Банки начинают сбор образов

С июля россиянам стало доступно дистанционное получение фактически любых банковских услуг - через биометрические данные, которые будут собраны в единой системе (ЕБС). Но внедрение этой удобной новации, по мнению экспертов, сопряжено с довольно серьезными рисками, связанными с мошенническими действиями при сборе биометрии, и возможностью ее хищения из банков, системы которых не отличаются столь высокой надежностью, как ЕБС. Если у граждан появится право на блокировку своих данных или ограничение их использования, угроза будет нивелирована, но пока об этом нет и речи.

По словам первого заместителя председателя ЦБ Ольги Скоробогатовой, со 2 июля примерно 400 отделений банков в 140 городах приступят к сбору биометрии граждан. Ожидается, что до конца года эта система заработает в 20% банков 4 тыс. отделений), а к концу 2019 года ею будут охвачены все банки.

С помощью биометрических данных (лицо и голос), человек может быть однозначно идентифицирован, что открывает банкам массу возможностей для предоставления услуг в дистанционном режиме. Процесс требует прохождения первичной идентификации в любом уполномоченном банке (список опубликуют на сайте ЦБ). Банк после снятия параметров отправит их в ЕБС. При заинтересованности гражданина в получении услуги (открытие вклада, оформление кредита, проведение операции и пр.) в любом банке, ему достаточно авторизоваться в Единой системе идентификации и аутентификации (ЕСИА) с подтверждением своих биометрических данных через планшет, смартфон, ноутбук или компьютер, имеющие камеру и микрофон.

Но, по мнению экспертов, с виду простая система таит в себе риски.

По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, биометрия напрямую связана с личностью, поэтому меры безопасности, исключающие возможность утечки информации на любом этапе работы должны быть чрезвычайными.

Например, серьезная угроза может исходить от мошеннических действий при сдаче биометрии - речь о так называемой фальшивой биометрии, когда мошенник представляется именем человека, имея при себе поддельный или украденный паспорт. Как сказал заместитель председателя правления «Ренессанс Кредит» Сергей Королев, обязанность любого сотрудника банка - проверить документ на подлинность, осмотреть его, просветить в ультрафиолетовой лампе. В то же время стоит отметить, что банки нет располагают оборудованием и экспертами-криминалистами, занимающимися выявлением высококачественных подделок.

Зарегистрировавшему свою биометрию на чужой паспорт мошеннику становится доступно проведение любых операций под чужим именем. Причем он в любой момент может попросту удалить биометрические данные из ЕБС, прийдя еще раз в банк с поддельным паспортом. На основании заявления удаление данных из ЕБС осуществляется навсегда, резервных копий не сохраняется.

Для подстраховки от такого мошенничества, банки могут озаботиться созданием собственных мини-баз, в которых можно хранить биометрические данные. Как сказал начальник управления развития технологий розничного бизнеса Росевробанка Наталья Лучинец, банкам следует хранить все образцы, которые были переданы в ЕБС, на случай, если клиент захочет оспорить операцию. Но тут появляется риск хищения биометрических данных у банка. Официальная версия сводится к невозможности хищения из ЕБС. По словам представителя «Ростелекома» - оператора ЕБС, форма биометрического шаблона обезличена, он хранится отдельно от персональной информации. А в похищении только биометрии, без знания того, кому она принадлежит, нет никакого смысла. Но банки не имеют такой защиты.

Как уверены эксперты, у граждан должно быть право на ограничение или полный запрет использования своей биометрии, но пока это не представляется возможным. По словам заместителя руководителя НП "Национальный совет финансового рынка" Александра Наумова, сегодня отсутствует публичный механизм для граждан, ограничивающий возможность мошенничества с биометрическими данными. Если бы гражданам разрешили при необходимости запрещать использование их биометрии, это было бы честно. Как сказал Сергей Чернокозинский, в плане безопасности правильно, когда клиент разрешал бы использовать биометрию на короткое время и если это действительно необходимо, а потом снова запрещал.

По словам главы комитета Госдумы по финрынку Анатолия Аксакова, депутаты выразили готовность оказать поддержку банковскому сообществу и выступить с инициативой запуска необходимых поправок. Отсутствуют принципиальные возражения и в «Ростелекоме».

Но представители ЦБ уверены, что дополнительная защита не нужна: меры информбезопасности и так максимально жестки. Возможные варианты защиты прорабатывались с самого начала проекта и на всех его этапах. Меры, которые уже успели реализовать, могут противостоять возможным рискам. Имеющихся правовых механизмов достаточно для того, чтобы обеспечить права субъекта персональных данных. Но, по мнению экспертов, не исключено, что мнение регулятора изменится, если появятся реальные инциденты, связанные с мошенничеством или хищением биометрических данных.