Москва потратит на защиту системы распознавания лиц 237 млн рублей

Власти столицы намерены усилить защиту канала передачи данных из своей системы силовикам, что должно затруднить кражу данных самими полицейскими с целью продажи, но очень странно, что команда Собянина озадачилась этим только сейчас (после нашего расследования).  

АО «Электронная Москва», являющееся основным поставщиком IT-продукции для московских властей, опубликовало на госзакупках тендер на создание компонентов защиты для аппаратно-программного комплекса видеодетектирования и формирования индексных данных (АПК ВИФИД). Начальная стоимость контракта — 237 миллионов рублей. Первым внимание на закупку обратил «Ъ».

Таким образом мэрия хочет усилить защиту канала передачи данных из своей системы по распознаванию лиц силовикам, предполагают источники издания.

Москва решила потратить 237 млн рублей на защиту данных городской системы распознавания лиц при их передаче силовикам. Это затруднит кражу данных недобросовестными полицейскими с целью продажи. Но эксперты недоумевают, почему мэрия задумалась об это…https://t.co/CYNXJz4lsI

— ForbesRussia (@ForbesRussia) November 13, 2020

АПК, который мэрия хочет лучше защитить, выступает «прослойкой» между Единым центром хранения данных, который контролирует Департамент информационных технологий Москвы (ДИТ), и пользователями системы распознавания лиц — среди них, например, МВД. Комплекс связан с системой «Фейстрафик», которая распознает лица в столичном транспорте. Ее использует департамент транспорта, но МВД тоже имеет доступ.

Согласно документам закупки, исполнитель должен будет в течение трех месяцев провести аудит ВИФИД, найти в нем уязвимости, разработать модули защиты от несанкционированного доступа, обнаружения вторжений, криптографической защиты, контроля пользователей и резервного копирования данных. Подрядчик также, например, будет должен сменить замки на шкафчиках, где размещены серверы ВИФИД.

ДИТ Москвы и столичную систему распознавания лиц неоднократно критиковали за слабую защищенность, которая систематически приводит к утечкам данных. О случаях продажи доступа к городским камерам за 5–10 тыс. руб. сообщали, например, «МБХ медиа», «РосКомСвобода» и эксперты группы Shadow Intelligence.

«Большой брат оптом и в розницу»: https://t.co/u6XXda0Hgk

— Соболь Любовь (@SobolLubov) December 5, 2019

РосКомСвобода через суд требует установить мораторий на использование систем распознавания лиц https://t.co/QdxqBt0Vcm

Ранее в ходе собственного расследования мы выяснили, что всего за 16 тыс.рублей в даркнете можно заказать «пробив» нужного тебе лица с уличных камер наблюдения.

— РосКомСвобода (@RuBlackListNET) September 17, 2020

Так, волонтер «РосКомСвободы» Анна Кузнецова за 16 тыс. руб. через посредника на профильном форуме заказала «пробив» собственного лица, получив маршрут своих передвижений, который был составлен с помощью городской системы распознавания лиц.

Следственный комитет заподозрил в «сливе» данных оперуполномоченного Дмитрия Шершнева и сотрудника патрульно-постовой службы Константина Иванова, через которых перекупщики и получили доступ к ЕЦХД.

Собеседник «Ъ», знакомый с работой столичных IT-систем, подтверждает, что в основном утечки из системы распознавания лиц идут как раз через полицейских и пока нынешние системы защиты не помогают их избежать. Проблема, по его словам, и в том, что ДИТ приходится выделять каждому структурному подразделению столичного управления МВД отдельный безопасный шлюз для передачи данных, которые сложнее контролировать, чем единый канал.

Защитное ПО будет работать при передаче данных с серверов ДИТ на серверы и устройства силовиков по их запросу, пояснил «Ъ» управляющий партнер Центра цировых прав и ведущий юрист «РосКомСвободы» Саркис Дарбинян. Он считает странным, что систему безопасности для «неоднозначной технологии» распознавания лиц стали создавать только сейчас.