Принятый в конце 2022 года Федеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации «О единой биометрической системе» № 572-ФЗ ожидаемо вызвал серьезный резонанс в профессиональных кругах.
Этот закон, регулируя небольшую область, связанную с обращением биометрических персональных данных (БПДн), потребовал кардинального изменения уже работающих в компаниях процессов, а дальнейшая реализация соответствия ему требует существенных финансовых затрат и усилий. В том числе, ожидаемо, закон вызвал бурную реакцию у всех, кто активно протестует против «цифрового государства», что бы под этим термином ни подразумевалось.
К какой новой реальности готовиться экспертам по защите информации?
Биометрия для граждан
Известно, что 152-ФЗ определяет БПДн как сведения, которые характеризуют физиологические и биологические особенности человека, его уникальные характеристики, на основании которых можно установить его личность. В более широком понятии эти данные могут включать в себя фотографическое изображение лица, отпечатки пальцев, рисунок радужки глаза, запись голоса, геометрию лица и множество других параметров.
Устройства, распознающие лица, для идентификации и аутентификации человека стали для нас привычными. Такие системы контроля и учета доступа давно считаются более надежными и технологичными, они используются на крупных предприятиях, в транспорте, и теперь все они попали под действие не только 152-ФЗ, но и 572-ФЗ. Ведь в большинстве случаев в их работе используется фотография лица, которая является БПДн, согласно разъяснениям Минцифры России от 17.07.2020 № ОП-П24‑070‑19433 и от 28.08.2020 № ЛБ-С-074-24059, независимо от того, как осуществляется обработка. Не стоит упускать из вида, что главным основанием для обработки БПДн должно быть информированное согласие человека, как субъекта БПДн.
С принятием 572-ФЗ обеспечение безопасности БПДн при идентификации и аутентификации пассажиров транспорта, покупателей магазинов, посетителей организаций, клиентов банков, клиентов других организаций, мобильных приложений в различных сферах является процессом, строго контролируемым и регулируемым со стороны государства и уполномоченных ведомств. Требования закона распространяются пока только на фотографическое изображение лица и запись голоса субъекта (ст. 3 п. 4 572-ФЗ), вместе с тем Правительством РФ планируется расширение перечня типов данных, подпадающих под требования 572-ФЗ в 2024 г.
Рассматривая ландшафт утечек, специалист в области кибербезопасности видит, что каждая из них, прямо или косвенно относящаяся к человеку, даже незначительная, ведет к обогащению обширных теневых баз. Убежденность в том, что законопослушному человеку нечего скрывать, не учитывает нынешней реальности. Ведь в конечном итоге, на основании накопленной информации может реализоваться гибридная атака, когда злоумышленники поэтапно получают контроль над ИТ-активами человека, при этом целью их могут быть совсем не его финансы. Зачастую целью злоумышленников становятся организации и предприятия, на которых законопослушные граждане работают.
Использование БПДн при идентификации и аутентификации, с одной стороны,позволяют организациям полностью удостовериться, что посетитель или клиент действительно является тем, за кого себя выдает. Это снижает риски мошенничества и операций, связанных с несанкционированным доступом. С другой стороны, при хищении биометрических данных, вернее, при незаконном получении их образцов, у мошенников возникает практически неограниченный доступ.
Учитывая это, понятна заинтересованность государства в обеспечении максимальной защищенности самых чувствительных персональных данных – биометрических. Утечка таких данных с последующей реализацией алгоритмов получения санкционированного доступаможет привести к серьезным последствиям. Восстановление БПДн после утечки тем более затруднительно, что
572-ФЗ ограничивает свободный сбор и использование БПДн для получения транспортных услуг, прохода на территорию предприятий и организаций, для продажи товаров и оказания услуг. Сбор и накопление образцов БПДн осуществляется только в ГИС ЕБС. Предвосхищая вопросы надежности и отказоустойчивости разрабатываемого решения, уточню, что в ГИС ЕБС предусмотрена возможность создания региональных сегментов (ст. 2 п 11 572-ФЗ), но на текущий момент такие решения планируется реализовать только в столичном регионе. Региональный сегмент должен помочь обеспечить граждан непрерывным доступом к привычным уже услугам с использованием БПДн.
Требования 572-ФЗ напрямую влияют на деятельность организаций, уже использующих в своей деятельности технологии, которые позволяют проводить идентификацию и аутентификацию физических лиц на основании БПДн, или планирующих внедрение этих технологий. Так называемые коммерческие биометрические системы (КБС) становятся доступны только «крупных игрокам», которые могут получить аккредитацию в Минцифры. Требования для получения аккредитации сложны и заслуживают отдельного анализа.
Так в чем ожидаемые плюсы организации работы с БПДн в нашей стране централизованно через ГИС ЕБС?
За безопасность БПДн граждан теперь отвечает оператор ГИС ЕБС АО «ЦБТ» (ранее оператором ГИС ЕБС было ПАО «Ростелеком»). АО «ЦБТ» является коммерческой структурой, ее соучредителями стали ПАО «Ростелеком», Банк России и Росимущество. Создание и поддержка работоспособности подобных систем с привлечением частных капиталов, наверное, единственный способ, так как затрат на инфраструктуру и защиту требуется очень много. Наличие частных лиц среди акционеров АО «ЦБТ» является и дополнительной возможностью, но и существенным риском. Какие гарантии предоставляются, когда одному юридическому лицу доверяют столь важную информацию, без возможных альтернатив? Так ли надежны технологии, которые используются как на стороне ГИС ЕБС, так и на оконечных точках? В супермаркете, например? Ведь канал связи с ГИС ЕБС должен быть организован криптошлюзом, сертифицированным ФСБ России не ниже класса КС3. Решать в любом случае людям, многие из которых далеки от технических вопросов кибербезопасности, но ЕБС все равно не пользуется популярностью. Ведь, как известно, планы по накоплению образцов БПДн за прошедшие периоды не реализовались.
Для повышения защищенности БПДн при взаимодействии с ГИС ЕБС 572-ФЗ вводит новое понятие – вектор ЕБС. Это сущность, полученная путем математического преобразования БПДн, некий математический идентификатор или шаблон, описывающий БПДн. С 01.12.2023 организации, использующие БПДн в своей деятельности, имеют доступ только к векторам ЕБС.
ГИС ЕБС ранее была одной из многих систем в нашей стране, в которой собирались биометрические образцы граждан. Банки и частные компании могли собирать свои данные, осуществлять идентификацию и аутентификацию, используя свои технологии. Однако закон обязал все организации передать хранящиеся у них БПДн в ГИС ЕБС, прекратить сбор БПДн и осуществлять идентификацию и аутентификацию только с участием ГИС ЕБС.
Биометрия для юридических лиц
Одно из основных изменений, в соответствии с 572-ФЗ, – это запрет идентификации и аутентификации с использованием коммерческих биометрических систем при проходе на территории объектов организаций в случае автоматизированной обработки БПДн для предприятий и организаций:
- Оборонно-промышленного комплекса;
- Атомного энергопромышленного комплекса;
- Ядерного оружейного комплекса;
- Химического комплекса;
- Топливно-энергетического комплекса;
- Транспортной инфраструктуры;
- Субъектов критической информационной инфраструктуры РФ;
- Категорированные по правилам чрезвычайных ситуаций;
- Режимные объекты (государственная тайна).
Многие предприятия и организации, в том числе из указанных выше, готовились к принятию 572-ФЗ и имеют достаточно наработок в части использования систем искусственного интеллекта, распознавания лица (части лица), походки, без попадания под действие 152-ФЗ. Такие системы не являются системами контроля и учета доступа, в них не происходит накопление и обработка БПДн, не выполняется идентификация личности человека.
В общем случае в 572-ФЗ для юридических лиц предусмотрено два вида взаимодействия с ГИС ЕБС. Если организация принимает решение не получать аккредитацию, а работать в качестве компании потребителя, потребуется обеспечить надлежащий уровень защиты для устройств, работающих с биометрией и организовать защищенные каналы связи для взаимодействия с ГИС ЕБС (например, приказы Минцифры 453, 445, 446).
Использование векторов ЕБС БПДн в коммерческих целях, при осуществлении автоматизированной обработке с целью аутентификации, будет возможно только при условии аккредитации.
Аккредитацию осуществляет Минцифры России, и со списком аккредитованных организаций можно ознакомиться на сайте этого регулятора. Требования к получающим аккредитацию также размещены на сайте Минцифры России, вместе с регламентом и последовательным описанием процедур. Эти требования содержат и нормативно-правовые аспекты, и организационные, и технические. Выполнение их имеет смысл, если компания занимается предоставлением услуг с использованием БПДн, в том случае, если ожидается положительный экономический эффект. Опираясь на количество предполагаемых идентификаций и формы взаимодействия с ГИС ЕБС, организации предстоит выбрать «тарифный план» на сайте ООО «ЦБТ». Таким образом, помимо серьезных финансовых трат на внедрение технологий защиты, разворачивание инфраструктуры для подключения к ГИС ЕБС, дополнительно необходимо учесть стоимость одной идентификации, которая обойдется компании в определенную сумму.
Для компаний использование БПДн существенно расширяет номенклатуру потенциальных клиентов и экономические перспективы могут быть значительными, с учетом расширяющегося рынка услуг с применением биометрии и внедрения в ритейле. Но, нужно отметить, что граждане РФ проявляют в этом вопросе консервативность и обработку своих БПДн доверяют только государственными органами, в МФЦ и не более.
Заключение
Внедрение новых процессов работы с БПДн – это еще один большой шаг к созданию новых цифровых возможностей граждан РФ. Конечно, для многих регионов применение технологий биометрической идентификации и аутентификации позволит сделать качественный шаг вперед, даст людям доступ к услугам врачей, возможность учиться и сдавать экзамены, получать финансовые и образовательные услуги, не затрачивая время и средства на дорогу. Каждый сам для себя решает, становиться ли ему участником этого интересного эксперимента.
Для организаций выстраиваемая бизнес модель должна на самых начальных этапах учитывать особенности законодательства и планируемых к реализации регуляторных инициатив. Необходимо использовать всю имеющуюся внутреннюю экспертизу и привлекать специалистов извне, имеющих опыт реализации подобных задач в практической плоскости.
Мария Курносова,
руководитель направления консалтинга информационной безопасности, компания «Диасофт»