Нет "пальчиков" – нет жизни. Цифровая угроза от Госуслуг

Биометрия в шутку и всерьёз

В 2019 году клиенты СДМ-банка стали объектами оригинальной телефонной атаки. Им звонила "служба безопасности" (тогда к таким звонкам ещё не относились с юмором, как сейчас) и сообщала о сборе голосовых биометрических данных. Для подтверждения биометрии просили назвать… да, вы догадались – сначала три цифры на обороте карты, а потом цифры из приходящих sms. Наивно – но какие-то деньги всё же удалось украсть. Самой биометрии-то в России ещё толком не было, но её уже использовали для мошенничества.

А в то же самое время жители Китая с фамилиями Ву и Чжоу уже год как обманывали налоговую службу с полноценным использованием уязвимости биометрии – они покупали фотографии граждан в высоком качестве, "оживляли" их с помощью так называемых "дипфейк"-приложений и использовали для создания через смартфон компаний-пустышек для ухода от налогов. Взяли из только в 2021 году и тогда же приняли закон, ограничивающий сбор личной информации граждан для разных категорий служб. И это в Китае-то с его "всеобщей слежкой"! У нас такого закона нет.

При этом в биометрию русских людей загоняют ускоренными темпами.

Очень вовремя вскрывают

В последние дни по СМИ прошла волна сообщений о том, что портал государственных услуг стал ненадёжным, что ЕСИА (Единая система идентификации и аутентификации) трещит по швам, что аккаунты людей постоянно вскрывают (не избежали этой темы и мы). Как правило, конкретных примеров злонамеренного использования аккаунтов при этом не приводилось.

По удивительному совпадению произошло это сразу после вступления в силу поправок в Федеральный закон "О связи", которые обязывают операторов связи незамедлительно высылать короткие текстовые сообщения – одноразовые коды для авторизации в ЕСИА. Создалось ощущение, что людей просто подталкивают к переходу на двухфакторную авторизацию (сейчас для пользования Госуслугами актуальный номер телефона не нужен, при двухфакторной системе он станет обязательным).

Как вы думаете, что проще – подобрать сложный пароль или изготовить дубликат сим-карты, чтобы принять sms об авторизации и смене пароля? Предприниматель Даниил Бондарь имеет вполне чёткое мнение об этом – в апреле 2018 года мошенники с помощью такого дубликата сняли со счёта его ИП 26 миллионов рублей. Найти их так и не удалось.

Право на выпуск "симок" имеют десятки тысяч сотрудников мобильных салонов, и зарплаты у этих ребят очень невысокие. Если кому-то всерьёз понадобится ваш аккаунт, он без особых проблем найдёт продажного подлеца.

Нет пальчиков – нет услуги

Но это только начало. Во многих из таких статей (но, слава Богу, не у нас) ненавязчиво намекали, что хорошо бы пользоваться не просто двухфакторной авторизацией (пароль + sms), а совершенно надёжной биометрией.

"КоммерсантЪ" – для красного ли словца или что-то зная – намекнул, что после реализации нововведения ряд услуг будут вообще недоступны для тех, кто не сдал биометрию. Учитывая, что Госуслуги уже сейчас во многих случаях являются безальтернативным способом взаимодействия с государством, такое решение будет означать введение поголовной биометрической идентификации граждан России.

Разумеется, в Минцифры уже заявили, что никакого отказа в услугах "небиометризированным" не будет. И все, разумеется, немедленно в это поверили. Хотя даже сейчас определённая дискриминация граждан на этом сайте присутствует: для тех, кто не удостоверил свою личность в МФЦ (я, например, никак не успеваю туда добраться), часть сервисов недоступна, включая такой важный, как авторизация через ЕСИА в личном кабинете налогоплательщика.

Единая. Биометрическая. Интегрированная

И дело не только в Госуслугах. Есть серьёзное подозрение, что ЕСИА в обозримом будущем станут лидером рынка авторизации в России. Если сейчас большинство сервисов предлагают "шведский стол" (собственная регистрация на сервисе, вход через VK, Facebook, Google, Сбер ID и т. д.), то постепенно эта вольница прекратится – произойдёт такая же консолидация, как на рынках такси, супермаркетов или банков. На едином портале государственных закупок – масса контрактов, в техническое задание которых входит интеграция какого-либо сервиса с ЕСИА.

Нет там, правда, другого контракта, на который ссылается тот же "Ъ", – Минцифры с "Ростелекомом", по которому последний обязался к 5 декабря 2022 года интегрировать ЕСИА с только что созданной Единой биометрической системой до 5 декабря 2022 года. Бюджету это обойдётся в 1,2 млрд рублей. Остроумцы, кстати, уже придумали для ростелекомовского гибрида не слишком приличное название "Единая биометрическая интегрированная система".

То есть биометрия в ЕСИА может со временем стать обязательной едва ли не для самого входа в интернет.

Что с того?

Перед нами – стремительное заталкивание людей в цифровую утопию – или антиутопию, с какой стороны посмотреть. Нам говорят, что биометрия предельно надёжна – товарищи Ву и Чжоу вскрыли её весьма простым способом, и как защититься от дипфейка, не очень понятно. Получить и воспроизвести отпечаток вашего пальца сложнее, чем фотографию, но тоже никак не бином Ньютона. А главный ужас в том, что если "невозможная" утечка данных всё же произойдёт, вы остаётесь "голым" навсегда.

В самом деле, чем мы защищены сейчас? Пароль, номер телефона, паспорт – при компрометации этих данных всё можно сменить. А вот что делать с "утекшими" пальчиками, радужной оболочкой и лицом – вопрос открытый. Не верится, что на Госуслугах откроют сервис по смене отпечатков.

Кроме того, биометрические данные позволяют идентифицировать вас всегда, а не только когда это нужно вам. Любая видеокамера приличного разрешения, подключённая к базе биометрии, мгновенно расскажет оператору, кто вы такой, каковы ваши год рождения и место проживания, а в банке – ещё и кредитную историю покажут. Понятно, что вам нечего скрывать, но каждое обнажение должно иметь свои приличия.

Особенно когда вас обнажают вежливо, но неуклонно, а главное – совершенно не интересуясь вашим мнением.

А лучшая защита аккаунта – реально сложный пароль и хороший антивирус на устройстве, с которого вы этим аккаунтом пользуетесь.