Минцифры будет следить за сотрудниками банков
Если организация, работающая с биометрией, останется без специалистов по информационной безопасности, ее лишат лицензии
Минцифры сможет проверять организации, которые используют идентификацию людей по биометрическим данным. Если выяснится, что компания недостаточно защищают эту важную информацию, ей могут запретить работать с биометрией. Соответствующий проект приказа ведомства до 28 июня проходит общественное обсуждение. Защитят ли нововведения от утечек и что будет, если биометрические данные человека попадут в открытый доступ, разбиралась «Парламентская газета».
Лица и голоса охраняет государство
Россияне могут добровольно сдать свои биометрические данные — изображение лица и запись голоса — в Единую биометрическую систему (ЕБС), чтобы удобнее было получать государственные и коммерческие услуги. Биометрию можно использовать для входа на портал госуслуг, получения кредита или открытия счета в банке, заключения договора с оператором мобильной связи.
С 2023 года вся биометрия хранится в ЕБС, за безопасность которой отвечает государство. Коммерческие компании, которые когда-либо собирали биометрические данные, обязаны передать их в единую систему, а чтобы они могли оказывать услуги клиентам, нужно получить государственную аккредитацию.
В Минцифры решили ужесточить контроль таких организаций. В проекте приказа ведомства говорится о расширении перечня индикаторов риска, которые являются основанием для проведения внеплановой проверки. Новым индикатором станут повторяющиеся имена специалистов в сфере информационной безопасности, указанные в заявлении компании на аккредитацию. «Когда организация подает заявку на аккредитацию, она указывает в ней сотрудников, которые занимаются вопросами информационной безопасности, — объяснили в ведомстве. — Если ранее эти же люди уже были заявлены от другой организации, это послужит поводом для ее дополнительной проверки на предмет наличия таких специалистов».
И если выяснится, что сотрудников по информационной безопасности в организации уже нет, аккредитацию приостановят, а если нарушение не устранят, то и вовсе прекратят аккредитацию.
Против серых схем
Предложение Минцифры стоит воспринимать не как признак того, что ЕБС недостаточно защищена или подвержена утечкам, а как очередное подтверждение, что государство постоянно совершенствует защиту данных наших граждан, сказал «Парламентской газете» член IT-комитета Госдумы Антон Немкин. «Утечки такого рода информации могут случиться на этапе передачи биометрических данных в ЕБС, и ответственность за это как раз несут сотрудники организаций, которые причастны к этому процессу. Поэтому вектор на усиление контроля за кадровыми составом понятен и оправдан», — объяснил парламентарий.
Хотя вся биометрия хранится в ЕБС, крупные компании могут создавать свои коммерческие биометрические системы, использовать векторы данных из государственной базы, и на основе этого оказывать свои услуги или даже продавать возможность биометрической идентификации более мелким структурам. Чтобы получить лицензию на эту деятельность, нужно подтвердить наличие в штате специалистов по информационной безопасности, но их в России остро не хватает, сказал «Парламентской газете» соучредитель Ассоциации профессионалов в области приватности Алексей Мунтян: «Случается, что компания принимает на работу квалифицированного сотрудника, а как только получит от государства необходимые документы, с ним расстается. Чтобы этого не происходило, Минцифры решило взять ситуацию под контроль, поскольку уже появились айтишники, которые таким образом сдают себя в наем разным компаниям».
Утечки ей не страшны
Использование биометрии как организациями, так и людьми является добровольным, подчеркнули в Минцифры. Человек может в любой момент сдать свои данные в ЕБС с помощью мобильного приложения или в банке. А когда передумал — удалить их оттуда, для этого есть специальный раздел на портале госуслуг. Организация может использовать биометрию как один из способов распознавания человека, но обязательно должна быть альтернатива в виде входа по обычному паролю или паспорту.
Биометрию невозможно подделать, а систему нельзя обмануть. Соответственно, невозможны и утечки информации, объяснил Антон Немкин. Еще один плюс ЕБС, по его словам, в том, что данные в ней хранятся в зашифрованном виде, и это только векторы лиц и голосов людей. «Других персональных данных, таких как ФИО или адрес, там нет, — отметил парламентарий. — Поэтому утечка из системы бесполезна для злоумышленников».
Аккредитацию для работы с ЕБС сейчас имеют двенадцать организаций, следует из данных на сайте Минцифры. Больше половины — крупные банки, а также IT-компании и один мобильный оператор. Работать с биометрией хотели бы больше компаний, и они смогут это сделать, если выполнят требования регулятора, подчеркнул Алексей Мунтян. С его точки зрения, это оживило бы рынок и усилило конкуренцию между игроками. А в выигрыше оказались бы клиенты: банки и другие организации предлагали бы больше удобных и недорогих услуг.
Ещё материалы: Антон Немкин