Биометрия: как дела с этим у нас, и у «них»

Биометрия: как дела с этим у нас, и у «них»
Источник фото: Медиа Группа «Авангард»

Не так давно мы с вами говорили о биометрических данных россиян — Биометрические персональные данные россиян, Как создать образцы для Единой биометрической системы и почему это может быть опасно.

Банки России уже стали отчитываться, что начали сбор биометрических данных (пока в тестовом режиме). И вот, на прошедшем 27-28 ноября 2018 г. SOC-форуме, ЦБ указал ФСБ на невозможность в полном объеме выполнить ее требования по защите собираемых банками биометрических персональных данных граждан.

Речь идет о криптографии конечно же. Первый замглавы Департамента информационной безопасности ЦБ Артем Сычев отметил, что отечественного криптооборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ, — нет. А ведь именно этот класс защиты (на уровне гостайны) определен в приказе ФСБ №378.

При этом замначальника 8-го центра ФСБ России Игорь Качалин выразил надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан. Здесь конечно надо отметить, что продукты класса КВ на российском рынке есть, но использовать их нельзя — все они требуют соответствующего согласования.

Вот пояснения некоторых участников SOC-форума (из публикации в газете "Коммерсант"):

«Чтобы шифровать направляемые в единую биометрическую систему (ЕБС) собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ», говорит собеседник “Ъ” в крупном банке.

Ключи класса КВ выпускает только ФГУП НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября 2018 г. Как сообщили “Ъ” в «Ростелекоме», «Восход» обладает нужным количеством ключей. «Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ, — отмечает собеседник “Ъ” в другом крупном банке. — Но без методики получить заключение ФСБ нереально».

По некоторым данным, внедрение HSM идет в 26 банках, но нигде не закончено. Впрочем, банки заявляют о своей готовности выполнить требования ФСБ, когда появится хоть одно полноценное решение. Пока же участники продолжают работу и надеются, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии, иначе сбор биометрических данных придется просто остановить.

Пока такая ситуация наблюдается у нас с биометрическими персональными данными, интересно посмотреть, а как с этим делом у «них». Рассмотрим буквально несколько стран с наиболее интересными результатами. Особенно это интересно с учетом того, что российская система ЕБС скопирована с аналогичной системы в Индии, куда представители России ездили за опытом.

Индия

После серии терактов в Мумбаи в 2008 г., в Индии приняли систему биометрической идентификации «Aadhaar» (в переводе с санскрита «основа»). Гражданам пообещали избавление от трёх главных проблем: терроризма, коррупции и нечестных выборов, а также – обеспечить бедняков продуктами и топливом. Регистрацию в системе провозгласили добровольной, однако без неё доступ к госуслугам и субсидиям невозможен. Для построения системы было создано правительственное агентство UIDAI с бюджетом более $1,5 млрд.

В базу Aadhaar индийские власти собрали цифровые идентификационные данные почти всех граждан страны — более 1,4 млрд. При регистрации в Aadhaar каждому жителю присвоили уникальный номер, с которым связаны его отпечатки пальцев, фотографии лица и радужки глаз. К этому номеру привязаны также паспорт, банковские счета, сим-карты, облачный сервис для хранения документов, медицинские карты, кадастры, а также документы для проведения выборов. Все эти должно упростить процедуры использования электронных подписей и государственных документов для рабочих целей, финансовых операций и получения госуслуг.

Однако данные Aadhaar очень быстро вышли за пределы госпроектов:

Правительство Индии разрешило использовать биометрические данные своих граждан крупным компаниям и стартапам в области медицины, ИТ, финансов и др, и те начали использовать полученную информацию в коммерческих целях. К примеру, бизнес-инкубатор Edugild (г. Пуна, Индия) оказывает поддержку трем небольшим ИТ-фирмам, которые используют сканы радужных оболочек глаз граждан для контроля посещаемости учебных заведений и предотвращения мошенничества во время экзаменов (сдачи их другими людьми от имени экзаменуемых).

Alixor Venture, другой индийский бизнес-инкубатор, сотрудничает с рядом разработчиков приложений, которые также используют данные базы Aadhaar. Эти приложения позволяют людям предоставлять их собственные медицинские данные любым медучреждениям, получать страховые полисы и открывать паевые инвестиционные фонды при помощи смартфонов. А программа TrustID, запущенная бывшим банкиром Goldman Sachs, помогает работодателям проверять претендентов на работу на наличие судимостей, просматривать информацию об оконченных учебных заведениях и т. п.

В Индии нет законов и госструктур, защищающих информацию, тем не менее, многие индийцы поддерживают инициативу с созданием национальной базы данных удостоверений личности, надеясь, что она позволит ликвидировать мелкую коррупцию и уменьшить недовольство при взаимодействии с государственными органами и компаниями.

Однако не все гладко – в 2016 году 210 индийских правительственных сайтов допустили утечку в сеть персональных данных миллионов индийцев, которые до сих пор свободно выдаёт поисковик. Дальше больше – в мае 2017 г. в общий доступ дополнительно попали уникальные номера 135 млн граждан Индии.

В январе 2018 г. журналистка Рахна Кайра показала, как за 10 минут и $8 можно получить у анонимного дилера ключи к Aadhaar с данными граждан, за $5 – ПО для изготовления биометрической ID-карты, а ещё за $95 ей обещали доступ к аккаунтам администраторов UIDAI. Правительство Индии всё отрицает, но сразу же перекрыло доступ к базе для 5000 сотрудников UIDAI и подало на Рахну заявление в полицию о краже закрытой информации.

Британия

Недавно Министерство внутренних дел Великобритании опубликовало проект создания централизованной базы биометрических данных. Информация из такой базы поможет полиции быстрее раскрывать преступления, а также проверять все визовые заявки и отсеивать нежелательных мигрантов прямо на границе.

27-страничный доклад «Биометрическая стратегия» был заказан еще четыре года назад, но опубликовали его только в июле 2018 г. Он содержит ряд рекомендаций о том, как именно правительство Великобритании должно собирать, анализировать и хранить биометрические данные. К нынешнему моменту полиция, иммиграционные и паспортные службы страны уже собрали информацию о ДНК, отпечатки пальцев и изображения лиц 12,5 млн человек. Авторы доклада предлагают объединить все эти данные в единую базу. Это позволит избежать дублирования данных и трат времени на их доставку от ведомства к ведомству.

Данный план сразу же после его обнародования подвергся резкой критике правозащитников. Например, неясно, что имеет в виду МВД Великобритании, когда заявляет о «законном сборе данных» в условиях, когда законы остаются неопределенными. Многие правозащитники также считают распознавание лиц опасным и неэтичным. Обладая доступом к камерам видеонаблюдения и беспилотникам, полиция может в любой момент «отменить» анонимность.

Авторы доклада, конечно же, упомянули в нем необходимость усиления контроля за безопасностью хранения и передачи биометрических данных. Однако специалисты считают это полумерой, которая, по сути, сводится к созданию консультационного совета, дающего рекомендации правительству. Никакой четкой стратегии по использованию биометрии в докладе нет.

Британская система сбора и хранения биометрических данных не в первый раз «сбоит». Так, весной 2018 года чиновник Министерства внутренних дел заявил, что невиновные люди не будут удаляться из криминальных баз данных, поскольку это «слишком дорого». А в мае оказалось, что система распознавания лиц, использованная в Уэльсе на финале Лиги чемпионов, ошибается в 90% случаев. Основываясь на этих данных, организация Big Brother Watch намерена добиться полного запрета распознавания лиц в стране.

Эстония

В марте 2018 г. Эстония предложила своим гражданам пройти бесплатные тесты ДНК в рамках национальной медицинской инициативы. В ответ правительство обещает гражданам Эстонии бесплатную расшифровку их ДНК. В предложении говорится, что сдавшие тест смогут узнать, подвержены ли они диабету 2 типа, ждут ли их в будущем сердечно-сосудистые заболевания, рак груди или другие проблемы со здоровьем. К маю 2018 года уже 38 тысяч эстонцев записались на тестирование, и это результат всего за 3 месяца. К настоящему моменту ДНК-пробы взяты уже у более 100 тысяч граждан.

Изучать ДНК граждан в Эстонии начали еще раньше, желая научиться предсказывать возникновение болезни. Старший исследователь в эстонском генном центре при Тартуском университете рассказывает, что еще до старта этой инициативы в биологическом банке центра находилось 50 тысяч образцов генома эстонцев, и с каждой ДНК-пробой была ассоциирована медицинская карта конкретного человека.

Исследуя эти образцы, уже удалось найти множество характерных и общих заболеваний для разных людей. Более того, эстонские ученые доказали, что их прогнозы по болезням для многих граждан сбылись в течение 3-5 лет. После этого инициативу было решено расширить. И она получила большую популярность, судя по тому, что за несколько месяцев откликнулись десятки тысяч людей.

Суть этого проекта благовидна — сделать всю медицинскую сферу более персонализированной; изучить эстонский геном и научиться решать конкретные проблемы граждан страны со здоровьем. В правительстве считают, что такой подход поможет сделать медицину более качественной при сокращении затрат. Предполагается, что благодаря исследованиям станет глобально известно, каким болезням сильнее всего подвержены эстонцы. И медицина начнет бороться не с симптомами, а с причинами проблем.

Источники: Газета Коммерсантъ, https://thenextweb.com, http://www.stoletie.ru, https://hightech.plus