Компрометация биометрических данных может стать по-настоящему критическим событием. Паспорт или банковскую карту заменить можно, а голос или отпечаток пальца - нет, поясняет Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ". Если злоумышленник получит в распоряжение чужие биометрические данные, он всегда сможет авторизоваться под личностью жертвы.
В ЕБС для защиты данных используется мультивендорный подход - множество постоянно меняющихся алгоритмов, рассказали в "Ростелекоме", который выступает оператором ЕБС. Кроме того, биометрический шаблон хранится в обезличенной форме отдельно от персональных данных. Получить данные из ЕБС невозможно, уверяют в компании: используются только математически обработанные модели лица и голоса граждан. По ним невозможно восстановить фотографию или голос. В ЕБС уже зарегистрировано более 170 тыс. человек.
Компании для оказания услуг клиентам могут выбирать не ЕБС, а альтернативные системы, подчеркнули в пресс-службе минцифры. Перечень потенциальных угроз из нового приказа позволит разработчикам заранее предусмотреть или обеспечить их защиту.
Среди перечисленных в приказе угроз есть нарушение целостности, подмена, удаление, нарушение конфиденциальности. Все это может произойти в ходе сбора, обработки и пересылки информации. При этом риск утечки данных упомянут лишь вскользь, обращает внимание Парфентьев.
А именно он относится к результатам правомерного доступа, в рамках должностных полномочий. По его мнению, было бы правильным законодательно прописать требование хранить данные не просто в зашифрованном виде, а так, чтобы их невозможно было восстановить даже математическим методом. В случае слива злоумышленник получит набор бессмысленной информации.
С 1 января 2021 года в силу вступил закон, который позволит запустить новые массовые сервисы на основе биометрии - по лицу, сетчатке глаза, отпечаткам пальцев, рисунку вен и голосу.