На головную страницу TechnoDrive.ru  
ИТ-НОВОСТИ РОСТОВА
одна из 21976 страниц...

«Рискованная биометрия»: как не потерять своё лицо?

Биометрические данные нуждаются в особой защитеБиометрические данные россиян с каждым днём находят всё больше применений. Уже сегодня с их помощью можно дистанционно взять кредит в банке и получить VIP-сервис в аэропорту (для пассажиров бизнес-класса). А в ближайшем будущем биометрия заменит билеты на транспорт и развлекательные мероприятия, банковские карты, служебные удостоверения, понадобится при регистрации сделок с недвижимостью и так далее. При этом некоторые операторы биометрических данных в России не используют для их хранения защищённую инфраструктуру ЕБС, а полагаются «на собственные силы» (которых может оказаться недостаточно для качественной защиты столь важной информации). Наряду с этим, фиксируются случаи сбора биометрических данных в обход закона, — в частности у детей без письменного согласия родителей. Все эти факты вызывают беспокойство Роскомнадзора и других профильных ведомств. А гражданам в преддверие биометрического будущего стоит быть особенно осторожными, — ведь, при компрометации биометрических отпечатков, злоумышленник сможет выдавать себя за субъекта персональных данных на протяжении всей его жизни.

На этой неделе внимание экспертов Роскомнадзора привлёк биометрический сервис оплаты покупок в одной из розничных сетей России. Новая возможность предусматривает списание денег с банковской карты клиента при сканировании его лица специальным терминалом на кассе. Для этого покупателю достаточно один раз пройти регистрацию в системе, сдав свои биометрические данные и указав реквизиты «пластика». Технология, безусловно, удобная, ведь очереди станут меньше. Но где именно хранится собранная биометрия и как осуществляется её защита? На эти вопросы ритейлеру предстоит ответить по официальному запросу Роскомнадзора.

Тем временем в подмосковных школах разгорается скандал с незаконным дактилоскопированием школьников. Здесь, под видом профориентации, сотрудники негосударственного университета собирали отпечатки пальцев детей «для выявления их профессиональных навыков» (без ведома родителей и их письменного разрешения). Когда же ситуация стала достоянием общественности, представители ВУЗа заявили, что речь идёт о личной инициативе сотрудника, увлекающегося дерматоглификой — и купившего аппарат для сбора биометрических данных на местном радиорынке.

Описанные выше случаи, — лишь единичные примеры, когда критически важные биометрические данные «уходят» в неизвестном для их обладателя направлении. Причём большинство пользователей не задумывается, какой вред им может нанести компрометация этих уникальных идентификаторов личности.

О том, насколько данная проблема серьёзна, можно судить и по обеспокоенности Минфина России защищённостью биометрии, самостоятельно собираемой банками (без использования Единой биометрической системы). При этом ИТ-системы в финансовом секторе, как правило, весьма современны и надёжны. Что же можно говорить о более скромных возможностях других операторов биометрических данных?

«Активное использование биометрических идентификаторов порождает совершенно уникальную проблему кражи персональных физиологических свойств, связанную с неизменностью последних, — отмечает эксперт TechnoDrive. — На практике это означает, что при компрометации таких данных, злоумышленник сможет выдавать себя за субъекта персональных данных на протяжении всей его жизни. Ведь, — в отличие от скомпрометированного пароля, который можно поменять, — отпечатки пальцев, пропорции лица, радужка глаза и другие уникальные биометрические свойства человека остаются неизменными.

Одним из возможных решений этой проблемы является так называемая отменяемая биометрия. Её суть сводится к тому, что, если кража биометрических идентификаторов произошла, необходимо переключиться на проверку новых контрольных точек. Количество уникальных биометрических идентификаторов человека крайне велико, однако частое использование данного подхода неизбежно приведёт к усложнению алгоритмов идентификации и пользовательского оборудования. Кроме того, применение отменяемой биометрии возможно лишь в рамках единого реестра персональных данных, что в нынешних условиях вряд ли возможно.

Таким образом, основным способом защиты биометрических идентификаторов на сегодня остаётся шифрование с помощью необратимых криптоалгоритмов и надёжная защита этих данных».

Но одних лишь организационных мер недостаточно! Ведь число желающих организовать собственный сбор биометрии растёт с каждым днём. Более того, некоторые сборщики таких данных уже стали для россиян «невидимками». Речь, в частности, идёт о смартфонах, которые мы с лёгкостью разблокируем отпечатком пальца или изображением лица. И которые могут анализировать всё сказанное рядом с ними, если пользователь разрешил соответствующему приложению использовать микрофон.

В случае с софтом известных вендоров такая информация собирается и хранится в обезличенном виде — и используется для повышения удобства пользователя. Однако, если на смартфон попадёт приложение, созданное злоумышленниками, биометрические данные могут оказаться под угрозой (особенно, если пользователь не привык обращать внимания на разрешения, запрашиваемые приложением).

Конечно, для авторизации в серьёзных биометрических системах собранных таким образом данных будет недостаточно. Однако при существовании множества альтернативных систем, — в которых зарегистрировался пользователь, — к какой-то из них такой «ключ» может подойти. Поэтому в новой «цифровой реальности» о безопасности своих биометрических данных должен думать каждый человек.

Иными словами, к биометрии сегодня нужно относиться столь же внимательно как к личным документам, данным банковской карты и паролям. Точнее — даже намного ответственнее, ведь в отличие от разрозненных документов, биометрия имеет все шансы стать «ключом от всех дверей», который определённо не стоит доверять незнакомцам.

Комментарий издателя TechnoDrive.ru Бориса Зубова

Напомню, что Единая биометрическая система, которой, собственно, и нужно доверять, с отпечатками пальцев не работает. Разработка «Ростелекома» использует лицо и голос, а также учётную запись от портала госуслуг.

Кроме того, сеансы авторизации, — все без исключения, — заносятся в логи. Так что злоумышленник, любыми своими действиями, будет лишь укреплять доказательную базу для суда. Ну а в любой спорной ситуации можно проанализировать, что именно делал пользователь. Если, конечно, нестандартное поведение ещё раньше, автоматически, не заблокирует система.

Чуть не забыли: у TechnoDrive есть группа ВКонтакте — и на Facebook. Подключайтесь!

Банки, платежи, кэшбэк

«Ростелеком» окажет масштабную помощь ИТ-стартапам


Компания «Ростелеком» и Фонд развития интернет-инициатив (ФРИИ) начали новый этап стратегического сотрудничества в интересах развития российского венчурного рынка. «Ростелеком» (через дочерние структуры) стал партнёром ФРИИ, войдя в уставный капитал его инвестиционного подразделения — ООО «ФРИИ Инвест», владеющего долями в более чем 350 IT-стартапах. Инвестиции «Ростелекома» позволят существенно увеличить объём портфеля и профинансировать новые российские стартап-проекты.
подробнее

Ростов-на-Дону: «налог для программистов» под ёлочкой


В преддверие 2020 года налог на профессиональный доход всё чаще привлекает внимание самозанятых граждан. Возможность работать в правовом поле, уплачивая всего 4-6% от выручки, давно ждут и программисты Ростовской области, — в том числе, работающие на зарубежные компании, — а также дизайнеры, фотографы и другие «частные аутсорсеры». Об этом, в частности, можно судить по неформальным беседам с фрилансерами, — в которых они активно интересуются вопросами легализации своих доходов из-за рубежа. И вот, наконец, возможность введения дохода на профессиональный доход в Ростовской области получила официальное подтверждение главы донского правительства.
подробнее

«Почта Банк» внедрил удалённую идентификацию через мобильное приложение «Биометрия»


«Ростелеком» представил мобильное приложение «Биометрия» для устройств, работающих на iOS. Приложение предназначено для удалённой идентификации клиентов с помощью Единой биометрической системы. Ранее аналогичное приложение было запущено для владельцев смартфонов на базе ОС Android. «Почта Банк» стал первой финансовой организацией, которая внедрила удалённую идентификацию через мобильное приложение «Ростелекома».
подробнее

«Яндекс.Транспорт» приходит в Новошахтинск


В преддверие Нового года легендарный фильм «Ирония судьбы, или С лёгким паром!» вспоминается сам собой. Тем более, что IT-новости дают для этого всё новые поводы. «В былые времена, когда человек попадал в какой-нибудь незнакомый город, он чувствовал себя одиноким и потерянным.., — невольно вспоминается рязановский монолог из начала фильма. — Зато теперь совсем иное дело — человек попадает в любой незнакомый город, но чувствует себя в нём, как дома». В далёком 1975 году, когда «Ирония судьбы» вышла на экраны, конечно, ещё не было ни Интернета ни смартфонов — но эти слова в полной мере можно отнести к функционалу приложения «Яндекс.Транспорт», благодаря которому перемещения по незнакомому городу на городских автобусах становятся максимально удобными и понятными. Стоит лишь указать точку назначения (а также разрешить навигатору GPS/ГЛОНАСС определять ваши координаты), — и система подскажет, какой маршрут вам нужен, сколько времени займёт поездка и как скоро подъедет ближайший автобус. Совсем недавно такая возможность появилась у гостей и жителей Новошахтинска.
подробнее

К большим биометрическим системам больше доверия?


Биометрии становится всё больше. Уже сегодня с помощью отпечатков пальцев, голоса и собственного лица можно разблокировать смартфон, получить доступ к банкам, мейлу, соцсетям и множеству других элементов «цифрового Я». Но насколько такие методы надёжны — и защищены от киберпреступников? И что будет, если биометрические идентификаторы перехватить в момент сбора, — например, с помощью трояна? Ответы на эти вопросы касаются, как минимум, защиты информации на этапах её получения, обработки, передачи, хранения и сверки. А между тем, по данным «Лаборатории Касперского» в третьем квартале 2019 года вредоносное ПО было заблокировано на 37% компьютеров, работающих с биометрией. При этом, — отметим сразу, — не уточняется, к примеру, вес различных стран в данном вопросе, отраслевая специфика, среднее и пиковое число записей в базах — и инцидентов по локациям. В результате может возникнуть неверное понимание ситуации в целом. Пример? Допустим, в каком-то государстве суперактивно внедряют биометрию, а на ИТ-безопасность смотрят сквозь пальцы. При этом «беспечные разработчики и сисадмины» находятся на другой стороне земного шара, но «портят всю картину», при достаточном количестве используемых ими компьютеров и серверов. А дальше, сколько бы не старались страны с централизованным сбором данных, «среднюю температуру по больнице» [в отчёте] уже не исправить.
подробнее
Ещё информация !!!  Банки, платежи, кэшбэк