Согласно документу подлинность предоставленных биометрических персональных данных физического лица может быть подтверждена двумя разными алгоритмами: путем сравнения «один к одному» (когда биометрические данные человека сверяют с его же данными, сохраненными в системе) или при поиске «один ко многим» (когда биометрию человека сверяют со множеством данных, имеющихся в базе), пишут «Ведомости». При этом степень взаимного соответствия предоставленных данных человека его биометрическим персональным данным, достаточная для проведения идентификации, должна составлять не менее 0,9999, указано в документе.
В Минцифры пояснили, что приказ устанавливает требования только в отношении биометрических персональных данных, используемых для идентификации или аутентификации по Единой биометрической системе (ЕБС), или в государственных информационных системах.
ЕБС была запущена в 2018 году, ее оператором является «Ростелеком», а в самой системе используются решения нескольких разработчиков, например VisionLabs и NTechLab. Сейчас в системе зарегистрировано 164 000 человек. Российские банки параллельно развивают собственные биометрические базы, и они, как правило, пользуются у клиентов большей популярностью и доверием, чем ЕБС. К примеру, «Сбер» собрал данные нескольких миллионов клиентов, ВТБ — более 130 000. Такие коммерческие биометрические системы также под действие приказа не попадают, уточнили в Минцифры.
Ранее в законе «Об информации, информационных технологиях и о защите информации» степень совпадения, достаточная для идентификации или аутентификации человека, не прописывалась и новые требования неоднозначны, так как непонятно, из чего складывается показатель 0,9999, отмечают эксперты.
Принцип работы каждого из биометрических алгоритмов имеет два параметра: как много ложных распознаваний будет на некое количество срабатываний и как много людей будут распознаны правильно, объясняет источник издания, близкий к одному из крупных банков. «Эти параметры по отдельности не имеют смысла. Если показатель 0,9999 означает точность, то доля ложноположительных срабатываний — когда система «узнает» человека по ошибке — оказывается равна 0,0001, или 1 ошибка на 10 000 сравнений», — поясняет он.
Уровень точности современных систем распознавания лиц для ложноотрицательного срабатывания (когда система «не узнает» человека) достигает 0,003, а для ложноположительного срабатывания (когда «узнает» его по ошибке) — 0,000001, объясняет представитель одной из компаний-разработчиков систем распознавания лиц. «То есть вероятность того, что система “не узнает” человека, выше установленных Минцифры параметров, а вероятность того, что она “узнает” кого-то по ошибке, — ниже. Однако из проекта приказа остается непонятным, о каком из параметров идет речь и каким критериям должен соответствовать второй из них», — комментирует источник.
«Для банков критичнее факт ложноположительного срабатывания системы. Подмена биометрии — это вектор хакерских атак на системы безопасности банков», — говорит директор Института исследований интернета Карен Казарян.
Все зависит от области применения, отмечает гендиректор АНО «Инфокультура» Иван Бегтин. Если искать конкретного человека в толпе, то ложноположительный результат можно отсеять вручную. «Поэтому для государственных систем и систем безопасности намного важнее, чтобы система эффективно находила и могла распознать человека, а не нашла кого-то “по ошибке”», — поясняет он.
Ранее сообщалось, что правительство примет меры для стимуляции сбора биометрических данных россиян.