АнтиФинРазведка

Самый честный блог о финансовой системе Российской Федерации

ЛицоPay: почему опасно сдавать биометрические данные для оплаты входа в метро?

2021-11-08 Максиминновации

В середине октября в Москве начался новый эксперимент: теперь каждый может оплатить вход в метро по «лицу». РБК отмечает, что используемая в данном случае технология «умных камер», позволяет не только оплачивать, но и оперативно сверять пассажира с базами данных правоохранительных структур. Главная опасность инновации – проблема сохранения биометрии в случае воздействия на нее со стороны взломщиков.

Где только в России не собирают и используют биометрические данные: теперь к списку кредитных организаций добавились еще и станции московского метрополитена! И все это подается властями под инновационным соусом простоты и удобства… Но нет ли здесь очередных «подводных камней»?

В сентябре 2021 года мэр Москвы Сергей Собянин объявил о старте эксперимента FacePay на станциях столичной подземки. Для участия в пробной программе требовалось загрузить в специальное приложение фотографию своего лица, привязав к аккаунту банковскую карту для оплаты проезда. При входе в метро умная камера «считывала» биометрию человека, пропуская его через турникет через одну-две секунды после идентификации.

15 октября власти заявили о том, что тестовый период внедрения завершен, так как FacePay доказал свою эффективность: теперь оплата по лицу будет действовать на 230 станциях метро.

Информация об этом сразу же была распространена во всех СМИ.

Надо ли говорить, что пассажиры, учтя удобство и качество такого предложения, стали сразу же загружать свои лица в систему: по сведениям Ъ, за первые три дня работы порядка 30 тысяч человек разместили фотографии в базах данных метрополитена.

Безопасно ли это?

Чиновники однозначны: они не видят никаких рисков при передаче подобных сведений.

Заммэра Максим Ликсутов, отвечающий за транспортное обеспечение города, отмечает принципы работы созданной системы:

1.«Мы не храним изображения лиц. Биометрические данные пользователей Face Pay автоматически преобразуются в зашифрованный биометрический ключ. Эти ключи генерируются так, что обратная расшифровка в изображение невозможна». При этом распознавание лица происходит даже в том случае, если субъект находится в медицинской маске.

2.Что касается собранных персональных платежных данных, то они хранятся на стороне банков.

С обозначенными Ликсутовым аспектами безопасности согласен и руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов (цитаты по Ъ), который отмечает, что при разработке подобных систем в базах данных хранят даже не изображения лиц, «а цифровые отпечатки, подобные математическим хэш-функциям». Это означает, что даже если утечка произойдет, то восстановить отдельное изображение лица будет невозможно без запущенного процесса восстановления всех лиц в имеющейся базе данных.

Другой точки зрения придерживаются некоторые правозащитники.

Алена Попова в интервью «Немецкой волне» говорит, что эффективной системы противодействия утечкам персональных данных в РФ не имеется: личные сведения спокойно перекочевывают третьим лицам из баз данных Сбербанка, Альфы, государственных реестров и так далее.

Юрист Роскомсвободы Саркис Дарбинян, анализируя положения законодательства, еще более критичен: «Есть лишь одна статья в Законе о персональных данных, которая гласит: любые биометрические данные обрабатываются с согласия человека, кроме случаев, установленных законом. И есть достаточно широкий перечень, когда согласие не требуется. И всё! Больше никаких гарантий и правовых положений, которые бы защищали человека, в российском законодательстве нет».

Преподаватель Moscow Digital School Олег Блинов в комментарии для РКС указывает, что приложение при регистрации в FacePay внезапно предлагает согласиться на оферту, которая противоречит устным заявлениям властей: в пункте 3 этой оферты указано, что пользователи согласны с хранением изображения ГУП «Московский метрополитен» (то есть подземка юридически признается в создании своей базы биометрических данных).

IT-специалист Михаил Климарёв в интервью TJournal, комментируя нововведения, согласен, что созданную систему могут использовать не по прямому назначению: на основе собранных материалов вполне вероятно создание программ по выстраиванию координатной линии движения субъекта. Кроме того, есть потенциал для риска снятия денег со счета, а также поиска гражданина для разрешения какой-либо криминальной ситуации («если конкретно вас очень легко найти по камерам наблюдения, то в любой непонятной ситуации вас же можно привлечь к ответственности или как свидетеля»).

Только ли фотографии собирает мэрия Москвы?

Ъ отмечает, что в последние годы столичные власти занимаются последовательным расширением сведений о гражданах, проживающих на территории города. В список анализируемых материалов уже попали данные о месте проживания, а также доходе субъекта. Вполне очевидно, что фото и видеофиксация позволит отслеживать движение москвичей по территории населенного пункта: для этих целей, кстати, в 2020 году Москва объявляла тендер почти на 2 млрд. рублей. Еще 237 млн. рублей в ноябре 2020 года были потрачены на дополнительную криптографическую защиту данных.

Успешен ли такой сбор биометрических данных в столице?

Благодаря внедрению системы распознавания лиц в столичной подземке были вычислены более 200 человек, которые ранее совершали правонарушения, находились в розыске или просто потерялись. Наиболее яркий пример, иллюстрирующий, по мнению властей, эффективность внедрения IT-разработок – 25 июля этого года на станции метро «Братиславская» правоохранители, используя автоматизированный мониторинг лиц, задержали человека, которого обвиняют в убийстве.

А что на западе?

Европейские страны не торопятся внедрять аналоги FacePay: в октябре 2021 года Европарламент принял резолюцию о введении запрета на автоматическое распознавание лиц в общественных местах, так как посчитал, что обширное внедрение данной практики будет противоречить базисным правам и свободам человека и гражданина.

Так сдавать ли биометрию или не сдавать?

Если вы доверяете сохранности агрегируемых столичной мэрией сведений, то, конечно, использование FacePay – это новое слово в развитии инновационного мегаполиса под руководством Сергея Семеновича Собянина.

В иной ситуации – лучше всего использовать старые проверенные способы оплаты с использованием бумажной карты «Тройка».

Из последнего.

В пятницу, 22 октября, Ъ сообщил о том, что в интернете появилась база данных автовладельцев Москвы и Подмосковья. Объем информации оценивается экспертами в 50 млн. строк, включающих ФИО, даты рождения, номера телефонов, VIN-коды, номера машин, их марки и модели, а также год постановки на учет.