Этика данных: как хранят и используют биометрические данные

Пароль вы потеряете, а вот собственное лицо — нет. С другой стороны, пароль можно хотя бы сбросить. А что делать, если ваше селфи попало в руки злоумышленников?

В 2016 году исследователь биометрических данных помог следствию хакнуть телефон убитого: понадобилось лишь фото отпечатков. Безопасность, конечно, растёт: современные системы уже не так просто обмануть. Но кибермошенники становятся всё изобретательнее, а государства — строже: на улицах вовсю ставят системы распознавания лиц. В эпоху всеобщей слежки хранение биометрии превратилось в щепетильный вопрос.

В этой статье мы расскажем, почему биометрия становится популярнее и что делать простому пользователю, чтобы обезопасить свои данные.

Почему пользователи любят логиниться через биометрику

Юзеры регулярно заходят в личные и рабочие аккаунты, приложения, программы, почтовые ящики. Значит, им постоянно приходится вспоминать пароль. Согласно исследованию FIDO Alliance, человек в среднем вводит пароли четыре раза в день — итого около 1280 раз в год. Из-за этого мы бросаем покупки или закрываем приложения в среднем четыре раза в месяц: не смогли вспомнить свои данные — транзакция сорвалась.

Безопасный пароль — это сложный пароль. Но сложные пароли легко забыть. Если их сбрасывать, сайты и приложения посылают письма на почтовые ящики — иногда приходится доставать и отряхивать от пыли старые учётки. Но не у каждого получится зайти на старый ящик от Мэйл.ру, заведённый в девятом классе.

Поэтому пользователи предпочитают биометрическую верификацию. Так называют подтверждение личности с помощью уникальных биохарактеристик, например, лица или отпечатков пальцев. Эти характеристики не приходится запоминать, а также их невозможно забыть или потерять. Поэтому биометрия удобнее, чем ввод сложного пароля вручную. Пользователю достаточно приложить палец к сканеру или воспользоваться камерой на телефоне.

Всё то же исследование от FIDO Alliance обнаружило: чаще всего пользователи используют пароли без двухфакторной идентификации. Но когда есть альтернатива, предпочитают биометрику, поскольку считают её самым надёжным способом защиты. Например, рост популярности заметен по аэропортам: в 2022 году 34 % путешественников использовали биометрические данные, а в 2023-м их число выросло до 46 %.

Какие бывают биометрические данные и зачем они нужны

Вот основные типы биометрических данных:

1. Отпечатки пальцев. У каждого человека они уникальны, поэтому отпечатки часто используются в смартфонах, мобильных приложениях и банковских системах. Например, юзерам достаточно приложить палец к сканеру, чтобы зайти в Сбер Онлайн.
2. Лицо. Технология распознавания идентифицирует человека по строению его лица. Например, когда облачное хранилище само фильтрует снимки и определяет, где ваши изображения, а где фото подружки, оно как раз опирается на эту технологию.
3. Сетчатка глаза. Узор сетчатки тоже уникален для каждого. Такой биометрический ключ чаще встречается в правительственных учреждениях, банках и других предприятиях, которые хорошо охраняются.
4. Голос. Высота и тембр голоса тоже помогают идентифицировать пользователя. Такой тип биометрии чаще всего используется в голосовых помощниках.
5. Подпись. Биометрическая идентификация подписи — это не про завитушку, которую вы выводите в документах, а про то, как именно вы в процессе двигаете рукой. Чтобы зафиксировать эти данные, нужно использовать специальную ручку и поверхность, чувствительную к нажиму.

Интересный факт. В 2020 году пользователи говорили: самый комфортный для них вид биометрической аутентификации — отпечатки пальцев. Но всего за два года сумели привыкнуть к остальным опциям. Например, пользователи стали на 31% лояльнее относиться к сканированию сетчатки, на 30% — к считыванию отпечатков ладони, а к идентификации по голосу — на 26%. Больше всего они свыклись с системами распознавания лиц: за два года уровень комфорта поднялся с 32% до 44%.

На изображении — статистика от магазина приложений GetApp. Заголовок: «Потребителям становится всё комфортнее передавать биометрические данные». Столбцы слева направо: «Отпечатки пальцев», «Сканирование лица», «Сканирование голоса», «Сканирование ладони», «Сканирование сетчатки глаза».

Современные гаджеты — смартфоны, планшеты, ПК, ноутбуки — часто используют биометрические данные для разблокировки. Также биометрия широко применяется в системах безопасности: например, для доступа к охраняемым помещениям.

Некоторые страны используют биометрические данные, чтобы пассажирам проще было переходить границу. Например, вместо долгой проверки паспортов и виз можно посмотреть в камеру — и система автоматически пропустит вас на таможне.

Также в медицинских учреждениях биометрия нужна для идентификации пациентов и хранения их медицинской информации. А некоторые спортцентры фиксируют у спортсменов пульс, дыхание и другие физиологические показатели, чтобы мониторить здоровье.

Почему сбор биометрических данных — чувствительный вопрос

Тревога, связанная с вопросами биометрии, стоит на четырёх китах:

• вопросе конфиденциальности;
• информированном согласии;
• слежке со стороны государств;
• потенциале несанкционированного использования.

Люди беспокоятся из-за хранения своих данных, потому что хотят их контролировать. Например, знать, кто ещё может их использовать, как они хранятся, кому передаются. Поэтому сбор биометрии требует согласия.

Пример. Представьте: клиент открывает счёт в банке. Он может согласиться на сбор биометрии, чтобы в будущем получать доступ к счёту по отпечатку пальца. Если эти данные будут использованы в других целях, например, переданы стороннему маркетинговому агентству, это может нарушить закон, а клиент потеряет доверие к банку.

Иногда бизнес или государственное учреждение планирует изменить свой способ обработки информации. Например, компания начала арендовать новые сервера и хочет перенести туда часть данных. Или служба иммиграции хочет отправить биометрию другому ведомству, чтобы ускорить оформление документов. В таких случаях они должны повторно запросить согласие пользователя, но на практике этот шаг часто пропускают.

К слову о государствах: они обожают собирать и хранить биометрические данные. Отпечатки пальцев, фото лица и голос позволяют точно идентифицировать гражданина, поэтому используются в системах распознавания лиц. Это помогает отслеживать чужие передвижения и действия, но часто делается без информированного согласия. В итоге такие технологии повышают безопасность на улицах, но вызывают вопросы о конфиденциальности горожан — особенно в странах, где есть кейсы политического преследования.

Наконец, людей больше всего беспокоит возможность несанкционированного использования. Может ли полиция получить доступ к биометрии? Насколько хорошо защищено место, где она хранится? Могут ли неавторизованные лица внутри организации украсть эти данные? От ответов на такие вопросы зависит, смогут ли злоумышленники взломать компьютер, телефон, планшет и прочие устройства.

Как разные страны подходят к вопросу биометрических данных

Во всём мире появляются нормативные акты, которые защищают персональные данные от неэтичного сбора и ненадлежащего хранения. Например, Международная организация по стандартизации ИСО приняла всеобщий стандарт ISO 27701. Он даёт организациям рекомендации, как создавать системы управления и обрабатывать личные данные, в том числе биометрические.

Страны по всему миру принимают законы о конфиденциальности. Самый известный — это Общий регламент по защите данных (GDPR), который действует в Евросоюзе. Он защищает права людей на их личную информацию и требует, чтобы компании получали согласие пользователей перед сбором и обработкой биометрии. Также GDPR позволяет гражданам запрашивать свои данные и просить компании удалить их.

Вот несколько других известных протоколов:

• закон о цифровых персональных данных в Индии;
• закон о конфиденциальности в Австралии;
• закон о защите данных в Колумбии;
• закон о защите личной информации в ЮАР.

В США нормативно-правовая база неоднозначна. В 2008 году в штате Иллинойс был принят Иллинойский закон о защите биометрических данных (BIPA). Это единственный штат, где можно в частном порядке засудить компанию за ненадлежащий сбор и обработку биометрии. Аналогичные законы есть в Техасе и Вашингтоне, только без возможности частного иска.

В ряде штатов, таких как Вирджиния или Калифорния, биометрические данные включены в общие законы о защите личной информации. В Нью-Йорке и некоторых других городах действуют локальные законы. Но национального регулирования до сих пор нет.

Однако ситуация скоро начнёт меняться: в мае 2023 года Федеральная торговая комиссия предупредила, что биометрические данные и искусственный интеллект небезопасны для конфиденциальности. Она также заявила, что начинает борьбу с недобросовестными поставщиками услуг в этих сферах.

Как безопасно пользоваться биометрией

Если вы часто используете биометрические данные, есть смысл ознакомиться с этой техникой безопасности. Тогда ваши отпечатки и фото не попадут в руки недобросовестных лиц.

1. Используйте только проверенные устройства и платформы. Сохраняйте биометрические данные локально на смартфоне или ноутбуке, не передавая их третьим лицам. Например, можно настроить разблокировку телефона по отпечатку, но в сторонние приложения таким образом лучше не заходить.
2. Регулярно обновляйте устройства и программное обеспечение. Обновления устраняют уязвимости, поэтому убедитесь, что у вас везде поставлены актуальные версии операционных систем. Включите автоматические обновления на смартфоне, чтобы злоумышленники точно до него не добрались.
3. Откажитесь от биометрии, если можно обойтись без неё. Там, где биометрические данные не обязательны, просто не используйте их. Например, вместо сканирования лица в приложении банка лучше установите сложный пароль.
4. Проверяйте безопасность провайдеров. Пользуйтесь сервисами и устройствами от компаний с хорошей репутацией. Они так известны как раз потому, что выделяют много ресурса на разработку надёжных решений. Любая утечка данных нанесёт их репутации огромный ущерб.
5. Не передавайте данные по незашифрованным каналам. Если вы используете биометрию в онлайне, убедитесь, что соединение защищено. Всегда подключайтесь к приложениям через VPN или используйте приложения с надёжным шифрованием.

Как бизнесу хранить биометрические данные

Разработчики и компании, которые собираются работать с биометрическими данными, должны принять чёткие гайдлайны по обращению с ними. Вот основные советы, которые помогают ввести этическое хранение:

1. Сведите сбор данных к минимуму. Собирайте только ту биометрию, что абсолютно необходима для ваших задач. Чем больше данных вы храните, тем сильнее возрастают риски. Например, если для входа в приложение достаточно отпечатка, не стоит запрашивать фото лица.
2. Создавайте приложения с учётом конфиденциальности. Принцип «privacy by design» означает: защита личной информации встроена в систему с самого начала. При разработке продукта или услуги сразу учитывайте, каким образом вы будете собирать, обрабатывать и хранить биометрические данные. Только так вы сможете обеспечить безопасность на всех этапах.
3. Регулярно обучайте сотрудников работе с биометрией. Они должны знать правила безопасности и понимать, как следует обращаться с личной информацией. Это поможет избежать ошибок и утечек данных.
4. Используйте только проверенные технологии. Выбирайте надёжных поставщиков софта, особенно в областях, которые контактируют с биометрией. В том числе это касается шифрования данных, VPN, каналов безопасной передачи информации. Надежные технологии помогают защитить информацию пользователей от взломов и неправомерного доступа.
5. Проводите частые аудиты безопасности. Профилактика поможет своевременно обнаруживать потенциальные риски. Постоянно проверяйте свои системы на уязвимости, проводите тестирования и обновляйте защиту своих приложений — так вы эффективно устраните потенциальные угрозы.

Следуя этим советам, вы сможете отвечать за безопасное обращение с биометрическими данными. Это повысит доверие клиентов и поможет избежать проблем с конфиденциальностью.