Минцифры предлагает собирать биометрию без согласия граждан

Минцифры предлагает собирать биометрию без согласия граждан

Минцифры предлагает собирать биометрию без согласия граждан

Минцифры предлагает отказаться от необходимости получать согласие гражданина на передачу его биометрии в ЕБС. Поправки к закону уже готовы. Чиновники видят в них укрепление защищенности данных, эксперты прогнозируют хаотичность сбора и фатальность в случае утечки.

О поправках в приказ Минцифры пишет сегодня “Ъ”. Речь о порядке сбора и хранения биометрических данных в ”Единой биометрической системе” (ЕБС). В Аналитический центр при правительстве бумаги отправили 2 августа.

В документе уточняется, что согласия субъекта данных на сбор и актуализацию биометрии в ЕБС и “иных информационных системах, обеспечивающих идентификацию и/или аутентификацию с использованием биометрических персональных данных” не требуется.

В пояснительной записке авторы ссылаются на то, что размещение биометрии в ЕБС из иных информационных систем без согласия субъекта закреплено в поправках к закону “Об информации”, принятых в июле.

Документ также упрощает передачу в ЕБС данных из любых информационных систем (например, организаций финансового рынка).

Если раньше требовалось, чтобы “слепок” содержал лицо и голос, то теперь, если биометрические данные содержат только изображение лица или голоса, они все равно окажутся в государственной системе, но использовать их сможет только разместившая организация.

Статус ГИС ЕБС (оператором выступает “Ростелеком”) получила в конце прошлого года. Минцифры планировало ускорить сбор биометрических данных, рассчитывая увеличить число ”слепков” до 70 млн. Но к началу 2022 года удалось собрать не более 240 тысяч.

Из десятков миллионов образцов, собранных банками, стандартам ЕБС соответствуют только 10% — это около 5 млн уникальных “слепков”. Остальные по действующим нормам должны быть уничтожены.

Передача данных из КБС (коммерческих биометрических систем) в ГИС ЕБС повысит безопасность обработки и хранения биометрических персональных данных, отметили в Минцифры.

Чтобы обязать КБС передавать данные в ЕБС, требуется только одно — наличие голоса или изображения лица, от образцов больше не потребуется соответствовать всем стандартам качества ЕБС, отмечает юрист фирмы DRC Никита Истомин.

Отказ от получения согласия гражданина на сбор и актуализацию биометрии в ЕБС может привести к тому, что биометрия будет собираться непрерывно из любых возможных источников, считает главный юрисконсульт практики интеллектуальной собственности “ЭБР” Кирилл Ляхманов.

С учетом требований к биометрическим образцам, такими источниками могут быть камеры наблюдения на входе в метро, камеры в банках и финансовых организациях, камеры на входе в МФЦ и другие, пояснил он.

Кроме того, сбором и обновлением биометрии для передачи в ЕБС смогут заниматься “иные организации”, перечень которых в документе не определен.

“Оператор КБС, разместивший биометрические данные в ЕБС, не вправе давать их использовать другим операторам КБС, — объясняет Ляхманов. — Это значит, что в ЕБС слепки одних и тех же людей, сдавших биометрию в различные организации, будут дублироваться”.

Хранение такого объема данных о человеке в единой системе, отмечает эксперт, делает последствия утечки катастрофическими.

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru