Осторожно! биометрия в россии!

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Правила сбора, обработки и хранения

Под особенностями обработки биометрических персональных данных подразумевается сбор, хранение и использование информации для идентификации граждан. Кроме того, в законе существуют положения о необходимости их обновления и защите.

Указанные процедуры закреплены в Приказе № 321 Министерства коммуникаций и связей РФ.

Порядок обработки БДП закреплен в ПП № 722 и предписывает оператору действовать по следующему регламенту:

1. Оператор направляет извещение в Роскомнадзор о предстоящем сборе персональных сведений.

Направлять уведомление, согласно ФЗ № 152, не требуется в следующих ситуациях:

• если получение информации осуществляется на основании положений ТК России;
• когда сведения предполагается использовать для заключения договора, но впоследствии БПД не будет передаваться;
• в случае, когда в сборе фигурирует только именной формуляр;
• в других ситуациях.

Методичка о порядке сбора и обработки БПД установлена в Приказе № 94 от 30 мая 17 года надзорного учреждения.

1. Получить от пользователя или гражданина согласие в письменном формате для последующего сбора, обработки и хранения. В электронном формате, например, запрос на согласие производится в автоматическом порядке. Ситуации, в которых не требуется делать запрос у человека, освещены в статье № 11 ФЗ № 152.
2. Сбором сведений должен заниматься уполномоченный работник, т. е. оператор, в присутствии гражданина. В процессе формируется биометрический шаблон, который визируется электронно-цифровой подписью. Впоследствии форма публикуется в единой базе.

Срок хранения биометрических персональных данных составляет минимум 50 лет с момента занесения в систему.

Единая биометрическая система: перезагрузка

Проект «Цифровой Профиль Гражданина» анонсировал планы правительства по перезапуску Единой биометрической системы (ЕБС) «Ростелекома». Ответственная за проект – группа «Национальная инновационная система» под руководством вице-премьера Дмитрия Чернышенко. «Ростелеком» планирует вложит 6,6 млрд рублей как концессионер до 2030 года в сбор биометрических слепков лица и голоса  50 млн людей для передачи и закрепления в ЕБС. Сдать данные можно будет бесплатно гражданам, а концессию спонсируют банки, нотариусы, органы власти.

Минцифры сообщило о прогнозах  выпустить приказ о разработке единой методики расчета этой платы до конца апреля. Однако информацию о вложении суммы в 6, 6 млн рублей не подтвердили.

Ранее ЦБ выпустил документ, согласно которому  банки с универсальной лицензией должны организовать сбор биометрии в 80% отделениях с конкретной численностью жителей. По данным февраля в ЕБС имеются сведения лишь 164 тыс. соотечественников, а сбор данных на текущий момент это осуществляют 228 кредитных организаций, по сообщениям из официальной статистике. Известно, что банки не проявляют должной инициативы, в связи с чем ЦБ планирует подключить к сбору данных госорганы: решено оснастить Центры “Мои документы” в десяти регионах до 31 декабря с целью налаживания и ускорения процесса по сбору данных. В перспективе планируется оснастить Центры “Мои документы” по всей стране с этой целью.

ЕБС будет присвоен статус государственной информационной системы, в связи с чем курировать систему будет государство, а не частная компания. Есть вариант, что техническим оператором системы станет компания ООО “Центр технологий идентификации”.

Максим Шапировский – Руководитель группы Deloitte Digital в СНГ пояснил апатию банков в сборе данных. Он считает, что такое отношение банков к развитию ЕБС вызвано недоверием их клиентов к системе  – в какой форме будут храниться данные, как использоваться и что клиенту дает их предоставление. Представители банков полагают, что требование о предоставлении данных снижает продажи и может в принципе оттолкнуть клиентов, что негативно скажется на прибыли.

Тем не менее, Сбербанк, ВТБ и Тинькофф-банк придумали альтернативные способы сбора биометрических данных, которые более щадящие для клиентов.

Мобильная биометрия

Сейчас многие из нас проводят свое свободное время со смартфонами в руках. И для смартфонов ученые и инженеры тоже придумывают различные виды биометрий. Приложения для мобильного банка уже давно оснащаются классическими видами поведенческой биометрии, такими как клавиатурный почерк и биометрия по данным датчиков тачскрина (аналог биометрии по движению мышки).

Но в смартфоне есть много и других датчиков, с которых можно собирать поведенческие данные. Например, акселерометр, гироскоп, магнитометр, датчик температуры и т.д. Эти данные также используются для разработки поведенческой биометрии, которая получила название Sensor Fusion.

Помимо высокой точности у Sensor Fusion есть важное преимущество – сбор данных с датчиков незаметен для пользователя, поэтому это становится удобным видом биометрии для владельца смартфона.

Мобильная биометрия

Клавиатурный почерк, тачскрин и Sensor Fusion – все это интересные альтернативные биометрии для смартфонов, если бы данные, используемые для этих технологий, были хорошо защищены. Например, данные с датчиков смартфона хранятся в незащищенном контуре, т.е. могут собираться любым авторизованным приложением.

Взлом PIN-кода на телефоне

В 2017 году инженеры по кибербезопасности разработали нейронную сеть, которая по данным датчиков смартфона распознает PIN-код владельца телефона. Основная идея данного подхода заключается в том, что при введении PIN-кода для разблокировки телефона мы держим смартфон определенным образом. То есть у каждого человека свой уникальный паттерн ввода PIN-кода.

Используя эту особенность, ученые собрали данные с шести открытых датчиков: акселерометра, гироскопа, магнитометра и др. Далее на собранных данных они обучили нейросеть, которая угадывает PIN-код по данным датчиков смартфона с точностью 84%.

В кибербезопасности такой взлом называется атакой по сторонним (побочным) каналам – Side-channel attack.

Сбор данные со смартфона

Взлом PIN-кода по незащищенным данным наталкивает на мысль, что в биометрической гонке должны победить технологии, использующие хорошо защищенные данные, недоступные в открытых источниках. К таким видам биометрий относятся отпечатки пальцев, рисунки вен и радужная оболочка глаза

Важно знать: Закон о защите персональных данных №152-ФЗ: сфера регулирования, требования, штрафы.

Эксперты по кибербезопасности из вьетнамской компании Bkav (которые взломали FaceID на iPhone X) считают, что на сегодняшний день самым защищенным видом биометрии является отпечаток пальца.

Согласие на обработку биометрических персональных данных несовершеннолетнего лица

В ранее указанных Рекомендациях Министерство указало на тот факт, что обработка биометрических персональных данных несовершеннолетних лиц с письменного согласия законного представителя субъекта персональных данных на обработку его биометрических персональных данных не допускается, поскольку такое основание не предусмотрено действующим законодательством в области персональных данных. В таком случае, если оператор персональных данных осуществляет обработку биометрических персональных данных несовершеннолетних лиц, то ему необходимо принять меры по прекращению такой обработки.

При этом, без согласия субъекта персональных данных, в том числе несовершеннолетнего лица, обработка его биометрических персональных данных допустима в случаях, предусмотренных ч. 2 ст. 11 Федерального закона «О персональных данных»:

• в связи с реализацией международных договоров Российской Федерации о реадмиссии
• в связи с осуществлением правосудия и исполнением судебных актов
• в связи с проведением обязательной государственной дактилоскопической регистрации
• в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате

Это утверждение Министерства нельзя считать верным из-за того, что законодательство в области персональных данных не содержит прямого указания на недопустимость такой обработки. Вероятно авторы рекомендаций руководствовались отсутствием у большинства операторов персональных данных причин для обработки биометрических персональных данных несовершеннолетних лиц.

Организации, в том числе образовательные, всё чаще используют видеонаблюдение или распознавание отпечатков пальцев посетителей для пропуска на территорию. По мнению Министерства, такая обработка не подпадает под действие Федерального закона «О персональных данных», что позволяет говорить об отсутствии правовых оснований для обработки биометрических персональных данных. Обоснованием приведенной позиции является то, что поскольку отпечатки пальцев человека являются биометрическими персональными данными, то они могут обрабатываться только в случаях, установленных Федеральным законом «О государственной дактилоскопической регистрации в Российской Федерации».

Здесь стоит обратить внимание на тот факт, что положения Федерального закона «О государственной дактилоскопической регистрации в Российской Федерации» не запрещают проведение добровольной дактилоскопической регистрации, которая не является государственной дактилоскопической регистрацией. Следовательно, вышеуказанный довод Министерства не является обоснованным

Кроме того, в своих разъяснениях от 30 августа 2013 г

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, обратила внимание, что если целью обработки биометрических сведений в системах биометрической идентификации является установление личности конкретного лица, а также тот факт, что данная информация, содержащаяся в шаблоне, характеризует физиологические и биологические особенности субъекта персональных данных, то она относится к биометрическим персональным данным, обработка которых должна осуществляться в соответствии со ст. 11 Федерального закона «О персональных данных», а также Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации»

Таким образом, в случаях обработки биометрических персональных данных несовершеннолетнего лица, которые не подпадают под указанные в ч. 2 ст. 11 Федерального закона «О персональных данных», оператор персональных данных может выбрать один из возможных вариантов поведения:

10 шокирующих фактов о биометрии

Не спешите радоваться введением новых технологий. Биометрия для нашей страны – это начало конца. Только посмотрите, что нас ждет, если ее внедрят во все системы и сделают обязательной:

1Нас ожидает жизнь с вердиктом, без права на ошибку. Каждый потенциальный работодатель или супруг сможет узнать о вас буквально все. Ваши болезни, места жительства, смена работы – данные охарактеризуют всю вашу личность.

2Органы власти смогут проверять все ваши доходы, в том числе нелегальные. Будут знать о расходах, что вы купили и где.

3Нас смогут уничтожить «как тараканов». Через отравленную еду, лекарства. О нас будут знать, чем мы болеем, какие препараты покупаем, какие продукты кушаем. Легко найти рычаги давления на врачей, директора магазина.

4Тотальный контроль сделает из людей марионеток, управляемым механизмом. Личность человека, его свобода будут разрушены.

5Нашим мнением станет легко управлять. Если мы не согласимся с чиновниками или законом, нам заблокируют карты, откажут в услугах. Нас зажмут со всех сторон.

6Бумажные документы потеряют силу. Даже если биометрическая база данных упадет, идентифицировать личность будет проблематично. К тому же, уже возникали сложности, когда в биометрию вносили изменения, а человек не мог доказать обратное, даже с бумажными документами в руках.

7Биометрия представляет опасность для национальной безопасности страны. Чипы ставятся на основе западных технологий. Много чиновников и силовиков пользуются продуктами Apple. Биометрия предоставит открытый путь к России, ее захвату, проведению разведки.

8Не только власти, но и хакеры смогут управлять нами. Если они взломают систему, они смогут оформлять на нас кредиты, воровать электронные деньги.

9Кибер-преступники смогут перехватить часть государственной власти. Только подумайте, если государственные работники (депутаты, мэры и прочие чиновники, не говоря уже о нашем президенте) тоже сдадут все свои биометрические данные, то при их утере может начаться третья мировая война по захвату России, так как все военные данные будут известны противникам и мы останемся безоружны.

10Биометрические данные – это ваш образ, ваш индивидуальный слепок, электронный клон. Представьте, что кто-то им будет владеть? Владеть вашей личностью!

Факт

100% защитить биометрическую базу данных окажется все равно невозможным, биометрия просочится в мировой доступ. Только вообразите, что может произойти?!

Что это такое?

Персональные биометрические данные — это уникальные и универсальные характеристики человеческой личности, которые не изменяются на протяжении всей жизни (например, ДНК, отпечатки пальцев или рисунок радужной оболочки глаза). Эти данные необходимы, прежде всего, для распознавания личности и обеспечения всеобщей безопасности.

Персональные данные делятся на категории, в числе которых, помимо биометрических, находятся также общедоступные и другие. Читайте и о том, какие сведения входят в понятие ПДн.

Идентификации личности

Как поясняет Роскомнадзор, для того, чтобы личные данные человека считались биометрическими, должны соблюдаться следующие условия:

1. В данных должны отображаться физиологические и биологические особенности субъекта.
2. Используя эту информацию, можно с лёгкостью распознать личность человека.
3. Для установления личности, обработкой данных должен заниматься оператор.

Эти три фактора должны осуществляться одновременно.

ВАЖНО! Биометрическими данными могут быть только такие данные, которые используются именно для идентификации личности. Например, результаты анализов или рентгеновские снимки — не биометрические данные

А вот когда они будут переданы следствию, тогда они будут таковыми являться. В лице оператора выступают только государственные структуры

Например, результаты анализов или рентгеновские снимки — не биометрические данные. А вот когда они будут переданы следствию, тогда они будут таковыми являться. В лице оператора выступают только государственные структуры.

Что такое биометрические данные, история появления

Все мы учились в школе, читали научные статьи, смотрим фильмы и уже давно ни для кого не секрет, что на земле не существует двух одинаковых людей, чьи б биометрические данные были идентичными. Благодаря этому, многие исследователи и научные центры активно занимаются изучением особенностей человеческого тела, дающих возможность идентифицировать человека по отдельным параметрам: голос, ДНК, отпечатки, радужка глаза, фото и многое другое.

Биометрия — это уникальная система для распознания людей. Она использует ранее упомянутые индивидуальные особенности, которые невозможно подделать или изменить.

Биометрические данные имеют ряд свойств:

• уникальность — каждый из биометрических параметров строго индивидуален, присущий только одному человеку, что делает невозможным его подделку;
• универсальность — каждый из рассматриваемых параметров присущ абсолютно всем людям на планете (в учет не берутся единичные случаи отсутствия у человека конечностей или немота);
• неизменность — как невозможно изменить без вмешательства извне отпечатки пальцев, так и нереально изменить ДНК или даже тембр голоса. Следовательно, это постоянные характеристики, присущие человеку на протяжении всей жизни.

Зарождением биометрии можно считать 19 век, когда Уильям Гершелем выдвинул теорию о том, что папиллярный рисунок (рисунок на подушечках пальцев) уникален и индивидуален для каждого человека. Именно с тех времен к нам пришла дактилоскопическая экспертиза отпечатков пальцев. Сегодня она становится все более технологичной и отпечатки можно быстро идентифицировать по электронной базе данных.

Миф 2. Биометрия распознает лица не на 100%

Сегодня точность распознавания лиц из базы данных — выше 99%.

«Согласно тестам Национального института стандартов и технологий министерства торговли США (NIST), проведенным в ноябре 2018 года, всего 0,2% поисков в базе данных из 26,6 млн фотографий не соответствовали правильному изображению, по сравнению с 4% в 2014 году. А в тестах 2020 года лучший алгоритм идентификации лица имеет коэффициент ошибок 0,08%, что меньше одной ошибки на 1000 изображений. Это 50-кратное улучшение за шесть лет. И система продолжает совершенствоваться. Повысить точность распознавания позволяют алгоритмы нейронной сети».

И если раньше на результат могли повлиять угол зрения, погодные условия, то сейчас система распознает человека из базы даже при наличии головного убора или очков. Такая технология уже используется в офисах компаний и торговых сетях России.

«В целях безопасности «Северсталь» внедрила Face ID в здании своего представительства в Москве. Система сверяет данные магнитного пропуска и показания биометрии. Если обнаружит несоответствие с внесенными в базу сведениями и изображениями, то немедленно подаст сигнал службе охраны. К тому же, она сообщит о несанкционированном доступе лиц, внесенных в «черный список».

Добиться 100% точности тоже можно, но для этого придется задать алгоритму более высокий уровень соответствия. При этом ужесточатся требования и по входной информации, то есть эталону в базе данных и качеству изображения видеоданных. А значит, при малейших несовпадениях с эталоном алгоритм будет отказывать в обслуживании. Такие меры обоснованы в банковских системах. Там внедрение строгого алгоритма оправдано рисками, которые могут понести пользователи при попадании данных в руки мошенников. Но на практике все же нужно соблюдать баланс.

Биометрия в банках: что это, зачем и к чему приведет

Миф 4. Все системы распознавания одинаковы

Схемы работы Face ID могут сильно отличаться друг от друга. Для примера обратимся снова к сравнению простого терминала распознавания и сложной системы для крупного предприятия. Различия в схеме их работы будут не столько в алгоритмах (теоретически они могут быть одинаковыми), сколько в их устройстве, в «железе».

Терминал — автономное устройство. В него, как правило, встроен дополнительный считыватель карт, управление входом/выходом, сама система распознавания. База образов также хранится непосредственно на нем. Решение о допуске или запрете на проход терминал принимает самостоятельно. Настройка может производиться на самом устройстве. Также возможна схема, при которой несколько терминалов объединены в единую систему с общей базой лиц. В таком случае решение принимает софт.

Распознавание лиц средствами системы видеонаблюдения всегда связано с сервером. Отсюда и дороговизна таких систем. Камера выступает просто инструментом получения исходной информации (снимка лица) для дальнейшей обработки на сервере.

При этом нельзя сказать что система на терминалах «неполноценная». Она имеет место быть и на крупных объектах. Все зависит от конкретной задачи и функций системы распознавания лиц.

Цена вопроса

Как мы понимаем, использование таких технологий, тем более в масштабах страны, мероприятие сложное и весьма дорогостоящее. Конечно, для клиента, процедура идентификации его посредством новой системы будет совершенно бесплатной. Ведь это инициатива банка, а для клиента это новые опасения за собственную финансовую безопасность.

А вот банкам такая процедура сулит финансовые затраты. При каждом обращении к ЕБС банк должен будет перечислить на счет Ростелекома сумму в размере 200 рублей. Половину от суммы будет получать банк, который принял биометрические данные от клиента для вноса их в общую базу, а остальное будет поделено между остальными участниками системы (оператором самой системы и ее разработчиками).

Стоит отметить, что окупаемость проекта, при такой стоимости обращения за идентификацией рассчитана на период в 8-10 лет. Что говорит о действительно высокой стоимости проекта.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Зарегистрировать биометрические данные

1. Найдите на карте ближайшее отделение банка и посетите его. Подойдёт любое отделение из списка, даже если вы не клиент. Возьмите с собой паспорт и СНИЛС. Зарегистрироваться на Госуслугах или подтвердить учётную запись можно будет на месте2. Сотрудник банка сделает ваше фото и запишет голос. Для этого вам нужно будет произнести три последовательности цифр из памятки3. Статус биометрии обновится после регистрации. Его можно проверить:— в личном кабинете Единой биометрической системы и приложении «Биометрия»— в личном кабинете Госуслуг и приложении «Госуслуги»

Биометрические данные нужно обновлять каждые три года или если в вашей внешности произошли серьезные изменения

Единая биометрическая система|Гражданам
Гражданам

ЛоготипЛичный профиль

История

В 1859 году британский колониальный служащий в Индии Уильям Гершель ввёл практику идентификации контрагентов по договорным обязательствам из числа индийцев (поскольку для белого европейца все они выглядели на одно лицо, а их имена звучали одинаково, что нередко приводило к путанице и усложняло работу колониальных чиновников) по отпечаткам пальцев и ладоней, которые те оставляли при заключении сделок. В доработанном Фрэнсисом Гальтоном в конце 1880-х гг. виде, метод идентификации личности по отпечаткам пальцев применяется полицейскими структурами по сей день.

Но поскольку система Гершеля не являлась собственно биометрической (поскольку у него отсутствовали инструменты, которые бы позволяли точно измерять микроскопическое расстояние между линиями пальцевых узоров, сверка контрольных отпечатков производилась на глаз), практиковалась весьма ограниченно и только для весьма специфических целей, отцом биометрии принято считать французского криминалиста Альфонса Бертильона, который в начале 1880-х гг. установив постоянство антропометрических параметров взрослых людей, добился введения во Франции первой биометрической системы оперативного учёта преступников.

Взяв за основу уже существующую систему учёта преступников, созданную Эженом Видоком, и основанную на словесном описании внешности преступника, Бертильон дополнил её точными измерениями, которые позволяли сузить круг поиска вплоть до конкретного индивида. Система Бертильона позволяла каталогизировать и категоризировать имеющиеся в полицейской картотеке учётные карточки на преступных элементов, благодаря чему процесс установления личности неопознанного преступника значительно упростился.

Исходно она состояла из пяти измеренных биометрических показателей:

• высоты и ширины головы,
• длины среднего пальца,
• длины стопы левой ноги,
• длины локтевой кости,
• в сочетании с картотекой фотопортретов преступников в анфас и профиль для идентификации лиц злоумышленников свидетелями (последнее из указанных изобретений Бертильона применяется полицейскими структурами по всему миру по сей день).

Система Бертильона среди прочего позволяла безошибочно установить подлинную личность мошенников и различных проходимцев, присвоивших себе чужое имя или пользовавшихся вымышленными именами.

Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях

Мы констатируем повышенный риск для любых информационных систем со стороны хакерских атак. Это факт сегодняшнего дня. Биометрические данные, причисленные к персональным, всегда требуют повышенного внимания со стороны информационной безопасности.

Биометрия и диджитал-копии: как защитить себя и бизнес от кибермошенников

Для защиты таких данных сейчас используется распределенное хранение. Зашифрованный биометрический шаблон хранится на защищенных серверах в обезличенной форме отдельно от персональных данных. Выглядит он как некая математическая модель биометрических данных (лицо, отпечаток пальца, голос и так далее). Для обычного человека это представляет собой условно набор цифр. Восстановить из таких шаблонов образец голоса, изображение, отпечаток пальца без системы нельзя. А обезличенные сведения, даже с точки зрения внесенных в базу фотографий, не особенно интересны хакерам, поскольку для совершения каких-то мошеннических действий одного лишь изображения будет недостаточно.

«Для противодействия атакам биометрического спруфинга сегодня в банках используются такие механизмы подтверждения личности как liveness detection (дословно «проверка живости»). Это способность системы определять, является ли отпечаток пальца, лицо или другие биометрические данные реальным или поддельным. В качестве такой активной проверки биометрических данных, в частности, видеоизображения, человека могут попросить улыбнуться или повернуть голову. Система следит за естественностью движений пользователя, их соответствием полученному заданию и непрерывностью действий. При этом алгоритмы контролируют статику и динамику, что позволяет обнаружить взлом с использованием маски».

Как показывает практика, в большинстве случаев злоумышленники выбирают другие способы. Алгоритмы аутентификации пользователя мошенники стараются обходить с помощью социальной инженерии или уязвимостей в платежных приложениях.

Как защититься от кибермошенников — шесть основных схем обмана

Но нельзя исключать интерес злоумышленников к таким базам в части вывода системы из строя, что может стать элементом шантажа или вымогательства. Для защиты систем разработчики используют трансформацию биометрических параметров и криптографию. То есть в системе хранится только часть информации — защищенный эскиз.

«К примеру, при защите Единой биометрической системы в России, используется не один, а множество алгоритмов. Взлом даже одного займет у хакера много времени, сил и средств. А таких там десятки. К тому же они постоянно совершенствуются».