Результаты мониторинга инфопространства демонстрируют достаточно высокую обеспокоенность профессионального сообщества устойчивостью систем идентификации в целом к взлому и возможным подлогам со стороны мошенников. На этом фоне портал PLUSworld.ru выяснил у экспертов в области безопасности, какие, по их мнению, уязвимости биометрической идентификации представляют наибольшую опасность.
По мнению независимого эксперта Николая Пятиизбянцева, реальных проблем с безопасностью идентификации клиентов с помощью биометрии более чем достаточно. Рассмотрим несколько вполне жизненных сценариев, которые основаны на существующих фактах противодействия криминалитету. Первый – мошенник может прийти в банк с чужим паспортом и зарегистрироваться, используя свои биометрические данные под именем своей потенциальной жертвы. Сотрудники банков не являются экспертами по распознаванию поддельных документов, какого-либо механизма по противодействию в системе не заложено. Первоначально клиента в ЕБС регистрирует один банк, а удаленную услугу оказывает другой. При этом первый банк не несет никакой ответственности за некорректную идентификацию клиента.
Во-вторых, еще одной проблемой он назвал развитие технологии воспроизведения биометрических данных. Используемые в ЕБС данные (лицо и голос) не являются секретными, и заинтересованное лицо легко может их получить, а их непосредственное воспроизведение в нужное время и в нужном месте – вопрос технологий и фантазий мошенников.
В-третьих, возникает вопрос целостности, конфиденциальности и доступности самой базы ЕБС, так как сотрудники, которые ее администрируют, будут иметь возможность не только теоретически, но и практически осуществить противоправные действия. Внедрение криптозащиты позволит обеспечить только конфиденциальность и целостность передаваемых биометрических данных от банков в ЕБС, но не сможет обеспечить безопасность в целом. Однако нельзя забывать, что криптозащита – достаточно дорогое решение, особенно для средних и небольших банков.
Руководитель направления R&D «Ак Барс Цифровые Технологии» Ярослав Шуваев назвал самой важной проблемой, связанной с уязвимостью данных в биометрической базе, риск подделки биометрического образца мошенниками в самой базе данных.
Биометрический слепок лица может быть связан с паспортными и платежными данными. Мошенник, который заменит слепок одного человека на слепок другого, может завладеть его клиентскими платежными данными, расплачиваться при помощи лица, брать кредиты или даже подписывать документы. По этой причине хранилища биометрических данных должны охраняться с соблюдением самых высоких требований безопасности, считает он.
Вторая проблема, по мнению Я. Шуваева, связана с потенциально возможным взломом биометрических валидаторов: «Существуют валидаторы со слабой защитой, благодаря чему мошенники могут использовать фотографию человека, чтобы, например, взломать домофон».
По мнению Сергея Никитина, заместителя руководителя Лаборатории компьютерной криминалистики Group-IB, «в индустрии кибербезопасности биометрический фактор редко рассматривается в качестве единственного подтверждения, поскольку сами биометрические «отпечатки» – будь то сетчатка глаза, «пальцы или скан лица – если постараться, можно собрать из разных источников и выдать себя за реального обладателя этих биометрических факторов».
Кроме того, он считает, что качественные биометрические системы достаточно дороги во внедрении, поддержке и эксплуатации и в качестве примера привел метрополитен: «Одно время обсуждалось внедрение системы оплаты проезда по лицу. Но изображение в выбранной системе – плоское, что дает большую погрешность, а значит, может быть недостаточно эффективным по сравнению с традиционными методами. Если кто-нибудь будет использовать условную маску, такая система может не распознать подлог. Более эффективные 3D-системы дороги, дорогие датчики, дорогое внедрение и невысокая скорость распознавания». Для эффективной работы идентификации легального пользователя, помимо биометрического фактора, С. Никитин считает необходимым использовать еще и другие гораздо более опробованные и консервативные – такие как пароль, секрет, иные способы.
В самом Ростелекоме заявили, что Единая биометрическая система одинаково хорошо защищена как от внешних, так и внутренних угроз. Компания постоянно совершенствует безопасность системы, тестирует на возможность взлома. Случайно сгенерированную последовательность цифр, которую пользователь произносит, глядя в камеру, невозможно записать заранее, она различается при каждом запросе. При этом Ростелеком не хранит биометрические данные граждан, а использует математически обработанные функции, которые позволяют лишь произвести сверку и подтвердить личность. Восстановить фотографию или запись голоса по этим данным – задача не решаемая ни практически, ни даже теоретически.
Недавно оператор ЕБС также сообщил, что занимается проработкой вопроса дополнительной защиты при дистанционной оплате лицом. Один из вариантов – запрашивать у клиента дополнительный код для операций свыше 1500 рублей. Это код, который клиент хорошо помнит – последние 4 цифры номера телефона или секретный код пользователя – каждый может сам установить в приложении.
Создадут ли мошенники реальную угрозу банковскому сектору и платежной индустрии рынку и смогут ли воспользоваться существующими потенциальными пробелами в системах биометрической идентификации – исключительно вопрос практики. И хотелось бы надеяться, что она не окажется избыточно проблемной!
По материалам PLUSworld.ru