ИКТ-новости Ростова

«Рискованная биометрия»: как не потерять своё лицо?

Биометрические данные россиян с каждым днём находят всё больше применений. Уже сегодня с их помощью можно дистанционно взять кредит в банке и получить VIP-сервис в аэропорту (для пассажиров бизнес-класса). А в ближайшем будущем биометрия заменит билеты на транспорт и развлекательные мероприятия, банковские карты, служебные удостоверения, понадобится при регистрации сделок с недвижимостью и так далее. При этом некоторые операторы биометрических данных в России не используют для их хранения защищённую инфраструктуру ЕБС, а полагаются «на собственные силы» (которых может оказаться недостаточно для качественной защиты столь важной информации). Наряду с этим, фиксируются случаи сбора биометрических данных в обход закона, — в частности у детей без письменного согласия родителей. Все эти факты вызывают беспокойство Роскомнадзора и других профильных ведомств. А гражданам в преддверие биометрического будущего стоит быть особенно осторожными, — ведь, при компрометации биометрических отпечатков, злоумышленник сможет выдавать себя за субъекта персональных данных на протяжении всей его жизни.

На этой неделе внимание экспертов Роскомнадзора привлёк биометрический сервис оплаты покупок в одной из розничных сетей России. Новая возможность предусматривает списание денег с банковской карты клиента при сканировании его лица специальным терминалом на кассе. Для этого покупателю достаточно один раз пройти регистрацию в системе, сдав свои биометрические данные и указав реквизиты «пластика». Технология, безусловно, удобная, ведь очереди станут меньше. Но где именно хранится собранная биометрия и как осуществляется её защита? На эти вопросы ритейлеру предстоит ответить по официальному запросу Роскомнадзора.

Тем временем в подмосковных школах разгорается скандал с незаконным дактилоскопированием школьников. Здесь, под видом профориентации, сотрудники негосударственного университета собирали отпечатки пальцев детей «для выявления их профессиональных навыков» (без ведома родителей и их письменного разрешения). Когда же ситуация стала достоянием общественности, представители ВУЗа заявили, что речь идёт о личной инициативе сотрудника, увлекающегося дерматоглификой — и купившего аппарат для сбора биометрических данных на местном радиорынке.

Описанные выше случаи, — лишь единичные примеры, когда критически важные биометрические данные «уходят» в неизвестном для их обладателя направлении. Причём большинство пользователей не задумывается, какой вред им может нанести компрометация этих уникальных идентификаторов личности.

О том, насколько данная проблема серьёзна, можно судить и по обеспокоенности Минфина России защищённостью биометрии, самостоятельно собираемой банками (без использования Единой биометрической системы). При этом ИТ-системы в финансовом секторе, как правило, весьма современны и надёжны. Что же можно говорить о более скромных возможностях других операторов биометрических данных?

«Активное использование биометрических идентификаторов порождает совершенно уникальную проблему кражи персональных физиологических свойств, связанную с неизменностью последних, — отмечает эксперт TechnoDrive. — На практике это означает, что при компрометации таких данных, злоумышленник сможет выдавать себя за субъекта персональных данных на протяжении всей его жизни. Ведь, — в отличие от скомпрометированного пароля, который можно поменять, — отпечатки пальцев, пропорции лица, радужка глаза и другие уникальные биометрические свойства человека остаются неизменными.

Одним из возможных решений этой проблемы является так называемая отменяемая биометрия. Её суть сводится к тому, что, если кража биометрических идентификаторов произошла, необходимо переключиться на проверку новых контрольных точек. Количество уникальных биометрических идентификаторов человека крайне велико, однако частое использование данного подхода неизбежно приведёт к усложнению алгоритмов идентификации и пользовательского оборудования. Кроме того, применение отменяемой биометрии возможно лишь в рамках единого реестра персональных данных, что в нынешних условиях вряд ли возможно.

Таким образом, основным способом защиты биометрических идентификаторов на сегодня остаётся шифрование с помощью необратимых криптоалгоритмов и надёжная защита этих данных».

Но одних лишь организационных мер недостаточно! Ведь число желающих организовать собственный сбор биометрии растёт с каждым днём. Более того, некоторые сборщики таких данных уже стали для россиян «невидимками». Речь, в частности, идёт о смартфонах, которые мы с лёгкостью разблокируем отпечатком пальца или изображением лица. И которые могут анализировать всё сказанное рядом с ними, если пользователь разрешил соответствующему приложению использовать микрофон.

В случае с софтом известных вендоров такая информация собирается и хранится в обезличенном виде — и используется для повышения удобства пользователя. Однако, если на смартфон попадёт приложение, созданное злоумышленниками, биометрические данные могут оказаться под угрозой (особенно, если пользователь не привык обращать внимания на разрешения, запрашиваемые приложением).

Конечно, для авторизации в серьёзных биометрических системах собранных таким образом данных будет недостаточно. Однако при существовании множества альтернативных систем, — в которых зарегистрировался пользователь, — к какой-то из них такой «ключ» может подойти. Поэтому в новой «цифровой реальности» о безопасности своих биометрических данных должен думать каждый человек.

Иными словами, к биометрии сегодня нужно относиться столь же внимательно как к личным документам, данным банковской карты и паролям. Точнее — даже намного ответственнее, ведь в отличие от разрозненных документов, биометрия имеет все шансы стать «ключом от всех дверей», который определённо не стоит доверять незнакомцам.

Комментарий издателя TechnoDrive.ru Бориса Зубова

Напомню, что Единая биометрическая система, которой, собственно, и нужно доверять, с отпечатками пальцев не работает. Разработка «Ростелекома» использует лицо и голос, а также учётную запись от портала госуслуг.

Кроме того, сеансы авторизации, — все без исключения, — заносятся в логи. Так что злоумышленник, любыми своими действиями, будет лишь укреплять доказательную базу для суда. Ну а в любой спорной ситуации можно проанализировать, что именно делал пользователь. Если, конечно, нестандартное поведение ещё раньше, автоматически, не заблокирует система.

Полный список новостей TechnoDrive
© 2001-2020 Борис Зубов, contact@technodrive.ru