Минцифры и ФСБ проверят сообщения об утечке биометрических данных россиян
Минцифры не подтвердило утечку данных из Федерального государственного автономного учреждения (ФГАУ) НИИ «Восход». Об этом заявил представитель министерства. Ранее об утечке сообщил телеграм-канал «Раньше всех. Ну почти».
«Минцифры проводит по этому поводу служебную проверку совместно с ФСБ. Факт утечки не подтвержден. Данные в сеть не выложены. Была зафиксирована аномальная активность, в том числе из внутренней сети предприятия. Данные хранятся в зашифрованном виде, ключ расшифровки хранится в Гознаке. Это в любом случае не позволит незаконно получить доступ к биометрическим данным», — сказал представитель Минцифры РБК.
Ранее источник РБК на ИТ-рынке сообщил, что у НИИ «Восход» могли утечь «десятки процентов базы загранпаспортов, которая велась с 2006 года». По его словам, слив организовал сотрудник компании, сейчас этот факт проверяет прокуратура.
НИИ «Восход» подведомствен Минцифры, занимается созданием ИТ-решений для органов власти, внедряет и развивает новые форматы взаимодействия между государством и гражданами. Среди прочего «Восход» обслуживает межведомственный сегмент Государственной системы паспортно-визовых документов нового поколения. Среди функций этой системы ведение и использование взаимосвязанных баз данных метрической и биометрической информации, обеспечение автоматизированного контроля паспортно-визовых документов для уполномоченных федеральных органов исполнительной власти и др.
Актуальные финансовые показатели не раскрываются. Среди последних контрактов ФГАУ — сопровождение подсистемы «Мобильный избиратель» государственной автоматизированной системы (ГАС) «Выборы» на 59,6 млн руб., а также сопровождение подсистемы автоматизации избирательных процессов и технологических программ ГАС «Выборы» на 76,8 млн руб.
РБК направил запрос в НИИ «Восход». Представитель пресс-службы Роскомнадзора заявил РБК, что ведомство не располагает информацией об утечке.
Какие риски есть при утечке биометрии
Опрошенные РБК эксперты разошлись в оценке — насколько может быть критична утечка биометрических данных. «Если допустить реальный факт утечки биометрических данных с 2006 года, то это грозит серьезными последствиями владельцам паспортов, — считает руководитель направлений в сфере информационной безопасности Softline Илья Тихонов. — Это может стать хорошим инструментом для создания дипфейков через искусственный интеллект. Например, фотография в связке с голосом используется банками для идентификации клиентов. Кроме того, многие сервисы для выдачи микрокредитов запрашивают фото человека рядом с паспортом, а искусственный интеллект легко может создать такое фейковое фото, обладая данными из базы загранпаспортов», — рассуждает собеседник РБК.
По словам гендиректора компании Smart Engines (разработчик системы распознавания паспортов) Владимира Арлазарова, если злоумышленник «пролез во внутренний контур», есть риск, что он мог преодолеть и шифры, которые защищали данные. «Если вдруг злоумышленник действительно получил доступ к персональным данным, то в этом случае рассекречивается невероятно крупная база биометрии», — указал Арлазаров. Риски этой утечки, по его мнению, заключаются в возможной компрометации биометрических данных. «Если известны ваши биометрические данные, то вашу личность можно подделать с точки зрения любой системы проверки биометрических данных», — рассуждает этот эксперт. Он советует при утечках биометрических данных «поменять паспорт, запретить сделки по цифровым каналам и быть бдительными». «Также нужны системные решения со стороны государства для защиты граждан в таких ситуациях. Например, использовать биометрию только для контроля, но не как идентификатор личности», — рассуждает Владимир Арлазаров.
Но директор по связям с общественностью NtechLab (разработчик системы распознавания лиц) Александр Томас указал, что «биометрические данные всегда хранятся только в виде набора цифр, которые злоумышленники никак использовать и расшифровать не могут». «Искусственный интеллект присваивает каждому лицу вектор признаков или биометрический шаблон — последовательность чисел. И затем сравнивает эти шаблоны друг с другом. При работе с признаками, даже если к ним получен доступ, невозможно восстановить исходное изображение лица», — настаивает он.