В России усилили контроль за использованием биометрических персональных данных. Собственные биометрические системы теперь могут иметь только аккредитованные организации. Кроме того увеличен штраф за обработку персональных данных без согласия в письменной форме. Соответствующий закон принят в декабре 2023 года.

Эти изменения как нельзя более своевременны, говорит IT-эксперт и руководитель компании в области информационной безопасности Андрей Яковишин, поскольку биометрия в ближайшее время будет использоваться все активнее, а значит будет расти вероятность краж и злоупотреблений.

Технологии с использованием биометрических данных Андрей Яковишин внедряет на ведущих предприятиях госсектора и бизнеса. Почему защита биометрии важна и для отдельных людей, и для организаций и какие решения отечественных производителей помогают уберечь данные биометрии от незаконного использования, Андрей рассказал в интервью Хайтек+.

— Андрей, вы более десяти лет работаете в области информационной безопасности, наблюдая на практике, как совершенствуются технологии. Сегодня для идентификации и контроля доступа все шире используются биометрические персональные данные. Как получилось, что они почти вытеснили традиционные пароли?

— Начну с того, что такое биометрические персональные данные. Закон определяет их как «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность». Это могут быть дактилоскопические данные, трехмерное фото лица или тела, радужная оболочка глаз, образец голоса, рисунок вен ладони, анализы ДНК, рост, вес, запах, почерк, походка и так далее. В IT биометрические данные используются для идентификации и контроля доступа. Совершенно очевидно, что такой способ надежнее, чем обычный пароль или токен-ключ, но и биометрические данные могут украсть. И, в отличие от пароля, биометрические признаки в случае компрометации данных изменить невозможно. Поэтому их так важно беречь.

— Появление биометрических технологий упростило процесс идентификации, но обострило проблему кражи персональных данных. В каких ситуациях это происходит чаще всего?

— Потенциально опасной ситуацией может быть, например, телефонный разговор с интернет-магазином — как правило, они записываются, и в отсутствии мер обеспечения безопасности данных голоса клиентов могут быть похищены или просто «слиты». Часто воруют изображения в открытом доступе — из соцсетей, из записей рабочих видеоконференций — чтобы создать на их основе дипфейк. Чревата передача данных по незащищенным каналам, например, при использовании открытой Wi-Fi-сети в общественных местах. Украденную информацию злоумышленники могут использовать для управления банковскими счетами или проникновения на закрытые объекты.

— Жертвами кражи биометрии могут быть не только отдельные люди, но и целые предприятия, если их руководство не уделяет системам информационной безопасности внимания. Думаю, как специалист в этой области вы нередко сталкиваетесь с подобными случаями в своей практике. Есть ли действительно надежные технологии?