Антон Немкин рассказал, как повысить доверие россиян к биометрии

Утвержденные Госдумой изменения в Кодекс об административных правонарушениях устанавливают, что за промахи при размещении и обновлении биометрических персональных данных банками, МФЦ и прочими организациями штраф для должностных лиц составит от 100 до 300 тысяч рублей, а для юридических лиц — от 500 тысяч до миллиона. Кроме того, ужесточили наказания за обработку персональных данных без согласия в письменной форме либо с нарушением требований к составу сведений в таком согласии. О главных новостях в IT-сфере «Парламентской газете» рассказал член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.

- Первый из пакета законопроектов, легализующих деятельность так называемых «белых» хакеров, внесен в Госдуму. Для чего понадобилось обелять этих самых «белых» хакеров?

- Дело в том, что сейчас закон не разрешает специалистам по кибербезопасности, которые по согласованию с заказчиком атакуют их значимые сегменты инфраструктуры, проводить тестирование информационных систем без разрешения правообладателя каждой программы, входящей в состав таких систем. Тестирование без всех этих разрешений может повлечь нарушение авторских прав и, соответственно, выплату компенсации в размере от 10 тысяч до 5 миллионов рублей либо в двукратном размере стоимости права использования соответствующей программы. Инициатива предусматривает возможность изучения, исследования или испытания функционирования программ для «белых» хакеров, которые правомерно получили экземпляр программы или экземпляр базы данных, для выявления его уязвимостей и исправления явных ошибок. Согласно законопроекту, «белые» хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их обнаружения.

- Почему понадобилось вносить эти поправки именно сейчас?

- Количество атак на российские информационные системы увеличивается, поэтому наша страна нуждается в регулировании, которое выведет работу специалистов по кибербезопасности в правовую плоскость. Пока наше законодательство не предусматривает возможность тестирования цифровых сервисов на предмет уязвимостей без угрозы преследования. Принятие этого законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов.

- Роскомнадзор начал формировать реестр хостинг-провайдеров, которым разрешено работать в России. Для чего понадобился такой реестр?

- Организации, которые не войдут в реестр, с 1 февраля 2024 года не смогут оказывать услуги хостинга на территории России. На сегодня, по данным Роскомнадзора, 124 организации уже полностью оформили заявки, 64 уведомления находятся в статусе «черновика». Дело в том, что сейчас у нас идет значительное усиление законодательства в части регулирования работы провайдеров хостинга, так как от них, по сути, в значительной степени зависит вся безопасность рунета. Так, с 1 декабря вступил в силу федеральный закон, согласно которому для защиты информации в своей инфраструктуре провайдерам хостинга необходимо взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также сообщать о компьютерных инцидентах в течение 24 часов с момента их выявления.

- С какими внешними угрозами может столкнуться рунет в следующем году, от которых могли бы помочь защититься хостинг-провайдеры?

- Таких угроз очень много. Например, на этой неделе подведомственный Роскомнадзору Центр мониторинга и управления сетью связи общего пользования выявил поискового бота, который собирает данные с веб-страниц для накопления информации в зарубежных моделях машинного обучения. После этого специалисты уведомили провайдеров, что им необходимо оценить риски для информационных ресурсов в их зоне ответственности — проанализировать, насколько такой бот может угрожать персональным данным, информации о критических уязвимостях, а также иной чувствительной информации, которая может быть собрана ботом.

Что изменится в жизни призывников в 2024 году

- По статистике, большая часть опубликованных в Сети похищенных баз данных приходится на мессенджер Telegram. Почему мошенники отдают предпочтение именно этому каналу коммуникаций?

- Telegram демонстрирует очень гибкие правила для пользователей, однако тем самым дает и свободу для злоумышленников, которые теперь используют мессенджер как площадку для своих противоправных действий. А именно распространения краденых данных, торговли ими. На сегодня Telegram действительно закрепил за собой статус основной площадки по распространению скомпрометированных данных — в этом году на него пришлось 67 процентов публикаций против 29 процентов в 2022 году. И предпосылок к снижению популярности Telegram как основного канала бесплатного распространения утечек пока нет, несмотря на периодические блокировки отдельных сообществ, связанных с киберпреступными группировками.

- На ваш взгляд, отечественные компании стали более открыто говорить об утечках?

- Пока про открытость компаний относительно утечек говорить рано. Да, компаниям выгоднее дать свои вводные первыми, чем дожидаться, пока информация придет к клиентам из СМИ. Но в целом в 2023 году уменьшилось количество публично подтвержденных инцидентов: все больше компаний выбирают осторожную позицию либо полностью отрицают факт утечки.

- Президент подписал закон об ужесточении наказаний за нарушение правил размещения биометрических персональных данных. Почему именно биометрия нуждается в особой защите?

- В первую очередь потому, что это наиболее чувствительная категория данных — в случае их утечки заменить их, как пароль, невозможно. Существует пять самых распространенных типов биометрии: отпечаток пальца, изображение лица, голос, радужная оболочка глаза и рисунок вен ладони. Минцифры определило связку голоса и лица, потому что именно она позволяет отличить живого человека от имитации его биометрических данных. В настоящее время лицо и голос — самые распространенные и доступные для массового использования биометрические модальности, другие требуют специального считывающего оборудования. И именно эти данные используются для наполнения Единой биометрической системы специальными векторами, которые впоследствии позволят гражданам получать большое количество услуг дистанционно или без использования дополнительных документов.

- Пользуется ли биометрия популярностью среди россиян или новая технология по-прежнему не внушает доверия?

- В Единой биометрической системе уже зарегистрированы более полумиллиона граждан. По данным оператора ЕБС, Центра биометрических технологий, упрощенную биометрию каждый день регистрируют около 1,2 тысячи человек, а подтвержденную — около двух тысяч. Это свидетельствует о высоком интересе людей к сервисам и технологиям, делающим повседневную жизнь проще. И этот интерес будет расти благодаря постоянному расширению перечня услуг, которые предоставляются с использованием биометрии, и совершенствованию способов регистрации. Сегодня в перечень услуг, доступных по биометрии, уже входят получение электронной подписи, заключение договоров на услуги связи, получение карты болельщика, авторизация на портале госуслуг и многое другое.

При этом многие пока действительно относятся к новой технологии с недоверием. И консерватизм людей в этом вопросе вполне объясним — их пугает возможность того, что биометрия может попасть в руки мошенников. Именно поэтому никто не может заставить человека согласиться на использование биометрии. Тем не менее информирование людей о том, что система биометрии не несет никаких угроз и никак не отразится на их жизни, должно быть первостепенным направлением работы. Для этого в том числе и ведется усиленная работа над законодательным регулированием в этой сфере.

Читайте также:

• Немкин рассказал, как мошенники взламывают аккаунты на «Госуслугах»