Уместная жесткость: российский подход к биометрии оправдан на фоне индийского скандала

Инцидент с быстрым и дешевым взломом крупнейшего в мире банка биометрических данных Индии продемонстрировал зависимость этой сферы от человеческого фактора и правильность повышенных требований российского законодательства и надзорных органов к техническому оснащению систем хранения персональных. Так считает эксперт в области информационной безопасности Александр Власов. В ходе журналистского расследования репортеры The Tribune за $8 получили незаконный доступ к системе биометрических данных Агентства Индии по уникальной идентификации (UIDAI). В течение десяти минут журналисты нашли в тайном чате в мессенджере WhatsApp некоего анонима, продавшего им логин и пароль для входа на сайт UIDAI, где размещены персональные данные пользователей. За дополнительные $5 хакер предоставил софт для изготовления биометрической ID-карты пользователя UIDAI, к которой привязаны имена, фамилии, адреса, телефонные номера и банковские данные физических лиц, а также их биометрические параметры — отпечатки пальцев и сканы радужной оболочки глаза. Человеческий фактор Все инциденты в сфере информационной безопасности делятся на две неравные части, поясняет Александр Власов: "80% утечек происходит по вине отдельных людей, персонала, что и демонстрирует индийский инцидент". "Поэтому утечки есть и будут до тех пор, пока мы не научимся бороться с влиянием человеческого фактора. Россия, надо сказать, по качеству информационной безопасности ничем не отличается от большинства цивилизованных стран мира, и наша статистика подтверждает то соотношение, о котором я говорил выше. Нюанс в том, что российское законодательство предполагает более жесткие требования именно к техническому оснащению систем хранения персональных данных средствами защиты, там все поделено на классы", - сказал эксперт. Ранее в декабре глава Роскомнадзора Александр Жаров подвергнул критике проект Сбербанка "Ладошки", поскольку считает его процедурой биоидентификации детей. Реальность кусается "Ладошки" — биометрическая система, позволяющая оплачивать по ладони питание в учебных заведениях, а также контролировать вход и выход ребенка. Для оплаты система идентифицирует ребенка по индивидуальному рисунку вен, сумма автоматически списывается со счета родителя. В учебных заведениях, в которых установлен сервис, по ладони может быть организован и проход в здание. "У меня было несколько разговоров с руководством Сбербанка, и моя позиция заключается в следующем: этот вопрос требует публичного обсуждения… Отношение к проекту "Ладошки" у меня отрицательное, мы находимся в дискуссии, и сейчас по закону его не должно быть, по крайней мере, школы мы по этому поводу наказываем", — заявил Жаров. В проекте Сбербанка, по мнению Александра Власова, есть плюс с "педагогической" точки зрения. "Подобные проекты с детства приучают ответственно относиться к деньгам, которые имеются на пластиковых картах. Одна из проблем нашего общества в том, что мы так резко перескочили из аналогового общества в цифровое, что многие люди, особенно те, кому сильно за сорок, растерялись. Отсюда - многочисленные сообщения о мошенничествах", - объяснил эксперт. При этом критика со стороны РКН более чем понятна. Обычно в учебных заведениях - детских садах, школах - не хватает средств и на более простые вещи, тем более на полноценное выстраивание системы защиты персональных данных. Соответственно, это будет отдаваться на аутсорсинг разных охранных агентств, а это может привести к чему угодно, заметил эксперт. "Кроме того, как только в силу вступают ограничения законодательства по защите данных, ни один департамент образования не потянет затрат на оснащение такими системами в полном объеме", - заключил Власов. Оправданная подстраховка Проект Сбербанка "Ладошки" вполне объясним, говорил ранее ФБА "Экономика сегодня" завкафедрой информационной безопасности НИУ ВШЭ Александр Баранов: программисты банка стремятся к повышению функционала, дабы привлечь больше клиента. Но информационная безопасность здесь уходит на второй план. А ведь золотое правило гласит: самая безопасная система – та, что не работает, то есть просто выключена из электросети. Логично и обратное – наиболее уязвимы самые универсальные системы. "Вся работа по обеспечению безопасности состоит в поиске компромисса: что позволить программе, телефону или компьютеру, чтобы его пользователь был максимально защищен. Пока в России с этой задачей большей частью справляются. И Роскомнадзор перестраховывается в этих вопросах вполне оправданно – индийский прецедент это наглядно продемонстрировал", - сказал Баранов.