В целом за последние годы в стране значительно выросла доля безналичных платежей. Ряд банков внедрил системы, позволяющие осуществлять оплату с помощью распознавания лица и сканирования ладони. Такие решения прежде всего ориентированы на скорость и удобство. Оплату можно совершить даже если забыта банковская карта или выключен мобильный телефон. Однако по мере развития технологий возрастает и значение вопросов безопасности.
Как защищаются биометрические данные: позиция министерства
В ответе на официальный запрос агентства Kazinform Министерство цифрового развития, инноваций и аэрокосмической промышленности РК разъяснило, как работают биометрические платежи и каким образом обеспечивается их защита.
По данным министерства, сегодня биометрическая идентификация наиболее широко применяется в банковском и финансовом секторе. То есть при дистанционном открытии счета, совершении платежей или входе в мобильные приложения проверка личности осуществляется с использованием биометрии лица.
В сфере предоставления государственных услуг данный процесс подчиняется единому порядку. Согласно Цифровому кодексу, все государственные органы обязаны осуществлять биометрическую идентификацию исключительно через Единую систему биометрической аутентификации.
Правила для банков и платежных организаций устанавливаются Агентством по регулированию и развитию финансового рынка (АРРФР) и Национальным банком. В настоящее время порядок сбора, хранения и удаления биометрических данных находится в стадии детального нормативного регулирования.
В Министерстве подчеркнули, что биометрические данные относятся к персональным данным. Это информация, которая защищается законом.
— В соответствии со статьей 47 Цифрового кодекса Республики Казахстан биометрические данные, используемые при цифровой аутентификации, относятся к персональным данным и подлежат защите согласно закону «О персональных данных и их защите». В этой связи порядок их сбора, обработки и хранения регулируется действующим законодательством и нормативными правовыми актами, — говорится в официальном ответе министерства.
Данные хранятся на территории Казахстана, а ответственность за обеспечение их безопасности несут организации, которые используют эти данные.
В случае выявления незаконного доступа или кибератаки соответствующие организации обязаны незамедлительно принять меры. Они должны предотвратить угрозу, восстановить работу системы и при необходимости внедрить дополнительные меры защиты.
Кроме того, предусмотрена ответственность за нарушение требований законодательства. Лица, не обеспечившие надлежащую защиту персональных данных, могут быть не только оштрафованы, но и привлечены к уголовной ответственности.
Министерство также напомнило, что граждане имеют право контролировать свои данные. Каждый человек может через eGov проверить, какие организации имеют доступ к его информации, и при необходимости отозвать предоставленное разрешение. Однако данная возможность применяется не во всех случаях. В отдельных ситуациях удаление данных может быть отложено в соответствии с требованиями законодательства.
Каков уровень безопасности биометрических систем
Эксперт в области кибербезопасности Гаухар Жахметова оценивает уровень безопасности биометрических систем в Казахстане на сегодняшний день как средний. По ее словам, несмотря на широкое применение этих технологий, все риски пока не устранены полностью, а лишь постепенно снижаются.
— В современных системах данные защищаются с помощью шифрования, то есть используются специальные криптографические методы. В крупных базах данных в качестве дополнительной защиты наряду с биометрией внедрены PIN-коды или одноразовые пароли. Кроме того, системы регулярно проверяются, выявляются их уязвимые места. Однако нельзя утверждать, что эти меры полностью обеспечивают безопасность, — говорит эксперт.
По ее словам, в последние годы в стране фиксировались случаи массовой утечки данных.
— В 2025 году также были подобные случаи. Кроме того, не все системы прошли полноценную проверку. Это, безусловно, влияет на уровень безопасности, — отметила она.
Эксперт подчеркивает, что утечка биометрических данных значительно опаснее, чем раскрытие обычного пароля.
— Пароль можно изменить, а биометрические данные — отпечатки пальцев, изображение лица или ДНК — остаются неизменными. Если такие сведения попадут в руки посторонних лиц, они могут использовать их для оформления кредитов, использования имени другого человека или для шантажа. В некоторых случаях угрозу представляет и неконтролируемая передача данных за границу, — говорит она.
По ее мнению, для снижения подобных рисков необходимо предпринимать конкретные меры.
— Прежде всего, биометрические системы должны в обязательном порядке проходить проверку и сертификацию. Также важно применять надежные методы защиты данных, ограничивать доступ к ним и внедрять многоуровневую проверку. Например, использование дополнительного кода наряду с биометрией повышает уровень безопасности. Кроме того, необходимо усиливать ответственность за утечки данных, — подчеркнула эксперт.
Основные уязвимости: техника и человеческий фактор
Гаухар Жахметова также остановилась на слабых местах биометрических систем. По ее словам, существует два типа угроз.
— Первый — это угрозы технического характера. Например, «обман» устройств: подделка отпечатков пальцев или изображения лица, обход слабых систем защиты. Второй — человеческий фактор. Это ошибки сотрудников, передача простых паролей третьим лицам и недостаточная осведомленность пользователей о рисках. По имеющимся данным, около 47 процентов граждан не осведомлены о подобных угрозах, — сказала она.
По словам эксперта, многие случаи утечек данных, зарегистрированные в 2025 году, в том числе в медицинских организациях, связаны именно с человеческим фактором.
— Поэтому при обеспечении безопасности нельзя полагаться только на технологии. Защита систем, контроль доступа к данным, обучение сотрудников и дополнительные методы проверки должны применяться комплексно, — отметила она.
Кроме того, она подчеркнула двойственный характер влияния биометрии.
— С одной стороны, взлом таких систем сложнее по сравнению с обычными паролями, и они снижают некоторые виды мошенничества. С другой стороны, базы данных, в которых хранятся биометрические данные, становятся привлекательной целью для хакеров. В последние годы увеличилось число атак на банки, государственные системы и сервисы распознавания лиц. Чем выше уровень безопасности, тем выше и интерес к его преодолению, — заключила эксперт.
Можно ли отказаться от биометрии?
Эксперт в области кибербезопасности Гаухар Жахметова считает, что полностью отказаться от биометрии в Казахстане на практике довольно сложно. По ее мнению, речь идет не только о технологиях, но и о том, как в целом выстроена цифровая система.
— Сегодня биометрия широко используется как в государственных услугах, так и в банковском секторе. Например, при получении удостоверения личности или паспорта сдача отпечатков пальцев является обязательной. Поэтому в случае отказа гражданин может лишиться доступа к ряду услуг, — говорит эксперт.
Вместе с тем она отмечает, что не все биометрические методы являются обязательными. К примеру, система распознавания лица в отдельных случаях применяется на добровольной основе. Однако такие технологии постепенно становятся привычной практикой. Это, в свою очередь, указывает на то, что граница между добровольным выбором и обязательным требованием постепенно размывается.
Юрист Багдат Амандосулы рассматривает этот вопрос более подробно с правовой точки зрения. По его словам, у граждан есть право отозвать ранее данное согласие на использование их биометрических данных.
— Гражданин может отозвать свое согласие и потребовать удаления данных. Однако в ряде случаев закон требует их хранения, то есть существуют ситуации, когда это право ограничивается, — говорит он.
Кроме того, юрист обозначил конкретные последствия отказа от биометрии.
— Гражданин не лишается всех услуг из-за отказа от биометрии. Однако в некоторых цифровых сервисах, особенно в дистанционных услугах банков, биометрическая идентификация является обязательной. Соответственно, человек может не получить доступ именно к таким форматам услуг, — пояснил эксперт.
По мнению экспертов, ключевой вопрос, связанный с биометрией, заключается в том, в какой мере сохраняется право граждан управлять своими персональными данными и насколько обеспечена реальная свобода выбора в цифровой среде.
Мировая практика: технологии есть, но доверие не везде одинаково
Опасения, связанные с биометрическими технологиями, не являются беспочвенными. Мировая практика показывает, что такие системы в ряде случаев допускают ошибки и становятся причиной спорных ситуаций. К примеру, в США зафиксированы случаи, когда системы распознавания лиц ошибочно идентифицировали людей. В результате в ходе расследований упоминались имена невиновных граждан. Это свидетельствует о том, что даже самые передовые алгоритмы не являются безупречными.
В Индии в рамках крупной системы Aadhaar также фиксировались случаи утечки данных миллионов пользователей.
Еще одна актуальная проблема — сбор биометрических данных без согласия человека. Например, в Канаде было выявлено, что автоматы по продаже напитков использовали технологию распознавания лиц без предварительного уведомления потребителей.
В целом опыт различных стран показывает, что, несмотря на высокий потенциал биометрических систем, они сопровождаются рядом существенных рисков. В частности, утечки данных, ошибки в работе систем и недоверие со стороны пользователей сдерживают широкое распространение этой технологии.
В заключение можно отметить, что биометрические технологии упрощают получение услуг и позволяют экономить время. Однако их безопасность и надежность по-прежнему вызывают вопросы и требуют дальнейшего решения.