- Главная
- Технологии
- Биометрия без ошибок: как бизнесу внедрить новые требования и не создать риски
Биометрия без ошибок: как бизнесу внедрить новые требования и не создать риски
Государство требует от компаний более зрелого отношения к защите больших массивов персональных данных
Автор: эксперт в области информационной безопасности, руководитель Target
Information Security Лаура
Тлепина
Многие компании, находясь под влиянием современных трендов, внедряют биометрию - как будто ставят новейший замок на устаревшую дверь. На вид вроде и хорошо, вроде все правильно, но если сама система доступа выстроена слабо, то и биометрия риска не снимет - она наоборот, сделает его дороже. Потому что биометрия - не волшебная кнопка, автоматически делающая систему безопасной. Она не исправляет некачественную архитектуру, не убирает лишние избыточные доступы, не защищает от внутренних злоупотреблений и не спасает, если сама логика доступа выстроена плохо. Если в системе бардак, биометрия этот бардак не исправляет. Она просто добавит еще один чувствительный слой, который тоже придется защищать.
Именно поэтому я бы рассматривала новые требования не как «еще одну обязанность для бизнеса», а как симптом того, что государство требует от компаний более зрелого отношения к защите больших массивов персональных данных. И это уже отражено на уровне официальных разъяснений.
Напомню, Комитет информационной безопасности (КИБ) сообщал, что 22 декабря 2025 года обновлены правила осуществления мер по защите персональных данных. Теперь при работе с базами, содержащими более 100 тыс. записей персональных данных ограниченного доступа, при применении многофакторной аутентификации одним из методов должна быть биометрическая аутентификация.
На первый взгляд все просто: есть требование, значит надо биометрическую аутентификацию (например, распознавание лица) внедрить. Однако в реальности вопрос не в том - есть ли у компании биометрия. Самый важный вопрос - как именно она встроена в систему безопасности в целом. Часто бизнес вовлекает биометрию точечно. Например, ставит ее только на вход в систему - прошел идентификацию - а дальше слишком широкий проход, без каких-либо дополнительных проверок и ограничений критичных действий. Снаружи все смотрится стильно. На практике - просто дорогой и красивый вход в ту же самую старую слабую модель доступа.
Есть и вторая ошибка, более серьезная. Биометрические данные многие все еще воспринимают в качестве пароля. Пароль можно поменять. Лицо - нельзя. Поэтому проблема хранения, защиты, разграничения доступа и минимизации собираемых данных в биометрических проектах - не техническая мелочь, а один из центральных вопросов. И если бизнес подошел к этому формально, он может выполнить требование на бумаге, но одновременно создать себе новый постоянный риск - подставить биометрические данные под удар.
Третья проблема - излишняя вера в сам факт распознавания. Для бизнеса биометрия зачастую выглядит как удобный юзеркейс: человек посмотрел в камеру, система его узнала, доступ открыт. Но безопасность с этого не начинается. Она начинается с вопросов, которые задают обычно после инцидента. А именно: а кто именно входил, когда, с какого устройства, что именно подтверждал, была ли дополнительная проверка? Можно ли говорить о том, что это был человек, а не чужой логин, пароль или подмененный сценарий? Кстати, тоже довольно живо в официальном разъяснении КИБ сформулирован смысл этих изменений: мера введена для точной идентификации пользователей и снижения рисков доступа посторонних лиц, в том числе входа в систему под чужими логинами и паролями.
Поэтому встраивать биометрию по принципу «лишь бы стояла» нельзя. Сначала надо ответить на другие, но важные вопросы. Например, какие именно риски будет устранять компания, где вообще биометрия нужна, как защищать, у каких пользователей получится такой доступ, какое действие будет считаться критичным, какие следы оставляет система для аудита? Без этих ответов внедрение биометрии превращается в имитацию защиты.
На мой взгляд, шаблон правильного ответа для бизнеса здесь весьма прост. Биометрия должна использоваться только там, где цена ошибки реально высока: при доступе к крупным базам чувствительной информации, при критичных операциях, при удаленной идентификации и в сценариях, где необходимо подтверждение именно личности пользователя, а не просто наличия у него пароля или одноразового кода. Во всех остальных случаях имеет смысл трезво считать риски и не превращать биометрию в модный аксессуар для системы, которой и без того не хватает базовой зрелости.
Еще один важный момент - обновления касаются не только биометрии. Комитет информационной безопасности сообщил об обновлениях в методиках и правилах проведения испытаний объектов информатизации электронного правительства и критически важных объектов ИКT. Теперь сроки действия протоколов испытаний установлены на три года и владельцы таких объектов обязаны подавать заявку на повторные испытания не позднее чем за три месяца до окончания срока. И это также важный сигнал для рынка: позиция государства смещается от разовых проверок к регулярному подтверждению защищенности.
И это, пожалуй, самый важный вывод для бизнеса. Новые требования - не про «подключение камеры», а про то, что доступ к чувствительным данным больше нельзя защищать по старой логике. Если фирмы внедряют биометрию лишь ради галочки, они почти наверняка создают новые уязвимости. Если же смотрят на биометрию как на часть общей архитектуры доверия, контроля доступа и защиты персональных данных, тогда технология действительно начинает работать на безопасность, а не на ее иллюзию.
В Казахстане биометрия вышла из разряда «перспективных». Она стала частью практической повестки для больших данных и чувствительных цифровых сервисов. Теперь ключевой вопрос заключается не во внедрении как таковом, а в том, будет ли оно осознанным и эффективным или опять ограничится красивой формальностью.
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.
Вам может быть интересно
Читайте Kapital.kz в
