«Ты уже не сможешь отмыться»: сотовых операторов обязывают собирать биометрию

Изображение лица каждого абонента сотовой связи будет оцифровано. Биометрическая процедура станет обязательной для всех владельцев сотовых номеров: при заключении и расторжении договора об оказании услуг связи человек будет обязан предоставлять свои биометрические данные. Это случиться, если утвердят изменения, которые намерен внести в «Правила оказания услуг связи» министр по инвестициям и развитию.

Проект приказа выложили на портале «Открытые НПА» 20 июля, публичное обсуждение продлится до 3 августа. В сравнительной таблице проекта, в графе, обосновывающей поправки, сказано, что эта мера необходима для борьбы с мошенничествами. Там объясняется, что сейчас устройства регистрируются на онлайн-сервисах без «корректной идентификации абонентов сотовой связи». И что «данной проблемой пользуются мошенники, которые регистрируют чужие персональные данные на абонентские номера и проводят преступления в финансовом секторе». Вот почему полиции сложно раскрывать телефонные преступления: они «не имеют корректную информацию при проведении оперативно-розыскных мероприятий».

Подобное обоснование министерства не может не восприниматься скептически. Поскольку известно, что большинство телефонных преступлений совершается с подложных номеров. Для обозначения ситуации, когда один абонент маскируется под другого, даже придумали специальный термин – «спуфинг-атака». Уже около десяти лет существуют технологии, которые позволяют передавать фальшивый идентификатор и представлять ложные имена и номера. Эти ложные идентификаторы вызывающего абонента могут быть переданы на любой телефон на планете. Причем чаще всего преступника и его жертву разделяют несколько государственных границ. Именно поэтому поймать злоумышленников чрезвычайно сложно.

Как в таком случае правоохранителям поможет оцифровка лиц всех жителей страны, совершенно не понятно. Вот почему эксперты в первую очередь обращают внимание на риски всеобщей принудительной биометрии.

— Дело в том, что мы понятия не имеем, где и как хранятся эти биометрические данные, кем и как они могут быть использованы, — рассуждает IT-специалист Баглан Булгулаев. — Мы не можем ничего проверить или проконтролировать. Учитывая, как из банков утекают наши данные, где гарантии, что и биометрия не утечет и не будет использована в мошеннических целях? По сути, мы должны просто верить провайдерам и госсистеме. А самое интересное, что эти виртуальные данные становятся доказательной базой. Грубо говоря, кто-то подтасует запись в базе данных — и ты уже не сможешь отмыться. Это очень тонкий лед. Например, в период пандемии доказательством того, что человек нарушал режим изоляции, выступали данные из базы по регистрации куар-кодов. Но, как программист, говорю, что, имея доступ к базе, можно изменить любую запись в ней. И это будет доказательством вины. При этом биометрическая идентификация пользователей сотовых сетей открывает новые возможности для тотального контроля. Добро пожаловать в цифровой концлагерь. Своим молчаливым согласием со всеми новшествами граждане страны сами, добровольно, идут в этот концлагерь.

Любопытный момент: один из аргументов, приведенных в обосновании необходимости оцифровки лиц, звучит таинственно. Там говорится, что цель биометрической идентификации – «минерализация данных». Такая формулировка вводит в ступор не только обычного человека, но и бывалого компьютерщика.

— Я понятия не имею, как можно минерализовать данные, — удивляется Баглан Булгулаев. — Мне кажется, смысл другой… Возможно, хотели написать так: «С целю минимизации данных преступлений, принято решение о необходимости регистрации абонентов посредством биометрической идентификации». Допущенная опечатка говорит о качестве прорабатываемого документа.Ведь сколько людей согласовало, и никто не увидел… Но, опять же, когда выйдет ваша статья, очень быстро внесут изменения в базу, и от опечатки не останется и следа.

Небезопасной и бесполезной считает идею с биометрией и экс-сотрудник комитета правовой статистики и специальных учетов при Генеральной прокуратуре Замир Кожаназаров, руководивший группой информационной безопасности:

— Нельзя в социальных отношениях перебарщивать с биометрией, — убежден он. — Пароли можно в случае их взлома изменить, а в случае взлома биометрии лицо можно будет поменять только с помощью пластической операции! Поэтому затею с биометрией я считаю очередной аферой. Под предлогом обеспечения безопасности сим-карт хотят собрать биометрические данные. На самом деле, если бардак у операторов связи, то никакая биометрия не спасет. «Кроты», работающие у операторов, зная внутренний механизм, найдут способ, как его обойти. Беда в том, что мошенники не прилетают к нам с Марса, это те люди, кто ранее работали или сейчас работают в сотовых компаниях. То есть в большой степени все зависит от чистоплотности оператора связи, которая не имеет отношения к использованию каких-то псевдо-безопасных методов. А если у оператора сотрудники постоянно меняются, если люди, имеющие доступ к данным, при увольнении забирали часть информации с собой, передавали кому-то доступ, в этом случае вы хоть десять замков повесьте – не поможет. Я здесь чувствую обман. Биометрические данные им нужны не для того, чтобы защитить от мошенничества, а чтобы, наоборот, способствовать мошенничествам. Завтра обманутому человеку скажут: помимо пароля и подписи были введены ваши биометрические данные. И все, он не сможет защититься. Поэтому я тут больше вредительства вижу.

— Что же делать?

— Я считаю, нужно, чтобы в первую очередь комитет информационной безопасности, который сейчас находится внутри МЦИРИАП, был независимым, чтобы он был подотчетен народу, чтобы был альтернативный контроль. Чтобы мы могли в любое время в любую айти-лавку зайти и сказать: разверни и покажи нам, действительно ли ты законы исполняешь. А пока, чтобы мы ни прописали в законы, над ними контроля нет. Поэтому дополнения не будут работать. То есть в любой момент тот же МЦИРИАП может отмахнуться и сказать: мы сами себя проверили – все в порядке. Пока комитет информ-безопасности находится в лапах МЦИРИАП, толку нет. И потом, даже если МЦИРИАП предоставит написанные айти-терминами отчеты, кто их поймет? На это они и делают ставку. Народ не разберется. Контроль находится у них в руках. И им все с рук будет сходить.

— Но что конкретно вы подразумеваете под народным контролем?

— Самый легкий, самый первый шаг – это контроль всех действий администраторов, которые имеют доступ к базам данных. Везде, где обрабатываются базы данных, надо записывать все действия администраторов. Над душой стоять. Включить видеокамеру, на компьютере фиксировать все их действия. И плюс, хорошим бонусом было бы, если бы каждый человек мог видеть хронологию обработки своих персональных денных. Чтобы человек через специальный портал мог следить за тем, кто зафиксировал его биометрию, куда ее отправили на обработку, на каком этапе застряло. И вот такой многовекторный контроль, фиксация действий администратора и возможность владельца персональных данных отслеживать хронологию принесет пользу. А сейчас никто это не контролирует и прозрачно это увидеть никому не дают.

— Но если среднестатистический человек айти-движения не поймет?

— Для этого нужны специалисты по безопасности. Приведу аналогию с правоохранительной сферой. Там есть прокуроры, МВД – их юридические термины тоже мало кто понимает. Но существуют адвокаты. То же самое и здесь. Есть айтишники, а есть служба айти-безопасности. На сегодняшний день такие службы находятся внутри айтишных организаций, это все равно, что их не существует. Ситуация аналогична той, когда правоохранительные органы работают без адвокатов. Сейчас никто никого не контролирует. Но хотят уповать на биометрические признаки, которые, дескать, сложно подделать. На самом деле, сейчас подделать можно что угодно. Биометрия – это не выход. Прежде всего должна быть система сдержек и противовесов. Для поддержания баланса, как в правоохранительной сфере: есть те, которые преследуют, и те, которые защищают. Я не хочу говорить о том, что биометрия – это зло. Любое технологическое решение может принести пользу, но только там, где царит жесткий контроль за чистоплотностью сотрудников, которым доверили обрабатывать данные, и есть гарантия прозрачности.

— Похоже, что сейчас полагаются на презумпцию невиновности операторов.

— Но при этом вылезают наружу казусы. Мы читаем новости о том, что, например, данные в едином реестре досудебных расследований и в обвинительном заключении разнятся, а прокуроры на суде не могут объяснить, как происходит набивание данных. Хотя, что касается именно этой информационной системы – единого реестра досудебных расследований – там тоже применяют биометрию, по моей рекомендации. Но от этого толком там ничего не изменилось… А о чем говорит в своем интервью бывший вице-министр здравоохранения Олжас Абишев? О том, что, согласно сайту национального удостоверяющего центра, уполномоченного органа по выдаче ЭЦП, у нас активных ЭЦП где-то 17 миллионов. В РК население – 19 миллионов, из них пять – дети до 18ти лет, еще пять – не имеют доступа к ЭЦП – заключенные, с ограниченными возможностями, пенсионеры и т. д. В таком случае, кем и как используются лишние 7 миллионов цифровых подписей? При этом надо понимать, что ЭЦП считается более надежным методом идентификации, чем биометрия.

— Загадочных несоответствий в мире цифры действительно масса.

— Подобные фокусы — последствия того, что нет контроля. В нашей стране проблема возникает везде, где обрабатываются данные. Та организация, где я работал, не исключение. Единственным заслоном был я. Грубо говоря, я не давал людям работать, житья не давал. Потому что по сто раз у каждого выяснял: зачем тебе этот доступ, кому передаешь данные. Я прямо выматывал каждого сотрудника. До такой степени, что прокуроры боялись вставить флешку в свой компьютер. При этом, к сожалению, я был один и был подотчетен тем, кто занимался развитием баз данных и не задавался глубоко вопросами информационной безопасности. Если сотрудники, отвечающие за безопасность, будут номинальными, то от них толку не будет. Это все равно, что собака, которой запретили лаять. Надели намордники, в клетку посадили. Такому охраннику грош цена. И никакая биометрия нас не спасет.