"Их практически с гарантией украдут, продадут, сольют. Давайте нам сначала объяснят, как эти данные планируется защищать, в том числе от своих сотрудников," — сказала Наталья Касперская о биометрических данных. Она призвала "не вестись на удобство" и не сдавать биометрию как минимум пока собирающая её компания не объяснит, "как эти данные планируется защищать".
При этом биометрия у человека практически не меняется всю жизнь, поэтому данные достаточно "украсть один раз". Защищаются и хранятся они так же, как данные других типов, "никаких особых способов защиты именно биометрии" нет.
- При этом мне лично непонятно, а зачем вообще нужно использование биометрии?
– Это должно упростить идентификацию пользователей.
– А зачем нужно ее упрощать? Потому что "удобно" и "круто"? Зачем разменивать безопасность на потворство лени? Неужели это так сложно – пароль набрать?
Кроме того, надо понимать, что система биометрической идентификации – это система искусственного интеллекта, у которой не бывает 100% качества. Ей всегда свойственны ошибки первого и второго рода: то есть она может распознать "неправильный" объект как правильный или не пропустить правильный объект. То есть всегда остается вероятность, что система вас не распознает или распознает вас как кого-то другого, на кого вы похожи.
Качество распознавания лиц сейчас достигает максимум 99% – обычно разработчики хвалятся показателями в районе 97-98%, при этом не объясняя, какого рода ошибки таятся в оставшихся 1-3%. А обывателю кажется, что 99% точности – это очень круто. Но что такое 99%, например, в Москве? В городе проживают или бывают днем примерно 16-18 миллионов человек, значит, с 180 тысячами лиц москвичей может произойти ошибка первого или второго рода – то есть они будут не распознаны или спутаны с кем-то еще. Если применять биометрию широко, то транзакций распознавания будут миллионы в день – на транспорте, в банках, на проходных и так далее, – то есть и ошибок будут сотни тысяч или миллионы. А нужны ли нам такие риски? Поэтому прежде, чем широко внедрять биометрию, мне кажется, нужно десять раз подумать.
Минцифра сегодня выгнала на поле целую команду экспертов спорить с Натальей.
Включая президента Ростелекома, создателя ЕБС и других.
Уважают, чо.
Они убеждённо рассказывают, что:
— биометрия надёжнее всего,
— всё равно все там будем,
— это инновации,
— там абсолютная надёжность,
— хранятся не сами данные, а только «математические модели»,
— ЕБС полностью соответствует требованиям регуляторов по безопасности,
и т.п.
Тут стоит спросить только две-три вещи про послеждние пункты:
— а что, карточки клиента с фоткой у вас нигде не будет? Даже, чтобы посмотреть в случае того или иного инцидента безопасности?
— А что, хэш пометить в базе, как плохой или хороший — нельзя? Инсайдер с правами не сможет это сделать?
— А что, вот предыдущие системы — они не соответствовали всем требованиям регулятора, не были сертифицированы? Как же из них спёрли миллионы записей с персональными данными?