«Технологии по сбору биометрии сильно опережают законодательство»

По данным СМИ, Министерство связи и массовых коммуникаций (Минцифры) планирует объединить сайт госуслуг с государственной биометрической системой. Для того чтобы мотивировать граждан сдавать биометрию, министерство планирует ограничить удалённое получение части услуг для тех, кто не сдал в систему биометрические слепки. Эксперты сомневаются в том, что подобный способ принуждения заставит граждан охотнее сдавать свою биометрию и указывают на недостаточную надёжность системы.

Минцифры заключило контракт с «Ростелекомом» на интеграцию «Госуслуг» и государственной информационной базы «Единая биометрическая система» 30 декабря 2021 года. Вскоре на портале госуслуг появится возможность входа с помощью биометрических данных, в частности с помощью биометрических слепков голоса и лица. Сумма контракта — 1,2 млрд руб., работы должны быть закончены к 5 декабря 2022 года.

В правительстве при этом говорят, что после окончания работ по интеграции Минцифры с помощью определённых ограничений планирует стимулировать граждан сдавать биометрию. Например, часть госуслуг онлайн для граждан, не сдавших её, станет недоступна. Одна из причин такого принуждения в том, что министерство отстаёт от своего плана по сбору биометрии. К 2024 году планировалось собрать около 70 млн биометрических слепков, однако в настоящее время нет и 200 тысяч. Если говорить о широком применении биометрии, то пока это только появившаяся недавно возможность оплачивать проезд в столичном метро с помощью сканирования лица.

В правительстве заявляют, что привязка биометрии к аккаунту на портале госуслуг повысит безопасность операций, так как если электронную цифровую подпись можно потерять или передать, то сделать это с биометрией в принципе невозможно. Юрист и управляющий партнер Digital Rights Center Саркис Дарбинян указывает на то, что аргумент «весьма спорный», так как если портал госуслуг будет скомпрометирован, то вместе с ним будут скомпрометированы и биометрические данные. Это позволит мошенникам с помощью технологии Deep Fake (методика синтеза изображения, основанная на искусственном интеллекте) получать доступ к тому, к чему ранее они получить доступ не могли.

{{expert-quote-14767}}

Author: Саркис Дарбинян [ адвокат, специалист по цифровому праву ]

Конечно, опасность есть. Поэтому многие граждане до сих пор не сдают биометрию. Нет правовых гарантий, если вдруг они утекут. Как мы сами видим, такие случаи регулярно происходят. Вопрос тут даже не к обеспечению цифровой безопасности, а скорее к законам и регламентам, позволяющим тем или иным должностным лицам получать доступ к личной информации, в том числе к биометрии. Пока вопрос наказания за неправомерный доступ не будет решён должным образом, сдавать биометрию охотно не будут.

Эксперт указывает на то, что, хотя формально законы, предусматривающие ответственность за утечку личных данных существуют, до сих пор не было серьёзных наказаний в отношении должностных лиц или компаний после какой-то из больших утечек. По словам Дарбиняна, технологии по сбору биометрии в настоящее время сильно опережают законодательство и это создаёт проблемы.

С этой точки зрения характерен случай, произошедший в декабре 2021 года, когда исходный код ресурса «Госуслуги» оказался в свободном доступе в Интернете. Хакер обнаружил открытый репозиторий, в котором находился исходный код портала в формате .git и в незашифрованном виде. Сначала взломщик сообщил о вскрывшейся уязвимости в поддержку «Госуслуг», но там с ним быстро перестали общаться, после чего он выложил код на хакерский сайт Cybersec. Руководитель аналитического центра, специализирующегося на информационной безопасности, Zecurion Владимир Ульянов указывал на то, что виной всему был обычный человеческий фактор, с которым всегда сделать что-то сложно.

Это серьёзный прокол, которым нельзя пренебрегать и думать, что если сейчас нам повезло, то в будущем всё тоже будет хорошо. Тут вопрос гонки — не успеют ли злоумышленники быстрее, чем код перепишут, использовать его для своей выгоды? Сайт «Госуслуги», пусть даже и региональный, нельзя просто выключить. Им пользуются люди, осуществляется сервис, — заявлял эксперт.

Адвокат Московского правового центра «Вектор» Сергей Черский в беседе с NEWS.ru высказал сомнение в том, что Минцифры в итоге закроет доступ к «Госуслугам» тем, кто не сдаст биометрию.

{{expert-quote-14769}}

Author: Сергей Черский [ адвокат Московского правового центра «Вектор» ]

Это слишком важный портал. Туда приходят штрафы за нарушения ПДД, квитанции, там есть доступ к важным документам. Все это знают, так как все этим пользуются. Пока ещё нет распоряжений и документов, так что мы можем только спекулировать, но перспектива выглядит неубедительной. Что касается перспектив возможных исков граждан, в случае если бы их стали принуждать сдавать биометрию, то я бы взялся за то, чтобы их представлять, если бы мне предложили.

Добавим, что ранее стало известно о том, что в России появился новый вид телефонного мошенничества, когда гражданину звонят под видом сотрудников портала «Госуслуги». Преступники предлагают жертве привязать QR-код о вакцинации к странице пользователя на портале и таким образом получают доступ к личному кабинету человека. Мошенники могут использовать указанные на «Госуслугах» данные, например для получения кредитов.