной биометрии? И как вообще будет разруливаться кейс, если человек скажет: вот это действие, подтвержденное подтвержденной биометрией, я не совершал.
Как будет проверяться факт? Для подписи - есть почерковедческая экспертиза. А тут как?

[Bystrovavv]

Классные вопросы.
1) Да, для получения статуса «подтверждённая биометрия» нужно личное присутствие (в банке, МФЦ). Это прямое требование ч. 4 ст. 8 Закона № 572-ФЗ. 
«Подтверждённая биометрия» и «удалённая аутентификация» вполне совместимы. Личное присутствие нужно лишь один раз для «калибровки» и привязки к личности.  На этапе регистрации (получения статуса): оборудование должно быть сертифицировано. Приказ Минцифры № 453 и Регламент ЕБС предписывают, что в отделении банка или МФЦ используется специализированное рабочее место.
На этапе аутентификации это не требуется. Вы можете подтверждать свою личность удалённо. Ваше домашнее оборудование не требует сертификации, потому что оно не хранит и не верифицирует эталоны - оно только создаёт запрос. Во время аутентификации ЕБС не сверяет «живое лицо» с «подтверждённым фото» напрямую на вашем устройстве. Ваше устройство (даже со встроенной камерой) снимает вас, создаёт контрольный вектор (математический шаблон) и отправляет его в ЕБС по защищённому каналу.

2) Нет, не входят. Закон № 572-ФЗ (ст. 5) определяет, что в ЕБС используются исключительно изображение лица и запись голоса. Радужная оболочка, отпечатки пальцев не используются в ЕБС на уровне государственной системы идентификации. Поэтому закон и требует два независимых параметра - лицо и голос.

3) Официальной статистики по ошибкам ЕБС в публичном доступе нет. В современном законодательстве ещё нет до конца проработанных кейсов.
Теоретически сценарий разруливания: вы подаёте заявление о том, что операцию не совершали.Банк (или оператор услуги) приостанавливает проведённое действие (если это возможно) и инициирует служебное расследование.Запрашивает в ЦБТ (операторе ЕБС) расширенные логи этого события. Если логи показывают, что атаки не было, а совпадение лиц/голосов было в пределах нормы, банк может отказать в признании ошибки. Тогда вам придётся идти в суд. В суде потребуется компьютерно-технической экспертизы записей ЕБС.
Но на практике не уверена в таких прецедентах.

[YakovlevAndrey]

Самое лучшее, что можно сделать, это ... проверить наличие своих биометрических данных в ЕБС через личный кабинет на портале «Госуслуги» в разделе «Биометрия». ... отозвать согласие и удалить данные из системы через «Госуслуги».

Знаю крупные банки, которые слишком крупные, чтобы соблюдать правила. Они с прибором кладут на сертификацию камер и микрофонов и используют для съёма биометрии планшеты.

[Shaman_RSHU]

Иногда размеры банков настолько велики, что они могут себе позволить и плашшеты сертифицировать :)

А если серьёзно, то вя эта сертификация - одни бумажки, чтобы кормить задействованных в ней. Если пароль скомпрометирован, то его можно просто сменить. А биометрия на всю жизнь - шанс только один.

[somuchmich]

Любой банк, как бы крупен он не был, использует сертифицированное оборудование. Это могут быть стационарные и портативные терминалы, планшеты, смартфоны, суть неизменна — устройство прошло сертификацию, если обращается к КБС или ЕБС.

А аргумент что биометрия только одна, а пароль можно сменить я бы рассматривал с другой стороны. Пароль всё ещё можно подобрать и украсть, а биометрия всегда с вами. Даже если предположить, что вы её сдали мошенникам (по факту многие пользователи инсты, уже выгрузили достаточно данных) — использовать эти данные неудастся.