Кража цифровой личности: власти Казахстана призвали защитить взрослых и детей
Казахстанцы в повседневной жизни сталкиваются со сбором биометрических данных практически каждый день. Например, для разблокировки устройств часто используются отпечатки лиц и функция распознавания лиц. Биометрию для идентификации клиентов используют в онлайн-банкинге, лица людей сканируют при входе в жилые дома или социальные объекты. Но так ли это безопасно, как многие думают, выясняла корреспондент BaigeNews.kz.
Депутат мажилиса парламента РК Екатерина Смышляева не раз поднимала вопрос защиты биометрических персональных данных казахстанцев. Она отмечает отсутствие строгих стандартов по хранению и защите таких данных, как изображение лица, отпечатки пальцев и радужка глаза. Депутат отметила, что утечка этих данных может привести к непоправимому ущербу для цифровой личности человека, так как такие данные нельзя изменить, как, например, пин-код или номер паспорта.
"Во-первых, биометрические данные, такие как отпечатки пальцев, радужка глаза, форма лица или голос, уникальны и неизменны для каждого человека. В отличие от паролей или пин-кодов, которые можно легко изменить в случае компрометации, биометрические данные изменить невозможно. Если биометрические данные утекли, их уже невозможно заменить, и злоумышленники могут использовать их для несанкционированного доступа на протяжении всей жизни человека. Во-вторых, сегодня мы видим, как растёт полулярность биометрии. Биометрия используется для множества целей – от доступа к смартфонам и компьютерам до банковских счетов и государственных систем идентификации. Потеря контроля над биометрическими данными может привести к злоупотреблению ими в различных сферах. Биометрические данные тесно связаны с физиологическими и поведенческими характеристиками человека, и их утечка может привести к вторжению в частную жизнь. Например, данные о лице могут использоваться для отслеживания передвижений человека, его действий или привычек", – говорит Екатерина Смышляева.
При утечке биометрии, продолжает мажилисвумен, происходит кража цифровой личности. То есть биометрические данные могут использоваться для подделки личности, которая может начать жить своей самостоятельной жизнью в информационных системах. При этом жертве может быть сложно доказать свою невиновность.
"Поскольку биометрия используется не только для доступа к личным устройствам, но и для проверки безопасности в государственных и частных системах, утечка может привести к компрометации государственных баз данных или систем, где биометрия является ключевым элементом защиты. Это приведёт к сбоям в защите целых отраслей. Таким образом, утечка биометрических данных несёт в себе значительно больше рисков, чем утечка паролей", – говорит депутат.
По словам депутата, в Казахстане сбор биометрических данных часто проводится с нарушением закона, например, отсутствует добровольное согласие граждан. Она призывает обезопасить процесс сбора и хранения биометрических данных, называя это критически важной задачей. Защита таких данных требует особых подходов, поскольку, например, не исключены случаи, когда злоумышленники могут принудить человека предоставить свои биометрические данные для доступа к системе.
"Стандарты безопасности для хранения и обработки биометрических данных до сих пор развиваются, и не всегда они строго соблюдаются в разных регионах и организациях. Отсутствие единых стандартов приводит к разным уровням защиты в разных системах", – уверена мажилисвумен.
Она предложила разработать государственную систему биометрической идентификации и пересмотреть регламенты по использованию и защите таких данных.
"Государственная система идентификации нужна, прежде всего, для обслуживания государственных сервисов, а также для тех случаев, когда биометрическая идентификация является обязательной на уровне закона. Фактически эталонные базы биометрической информации (лица и отпечатки пальцев) уже сейчас находятся в руках и под защитой государства. Осталось подготовить саму систему идентификации, администрировать которую будет государство. При этом к самому написанию можно и нужно привлекать рынок", – говорит Екатерина Смышляева.
Она отмечает, что поскольку биометрия является одним из наиболее точных вариантов аутентификации личности и спрос на эту технологию растёт, то в случае утечки под угрозой могут оказаться и биометрические данные детей (их сбор осуществляется, например, при установке блокировки смартфона).
"Я считаю, что биометрическая аутентификация детей должна быть только в государственной системе идентификации. Дети очень чувствительная категория граждан, их благополучие зависит от взрослых. И согласие на обработку их данных тоже дают взрослые. Сделать детей бесправными участниками каких-то цифровых экспериментов, а иногда это выглядит именно так, неправильно. Кроме того, сами жизненные ситуации, в которых использование детской биометрии действительно остро необходимо, крайне редки. И для таких случаев должны быть гарантии. Сам себя ребёнок не защитит, родители бывают с разным уровнем ответственности, поэтому государство в данном случае не должно самоустраняться. Защита ребёнка – это государственная задача, в том числе защита его цифровой личности", – уверена депутат.
По словам руководителя ОЦИБ PS CLOUD SERVICES Александра Пушкина, важно на государственном уровне определить всех участников процесса сбора, хранения и использования биометрических данных.
"Мы должны стратегически подойти к этому вопросу и определить на уровне государства: кто будет эти данные хранить, кто их будет защищать, кто будет оператором этих данных. То есть, например, эти данные могут храниться государством, но оператором этих данных будет в том числе частный бизнес, например, финансовые организации, банки, медицинские учреждения. А пользователи базы биометрических данных – это обычные граждане. Как минимум три стороны должны участвовать в этом процессе. И здесь очень важно определить зону ответственности: кто будет отвечать за все процессы хранения, обработки и передачи этих данных. И что ещё важно: чтобы не было колизий с другими законами, потому что часть законов создавалась и внедрялась ещё в те времена, когда не было в обиходе биометрических данных, и один закон может противоречить другому", – говорит эксперт.
По словам эксперта по кибербезопасности Евгения Питолина, хакеры могут взломать базы биометрических данных как государственных, так и частных компаний. Поэтому биометрические данные должны выступать как дополнительный, но не единственный способ войти в систему и получить нужные данные.
"В последние годы мы видели, как в некоторых странах утекала полная база биометрических данных граждан. Критичность очень сильна. Но у нас банки и государство поступают достаточно разумно, используя биометрические данные как второй фактор. Во-вторых они не используют биометрию как единственно возможный и дающий все права фактор, и это хорошо. Но наивно полагать, что какой-то сектор справляется с защитой лучше, потому что биометрические данные, это такие же данные, как и все остальные, вопрос только в ответственности и критичности утечек", – уверен эксперт.
Для защиты биометрических данных от мошенников эксперты советуют ограничить использование биометрических методов аутентификации только теми сервисами, которым вы действительно доверяете.