23 октября состоялся вебинар, посвященный текущему состоянию российского рынка биометрических сервисов. Мероприятие было организовано компанией VisionLabs. Спикеры подробно рассмотрели модели работы основных групп игроков, требования 572-ФЗ и их влияние на практическую деятельность участников рынка.
Открыл мероприятие Дмитрий Марков, генеральный директор компании VisionLabs и исполнительный директор МТС AI. В качестве цели мероприятия он предложил обсуждение ключевых аспектов реализации биометрических сервисов в условиях изменившегося законодательства.
Ситуация на рынке
До принятия изменений в 572-ФЗ рынок биометрических услуг в России развивался с темпом роста около 25% в год, в то время как мировой показатель составлял 18%. Компания VisionLabs приложила немало усилий для развития этого рынка, реализовав более 500 проектов, в которых так или иначе применялись биометрические технологии.
Российские компании, разработчики биометрических движков, всегда занимали первые позиции в мире и в различных международных рейтингах им удавалось достигать самых высоких мест. И сегодня VisionLabs в самом главном рейтинге биометрических движков занимает первые два места.
Что касается рынка России, то после внесения изменений в 572-ФЗ за последние два года реализовывать проекты с биометрией стало существенно сложнее: с 25% роста рынок упал до 7–10%. И причина тому достаточно сложное законодательство. Многие игроки рынка оказались не готовы поддержать новые требования. Поэтому большое количество компаний предпочли перенести и даже остановить ранее запланированные инициативы, связанные с использованием биометрии в своей деятельности.
Но время идет, ситуация постепенно улучшается. Основные игроки рынка смогли перестроиться и адаптировать свои технологии под требования законодательства. Практически все сценарии использования биометрии, которые были доступны до изменения 572-ФЗ, можно реализовывать и сейчас.
Как и что теперь регулируется
В чем суть нововведений, а главное, каким образом они регулируют поведение частников рынка, рассказал Дмитрий Соболев, директор департамента по взаимодействию с органами государственного власти Центра биометрических технологий, АО «Центр биометрических технологий».
Федеральный закон №572 был направлен на регулирование процессов идентификации и аутентификации с использованием биометрии. Соответственно, первое, что сделали, – ограничили сферу действия закона. Например, если у вас имеется обычное видеонаблюдение, без распознавания лиц, вы просто ведете подсчет людей через определенную точку, то это не подпадает под действие закона. Второе важное уточнение – закон разграничивает автоматизированную обработку биометрии и ручную. Следовательно, все, что касается автоматизированной обработки, подпадает под действие 572-ФЗ. В частности, распознавание фотографии на пропуске, так как там есть фото. Но если распознает ее человек, то эта ситуация уже не регулируется 572-ФЗ, а относится к одной из специальных категорий ПДн. К исключениям относится все, что связано с силовой биометрией, охраной правопорядка, функционированием миграционной службы и т. д.
Какие же основные положения регулируются законом по-новому? Самое главное отличие в том, что теперь хранение биометрии возможно только в ГИС ЕБС. Если раньше биометрические образцы могли хранить сами коммерческие компании, то теперь вся биометрическая информация хранится и сдается по специальным каналам (мобильное приложение, банк) в ГИС ЕБС. Далее, сама идентификация теперь возможна только через ту же ГИС ЕБС. Наконец, функции управления. В законе есть дополнительный механизм контроля гражданином своей биометрии. На портале «Госуслуги» есть единое окно, где можно посмотреть, кому давали согласия, отозвать согласие, удалить биометрию и т. д.
Самое важное с точки зрения коммерческих компаний, это переход на векторную модель взаимодействия. Так как биометрия хранится теперь в ГИС ЕБС, коммерческим компаниям передается вектор по тематически обработанной модели. При этом аутентификация может осуществляться исключительно аккредитованными организациями. Если раньше работу с биометрией могла вести любая компания, которая установила у себя соответствующее оборудование, то теперь аутентификацию с помощью векторов ГИС ЕБС может проводить только компания, прошедшая процедуру аккредитации в Минцифры.
На сегодняшний день ГИС ЕБС обрабатываются лицо и голос. В перспективе система сможет обрабатывать новые модальности, например, отпечатки пальцев, фотографии ладони.
Сама биометрия разделяется на типы. В зависимости от типа биометрии, которую вы сдали, вам будут доступны разные типы услуг. Самая простая – биометрия, когда с помощью мобильного приложения сдается селфи. Ей соответствует минимальный набор услуг (всего шесть), и действует она три года. Есть стандартная биометрия. Также сдается селфи, но дополняется уже биометрическим загранпаспортом. Наконец, существует подтвержденная биометрия – сдача и загрузка биометрии выполняются через банк. В этом случае доступны абсолютно все услуги.
Клиентский путь, отражающий организацию процесса сдачи биометрии, не очень сложный. Он завязан на мобильное приложение, которое доступно на всех маркетплейсах, и на использование авторизации на «Госуслугах».
Модели работы с биометрией
Какие модели работы на рынке предлагает законодательство, в том числе взаимодействия с ГИС ЕБС как агрегатором биометрических данных? Первый вариант – транзакционное взаимодействие, где подключение компании идет напрямую к ГИС ЕБС, когда сам оператор ГИС ЕБС оказывает услуги по идентификации и аутентификации конкретного физического лица. Вторая модель – векторное взаимодействие. Здесь используются коммерческие биометрические системы (КБС), которые прошли аккредитацию в Минцифры. В этом случае коммерческая организация получает вектор и оказывает услугу конечному клиенту, распознавая то физическое лицо, которое пришло к этой организации для получения услуги.
Как схема организации строится с точки зрения информационной безопасности? Есть требования Минцифры и ФСБ по защите передаваемых данных, в том числе для оконечных устройств. Классы защиты для разных взаимодействий приведены на слайде.
Главное требование к аккредитованной организации: она может хранить у себя базу векторов и должна их защищать. Передача векторов третьим лицам запрещена. Компания может работать и с вторичной биометрией (иногда возникает в процессе оказания услуги), которую можно хранить не более десяти дней.
Требования к аккредитованной организации следующие. В первую очередь, установлены финансовые условия для защиты пользователей от рисков: 500 млн руб. – уставный капитал компании, и на 100 млн руб. страхуется ответственность. Также стоит обратить внимание на требования по защите информации. Все БД должны храниться на территории РФ, а сама КБС должна быть подключена к ГосСОПКЕ по защищенным каналам. Все остальные требования не столь критичны.
Сегодня в России уже достаточно много услуг, доступных по биометрии. Часть из них реализуется только через ГИС ЕМС, часть доступна через коммерческие организации. Примеры и перечень приводятся на слайде.
Есть и перспективные сервисы, которые вскоре должны появиться у коммерческих операторов.
Что на практике
О прикладном уровне взаимодействия и его деталях рассказал Денис Студенцов, директор по развитию VisionLabs.
Первый вопрос, на который следует ответить, начиная работу с биометрией: подпадает ли ваш конкретный кейс по действие 572-ФЗ. В зависимости от ответа возможны разные решения.
На слайде в левой части, выделенной красным цветом, представлены сервисы, где требуется работать с личностью конкретного человека, что мы и называем биометрией. Абсолютно все подобные сценарии подпадают под действие 572-ФЗ, и здесь ни у кого не должно быть никаких сомнений.
В правой части, выделенной синим цветом, приведены примеры, где нет необходимости устанавливать личность конкретного человека (работать с биометрическим идентификатором, с точки зрения 572-ФЗ), нет взаимодействия с ГИС ЕБС. Такие сервисы не подпадают под действие закона, и можно спокойно покупать различные биометрические решения, которые есть на рынке.
Часто, в связи с предыдущим, задают и такой вопрос: какие сервисы могут и должны оказываться через ГИС ЕБС, а какие через КБС?
Там, где нужно устанавливать личность с помощью биометрической идентификации с точки зрения 572-ФЗ, необходимо работать с ГИС ЕБС только напрямую, а там, где достаточно просто подтвердить, можно использовать КБС. По аналогии с обычной жизнью: там, где нужно предъявить паспорт, чтобы получить услугу, и где мы устанавливается личность, можно работать только через ГИС ЕБС. Но при этом для сектора КБС тоже есть ряд интересных направлений, которые сейчас организовываются. Например, подтверждение различных операций, каких-либо коммерческих сервисов, оплата проезда и т. д.
Второй вопрос, который надо решить: возможно ли использование КБС при реализации выбранного сценария или можно работать только через ЕБС?
Три сценария
Если на первый вопрос мы получили положительный ответ, существует три вариант дальнейшей работы.
- Подключение к существующей КБС. Возможно, самый массовый путь (90%), потому что самый простой. В основном это средний и малый бизнес, сфера услуг и т. д.
- Создание собственной коммерческой биометрической системы. Данный вариант больше ориентирован на крупный бизнес: банки, телеком, крупные госзаказчики и вендоры от биометрии.
- Подключение к ГИС ЕБС напрямую. Это те организации, которые не могут не подключиться к ЕБС, но и не имеют возможности создать собственную КБС.
Вариант 1
Рассмотрим архитектуру на примере биометрического СКУД. Для этого необходимо иметь специальный терминал с поддерживаемым классом шифрования КС1. Далее понадобится интеграционный модуль между организаций и непосредственно КБС. Тут же должна быть интеграция с наиболее распространенными СКУД. И, наконец, сама КБС.
Вариант 2
Создание собственных КБС для крупных компаний. На текущий момент в России уже работают 12 коммерческих биометрических систем, которые прошли аккредитацию в Минцифры. Левая, клиентская, часть архитектуры остается прежней. «Сердцем» любой коммерческой биометрической системы является биометрическая платформа. В нашем случае этот продукт называется LUNA PLATFORM. Второй продукт LUNA VECTOR – та часть, которая занимается обработкой векторов и связывает платформу КБС с ГИС ЕБС и ГИС ЕСИА через устройство защиты информации.
Вариант 3
Невозможно подключиться к КБС либо использовать собственную КБС. В основном это компании, которые подпадают под действие 187-ФЗ «О защите КИИ…», и различные режимные объекты. Для таких организаций разработано специальное программное обеспечение, интегрированный модуль LUNA ACCESS CBS. Оно связывает решение клиента, которое сейчас уже есть или планируется создать, напрямую с ГИС ЕБС и ГИС ЕСИА.
Что в итоге
Таким образом, в ходе вебинара был проведен подробный анализ возможных вариантов применения биометрии различными организациями с теми или иными целями. Выступающие признались, что потратили до года, чтобы детально разобраться с законодательством. Тем не менее, по-прежнему остаются «серые» зоны, где закон не дает однозначного ответа.
По итогам вебинара можно лишь согласиться с Дмитрием Марковым, что практически все сценарии использования биометрии, которые были доступны до изменения 572-ФЗ, можно реализовывать и сейчас.
