Электронная «хиромантия»
Отпечатки пальцев и геном, рисунок вен, радужка глаза — часть биометрических данных человека. Сегодня некоторые из них используют в IT, банковских и государственных системах для распознавания людей.
При биометрической идентификации система берет ваш индивидуальный параметр и сравнивает его с параметрами, которые уже есть в базе. Такой принцип применяется, например, в современных системах видеонаблюдения. Главная задача — распознать человека среди множества других. В случае верификации система берет два вида данных и определяет, принадлежат ли они одному человеку. Например, распознавание лица человека смартфоном: телефон воспринимает уже имеющиеся данные о внешности человека и сравнивает их с лицом в реальном времени.
Биометрическая аутентификация — это просто вход в некую систему с помощью биометрических данных. Если раньше сканирование глаз и отпечатков пальцев можно было встретить лишь в шпионских фильмах, то сегодня мы сталкиваемся с этими процессами повсеместно, пользуясь смартфонами, банковскими приложениями и даже турникетами.
На первый взгляд биометрическая идентификация человека идеальна. В отличие от паспорта, водительских прав, кредитной карты и билетов биометрия всегда с нами. Вы никогда не забудете дома ваше лицо, глаза, голос, зрачки и отпечатки пальцев.
Имплантированный чип также всегда находится вместе с его владельцем, но в отличие от биометрии на него может быть записана дополнительная информация. Перспектива пройти за несколько секунд паспортный контроль в аэропорту, моментально получить посадочный талон или деньги в банкомате, пройти на концерт или мероприятие, лишь «предъявив» свое лицо, выглядит весьма привлекательно.
Эксперты отмечают, что биометрическая аутентификация — единственный способ увеличить пропускную способность объектов с большим человеческим трафиком.
Возникает вопрос — почему же тогда тотальное внедрение публичной биометрической аутентификации так пугает людей? Страхи эти, вполне обоснованные, имеют в своей основе много причин. Важно тут и то, кто на самом деле активнее всего продвигает эти технологии, кто стал движущей силой массового внедрения биометрии.
Причины для беспокойства
По сути Закон «О дактилоскопической и геномной регистрации» в Казахстане приняли еще в 2016 году, но его официальное введение неоднократно переносили. В последний раз — в связи с пандемией коронавируса.
Ответственным за исполнение этого закона назначено МВД РК. В ведении министерства будут находиться дактилоскопическая и геномная базы данных, то есть отпечатки пальцев и «кодированная информация об определенных фрагментах ДНК».
На основе этих данных планируют распознавать граждан, например, при пересечении границы или при получении документов. Отказаться от регистрации по факту невозможно — либо человек регистрируется в базе, либо платит штраф два МРП за отказ и не получает новые документы. Применяться биометрическая база будет не только для получения некоторых государственных услуг, но и для «обеспечения общественной безопасности» — охраны порядка, при ЧС и для контроля за миграцией.
Дактилоскопическую информацию, то есть отпечатки пальцев, будут сдавать люди старше 16 лет: те, кто получает паспорт или удостоверение личности гражданина РК (все граждане Казахстана); получающие удостоверение личности моряка; иностранцы и лица без гражданства, иммигранты.
В МВД утверждают, что дактилоскопическую информацию граждан Казахстана обезличат. То есть в базе данных будут только цифровая модель отпечатков и уникальный идентификатор. Персональные данные — имя, фамилию, ИНН — в базу не вносят.
Геномные данные, то есть информацию о ДНК, будут собирать у осужденных за тяжкие или особо тяжкие преступления, а также за изнасилования, насильственные действия сексуального характера, в том числе в отношении детей, неустановленных лиц, неопознанных трупов. Кроме того, геномные данные смогут добровольно сдать биологические родственники без вести пропавших граждан.
Кажется, плюсов введения биометрии гораздо больше, чем минусов. Однако результаты мониторинга инфопространства демонстрируют достаточно высокую обеспокоенность профессионального сообщества устойчивостью систем идентификации к взлому и возможным подлогам со стороны мошенников.
Так, по мнению независимого российского эксперта Николая Пятиизбянцева, реальных проблем с безопасностью идентификации клиентов с помощью биометрии более чем достаточно. Рассмотрим несколько вполне жизненных сценариев, которые основаны на существующих фактах противодействия криминалитету. Первый — мошенник может прийти в банк с чужим паспортом и зарегистрироваться, используя свои биометрические данные под именем своей потенциальной жертвы. Сотрудники банков не являются экспертами по распознаванию поддельных документов, какого-либо механизма по противодействию в системе не заложено. Первоначально клиента регистрирует один банк, а удаленную услугу оказывает другой. При этом первый банк не несет никакой ответственности за некорректную идентификацию клиента.
Во-вторых, еще одной проблемой является развитие технологии воспроизведения биометрических данных. Используемые данные (лицо и голос) не являются секретными, и заинтересованное лицо легко может их получить, а их непосредственное воспроизведение в нужное время и в нужном месте — вопрос технологий и фантазии мошенников.
В-третьих, возникает вопрос целостности, конфиденциальности и доступности самой биометрической базы, так как сотрудники, которые ее администрируют, будут иметь возможность не только теоретически, но и практически осуществить противоправные действия. Внедрение криптозащиты позволит обеспечить только конфиденциальность и целостность передаваемых биометрических данных от банков, но не сможет обеспечить безопасность в целом. При этом нельзя забывать, что криптозащита — достаточно дорогое решение, особенно для средних и небольших банков.
Другие эксперты считают важной проблему, связанную с уязвимостью данных в биометрической базе, риск подделки биометрического образца мошенниками в самой базе данных.
Биометрический слепок лица может быть связан с паспортными и платежными данными. Мошенник, который заменит слепок одного человека на слепок другого, может завладеть его клиентскими платежными данными, расплачиваться с помощью лица, брать кредиты или даже подписывать документы. По этой причине хранилища биометрических данных должны охранять с соблюдением самых высоких требований безопасности.
Вторая проблема связана с потенциально возможным взломом биометрических валидаторов: существуют валидаторы со слабой защитой, благодаря чему мошенники могут использовать фотографию человека, чтобы, например, взломать домофон. Кроме того, в индустрии кибер-безопасности биометрический фактор редко рассматривают в качестве единственного подтверждения, поскольку сами биометрические «отпечатки» — будь то сетчатка глаза, пальцы или скан лица — если постараться, можно собрать из разных источников и выдать себя за их реального обладателя.
Качественные биометрические системы достаточно дороги во внедрении, поддержке и эксплуатации. Если установить высокую точность совпадения предъявленного лица и хранящегося изображения, например, 99 процентов, то одновременно вырастет и риск того, что подлинный хозяин счета не получит к нему доступа. А это неизменно приведет к потерям денежных средств, которые кто-то должен будет компенсировать...
Добровольно-принудительно?
Еще один факт, который увеличивает пропасть между гражданами и государством, — законодательное принуждение граждан к сдаче своих биометрических данных. Понятно, что ни о каком добровольном согласии здесь речи не идет. Хотя, по сути, у каждого человека должен быть выбор — сдавать или не сдавать свои данные.
И это не все настораживающие моменты. Казахстанские эксперты обеспокоены, что в вопросах предстоящей биометрии в стране отсутствует экономическая прозрачность: неясно, сколько денег из государственного бюджета планируют потратить на реализацию проекта.
Затраты на создание единой биометрической базы мелькали в Законе «О Республиканском бюджете на 2020-2022 годы», где они составили 14 триллионов, затем их сократили почти вполовину.
В бюджете на 2021–2023 годы упоминаний о затратах на эту инициативу уже нет. Конечный бюджет на введение биометрии неизвестен, а технические обоснования бюджета объявлены служебной тайной. Получается, обычные казахстанцы не узнают, сколько денег на это планируют выделить и почему.
Еще одна большая проблема — низкий уровень доверия граждан к государству. Государство не ведет информационную политику в отношении нового закона, не старается вести диалог с населением, который необходим при введении таких спорных и пугающих законов. Хотя нужно понимать — чтобы граждане пошли навстречу, необходимо предоставить им все гарантии личной безопасности.
Вполне реальная угроза, которую стоит бояться — массовая утечка данных. Есть вариант того, что мы будем подвергаться постоянной слежке со стороны третьих лиц, если они несанкционированно получат доступ к нашей базе данных. Как это и было в 2015 году. Тогда Департамент по управлению персоналом в США «потерял» данные о 5,6 миллиона отпечатков. В 2016 году на Филиппинах хакеры взломали базу данных местной Комиссии по выборам — тогда на сторону утекли персональные данные 55 миллионов зарегистрированных избирателей, в том числе паспортные данные и отпечатки пальцев.
Эксперты отмечают, что при должном шифровании риски взлома и потери данных будут ниже, но нулю они не будут равны никогда. Понятно, что введение новых технологий может как максимально облегчить, так и максимально осложнить жизнь человека. Появление такого мощного инструмента в руках крупных компаний и государства вызывает вполне обоснованные страхи даже у самых здравомыслящих людей.
