На головную страницу TechnoDrive.ru  
ИТ-НОВОСТИ РОСТОВА
одна из 21926 страниц...

«Рискованная биометрия»: как не потерять своё лицо?

Биометрические данные нуждаются в особой защитеБиометрические данные россиян с каждым днём находят всё больше применений. Уже сегодня с их помощью можно дистанционно взять кредит в банке и получить VIP-сервис в аэропорту (для пассажиров бизнес-класса). А в ближайшем будущем биометрия заменит билеты на транспорт и развлекательные мероприятия, банковские карты, служебные удостоверения, понадобится при регистрации сделок с недвижимостью и так далее. При этом некоторые операторы биометрических данных в России не используют для их хранения защищённую инфраструктуру ЕБС, а полагаются «на собственные силы» (которых может оказаться недостаточно для качественной защиты столь важной информации). Наряду с этим, фиксируются случаи сбора биометрических данных в обход закона, — в частности у детей без письменного согласия родителей. Все эти факты вызывают беспокойство Роскомнадзора и других профильных ведомств. А гражданам в преддверие биометрического будущего стоит быть особенно осторожными, — ведь, при компрометации биометрических отпечатков, злоумышленник сможет выдавать себя за субъекта персональных данных на протяжении всей его жизни.

На этой неделе внимание экспертов Роскомнадзора привлёк биометрический сервис оплаты покупок в одной из розничных сетей России. Новая возможность предусматривает списание денег с банковской карты клиента при сканировании его лица специальным терминалом на кассе. Для этого покупателю достаточно один раз пройти регистрацию в системе, сдав свои биометрические данные и указав реквизиты «пластика». Технология, безусловно, удобная, ведь очереди станут меньше. Но где именно хранится собранная биометрия и как осуществляется её защита? На эти вопросы ритейлеру предстоит ответить по официальному запросу Роскомнадзора.

Тем временем в подмосковных школах разгорается скандал с незаконным дактилоскопированием школьников. Здесь, под видом профориентации, сотрудники негосударственного университета собирали отпечатки пальцев детей «для выявления их профессиональных навыков» (без ведома родителей и их письменного разрешения). Когда же ситуация стала достоянием общественности, представители ВУЗа заявили, что речь идёт о личной инициативе сотрудника, увлекающегося дерматоглификой — и купившего аппарат для сбора биометрических данных на местном радиорынке.

Описанные выше случаи, — лишь единичные примеры, когда критически важные биометрические данные «уходят» в неизвестном для их обладателя направлении. Причём большинство пользователей не задумывается, какой вред им может нанести компрометация этих уникальных идентификаторов личности.

О том, насколько данная проблема серьёзна, можно судить и по обеспокоенности Минфина России защищённостью биометрии, самостоятельно собираемой банками (без использования Единой биометрической системы). При этом ИТ-системы в финансовом секторе, как правило, весьма современны и надёжны. Что же можно говорить о более скромных возможностях других операторов биометрических данных?

«Активное использование биометрических идентификаторов порождает совершенно уникальную проблему кражи персональных физиологических свойств, связанную с неизменностью последних, — отмечает эксперт TechnoDrive. — На практике это означает, что при компрометации таких данных, злоумышленник сможет выдавать себя за субъекта персональных данных на протяжении всей его жизни. Ведь, — в отличие от скомпрометированного пароля, который можно поменять, — отпечатки пальцев, пропорции лица, радужка глаза и другие уникальные биометрические свойства человека остаются неизменными.

Одним из возможных решений этой проблемы является так называемая отменяемая биометрия. Её суть сводится к тому, что, если кража биометрических идентификаторов произошла, необходимо переключиться на проверку новых контрольных точек. Количество уникальных биометрических идентификаторов человека крайне велико, однако частое использование данного подхода неизбежно приведёт к усложнению алгоритмов идентификации и пользовательского оборудования. Кроме того, применение отменяемой биометрии возможно лишь в рамках единого реестра персональных данных, что в нынешних условиях вряд ли возможно.

Таким образом, основным способом защиты биометрических идентификаторов на сегодня остаётся шифрование с помощью необратимых криптоалгоритмов и надёжная защита этих данных».

Но одних лишь организационных мер недостаточно! Ведь число желающих организовать собственный сбор биометрии растёт с каждым днём. Более того, некоторые сборщики таких данных уже стали для россиян «невидимками». Речь, в частности, идёт о смартфонах, которые мы с лёгкостью разблокируем отпечатком пальца или изображением лица. И которые могут анализировать всё сказанное рядом с ними, если пользователь разрешил соответствующему приложению использовать микрофон.

В случае с софтом известных вендоров такая информация собирается и хранится в обезличенном виде — и используется для повышения удобства пользователя. Однако, если на смартфон попадёт приложение, созданное злоумышленниками, биометрические данные могут оказаться под угрозой (особенно, если пользователь не привык обращать внимания на разрешения, запрашиваемые приложением).

Конечно, для авторизации в серьёзных биометрических системах собранных таким образом данных будет недостаточно. Однако при существовании множества альтернативных систем, — в которых зарегистрировался пользователь, — к какой-то из них такой «ключ» может подойти. Поэтому в новой «цифровой реальности» о безопасности своих биометрических данных должен думать каждый человек.

Иными словами, к биометрии сегодня нужно относиться столь же внимательно как к личным документам, данным банковской карты и паролям. Точнее — даже намного ответственнее, ведь в отличие от разрозненных документов, биометрия имеет все шансы стать «ключом от всех дверей», который определённо не стоит доверять незнакомцам.

Комментарий издателя TechnoDrive.ru Бориса Зубова

Напомню, что Единая биометрическая система, которой, собственно, и нужно доверять, с отпечатками пальцев не работает. Разработка «Ростелекома» использует лицо и голос, а также учётную запись от портала госуслуг.

Кроме того, сеансы авторизации, — все без исключения, — заносятся в логи. Так что злоумышленник, любыми своими действиями, будет лишь укреплять доказательную базу для суда. Ну а в любой спорной ситуации можно проанализировать, что именно делал пользователь. Если, конечно, нестандартное поведение ещё раньше, автоматически, не заблокирует система.

Чуть не забыли: у TechnoDrive есть группа ВКонтакте — и на Facebook. Подключайтесь!

Банки, платежи, кэшбэк

Программистам на заметку: налог для самозанятых идёт в Ростов


Налог на профессиональный доход, введённый в четырёх пилотных регионах России, показал отличные результаты. Всего за год на эту схему перешли более 240 тысяч человек. Об этом сообщил министр финансов Антон Силуанов. Напомним, что речь идёт об упрощённом налоговом режиме, позволяющем россиянам вести свой бизнес без регистрации в качестве ИП, визитов в налоговую — и с минимальной финансовой нагрузкой (4-6% от выручки). А для регистрации в качестве «самозанятого» гражданину достаточно заполнить онлайн-форму на сайте ФНС России и установить бесплатное мобильное приложение «Мой налог». И, наконец, самое важное — с 1 января 2020 года данный налоговый режим будет расширен ещё на 19 регионов, включая Ростовскую область. Где его могут применять, по словам официальных лиц, и программисты-резиденты, работающие в РФ на иностранные компании удалённо.
подробнее

Повысить финансовую грамотность россиян помогут квесты


Постоянное самообучение — это не только модный тренд, но и насущная необходимость. Особенно, когда речь идёт о защите собственного имущества и сбережений от мошенников. Здесь хороши все средства самообразования: от регулярного чтения новостей TechnoDrive до прохождения финансовых онлайн-квестов. Например, бесплатный квест «Финансовый детектив», созданный при участии платёжной системы «МИР», в увлекательной игровой форме затрагивает важнейшие вопросы личной ИТ-безопасности. Поэтому он будет не только интересен широкой аудитории (от школьников 5 класса до пенсионеров), но и весьма полезен в условиях продолжающейся цифровизации банковских услуг.
подробнее

Жителям Ростовской области будут доступны все банки России


Ростовчане привыкли к тому, что у нас всё под рукой. Особенно, в центре города. Но ситуация в сельской местности несколько иная и чтобы снять деньги с карточки, попасть на приём к врачу, получить консультацию юриста или обычный доступ в Интернет, порой приходится прилагать немалые усилия. Но ситуация меняется как с Интернетом, так и с финансовым сектором. На Дону продолжаются перемены к лучшему!
подробнее

Биометрию «Ростелекома» не обманет слово «Да»


Единая биометрическая система в России работает немногим больше года, — однако её возможности уже впечатляют. Благодаря удалённой идентификации уже можно открыть банковский счёт, оформить кредит и посещать музеи без покупки билетов. А в перспективе граждане, добровольно сдавшие биометрические данные, получат «зелёный коридор» в аэропортах и множество других преимуществ. Однако любая новая технология вызывает опасения, связанные с вероятностью ошибок второго рода, — когда система ошибочно авторизует нарушителя. Но насколько велика вероятность обмана Единой биометрической системы? Иными словами, сможет ли злоумышленник, записавший голос жертвы при телефонном разговоре, получить доступ к её банковскому счёту? Эксперты «Ростелекома» утверждают, что это невозможно и дают подробные пояснения по этому поводу.
подробнее

Наличные, карты и смартфоны — это прошлое. В работе — оплата «по лицу»


В ходе форума инновационных финансовых технологий Finopolis, который проходит в Сочи 9–11 октября 2019 года, ПАО «Ростелеком» и АО «Национальная система платежных карт» (НСПК) заключили двустороннее соглашение о сотрудничестве в области использования биометрических технологий в платежных услугах Российской Федерации. Документ подписали президент «Ростелекома» Михаил Осеевский и председатель правления, генеральный директор НСПК Владимир Комлев.
подробнее
Ещё информация !!!  Банки, платежи, кэшбэк