ENGОдна из важнейших проблем развития современных информационных технологий, а вместе с ними и различных коммерческих, прежде всего финансовых, проектов — так называемая проблема компрометации биометрических данных. Абсолютной защиты не предоставляет никакая информационная система. Всегда есть опасность, что ваш счет в банке, или ваш аккаунт в соцсетях, или профиль на каком-либо сервисе (например, «Госуслуги») будет взломан хакерами.
Однако если взломщики смоги подобрать ваш логин и пароль — их всегда можно сменить. Совсем иная ситуация, если идентификатором, предоставляющим доступ к информационной системе, например к управлению банковским счетом, являются ваши биометрические данные: отпечатки пальцев, лицо или «радужка» глаза. Хотя, казалось бы, украсть отпечатки пальцев можно только вместе с пальцем (что бывает лишь в голливудских триллерах), это не совсем так. После того как вы прикладываете палец к терминалу, ваш отпечаток перестает быть неотъемлемой частью вашего тела и становится просто набором доступных компьютеру электромагнитных импульсов или, иными словами, набором цифр. Их украсть или подделать теоретически можно (особенно если хакеру каким-либо способом окажется доступна база персональных данных соответствующего банка или сервиса). Не говоря уже о том, что биометрические данные могут храниться в ваших телефонах.
Что же делать, если хакерам удается имитировать ваши биометрические идентификаторы или, как говорят специалисты, что делать, если ваши биометрические данные скомпрометированы? На этот вопрос «Инвест-Форсайт» попросил ответить ряд экспертов.
Дмитрий Грудинин, системный архитектор компании «Аванпост»:
— При компрометации биометрических данных самый разумный шаг — перестать ими пользоваться там, где произошел инцидент, ведь ни палец, ни какой-либо другой антропометрический аутентификатор человек перевыпустить не может. Система должна содержать отметку о компрометации аутентификатора и запрещать его использовать как средство входа. Установить такой запрет пользователь может, к примеру, обратившись в службу поддержки системы.
Избежать компрометации биометрических данных лучше всего поможет их разумное применение. В первую очередь оно подразумевает отказ от биометрии в случаях, когда можно воспользоваться более «сильными» методами аутентификации. Второе правило гласит, что биометрию не следует применять тогда, когда речь идет о критичных данных или операциях, имеющих юридическую значимость. В любой ситуации биометрия не должна быть единственным методом аутентификации: пользователю необходимо использовать в разных системах комбинации из нескольких факторов, соответствующих по сложности аутентификации уровню критичности учётной записи.
Повседневно и без особых опасений можно применять только локальную биометрическую аутентификацию — Face ID/Touch ID, FIDO2 WebAuthn и т.д. — на носимых персональных устройствах. Это позволит избежать передачи биометрических данных по сети и их перехвата злоумышленниками.
Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:
— Для рядовых пользователей на уровне минимизации рисков можно, во-первых, отказаться от биометрии там, где это способно привести к критичным для вас последствиям. Например, в случае распоряжения денежными средствами каждый человек должен самостоятельно определить, насколько критичны для него суммы, которыми он расплачивается по Face ID. Во-вторых, если биометрические данные были подменены или их кто-то «сдал за вас», достаточно пересдать или просто сдать их, «затерев» чужие данные своими. Тут ситуация практически не отличается от обычного взлома пароля.
Но если легальные биометрические данные попали к злоумышленникам, никакая пересдача ситуацию не изменит. Это можно решить, написав заявление на юридический запрет любых действий в отношении себя на основании биометрических данных. В идеале запрет должен соблюдаться всеми операторами услуг и сервисов, предусматривающих использование биометрии, и требует использования Единой биометрической системы всеми операторами биометрических данных. Например, обсуждаемая сейчас инициатива Центробанка по созданию специализированной платформы для управления доступом банков к личным данным решит этот вопрос в части банковских операций. Пока придется обратиться в каждый сервис по отдельности.
Что касается операторов биометрических данных, то чтобы не допустить компрометации данных своих сотрудников и клиентов, нужно соблюдать несколько базовых правил. Прежде всего не стоит хранить в инфраструктуре организации сами биометрические данные сотрудников/клиентов, только хеш-файлы, результаты сравнения с оригиналом и пр. Такой набор данных бесполезен вне биометрической системы и не может быть использован злоумышленниками. Также нужно регулярно обновлять все программное обеспечение до последних версий, использовать современные средства защиты для предотвращения угроз и управления безопасностью — в их числе DLP-системы (для предотвращения утечек информации), средства защиты от несанкционированного доступа, NGFW (для фильтрации трафика), системы многофакторной аутентификации и пр. Кроме того, важным фактором является обучение сотрудников основам киберграмотности, чтобы они сами случайно или по незнанию не стали угрозой сохранности своих или клиентских биометрических данных.
Валерий Ледовской, руководитель направления защиты прикладных систем компании Syssoft:
— Если вскрылся факт использования ваших биометрических данных, первое, что нужно сделать, — отключить возможность идентификации пользователя по биометрии в системах, где злоумышленники уязвимостью уже воспользовались, и перейти на другие методы идентификации человека. Дальше действуем ровно так же, как в случае кражи или потери банковской карты, — блокируем. После необходимо обратиться в поддержку системы, которой воспользовался злоумышленник, и быть готовым доказать, что не вы с ней взаимодействовали. Например, вы можете подтвердить, что находились во время компрометации в другом месте или что манипуляции производились не с вашего устройства. Учитывая, что такие действия злоумышленников подпадают под статью 272 УК РФ «Неправомерный доступ к компьютерной информации», может потребоваться обращение в правоохранительные органы. Снизить риск подделки биометрических данных и увеличить уровень безопасности позволит использование дополнительных факторов аутентификации.
Вадим Дигин, адвокат, управляющий партнер московского юридического центра «Адвокат Дигин и партнеры»:
— В настоящий момент защититься от кражи или подделки биометрических данных невозможно. Предполагается создание технологии «отменяемой биометрии», где предусматривается искажение биометрических данных на алгоритме. Здесь пользователи смогут применять свои методы использования биометрии, а при краже сведений достаточно будет сменить алгоритм добавления изменений. В настоящее время данный метод не применяется: при утечке биометрических данных необходимо обратиться в организации (к примеру, банки) и сообщить о взломе.
Подготовил Константин Фрумкин
