С июля граждане смогут получать фактически любые банковские услуги дистанционно с помощью биометрических данных, которые соберут в единую систему (ЕБС). Но удобная новация несет в себе серьезные риски, предупреждают эксперты. Это и мошеннические действия при сборе биометрических данных, и возможность хищения данных из банков, системы которых не столь надежны, как ЕБС. Предоставление права гражданам блокировать свои данные или ограничивать их использование способно нивелировать угрозу, но пока такой возможности нет.
В ходе прошедшего 29 июня заседания совета Ассоциации российских банков (АРБ) первый зампред ЦБ Ольга Скоробогатова сообщила, что со 2 июля около 400 отделений банков в 140 городах РФ начнут сбор биометрических данных граждан. До конца года эта система должна заработать в 20% банков в 4 тыс. отделений, к концу 2019 года — во всех.
Биометрические данные (образ лица и голос) позволяют однозначно идентифицировать человека и открывают широкие возможности для дистанционного предоставления услуг. Для этого нужно пройти первичную идентификацию в одном из уполномоченных банков (список будет опубликован на сайте ЦБ). Банк снимет параметры и направит их в ЕБС. Если гражданин захочет получить услугу (открыть вклад, оформить кредит, провести операцию и пр.) в любом банке, ему достаточно пройти авторизацию в Единой системе идентификации и аутентификации (ЕСИА) и подтвердить свои биометрические данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.
Но кажущаяся простота системы чревата рисками, предупреждают эксперты.
«Биометрические данные напрямую связаны с личностью, необходимы чрезвычайные меры безопасности, которые исключат возможность утечки информации на всех этапах работы»,— отмечает глава управления информбезопасности ОТП-банка Сергей Чернокозинский.
В частности, серьезную угрозу представляют мошеннические действия при сдаче биометрических данных, так называемая фальшивая биометрия, когда мошенник действует от имени человека по поддельному или украденному паспорту. По словам зампреда правления «Ренессанс Кредит» Сергея Королева, сотрудник банка обязан проверить подлинность паспорта, осмотрев его, просветив в ультрафиолетовой лампе, но в то же время в банках нет оборудования и экспертов-криминалистов, которые позволяют выявлять высококачественные подделки.
Зарегистрировав свои биометрические данные на чужой паспорт, злоумышленник может проводить любые операции под чужим именем. При этом в любой момент мошенник может просто удалить биометрические данные из ЕБС, еще раз посетив с поддельным паспортом отделение банка. Данные из ЕБС по заявлению удаляются навсегда, резервные копии не хранятся.
Банки могут подстраховаться от подобных мошенничеств, создавая собственные мини-базы биометрических данных. По словам начальника управления развития технологий розничного бизнеса Росевробанка Натальи Лучинец, банки должны хранить переданные в ЕБС образцы на случай оспаривания операций клиентами. Но тут возникает другой риск — хищение биометрических данных у самого банка. Из ЕБС, по официальной версии, хищение фактически невозможно. Как сообщили “Ъ” в «Ростелекоме» (оператор ЕБС), биометрический шаблон в системе хранится в обезличенной форме отдельно от персональных данных. Похищать только биометрию, не зная, кому она принадлежит, бессмысленно. Но в банках такой защиты нет.
По мнению экспертов, человек должен иметь право ограничить или полностью запретить использование своей биометрии, но пока это невозможно. «На сегодняшний день нет публичного механизма для граждан, позволяющего ограничить возможное мошенничество с биометрическими данными,— отмечает заместитель руководителя НП "Национальный совет финансового рынка" Александр Наумов.— Было бы честно разрешить гражданам устанавливать запрет на использование их биометрии». По словам Сергея Чернокозинского, с точки зрения безопасности правильнее, чтобы клиент мог давать разрешение на использование биометрии на короткое время при необходимости, а потом вновь закрывал такую возможность.
Депутаты готовы поддержать банковское сообщество и инициировать необходимые поправки, заверил “Ъ” глава комитета Госдумы по финансовому рынку Анатолий Аксаков. Нет принципиальных возражений и у «Ростелекома»: «Внедрение системы предполагает постоянное совершенствование средств информационной безопасности».
Но в ЦБ уверены, что в дополнительной защите нет необходимости. «Меры информационной безопасности предельно жесткие. Проработка возможных вариантов защиты осуществлялась с самого начала проекта и на всех его стадиях,— заверили там.— Реализованные меры адекватны возможным рискам. Имеющиеся правовые механизмы достаточны для обеспечения прав субъекта персональных данных». Впрочем, эксперты не исключают, что регулятор изменит свое мнение в случае реальных инцидентов мошенничества или хищения биометрических данных.
