Source de la photo: Avangard Media GroupIl n'y a pas si longtemps, nous avons parlé des données biométriques des Russes -
Données personnelles biométriques des Russes ,
Comment créer des échantillons pour le système biométrique unifié et pourquoi cela peut être dangereux .
Les banques russes ont déjà commencé à signaler qu'elles avaient commencé à collecter des données biométriques (jusqu'à présent en mode test). Ainsi, lors du
forum SOC qui s'est tenu les 27 et 28 novembre 2018, la Banque centrale a indiqué au FSB qu'il n'était pas possible de se conformer pleinement à ses exigences en matière de protection des données personnelles biométriques des citoyens collectées par les banques.
Il s'agit bien sûr de cryptographie. Le premier chef adjoint du Département de la sécurité de l'information de la Banque centrale, Artem Sychev, a noté qu'aucun équipement cryptographique national ne peut protéger les données biométriques collectées auprès des citoyens de la classe KV. Mais c'est précisément cette classe de protection (au niveau des secrets d'État) qui est définie dans l'ordonnance du FSB n ° 378.
Dans le même temps, Igor Kachalin, chef adjoint du 8e centre du FSB de Russie, a exprimé l'espoir que la Banque centrale "adoptera une position ferme" sur tous les moyens de protection lorsqu'elle travaillera avec les données biométriques des citoyens. Ici, bien sûr, il convient de noter qu'il existe des produits de classe KV sur le marché russe, mais ils ne peuvent pas être utilisés - tous nécessitent une coordination appropriée.
Voici les explications de certains participants au forum SOC (d'une
publication dans le journal Kommersant ):
"Afin de crypter les images collectées envoyées au système biométrique unifié (EBS), il est nécessaire d'intégrer un équipement spécial (module HSM) dans les systèmes, puis d'obtenir les clés des certificats de signature électronique de classe KV", a déclaré la source à Kommersant dans une grande banque.
Les clés de la classe KV sont délivrées uniquement par l'Institut fédéral de recherche sur les entreprises unitaires de l'État de Voskhod, et la procédure de délivrance des clés n'a été approuvée qu'à la mi-octobre 2018. Selon Kommersant à Rostelecom, Voskhod dispose du nombre de clés requis. "Cependant, il n'y a pas de méthodologie pour l'incorporation correcte de HSM, après avoir intégré le module, vous devez obtenir un avis du FSB", a déclaré la source de Kommersant dans une autre grande banque. "Mais sans méthodologie, obtenir un avis du FSB est irréaliste."
Selon certains rapports, la mise en œuvre du HSM se fait dans 26 banques, mais n'est achevée nulle part. Cependant, les banques se déclarent prêtes à se conformer aux exigences du FSB lorsqu'au moins une solution complète apparaît. Dans l'intervalle, les participants poursuivent leur travail et espèrent que la Banque centrale et le FSB résoudront le problème de la protection des informations de la biométrie transmise, faute de quoi la collecte des données biométriques devra simplement être arrêtée.
Bien que cette situation soit observée dans notre cas avec les données personnelles biométriques, il est intéressant de voir comment «elles» ont cela. Considérez littéralement plusieurs pays avec les résultats les plus intéressants. Cela est particulièrement intéressant étant donné que le système russe EBS est copié à partir d'un système similaire en Inde, où les représentants russes sont allés chercher de l'expérience.
Inde
Après une série d'attaques à Mumbai en 2008, l'Inde a adopté le système d'identification biométrique Aadhaar (traduit du sanscrit comme «base»). On a promis aux citoyens de se débarrasser de trois problèmes principaux: le terrorisme, la corruption et les élections malhonnêtes, ainsi que de fournir de la nourriture et du carburant aux pauvres. L'inscription dans le système a été déclarée volontaire, mais sans elle, l'accès aux services publics et aux subventions est impossible. Pour construire le système, une agence gouvernementale UIDAI a été créée avec un budget de plus de 1,5 milliard de dollars.
Les autorités indiennes ont collecté des données d'identification numérique de presque tous les citoyens du pays - plus de 1,4 milliard dans la base de données Aadhaar. Lors de son inscription auprès d'Aadhaar, chaque résident s'est vu attribuer un numéro unique, qui est associé à ses empreintes digitales, photographies du visage et iris. Un passeport, des comptes bancaires, des cartes SIM, un service cloud pour le stockage des documents, des cartes médicales, des cadastres, ainsi que des documents pour la tenue des élections sont également liés à ce numéro. Tous ces éléments devraient simplifier les procédures d'utilisation des signatures électroniques et des documents gouvernementaux à des fins de travail, de transactions financières et d'obtention de services publics.
Cependant, les données d'Aadhaar sont très rapidement allées au-delà des projets gouvernementaux.
Le gouvernement indien a autorisé les grandes entreprises et les startups dans le domaine de la médecine, de l'informatique, des finances, etc. à utiliser les données biométriques de ses citoyens, et il a commencé à utiliser les informations reçues à des fins commerciales. Par exemple, l'incubateur d'entreprises Edugild (Pune, Inde) fournit un soutien à trois petites entreprises informatiques qui utilisent des analyses d'iris pour surveiller la fréquentation scolaire et prévenir la fraude pendant les examens (en les passant par d'autres personnes au nom des candidats).
Alixor Venture, un autre incubateur d'entreprises indiennes, collabore avec un certain nombre de développeurs d'applications qui utilisent également les données de la base de données Aadhaar. Ces applications permettent aux gens de fournir leurs propres données médicales à n'importe quel établissement médical, de recevoir des polices d'assurance et d'ouvrir des fonds communs de placement à l'aide de smartphones. Et le programme TrustID, lancé par un ancien banquier de Goldman Sachs, aide les employeurs à vérifier les casiers judiciaires des candidats, à consulter des informations sur les écoles diplômées, etc.
Il n'y a pas de lois et d'agences gouvernementales protégeant les informations en Inde, cependant, de nombreux Indiens soutiennent l'initiative de créer une base de données nationale de cartes d'identité, en espérant qu'elle éliminera la petite corruption et réduira le mécontentement des agences et des entreprises gouvernementales.
Cependant, tout ne se passe pas bien - en 2016, 210 sites du gouvernement indien ont divulgué des millions d'Indiens au réseau de données personnelles, que le moteur de recherche délivre toujours librement. De plus, en mai 2017, 135 millions de citoyens indiens ont été partagés.
En janvier 2018, la journaliste Rakhna Kayra a montré comment, en 10 minutes et 8 $, vous pouvez obtenir les clés d'un Aadhaar auprès d'un marchand anonyme avec des données sur les citoyens, pour 5 $ - logiciel pour créer une carte d'identité biométrique, et pour 95 $, on lui a promis d'accéder aux comptes d'administrateur de l'UIDAI . Le gouvernement indien nie tout, mais a immédiatement bloqué l'accès à la base pour 5 000 employés de l'UIDAI et a déposé une plainte auprès de Rakhna auprès de la police concernant le vol d'informations classifiées.
La Grande-Bretagne
Récemment, le ministère britannique de l'Intérieur a publié un projet de création d'une base de données centralisée de données biométriques. Les informations provenant d'une telle base de données aideront la police à résoudre plus rapidement les délits, ainsi qu'à vérifier toutes les demandes de visa et à filtrer les migrants indésirables directement à la frontière.
Le rapport de 27 pages sur la stratégie biométrique a été commandé il y a quatre ans, mais il n'a été publié qu'en juillet 2018. Il contient un certain nombre de recommandations sur la manière dont le gouvernement britannique devrait collecter, analyser et stocker les données biométriques. À ce jour, la police, les services d'immigration et de passeport du pays ont déjà collecté des informations sur l'ADN, les empreintes digitales et les images faciales de 12,5 millions de personnes. Les auteurs du rapport proposent de regrouper toutes ces données dans une seule base de données. Cela évitera la duplication des données et la perte de temps lors de leur livraison d'un département à l'autre.
Immédiatement après sa publication, ce plan a été vivement critiqué par les défenseurs des droits humains. Par exemple, on ne sait pas à quoi la MIA britannique fait référence lorsqu'elle prétend «collecter légalement des données» dans des conditions où les lois restent vagues. De nombreux défenseurs des droits humains considèrent également que la reconnaissance du visage est dangereuse et contraire à l'éthique. Grâce à l'accès aux caméras de surveillance et aux drones, la police peut «annuler» l'anonymat à tout moment.
Bien entendu, les auteurs du rapport y ont mentionné la nécessité de renforcer le contrôle de la sécurité du stockage et de la transmission des données biométriques. Cependant, les experts considèrent cela comme une demi-mesure, ce qui, en substance, se résume à la création d'un conseil consultatif donnant des recommandations au gouvernement. Il n'y a pas de stratégie claire pour l'utilisation de la biométrie dans le rapport.
Ce n'est pas la première fois que le système britannique de collecte et de stockage des données biométriques échoue. Ainsi, au printemps 2018, un responsable du ministère de l'Intérieur a déclaré que les personnes innocentes ne seraient pas supprimées des bases de données criminelles, car c'est «trop cher». Et en mai, il s'est avéré que le système de reconnaissance faciale utilisé au Pays de Galles lors de la finale de la Ligue des champions était erroné dans 90% des cas. Sur la base de ces données, Big Brother Watch a l'intention de parvenir à une interdiction complète de la reconnaissance faciale dans le pays.
Estonie
En mars 2018, l'Estonie a invité ses citoyens à subir des tests ADN gratuits dans le cadre d'une initiative médicale nationale. En réponse, le gouvernement promet aux citoyens estoniens une transcription gratuite de leur ADN. La proposition indique que ceux qui réussissent le test pourront savoir s'ils sont sujets au diabète de type 2, s'ils s'attendent à de futures maladies cardiovasculaires, un cancer du sein ou d'autres problèmes de santé. En mai 2018, 38 mille Estoniens s'étaient déjà inscrits pour les tests, et c'est le résultat en seulement 3 mois. À ce jour, des échantillons d'ADN ont déjà été prélevés sur plus de 100 000 citoyens.
Ils ont commencé à étudier l'ADN des citoyens en Estonie encore plus tôt, voulant apprendre à prédire la survenue d'une maladie. Un chercheur principal du Centre estonien des gènes de l'Université de Tartu a déclaré qu'avant même le début de cette initiative, la banque biologique du centre contenait 50000 échantillons du génome estonien et qu'un dossier médical d'une personne spécifique était associé à chaque échantillon d'ADN.
En examinant ces échantillons, nous avons déjà réussi à trouver de nombreuses maladies caractéristiques et courantes pour différentes personnes. De plus, les scientifiques estoniens ont prouvé que leurs prévisions de maladie pour de nombreux citoyens se sont réalisées en 3 à 5 ans. Après cela, l'initiative a été décidée à se développer. Et elle a gagné en popularité, à en juger par le fait que des dizaines de milliers de personnes ont répondu en quelques mois.
L'essence de ce projet est plausible - rendre la sphère médicale entière plus personnalisée; étudier le génome estonien et apprendre comment résoudre les problèmes de santé spécifiques des citoyens du pays. Le gouvernement estime que cette approche contribuera à améliorer les médicaments tout en réduisant les coûts. On estime que grâce à la recherche, les maladies dont les Estoniens sont les plus touchés seront mondialement connues. Et la médecine commencera à se battre non pas avec les symptômes, mais avec les causes des problèmes.
Sources:
journal Kommersant ,
thenextweb.com ,
www.stoletie.ru ,
hightech.plus