Cбор биометрических данных. Как защищается наша биометрия на практике

[rtkprg3]

Целая куча сугубо прикладных вопросов:
1) Я верно понял, что для использования подтвержденной биометрии обязательно требуются сертифицированные камеры, микрофоны и компьютер без лишнего программного обеспечения? То есть понятия "удаленная аутентификация" и "подтвержденная биометрия" несовместимы? Обязательно надо прийти лично?
2) входит ли в подтвержденную биометрию радужка глаза или отпечатки пальцев? Если нет, то как отличить близнецов?
3) были ли зафиксированы случаи ошибки подтвержденной биометрии? И как вообще будет разруливаться кейс, если человек скажет: вот это действие, подтвержденное подтвержденной биометрией, я не совершал.
Как будет проверяться факт? Для подписи - есть почерковедческая экспертиза. А тут как?

[Bystrovavv]

Классные вопросы.
1) Да, для получения статуса «подтверждённая биометрия» нужно личное присутствие (в банке, МФЦ). Это прямое требование ч. 4 ст. 8 Закона № 572-ФЗ. 
«Подтверждённая биометрия» и «удалённая аутентификация» вполне совместимы. Личное присутствие нужно лишь один раз для «калибровки» и привязки к личности.  На этапе регистрации (получения статуса): оборудование должно быть сертифицировано. Приказ Минцифры № 453 и Регламент ЕБС предписывают, что в отделении банка или МФЦ используется специализированное рабочее место.
На этапе аутентификации это не требуется. Вы можете подтверждать свою личность удалённо. Ваше домашнее оборудование не требует сертификации, потому что оно не хранит и не верифицирует эталоны - оно только создаёт запрос. Во время аутентификации ЕБС не сверяет «живое лицо» с «подтверждённым фото» напрямую на вашем устройстве. Ваше устройство (даже со встроенной камерой) снимает вас, создаёт контрольный вектор (математический шаблон) и отправляет его в ЕБС по защищённому каналу.

2) Нет, не входят. Закон № 572-ФЗ (ст. 5) определяет, что в ЕБС используются исключительно изображение лица и запись голоса. Радужная оболочка, отпечатки пальцев не используются в ЕБС на уровне государственной системы идентификации. Поэтому закон и требует два независимых параметра - лицо и голос.

3) Официальной статистики по ошибкам ЕБС в публичном доступе нет. В современном законодательстве ещё нет до конца проработанных кейсов.
Теоретически сценарий разруливания: вы подаёте заявление о том, что операцию не совершали.Банк (или оператор услуги) приостанавливает проведённое действие (если это возможно) и инициирует служебное расследование.Запрашивает в ЦБТ (операторе ЕБС) расширенные логи этого события. Если логи показывают, что атаки не было, а совпадение лиц/голосов было в пределах нормы, банк может отказать в признании ошибки. Тогда вам придётся идти в суд. В суде потребуется компьютерно-технической экспертизы записей ЕБС.
Но на практике не уверена в таких прецедентах.

[YakovlevAndrey]

Самое лучшее, что можно сделать, это ... проверить наличие своих биометрических данных в ЕБС через личный кабинет на портале «Госуслуги» в разделе «Биометрия». ... отозвать согласие и удалить данные из системы через «Госуслуги».

Знаю крупные банки, которые слишком крупные, чтобы соблюдать правила. Они с прибором кладут на сертификацию камер и микрофонов и используют для съёма биометрии планшеты.

[Shaman_RSHU]

Иногда размеры банков настолько велики, что они могут себе позволить и плашшеты сертифицировать :)

А если серьёзно, то вя эта сертификация - одни бумажки, чтобы кормить задействованных в ней. Если пароль скомпрометирован, то его можно просто сменить. А биометрия на всю жизнь - шанс только один.

[somuchmich]

Любой банк, как бы крупен он не был, использует сертифицированное оборудование. Это могут быть стационарные и портативные терминалы, планшеты, смартфоны, суть неизменна — устройство прошло сертификацию, если обращается к КБС или ЕБС.

А аргумент что биометрия только одна, а пароль можно сменить я бы рассматривал с другой стороны. Пароль всё ещё можно подобрать и украсть, а биометрия всегда с вами. Даже если предположить, что вы её сдали мошенникам (по факту многие пользователи инсты, уже выгрузили достаточно данных) — использовать эти данные неудастся.

[Bystrovavv]

спасибо за комментарий!

[somuchmich]

Я был рад увидеть такую вдумчивую статью про биометрию! =)

[Toshykan]

Интересная и любопытная статья. К сожалению, в реальности я не встречал явного согласия на обработку биометрии формата "фото+голос". Как пример - любой банк (Альфа, ВТБ24, РХБ, АТБ etc) при запросе на кредит/карту вас обязательно сфотографирует со словами "это надо для СБ". Данный момент прописан только во внутр.документах банка и если вы откажетесь, то и кредит/карту не получите под любым предлогом... Ну и конечно, если вы напишите запрос на удаление данных, вы его не как не проконтролируете. Возможно, если у каждого запроса на биометрию/ПД был бы неотделимый идентификатор, то, возможно, часть финансовых организаций уже разорилась бы на штрафах...

[eizeri_work]

Биометрия бывает разная. В статье про ЕБС, удаленную идентификацию в метро, Госуслугах, приложении банка. Фото и голос хранить для целей ЕБС в банках запрещено.
Банки делают фото для себя и сохраняют у себя, это как face id, с ЕБС не связано.

[Bystrovavv]

спасибо)

[Penguin_ru]

Полезно, все консолидировано в одном месте. Но кое-где пропущены артефакты деятельности ИИ. Если что, я целиком за использование ИИ при подготовке статей, но если за ним не следить, он может аккуратно вплести дичь, которую так сразу не разглядишь. Например, "Цветное цифровое фото лица — это биометрия" с отсылкой к письму 08-78032 РКН. Мало того, что это явно противоречит следующему абзацу. Типа, в личном деле или в скане паспорта - это не цветная фотография? Или ч/б фото - это уже что-то иное? В 08-78032 написано ровно противоположное и человек прочитает как там написано. Дальше не цитата, а изложение. "Случаи, когда фотоизображение относится к биометрическим ПДн, как правило, регламентированы нормативными актами. Например, запись электронного цветного изображения в загранпаспорте регламентирована таким-то документом и в этом случае это биометрические ПДн. В остальных случаях (подразумевается, если нет установления личности и/или нормативного акта) это обычные ПДн, руководствуйтесь статьей 6 152-ФЗ и не компостируйте нам мозги". Для ИИ большой вес имеет укоренившееся в свое время мнение: фото-биометрия. Аналогично, "Приказ ФСТЭК № 21, предъявляет к системам, работающим с биометрией, требования, которые соответствуют 3-му (максимальному) уровню защищённости". Очевидно, автор знает, что УЗ-3 далеко не максимальный. А вот ИИ может и накосячить. Такие случаи, когда есть много регламентирующих документов особенно опасны. ИИ очень часто выбирает некоторое подмножество документов и выстраивает красивую логику вокруг них, полностью игнорируя отдельные документы. И еще ИИ свойственен правовой нигилизм. Он может полностью игнорировать ФЗ, если находит множество подтверждений противоположной точки зрения в разъяснениях регуляторов и судебных прецедентах (многократно растиражированных в смелых интерпретациях и имеющих за счет этого большой вес при обучении ИИ).

[Bystrovavv]

спасибо, что подсветили! круто, что Вы замечаете такие вещи)