Биометрия: как дела с этим у нас, и у «них»

    image
    Источник фото: Медиа Группа «Авангард»

    Не так давно мы с вами говорили о биометрических данных россиян — Биометрические персональные данные россиян, Как создать образцы для Единой биометрической системы и почему это может быть опасно.

    Банки России уже стали отчитываться, что начали сбор биометрических данных (пока в тестовом режиме). И вот, на прошедшем 27-28 ноября 2018 г. SOC-форуме, ЦБ указал ФСБ на невозможность в полном объеме выполнить ее требования по защите собираемых банками биометрических персональных данных граждан.

    Речь идет о криптографии конечно же. Первый замглавы Департамента информационной безопасности ЦБ Артем Сычев отметил, что отечественного криптооборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ, — нет. А ведь именно этот класс защиты (на уровне гостайны) определен в приказе ФСБ №378.

    При этом замначальника 8-го центра ФСБ России Игорь Качалин выразил надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан. Здесь конечно надо отметить, что продукты класса КВ на российском рынке есть, но использовать их нельзя — все они требуют соответствующего согласования.

    Вот пояснения некоторых участников SOC-форума (из публикации в газете «Коммерсант»):
    «Чтобы шифровать направляемые в единую биометрическую систему (ЕБС) собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ», говорит собеседник “Ъ” в крупном банке.

    Ключи класса КВ выпускает только ФГУП НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября 2018 г. Как сообщили “Ъ” в «Ростелекоме», «Восход» обладает нужным количеством ключей. «Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ, — отмечает собеседник “Ъ” в другом крупном банке. — Но без методики получить заключение ФСБ нереально».
    По некоторым данным, внедрение HSM идет в 26 банках, но нигде не закончено. Впрочем, банки заявляют о своей готовности выполнить требования ФСБ, когда появится хоть одно полноценное решение. Пока же участники продолжают работу и надеются, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии, иначе сбор биометрических данных придется просто остановить.

    Пока такая ситуация наблюдается у нас с биометрическими персональными данными, интересно посмотреть, а как с этим делом у «них». Рассмотрим буквально несколько стран с наиболее интересными результатами. Особенно это интересно с учетом того, что российская система ЕБС скопирована с аналогичной системы в Индии, куда представители России ездили за опытом.

    Индия


    После серии терактов в Мумбаи в 2008 г., в Индии приняли систему биометрической идентификации «Aadhaar» (в переводе с санскрита «основа»). Гражданам пообещали избавление от трёх главных проблем: терроризма, коррупции и нечестных выборов, а также – обеспечить бедняков продуктами и топливом. Регистрацию в системе провозгласили добровольной, однако без неё доступ к госуслугам и субсидиям невозможен. Для построения системы было создано правительственное агентство UIDAI с бюджетом более $1,5 млрд.

    В базу Aadhaar индийские власти собрали цифровые идентификационные данные почти всех граждан страны — более 1,4 млрд. При регистрации в Aadhaar каждому жителю присвоили уникальный номер, с которым связаны его отпечатки пальцев, фотографии лица и радужки глаз. К этому номеру привязаны также паспорт, банковские счета, сим-карты, облачный сервис для хранения документов, медицинские карты, кадастры, а также документы для проведения выборов. Все эти должно упростить процедуры использования электронных подписей и государственных документов для рабочих целей, финансовых операций и получения госуслуг.

    Однако данные Aadhaar очень быстро вышли за пределы госпроектов.
    Правительство Индии разрешило использовать биометрические данные своих граждан крупным компаниям и стартапам в области медицины, ИТ, финансов и др, и те начали использовать полученную информацию в коммерческих целях. К примеру, бизнес-инкубатор Edugild (г. Пуна, Индия) оказывает поддержку трем небольшим ИТ-фирмам, которые используют сканы радужных оболочек глаз граждан для контроля посещаемости учебных заведений и предотвращения мошенничества во время экзаменов (сдачи их другими людьми от имени экзаменуемых).

    Alixor Venture, другой индийский бизнес-инкубатор, сотрудничает с рядом разработчиков приложений, которые также используют данные базы Aadhaar. Эти приложения позволяют людям предоставлять их собственные медицинские данные любым медучреждениям, получать страховые полисы и открывать паевые инвестиционные фонды при помощи смартфонов. А программа TrustID, запущенная бывшим банкиром Goldman Sachs, помогает работодателям проверять претендентов на работу на наличие судимостей, просматривать информацию об оконченных учебных заведениях и т. п.
    В Индии нет законов и госструктур, защищающих информацию, тем не менее, многие индийцы поддерживают инициативу с созданием национальной базы данных удостоверений личности, надеясь, что она позволит ликвидировать мелкую коррупцию и уменьшить недовольство при взаимодействии с государственными органами и компаниями.

    Однако не все гладко – в 2016 году 210 индийских правительственных сайтов допустили утечку в сеть персональных данных миллионов индийцев, которые до сих пор свободно выдаёт поисковик. Дальше больше – в мае 2017 г. в общий доступ дополнительно попали уникальные номера 135 млн граждан Индии.

    В январе 2018 г. журналистка Рахна Кайра показала, как за 10 минут и $8 можно получить у анонимного дилера ключи к Aadhaar с данными граждан, за $5 – ПО для изготовления биометрической ID-карты, а ещё за $95 ей обещали доступ к аккаунтам администраторов UIDAI. Правительство Индии всё отрицает, но сразу же перекрыло доступ к базе для 5000 сотрудников UIDAI и подало на Рахну заявление в полицию о краже закрытой информации.

    Британия


    Недавно Министерство внутренних дел Великобритании опубликовало проект создания централизованной базы биометрических данных. Информация из такой базы поможет полиции быстрее раскрывать преступления, а также проверять все визовые заявки и отсеивать нежелательных мигрантов прямо на границе.

    27-страничный доклад «Биометрическая стратегия» был заказан еще четыре года назад, но опубликовали его только в июле 2018 г. Он содержит ряд рекомендаций о том, как именно правительство Великобритании должно собирать, анализировать и хранить биометрические данные. К нынешнему моменту полиция, иммиграционные и паспортные службы страны уже собрали информацию о ДНК, отпечатки пальцев и изображения лиц 12,5 млн человек. Авторы доклада предлагают объединить все эти данные в единую базу. Это позволит избежать дублирования данных и трат времени на их доставку от ведомства к ведомству.

    Данный план сразу же после его обнародования подвергся резкой критике правозащитников. Например, неясно, что имеет в виду МВД Великобритании, когда заявляет о «законном сборе данных» в условиях, когда законы остаются неопределенными. Многие правозащитники также считают распознавание лиц опасным и неэтичным. Обладая доступом к камерам видеонаблюдения и беспилотникам, полиция может в любой момент «отменить» анонимность.

    Авторы доклада, конечно же, упомянули в нем необходимость усиления контроля за безопасностью хранения и передачи биометрических данных. Однако специалисты считают это полумерой, которая, по сути, сводится к созданию консультационного совета, дающего рекомендации правительству. Никакой четкой стратегии по использованию биометрии в докладе нет.
    Британская система сбора и хранения биометрических данных не в первый раз «сбоит». Так, весной 2018 года чиновник Министерства внутренних дел заявил, что невиновные люди не будут удаляться из криминальных баз данных, поскольку это «слишком дорого». А в мае оказалось, что система распознавания лиц, использованная в Уэльсе на финале Лиги чемпионов, ошибается в 90% случаев. Основываясь на этих данных, организация Big Brother Watch намерена добиться полного запрета распознавания лиц в стране.

    Эстония


    В марте 2018 г. Эстония предложила своим гражданам пройти бесплатные тесты ДНК в рамках национальной медицинской инициативы. В ответ правительство обещает гражданам Эстонии бесплатную расшифровку их ДНК. В предложении говорится, что сдавшие тест смогут узнать, подвержены ли они диабету 2 типа, ждут ли их в будущем сердечно-сосудистые заболевания, рак груди или другие проблемы со здоровьем. К маю 2018 года уже 38 тысяч эстонцев записались на тестирование, и это результат всего за 3 месяца. К настоящему моменту ДНК-пробы взяты уже у более 100 тысяч граждан.
    Изучать ДНК граждан в Эстонии начали еще раньше, желая научиться предсказывать возникновение болезни. Старший исследователь в эстонском генном центре при Тартуском университете рассказывает, что еще до старта этой инициативы в биологическом банке центра находилось 50 тысяч образцов генома эстонцев, и с каждой ДНК-пробой была ассоциирована медицинская карта конкретного человека.

    Исследуя эти образцы, уже удалось найти множество характерных и общих заболеваний для разных людей. Более того, эстонские ученые доказали, что их прогнозы по болезням для многих граждан сбылись в течение 3-5 лет. После этого инициативу было решено расширить. И она получила большую популярность, судя по тому, что за несколько месяцев откликнулись десятки тысяч людей.
    Суть этого проекта благовидна — сделать всю медицинскую сферу более персонализированной; изучить эстонский геном и научиться решать конкретные проблемы граждан страны со здоровьем. В правительстве считают, что такой подход поможет сделать медицину более качественной при сокращении затрат. Предполагается, что благодаря исследованиям станет глобально известно, каким болезням сильнее всего подвержены эстонцы. И медицина начнет бороться не с симптомами, а с причинами проблем.

    Источники: Газета Коммерсантъ, thenextweb.com, www.stoletie.ru, hightech.plus
    Cloud4Y
    82,00
    #1 Корпоративный облачный провайдер
    Поделиться публикацией

    Комментарии 3

      +3
      Не смотрите по утрам «Черное зеркало».
      Про Aadhaar — нет, какой-то там борьбы с терроризмом не было и в помине. Причины сугубо экономические — 400 млн. человек за чертой бедности, раздача продовольствия по карточкам, свои документы в каждом штате и влажный климат, который убивает любые бумаги. ЕМНИП, триггером для AADHAAR стало очередное наводнение, при котором куча народа осталась без документов.
      Про бюджет — тоже нет. общий бюджет — 890 млн. за 7 лет (с 2009 по 2016). Частным компаниям ПО никто не передавал. Да, регистрацию осуществляют по лицензии, но ядро системы — государственное. И все утечки до уровня UIDAI. Как правило утекали просто ФИО с номерами AADHAAR. Биометрические данные не утекали.
      А ещё там вполне официально от полиции отбились — не имеем право передавать биометрические данные и всё, идите к Шиве. Я почти не сомневаюсь, что доступ есть неофициально, но это другой вопрос.
        0
        Частным компаниям ПО никто не передавал.

        в статье и написано не про ПО, а о том, что у частных компаний есть доступ к биометрическим данным
        +1
        «Восход» обладает нужным количеством ключей.

        Я думал ключи генерируются и генерируются конечным пользователям (не важно кто это — банк или человек). А здесь получается что ключи уже есть, более того нужное количество и Восход ждет кому их продать или дать. А где гарантия, что эти ключи уже не циркулируют в криминальном мире. Интересный подход.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое