Криптозащита. Требования к сбору биометрических данных могут ужесточить

Эксперты Минцифры России подготовили проект ужесточения требований к аккредитации частных и государственных компаний, которые хотят собирать и обрабатывать биометрические персональные данные своих клиентов. Проект устанавливает, что размер собственного капитала организации, имеющей право использовать биометрию, не может составлять менее 500 млн рублей (сейчас - 50 млн). Финансовое обеспечение убытков, наступающих в случае неверной аутентификации, тоже повышается – с 50 млн до 100 млн рублей. Аккредитованные компании должны будут установить цифровую криптозащиту своих систем, защитив их от взломов и утечек. В ведомстве убеждены, что такие меры гарантируют безопасность персональных данных граждан России.

Защита системы

Основные положения, определяющие порядок сбора биометрических данных, а также прекращение их хранения и обработки, установлены постановлением правительства № 1799 от 20 октября 2021 года. Однако в конце 2022 года был принят Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных». Он устанавливает правовые основы обработки биометрических персональных данных. По новому закону только сам гражданин вправе распоряжаться своими биометрическими данными, а их хранение должно быть надежно защищено государством в рамках «Единой биометрической системы».

В государственном реестре данные будут храниться в зашифрованном векторном формате. Модель их криптозащиты будет представлять собой сложнейшую систему зашифровки данных, так, чтобы они были закрыты для свободного доступа как при передаче, так и при получении, и даже при утечке их будет невозможно расшифровать. По новому закону теперь в МФЦ можно получить некоторые услуги без паспорта, пройдя процедуру подтверждения личности по биометрическим данным.

Новое регулирование привело к необходимости разработки специальных критериев для компаний, которые будут работать с государством в этой сфере. Жесткие требования о величине капитала и финансового обеспечения убытков, как убеждены руководители Минцифры России, позволит исключить из процесса организации, не обладающие необходимым бюджетом для защиты биометрических персональных данных.

Спасти данные от кибератак

Участники ИТ-отрасли согласны, что повышение финансовых требований к компаниям, работающим с биометрией, - обязательная мера для ранжирования игроков рынка и предоставления доступа к управлению персональными данными только ответственным компаниям. Член комитета Госдумы РФ по информационной политике, информационным технологиям и связи, основатель фонда «Цифровая долина Прикамья» Антон Немкин напомнил, что защита персональных данных россиян – одна из важнейших задач государства. Особенно это касается биометрических данных, поскольку их утечка создает повышенные риски для граждан, уверен депутат.

«Компрометация или утеря биометрических данных – самое страшное, что может произойти, тем более в условиях постоянных кибератак, которым подвергается наша страна сегодня. При этом сейчас утечки могут произойти как в момент первичного сбора этих сведений, например, в банке при открытии счета, так и при их передаче в государственную систему. Такая утечка может повлечь за собой катастрофические риски для граждан: отпечатки пальцев нельзя сменить, аннулировать или перевыпустить как тот или иной цифровой продукт», - сказал Антон Немкин, отметив, что Федеральный закон № 572-ФЗ обеспечивает плавный переход к работе с абсолютно защищённой системой хранения этих сведений.

Компрометация или утеря биометрических данных – самое страшное, что может произойти, тем более в условиях постоянных кибератак, которым подвергается наша страна сегодня

«Специалисты Минцифры России совершенно справедливо поставили вопрос о формализации и ужесточении требований к тем, кто планирует участвовать в передаче данных в «Единую биометрическую систему» или обращаться к реестру для своей работы», - добавил депутат.