Мэрия постарается не потерять лица
Москва планирует бороться с утечками данных видеораспознавания
Московская мэрия решила усилить безопасность передачи данных из городской системы распознавания лиц в адрес МВД и других силовых структур. На криптографическую защиту информации и контроль пользователей системы власти столицы выделят 237 млн руб. Эксперты предполагают, что такая мера может затруднить недобросовестным полицейским кражу данных с целью продажи их в даркнете, и недоумевают, почему мэрия задумалась о криптозащите системы только сейчас.
АО «Электронная Москва» столичной мэрии 2 ноября опубликовало тендер начальной стоимостью 237 млн руб. на создание компонентов защиты для аппаратно-программного комплекса видеодетектирования и формирования индексных данных (АПК ВИФИД), обнаружил “Ъ” на сайте госзакупок.
Из документации лота следует, что мэрии требуется в течение трех месяцев получить сервисы и решения для защиты системы распознавания лиц от несанкционированного доступа и утечек.
Согласно документам закупки, исполнитель должен будет в течение трех месяцев провести аудит ВИФИД, найти в нем уязвимости, разработать модули защиты от несанкционированного доступа, обнаружения вторжений, криптографической защиты, контроля пользователей и резервного копирования данных. Подрядчик также, например, будет должен сменить замки на шкафчиках, где размещены серверы ВИФИД. В департаменте информационных технологий (ДИТ) Москвы не ответили на вопросы “Ъ” о планах по модернизации системы безопасности АПК ВИФИД, но сообщили, что с помощью городской системы распознавания лиц полицейским за девять месяцев этого года удалось задержать 3,4 тыс. человек, находящихся в розыске.
АПК ВИФИД, судя по ее описанию в документации закупки, выступает «прослойкой» между Единым центром хранения данных (ЕЦХД), который контролируется ДИТ, и пользователями системы распознавания лиц, в числе которых, например, МВД. ВИФИД также интегрируется с системой «Фейстрафик» по распознаванию лиц на транспорте столицы, например, в метро. Ее использует департамент транспорта Москвы, доступ к ней также имеет МВД. Таким образом, полагают источники “Ъ” на рынке информационной безопасности, московская мэрия, по сути, усиливает защиту канала передачи данных из своей системы по распознаванию лиц силовикам.
ДИТ Москвы и столичную систему распознавания лиц неоднократно критиковали за слабую защищенность, которая систематически приводит к утечкам данных.
О случаях продажи доступа к городским камерам за 5–10 тыс. руб. сообщали, например, «МБХ медиа», «Роскомсвобода» и эксперты группы Shadow Intelligence. Как сообщал “Ъ” 17 сентября, волонтер «Роскомсвободы» Анна Кузнецова за 16 тыс. руб. через посредника на профильном форуме заказала «пробив» собственного лица, получив маршрут своих передвижений, который был составлен с помощью городской системы распознавания лиц. Следственный комитет заподозрил в «сливе» данных оперуполномоченного Дмитрия Шершнева и сотрудника патрульно-постовой службы Константина Иванова, через которых перекупщики и получили доступ к ЕЦХД.
Собеседник “Ъ”, знакомый с работой столичных IT-систем, подтверждает, что в основном утечки из системы распознавания лиц идут как раз через полицейских и пока нынешние системы защиты не помогают их избежать. Проблема, по его словам, и в том, что ДИТ приходится выделять каждому структурному подразделению столичного управления МВД отдельный безопасный шлюз для передачи данных, которые сложнее контролировать, чем единый канал. В МВД не ответили на запрос “Ъ” к моменту выхода номера в печать.
Исполнителям проекта предстоит обеспечить полную безопасность системы распознавания объектов, которая также предполагает анализ поступающих данных в режиме реального времени и построение различных моделей, уточняет руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев, изучивший конкурсную документацию. «Исходя из технического задания можно сделать вывод, что защитное программное обеспечение будет работать при передаче данных с серверов ДИТ на серверы и устройства силовых структур по их запросу»,— указывает управляющий партнер Digital Rights Center Саркис Дарбинян. Кажется странным, отмечает он, что систему безопасности для такой «неоднозначной технологии», как распознавание лиц из видеопотока, делают только сейчас.