"Дыры в базе": индийский прецедент показал верность российского подхода к сбору биометрии

Взлом крупнейшего в мире банка биометрических данных Индии всего за $8 и 10 минут‍ показал обоснованность требований российских госорганов к безопасности персональных данных. Об этом ФБА "Экономика сегодня" рассказал завкафедрой информационной безопасности НИУ ВШЭ Александр Баранов. "Взлом крупнейшей базы биометрических данных в Индии показал, что там безобразно относятся к информационной безопасности. С имеющегося рисунка отпечатка пальца злоумышленник может изготовить слепок, чтобы нанести его на предмет и использовать его в преступных целях. Но и это не самое страшное. Наилучший вариант - хакеры просто сотрут чьи-то данные с базы UIDAI, но ведь они могут и изменить их! К примеру, вы обращаетесь в банк за кредитом, а в базе указана искаженная информация – вы крупный неплательщик и судимы за финансовые махинации. Естественно, вам откажут. Измененные данные могут навести подозрения полиции на невиновного человека или вовсе подменить личность – сделать биографию матерого преступника "чистой". Все это отнюдь не шутки, и требования России к биометрии всегда были оправданы, несмотря на критику", - отмечает специалист. Накануне стали известны результаты эксперимента журналистов The Tribune в Индии – заказав у анонимного дилера в WhatsApp услугу, они сумели получить за 10 минут доступ в крупнейший банк биометрических данных в мире - системе UIDAI (Агентства Индии по уникальной идентификации). База содержит уникальные двенадцатизначные номера (Aadhaar), к которым привязаны имена людей, их адреса, телефонные номера и банковские данные, а также отпечатки пальцев и сканы радужной оболочки глаза. Всего в базе более миллиарда человек. "Помощник" запросил за услугу лишь 500 рупий (8 долларов), еще за 300 рупий предложил специальную программу, которая по полученным данным изготовит ID-карты пользователя UIDAI. "В России закон о сохранении персональных данных реализуется очень жестко, требования на этот счет выпустили два регулятора – ФСБ и ФСТЭК. Третий регулятор – Роскомнадзор – проверяет выполнение этих требований. Если система аттестована этими ведомствами, то бояться нечего – личные данные граждан никуда не "уйдут". В России уровень конфиденциальности данных достаточно высок, такие же должны быть у индийцев. Но прецедент показал, что они не исполняются. А значит, собиравшую данные компанию сейчас ждет вал судебных исков от граждан из-за морального ущерба и по ряду других поводов. И это правильно – любые прецеденты такого уровня должны стать примером миру, как нужно действовать и какие ошибки недопустимы", - считает эксперт. Проект "Ладошки" и другие "опасные истории" Обеспокоенность сбора биометрических данных россиян в сети, особенно детей, неоднократно выражал глава Роскомнадзора Александр Жаров – еще в ноябре 2017 года он говорил, что эти данные могут использовать мошенники. Чтобы оградить россиян от преступников, глава РКН выступил за обязательное информированное согласие на сбор таких данных граждан, а биометрическую идентификацию детей и подростков призвал "полностью исключить". Отдельной критике со стороны надзорного органа подвергся проект Сбербанка "Ладошки", где предусмотрена идентификация несовершеннолетних. Предусматривалось, что по идентификации рисунка вен ребенка можно будет оплачивать питание в образовательных учреждениях, снимая денежные средства с банковских карт родителей, а также контролировать передвижение несовершеннолетнего. Жаров прокомментировал: подобные идеи - это "опасная история". "Сбор биометрии у детей – в принципе плохая идея, и нынешняя разблокировка телефона отпечатком пальца крайне рискованная технология. Отпечаток можно использовать по-разному – злоумышленники в этом плане давно доказали свою изобретательность. Дети же намного менее устойчивы к воздействию, чем взрослые – из легко ввести в заблуждение, обмануть, запугать. Последствия могут быть самыми непредсказуемыми и печальными. Сегодня мы не знаем, как наши операторы связи могут использовать биометрические данные, а отпечатки пальцев несовершеннолетних и вовсе попадают в западные компании. А ведь в России есть прямое требование на хранение данных россиян на территории РФ! Кто знает, как иностранные компании хранят ваши данные и копу их могут передавать? А ведь даже по смартфону можно составить о человеке подробнейший портрет – от фото и отпечатка до банковских счетов и привычек. Проект Сбербанка "Ладошки" вполне объясним – программисты банка стремятся к повышению функционала, дабы привлечь больше клиента. Но информационная безопасность здесь отставляется на второй план. А ведь золотое правило гласит: самая безопасная система – та, что не работает, то есть просто выключена из электросети. Логично и обратное – наиболее уязвимы самые универсальные системы. Вся работа по обеспечению безопасности состоит в поиске компромисса: что позволить программе, телефону или компьютеру, чтобы его пользователь был максимально защищен. Пока в России с этой задачей большей частью справляются. И Роскомнадзор перестраховывается в этих вопросах вполне оправданно – индийский прецедент это наглядно продемонстрировал", - заключает Александр Баранов.