ENG
Технологии

Как удостоверить вашу личность

Проблема аутентификации, то есть подтверждения подписи и личности человека, сегодня находится в центре процессов цифровизации: на ней завязаны важнейшие вопросы финансового сектора и государственного управления. От эффективности аутентификации клиентов зависит развитие всех видов дистанционных сервисов, а значит, сокращение физической сети отделений банков, страховых компаний — а в перспективе и государственных учреждений. В принципе, технически вопросы дистанционной аутентификации решены — однако абсолютно надежными все существующие сегодня способы технологичного подтверждения личности назвать нельзя. Мошенники повышают свою квалификацию вместе с развитием технологий, и криминальная хроника уже сообщает, что с помощью поддельной электронной подписи на людей навешивают долги или даже похищают квартиры.

Как удостоверить вашу личность
Художник: Юрий Аратовский

Войти в один банк дважды

У всех видов дистанционного удостоверения личности есть свои недостатки, начиная с широко используемой российскими банками системы «двухфакторной аутентификации», подразумевающей наличие второго способа подтверждения личности — чаще всего с помощью мобильного телефона. Однако, как отмечает директор департамента информационной безопасности компании Oberon Андрей Головин, телефон может стать объектом мошеннических манипуляций: так, в сентябре 2019 года был совсем вопиющий случай — мошенники завладели сайтом «Банки сегодня», перевыпустив SIM-карту администратора портала.

«Есть множество историй о том, как злоумышленники клонировали SIM-карту или получили доступ к смартфону владельца счета и вывели со счета все деньги», — подтверждает директор по развитию компании «Актив» Владимир Иванов.

В то же время он подчеркивает, что данная проблема касается только юридических, а не физических лиц, использующих криптографические токены.

Их знали только в лицо

Казалось бы, самым технически продвинутым видом аутентификации является биометрическая, которая сегодня существует в пяти разновидностях: по отпечаткам пальцев, лицу, радужной оболочке, рисунку вен на ладони и голосу. Каждой из этих разновидностей свойственны свои проблемы. Как рассказал «Инвест-Форсайту» технический директор компании Merion Network Олег Тундайкин, с биометрией связаны и проблемы пользовательского недоверия к технологии, и проблемы разработчиков биометрических систем. Проблемы недоверия пользователей, по мнению эксперта, уйдут вместе с ростом компьютерной грамотности населения: тут отличным примером является Индия с ее системой Aadhaar, где используется идентификации на основе отпечатков пальцев и радужной оболочки глаза. В базе Aadhaar уже содержится свыше 1,15 млрд записей — это около 86% населения страны.

Между тем, продолжает Олег Тундайкин, разработчики систем зачастую сталкиваются с проблемой изменения биометрического шаблона человека: рука или глаз могут быть травмированы, голос может измениться. Это делает необходимым потребность в обновлении биометрической базы человека раз в 5–10 лет.

Заместитель генерального директора Infosecurity a Softline Company Игорь Сергиенко также отмечает, что системы биометрической идентификации не защищены от FAR (False Acceptance Rate) и FRR (False Rejection Rate). В первом случае речь идет о ложном совпадении биометрических характеристик двух людей, во втором — об отказе доступа человеку, имеющему допуск. А раз существуют такие ошибки, есть вероятность успешной идентификации злоумышленника от имени другого человека.

Украсть отпечатки пальцев

В сущности, попадая в систему идентификации, отпечаток пальца или характеристика голоса становятся не более чем набором цифр — а значит, их можно будет украсть точно так же, как пароль.

«Каждый день мы читаем новости о хищениях персональных данных, в том числе паспортных, — констатирует Андрей Головин из компании Oberon. — По ним злоумышленники ухитряются оформить, к примеру, кредит. Далее достаточно представить, насколько велики риски в случае “утечки” отпечатков пальцев, 3D-изображений лиц или голоса. Это может открыть много новых возможностей для преступников».

Игорь Сергиенко дополняет:

«Мошенники постоянно работают над созданием алгоритмов обмана систем биометрической идентификации, поэтому рекомендуется использовать этот способ идентификации как дополнение к основным факторам, таким как смарт-карты или учетные записи с паролем».

Самое главное: можно получить новый паспорт, можно сменить пароль, можно заблокировать и перевыпустить банковскую карту, но дискредитированные мошенниками отпечатки пальцев и другие биометрические идентификаторы сменить нельзя. Поэтому, как считает Владимир Иванов из компании «Актив», эффективно реализовываться биометрия может пока только в определенных нишах: ее логично использовать для разблокировки смартфонов, но не для доступа к банковским счетам.

«Никто из тех, кто ратует за биометрию, не спешит поставить к себе на входную дверь удобный замок, открывающийся по отпечатку. Все пользуются старыми добрыми ключами», — иронично замечает эксперт.

Подпись без подписавшего

Среди продвинутых пользователей — прежде всего предпринимателей и топ-менеджеров компаний — растет популярность такого метода электронной аутентификации, как электронная подпись, однако также быстро растет и число афер с нею, например: по сообщению СРО «Микрофинансирование и развитие», в 2019 году в три раза увеличилось количество незаконного получения микрозаймов с использованием чужой электронной подписи. В некоторых случаях мошенники получали в удостоверяющих центрах (УЦ) чужую электронную подпись по фальшивой доверенности. По мнению Игоря Сергиенко (компания Infosecurity a Softline Company), проблема кроется в отсутствии контроля за удостоверяющими центрами и реальных наказаний в случае нарушения процессов выдачи ключей и идентификации получателей ключей.

Это компрометирует саму идею электронной подписи как безопасного инструмента при взаимодействии физических и юридических лиц. Андрей Головин (компания Oberon) полагает, что ситуация тут может быть исправлена введением фото- и видеофиксации личного обращения заявителя в удостоверяющий центр. Однако решения другой проблемы — в полной мере надежного хранения электронной подписи — к сожалению, пока нет. Эксперты предлагают отнести генерацию и хранение закрытого ключа к зоне ответственности граждан или юридических лиц.

Новые поправки в 63-ФЗ «Об электронной подписи» должны учесть существующие недостатки в нормативном регулировании деятельности удостоверяющих центров, однако, считает Игорь Сергиенко, есть риск, что переходный период при вступлении поправок в силу затянется. В этом случае ситуация в лучшую сторону не изменится, скорее, наоборот: с учетом общего движения к цифровой трансформации рисков становится все больше.

«Основная проблема с электронной подписью в том, что никто, кроме специалистов, не понимает, что это, какие опасности в себе несёт и как этим безопасно пользоваться, — заявляет Владимир Иванов (компания «Актив»). — И вместо того чтобы прописать в законодательстве требования к защищённому хранению ключей ЭП в аппаратном токене без возможности извлечения (а значит, и создания дубликатов), планируют эксперименты с облачной подписью. Передача ключей ЭП на уделенное хранение вряд ли повысит доверие населения к технологии».

Знать свою вещь

Наряду с проблемой идентификации людей общество постепенно задумывается над проблемой идентификации вещей — то есть идентификации подключенных к Сети устройств в рамках интернета вещей. Впрочем, это скорее вопрос будущего: на сегодняшний день самой большой проблемой является не идентификация самих устройств, а их безопасность. Владимир Иванов отмечает, что данные, передаваемые в межмашинном взаимодействии (М2М), безусловно, должны быть защищенными и достоверными. Первое обеспечивается шифрованием, второе — электронной подписью пакетов. Например, умный счетчик должен быть защищен от хитрых жильцов, которые могут захотеть передавать ложные показатели. Для защиты разработаны специальные аппаратные решения, которые могут встраиваться прямо на плату умного устройства (в виде чипа) либо интегрироваться с умным устройством (в виде отдельной платы с набором стандартных интерфейсов).

Стоит также отметить, что проблема идентификации технических устройств в рамках Internet of Things нашла свое отражение в нацпроекте «Цифровая экономика», и за всей этой деятельностью, видимо, со временем будет установлен государственный надзор, который может приобрести форму изоляции российского Internet of Things. Минкомсвязи уже рассматривает концепцию развития интернета вещей, предполагающую доступ правоохранительных органов к информации, хранящейся на IoT-платформах. Прорабатывается вопрос создания реестра устройств, точек доступа и других элементов, рассматривается формирование замкнутой сети российского интернета вещей. Таким образом, констатирует Андрей Головин, использование гаджетов без идентификаторов в России должно быть ограничено, а для оказания услуг в сфере интернета вещей предлагается ввести и выдавать отдельную лицензию.

Улыбайтесь, вас снимают

Ну а что нас ждет в этой сфере в будущем? Разумеется, биометрические технологии и технологии на основе использования смартфона будут развиваться и распространяться.

«Быстрее всего развиваются технологии для идентификации по голосу и лицу, — уверен Игорь Сергиенко (компания Infosecurity a Softline Company). — Этот способ аутентификации не требует больших затрат на оборудование для снятия биометрических образцов. Активно разрабатываются дополнительные механизмы, такие как сканирование отпечатков пальцев, идентификация по рисунку вен, сетчатке глаза, геометрии ладони и другие».

При этом эксперты отмечают возможность синергии между биометрическими технологиями и всеобщим распространением камер видеонаблюдения.

«Вполне возможно, — фантазирует Андрей Головин, — что скоро дополнительное подтверждение личности клиента в банке не потребуется, ведь на протяжении всего пути его будут распознавать камеры, а при входе в отделение сразу же отобразится информация о том, кто зашел. Надеюсь, качество и безопасность применения подобных технологий тоже продолжат активно развиваться».

Автор: Константин Фрумкин

Подписывайтесь на канал «Инвест-Форсайта» в «Яндекс.Дзене»
Подписывайтесь на наши телеграм-каналы «Стартапы и технологии» и «Новые инвестиции»
Загрузка...
Предыдущая статьяСледующая статья