Группа депутатов во главе с председателем комитета по финансовым рынкам Анатолием Аксаковым внесла в Госдуму законопроект, разрешающий гражданам самостоятельно сдавать свои биометрические данные (то есть фотографии лица и образцы голоса) в Единую биометрическую систему (ЕБС).

Карл Сумманен, эксперт BIS Journal, директор по управлению проектами – вице-президент Банка ВТБ, кандидат физико-математических наук, попытался кратко проанализировать законопроект исходя из того, что в нём написано, естественно, с оговоркой, что ситуация может кардинально измениться после издания правительством соответствующих документов.

Естественно, в законопроекте говорится о праве граждан, но смысл от этого не меняется. Правительство получает карт-бланш на определение порядка саморегистрации и от того, что в этом порядке будет прописано, сильно зависит диапазон возможных вариантов на выходе - от полной свободы до практически полного запрета. Степень неопределённости настолько велика, что, в данный момент, не имея хрустального шара или инсайда, содержательно комментировать законопроект трудно. Только когда будут разработаны соответствующие документы, можно будет сказать что-то более определённое.

Действующее законодательство устанавливает весьма строгую процедуру внесения БМДС в ЕБС, требующую обязательного личного визита в офис, где специально обученный сотрудник с помощью специального оборудования и регламента замеряет БМДС субъекта и передает их в ЕБС через специально закупленные средства криптографической защиты, сертифицированные всеми возможными инстанциями.

В рядах фанатов ЕБС бытует мнение, что излишне строгая процедура отпугивает широкие массы населения, мечтающие о сдаче БМДС. При это если сам процесс упростить, то дело пойдёт веселее.

Законопроект как раз создаёт альтернативу, разрешая физическим лицам (не гражданам! об этом ниже) возможность дистанционно (т.е. из дома, гостиницы, поезда, места заключения и т.п.), используя подручные средства, замерить свои БМДС и через интернет передать их в ЕБС. После этого, по крайней мере в теории, субъект должен получить возможность дистанционно идентифицироваться у любого сервис-провайдера, подключённого к ЕБС.

Также законопроект (часть 5 статьи 14.1) наделяет физическое лицо «правом подписать согласие на обработку персональных данных и БМДС простой электронной подписью, ключ которой получен в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации. Требования к проверке такой электронной подписи при хранении указанных согласий устанавливаются Правительством Российской Федерации. Указанное согласие, подписанное простой электронной подписью, признаётся электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица».

Передавать БМДС физическое лицо сможет самостоятельно при помощи мобильного телефона, смартфона, планшетного компьютера или стационарного компьютера при условии выполнения определённых требований (части 20 и 21 статьи 18.1. закона об ...) и использования "программного обеспечения, предназначенного для обработки биометрических персональных данных, предоставляемого оператором единой биометрической системы". Использовать для передачи БМДС мобильный телефон, смартфон или планшетный компьютер можно, только если используются шифровальные (криптографические) средства защиты передаваемых данных имеющие подтверждение соответствия требованиям, установленным в соответствии со статьёй 19 152-ФЗ. Если же используется персональный компьютер, то вроде бы можно без шифрования, во всяком случае такого требования в явном виде нет.

При внимательном чтении можно заметить, что законопроект не только облегчает процедуру регистрации БМДС, но и попутно несколько расширяет закон. Например, если в случае идентификации при личном визите регистрация БМДС производится только в случаях, установленных федеральным законом (статья 14.1 часть 1), то при саморегистрации такого ограничения нет. В законопроекте речь идёт о физических лицах, т.е. потенциально всех людях, обитающих на планете Земля, хотя в самом законе ссылка всегда делается на граждан РФ. Непонятно, то ли это небрежные формулировки, то ли закон решили несколько расширить, например, распространив его действие на нерезидентов. Последствия упомянутых "расширяющих" формулировок сразу понять трудно, но не исключено, что они могут быть весьма существенными.

Обращает на себя внимание то, что в законопроекте ничего не говорится о процедуре получения БМДС, в частности требованиях к техническим средствам. Понятно, что технические детали должно проработать и установить Правительство, но предоставление ему карт-бланша без каких-либо ограничений выглядит несколько странно. Исходя из того, что законопроект должен обеспечить возможность дистанционной саморегистрации БМДС максимально широкому кругу субъектов (заразится коронfвирусом может же любой человек), можно ожидать, что любое физическое лицо должно получить возможность делать это, используя подручные средства, например, мобильный телефон с фотокамерой.

Главная особенность законопроекта, наверное, в том, что предлагаемые им изменения «ломают» концепцию ЕБС. Изначально ЕБС мыслилась как высокодоверенная система со строгим протоколом первичной идентификации (личный визит в офис, проверка удостоверения личности, собственноручная подпись), получения и регистрации биометрии в ЕБС.

По замыслу проектировщиков хорошая защищённость и высокое качество процесса получения, регистрации БМДС с получением собственноручно подписанных документов, обеспечивающих неотрекаемость, должны были обеспечить довольно высокую надёжность (низкие FRR и FAR) дистанционной аутентификации (подтверждения идентичности) субъектов с помощью БМДС, и как следствие безопасность как для субъекта (защищённость от импостеринга), так и сервис-провайдера (защищённость от мошеннических отказов субъектов со ссылкой на импостеринг).

Законопроект значительно снижает требования к строгости и качеству процесса получения/регистрации БМСД. Из этого процесса исключается строгая первичная идентификация и получение от субъекта документов с юридической силой, порождающих, в том числе, ответственность субъекта. В результате, поскольку уровень доверия транслируется по всей цепочке отношений, упрощение процесса сопровождается значительным снижением доверия к результатам дистанционной аутентификации субъектов.

В связи с предлагаемым упрощением процедуры получения БМДС важно заметить, что от этой процедуры сильно зависит надёжность аутентификации субъекта и Правительство при разработке требований к порядку получения БМДС попадает в своеобразную "вилку":

1. Если разработанные им требования будут строгими, то стоимость оборудования будет высокой, что сделает дистанционную саморегистрацию БМДС недоступной для широких народных масс и законопроект не решит основную задачу демократизации доступа к ЕБС.

2. Если же требования снизить до уровня приемлемости народными массами (селфи с мобильного телефона), то скорее всего надёжность будет низкой, а качество БМДС создаст для субъекта как неудобства (высокий FRR), так и риски (высокий FAR). Последнее, вероятно, может оказаться сильным аргументом для суда в случае оспаривания субъектом транзакций, проведённых от его имени, что может сильно дискредитировать идею ЕБС как доверенного механизма аутентификации.

Вопросы также вызывает возможность использования простой электронной подписи (ПЭП). С одной стороны, такая возможность выглядит логично, поскольку позволяет избежать личного визита в офис. С другой стороны, возникает вопрос, как ПЭП была получена субъектом. Если это было сделано без визита в офис, получается, что передача БМДС в ЕБС производится вообще без проведения строгой первичной идентификации, что, очевидно, существенно снижает степень доверия к надёжности результатов дистанционной аутентификации.

Если читать формулировки законопроекта буквально, то электронный документ, подтверждаемый ПЭП субъекта, это согласие на обработку персональных данных, а не подтверждение принадлежности БМДС субъекту и готовности субъекта нести ответственности за транзакции, совершённые с помощью этих БМДС. В результате мы не получаем доказуемой связи зарегистрированных в ЕБС БМДС с субъектом и ни одного юридически значимого документа, обеспечивающего неотрекаемость, который мог бы был предъявлен в случае возникновения споров с участием субъекта. Получается цепочка доверия, в которой все звенья слабые, что создаёт широкие возможности для мошенников, делая возможными атаки как против субъектов (импостеринг) так и против сервис-провайдеров (мошенничество субъектов, например опротестование транзакций).

Вопросы также вызывает подход с передачей правительству широких полномочий в части регламентации процессов и процедур самостоятельного получения и передачи БМДС. Безопасность цифровой экономики достаточно серьёзная системная задача, принципиальные решения по которой должны приниматься на уровне законодательства. Во всяком случае на этом уровне должны быть решены все принципиальные и стратегические вопросы и установлены ограничители, в рамках которых потом правительство будет иметь возможность производить оперативную тонкую настройку, например, устанавливать максимальные суммы транзакций.

Если законопроект будет срочно принят, надо постараться максимально просчитать и хеджировать возникающие риски.

Прежде всего, необходимо предусмотреть меры, которые позволили бы предотвратить превращение дистанционной передачи БМДС и вообще использование биометрии в обязательную и единственную опцию. Возможность совершения всех необходимые действий по получению и регистрации БМДС в офисе должна быть сохранена и доступна для всех субъектов. Возможно, надо на уровне закона обязать сервис-провайдеров обеспечивать альтернативные варианты доступные всем гражданам. Один офис во Владивостке с одним сотрудником, работающим по средам с 9 до 10 утра недостаточен.

Возможность проведения дистанционной аутентификации использованием БМДС, полученной самостоятельно и переданной в ЕБС в режиме дистанционной саморегистрации, по умолчанию должно быть запрещено для всех субъектов. Открывать такую возможность необходимо только при условии явного согласия клиента подписанного собственноручно или с использованием усиленной электронной подписи. Кроме того, для снижения вероятности импостерига необходимо продумать (и реализовать) возможность автоматического уведомления субъекта по всем доступным каналам о попытке регистрации БМДС от его имени.

Если строгость и качество процесса получения и регистрации БМСД хоть как-то оправдывали использование централизованной архитектуры ЕБС со всеми её недостатками, такими, как единая точка отказа, плохая масштабируемость, негибкость, единая база с практически всеми гражданами и сверхценной информацией, то при отказе от фундаментального принципа "строгости" возникает вопрос, раз уж мы пошли по пути компромиссов и готовы жертвовать надёжностью и безопасностью ради большей эффективности и удобства, насколько целесообразно продолжать развивать ЕБС в том виде, как она есть, не будет ли дешевле и проще создать менее сложную и дорогую систему.

Как вариант можно подумать о создании национальной системы аутентификации через третью сторону, когда аутентификацию субъекта в интересах и по запросу обсуживающего субъекта сервис-провайдера производит третья сторона - аутентификатор. Подобный подход используется, например, в 3DSec. Для создания такой системы достаточно разработать формат запросов и построить несложную систему маршрутизации запросов на аутентификацию. В этой системе ЕБС была бы одним, возможно, самым доверенным аутентификатором.

Естественно, степень доверия аутентификации третьей стороной будет зависеть от многих факторов - кто выступает в качестве аутентификатора, как проводилась первичная идентификация субъекта, какие способы и средства аутентификации используются, для какой транзакции и с каким финансовым риском требуется аутентификация и т.п. 

Сервис-провайдер, которому нужно аутентифицировать незнакомого ему субъекта должен принять решение приемлема ли для него (с учётом проводимой транзакции) аутентификация от данного аутентификатора. Если субъект предлагает аутентификацию, сервис-провайдер должен выбрать оптимального для него аутентификатора. Для усиления аутентификации сервис провайдер может запросить два или более аутентификатора. Для транзакции небольшой суммы в качестве аутентификатора подойдёт небольшая или средняя компания, для транзакции средней суммы приемлема аутентификация от крупной известной компании с хорошей репутацией, для транзакции на крупную сумму потребуется аутентификация ЕБС, для очень крупной транзакции - сервис-провайдер может попросить субъекта прийти в офис.

Карл Сумманен, эксперт BIS Journal, директор по управлению проектами – вице-президент Банка ВТБ, кандидат физико-математических наук
14 мая, 2020