Слепки эпохи: что мешает востребованности Единой биометрической системы
Неповторимые отпечатки
Не менее 35 млн биометрических слепков россиян будет в Единой биометрической системе (ЕБС) к 2030 году, говорится в презентации, с которой министр цифрового развития Максут Шадаев выступал на стратсессии в правительстве 21 ноября (копия документа есть в распоряжении Forbes). Из документа следует, что сейчас в ЕБС зарегистрированы 16,2 млн россиян, а к концу этого года число регистраций вырастет до 18 млн. При этом министр уже год назад говорил, что около 70 млн россиян сдали свои биометрические данные, отметив, что в основном они находятся у банков. Сама ЕБС за четыре года своего существования собрала всего около 240 000 записей, указано в проекте цифровизации Минцифры.
Биометрия — это сведения о физиологических и биологических характеристиках человека, которые помогают установить его личность. Есть пять самых распространенных типов данных: отпечаток пальца, изображение лица, голос, радужная оболочка глаза и рисунок вен на ладони.
ЕБС была создана в 2018 году по инициативе Минцифры, а статус государственной информационной системы (ГИС) получила в конце 2021 года. Ее оператором является «Центр биометрических технологий» (ЦБТ) — «дочка» «Ростелекома». В конце 2022 года был принят закон (вступил в силу 1 июня 2023 года), согласно которому собирать и хранить так называемую «сырую» биометрию — изображение лица и записи голоса — может только ГИС ЕБС. Поэтому все организации, имеющие биометрические данные россиян, должны были ее передать в ГИС ЕБС до конца сентября этого года. Также закон предполагает, что использовать биометрию, точнее так называемые «векторы» из ЕБС (файл с определенной последовательностью чисел, описывающих характеристики человека), могут только аккредитованные Минцифры организации. Не получившие такую аккредитацию смогут идентифицировать своих клиентов через информсистемы аккредитованных организаций.
В 2023 году ЦБТ снизил тарифы на биометрическую идентификацию, рассказали в организации. Сейчас единичное сравнение стоит от 25 рублей, два года назад эта услуга стоила 200 рублей. Тарифы составлены таким образом, что должны стимулировать бизнес больше использовать биометрию. При закупке «пакетом» стоимость ниже, чем при единичной аутентификации, и начинается от 1,19 рубля. К тому же организации могут приобретать у ЕБС векторы и использовать их, не выходя из контура своей биометрической системы. Госорганы и участники социально значимых проектов за использование ЕБС не платят, рассказали в ЦБТ.
Экзамен по биометрии
Не менее шести компаний получат аккредитацию на работу с биометрией до конца этого года и около 50 к 2030 году, следует из презентации Минцифры. Шесть банков — Альфа-банк, ВТБ, Россельхозбанк, Ак Барс Банк, Сбербанк и «Почта Банк» — получили аккредитацию Минцифры, последние два — на этой неделе.
Сейчас с использованием биометрии можно открыть счет или вклад в банке, получить кредит, оформить eSIM у оператора. Планируется, что при помощи биометрии студенты будут дистанционно сдавать экзамены, можно будет покупать обычные сим-карты и приобретать товары, приобретение которых требует подтверждение возраста. Также появится возможность оплачивать проезд в общественном транспорте.
«Мероприятия, которые лягут в основу нового нацпроекта, объем и источники их финансирования пока не определены и находятся в проработке, — подчеркнули в Минцифры. — Финальный вариант будет представлен летом 2024 года после утверждения правительством. Сам нацпроект по поручению президента запускается в 2025 году».
В Сбербанке рассказали, что сейчас банк проводит более 7 млн операций подтверждения личности в месяц для более чем 5 млн уникальных клиентов с помощью биометрии. Россельхозбанк подтвердил, что передал все свои биометрические слепки в ЕБС: «Банк развивает и внедряет ряд продуктов с использованием биометрии и будет продолжать работу в этом направлении».
ВТБ использует биометрию для подтверждения рисковых и лимитных операций своих клиентов, а также вместо пропуска для своих сотрудников. Статус аккредитованной Минцифры компании расширяет возможности для банка по оказанию биометрических услуг третьим лицам, в том числе не клиентам банка, напомнили в компании. В МТС, Альфа-банке, Райффайзенбанке, Газпромбанке и Тинькофф Банке не ответили на запрос Forbes.
Обнуление вложений
Эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян удивлен таким малым объемом биометрии в ЕБС. По его мнению, это может говорить о том, что не все организации, включая банки, вовремя передали свои биометрические данные в ЕБС. Возможно, не все из этих данных могут подойти по своему качеству и соответствовать стандартам, добавил он. По словам эксперта, ЕБС создана как «ультимативное хранилище» биометрии в России, но, централизуя все операции с биометрией в одном месте, «мы жертвуем развитием самих технологий». «Бизнес уже вложил очень много инвестиций на создание собственных биометрических систем, и сейчас необходимость хранить слепки в ЕБС и проводить через нее все операции с биометрией отчасти обнулила эти вложения», — говорит Мунтян.
Кроме того, бизнес столкнулся с дефицитом на российском рынке сертифицированного оборудования, позволяющего переносить биометрию бизнеса в ЕБС, рассуждает генеральный директор Института исследований интернета Карен Казарян. Он напоминает, что биометрию нельзя просто так портировать из банков в единую систему — для этого нужны защищенные криптографическими средствами шифрования каналы связи, специальный софт и «железо». По его мнению, это могло затянуть передачу в ЕБС биометрии из банковских систем.
«Если мы хотим, чтобы услуги на базе биометрии пользовались спросом, ЕБС нужно построить экосистему для разработчиков новых сервисов, — уверен Казарян. — ГИС ЕБС в своей текущей форме не создана как платформа для разработки приложений за пределами узких сценариев, прописанных в нормативно-правовых актах. Поэтому сейчас ЕБС — невероятно дорогая для использования и доступная только очень крупным компаниям система, которая не может быть востребована».
Риск уязвимостей
Проблема аккумулирования данных в ЕБС такая же, как и у любой другой системы, в которой консолидированы огромные объемы данных — в обеспечении их сохранности, подчеркивает преподаватель образовательной платформы Moscow Digital School Александра Орехович. Любая система хранения данных, по ее словам, имеет уязвимости, а взлом централизованной системы чреват гораздо большими последствиями. Впрочем, есть и плюсы в централизации, считает эксперт. По заявлению ряда представителей аппарата правительства, консолидирование данных позволит каждому человеку контролировать свой биометрический профиль, управляя своими согласиями на обработку онлайн, пояснила Орехович.
Круг компаний, которым разрешена обработка биометрических данных, сейчас значительно сократился: теперь только те компании, которые получили аккредитацию, могут работать с биометрией, говорит руководитель практики защиты персональных данных юридической фирмы DRC Ольга Захарова.
Главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов полагает, что в будущем можно ожидать сохранения практик, заставляющих, например, пользователей дать согласие на обработку своей биометрии при открытии мобильного приложения, как это сделали в Тинькофф Банке. «При этом нельзя сказать, что заявленные цели сбора биометрии выполнялись: случаев мошенничества не стало меньше, а получать финансовые услуги пока не стало проще», — заключает юрист.