Минцифры будет следить за сотрудниками банков

Минцифры сможет проверять организации, которые используют идентификацию людей по биометрическим данным. Если выяснится, что компания недостаточно защищают эту важную информацию, ей могут запретить работать с биометрией. Соответствующий проект приказа ведомства до 28 июня проходит общественное обсуждение. Защитят ли нововведения от утечек и что будет, если биометрические данные человека попадут в открытый доступ, разбиралась «Парламентская газета».

Лица и голоса охраняет государство

Россияне могут добровольно сдать свои биометрические данные — изображение лица и запись голоса — в Единую биометрическую систему (ЕБС), чтобы удобнее было получать государственные и коммерческие услуги. Биометрию можно использовать для входа на портал госуслуг, получения кредита или открытия счета в банке, заключения договора с оператором мобильной связи.

С 2023 года вся биометрия хранится в ЕБС, за безопасность которой отвечает государство. Коммерческие компании, которые когда-либо собирали биометрические данные, обязаны передать их в единую систему, а чтобы они могли оказывать услуги клиентам, нужно получить государственную аккредитацию.

В Минцифры решили ужесточить контроль таких организаций. В проекте приказа ведомства говорится о расширении перечня индикаторов риска, которые являются основанием для проведения внеплановой проверки. Новым индикатором станут повторяющиеся имена специалистов в сфере информационной безопасности, указанные в заявлении компании на аккредитацию. «Когда организация подает заявку на аккредитацию, она указывает в ней сотрудников, которые занимаются вопросами информационной безопасности, — объяснили в ведомстве. — Если ранее эти же люди уже были заявлены от другой организации, это послужит поводом для ее дополнительной проверки на предмет наличия таких специалистов».

И если выяснится, что сотрудников по информационной безопасности в организации уже нет, аккредитацию приостановят, а если нарушение не устранят, то и вовсе прекратят аккредитацию.

Против серых схем

Предложение Минцифры стоит воспринимать не как признак того, что ЕБС недостаточно защищена или подвержена утечкам, а как очередное подтверждение, что государство постоянно совершенствует защиту данных наших граждан, сказал «Парламентской газете» член IT-комитета Госдумы Антон Немкин. «Утечки такого рода информации могут случиться на этапе передачи биометрических данных в ЕБС, и ответственность за это как раз несут сотрудники организаций, которые причастны к этому процессу. Поэтому вектор на усиление контроля за кадровыми составом понятен и оправдан», — объяснил парламентарий.

Хотя вся биометрия хранится в ЕБС, крупные компании могут создавать свои коммерческие биометрические системы, использовать векторы данных из государственной базы, и на основе этого оказывать свои услуги или даже продавать возможность биометрической идентификации более мелким структурам. Чтобы получить лицензию на эту деятельность, нужно подтвердить наличие в штате специалистов по информационной безопасности, но их в России остро не хватает, сказал «Парламентской газете» соучредитель Ассоциации профессионалов в области приватности Алексей Мунтян: «Случается, что компания принимает на работу квалифицированного сотрудника, а как только получит от государства необходимые документы, с ним расстается. Чтобы этого не происходило, Минцифры решило взять ситуацию под контроль, поскольку уже появились айтишники, которые таким образом сдают себя в наем разным компаниям».

Утечки ей не страшны

Использование биометрии как организациями, так и людьми является добровольным, подчеркнули в Минцифры. Человек может в любой момент сдать свои данные в ЕБС с помощью мобильного приложения или в банке. А когда передумал — удалить их оттуда, для этого есть специальный раздел на портале госуслуг. Организация может использовать биометрию как один из способов распознавания человека, но обязательно должна быть альтернатива в виде входа по обычному паролю или паспорту.

Биометрию невозможно подделать, а систему нельзя обмануть. Соответственно, невозможны и утечки информации, объяснил Антон Немкин. Еще один плюс ЕБС, по его словам, в том, что данные в ней хранятся в зашифрованном виде, и это только векторы лиц и голосов людей. «Других персональных данных, таких как ФИО или адрес, там нет, — отметил парламентарий. — Поэтому утечка из системы бесполезна для злоумышленников».

Аккредитацию для работы с ЕБС сейчас имеют двенадцать организаций, следует из данных на сайте Минцифры. Больше половины — крупные банки, а также IT-компании и один мобильный оператор. Работать с биометрией хотели бы больше компаний, и они смогут это сделать, если выполнят требования регулятора, подчеркнул Алексей Мунтян. С его точки зрения, это оживило бы рынок и усилило конкуренцию между игроками. А в выигрыше оказались бы клиенты: банки и другие организации предлагали бы больше удобных и недорогих услуг.