Эксперт о биометрических технологиях: Безопасность - личная ответственность каждого

11.01.2018 19:24 1046
Специалист по кибербезопасности прокомментировал взлом биометрических данных Агентства Индии по уникальной идентификации.

На этой неделе стало известно о расследовании индийских журналистов из издания The Tribune, в ходе которого те смогли получить доступ к биометрическим данным миллионов своих сограждан. Репортерам понадобилось всего 10 минут и 8 долларов на то, чтобы приобрести у неизвестного продавца в WhatsApp логин и пароль для входа на сайт Агентства Индии по уникальной идентификации (UIDAI), где содержатся персональные данные пользователей миллионов людей. Дилер предоставил софт для изготовления биометрической ID-карты пользователя, к которой привязаны имя, фамилия, телефонный номер и банковские данные подавляющего количества индийцев.

О масштабах угроз цифровой эпохи, связанных с передачей биометрических данных, ранее предупреждали в Роскомнадзоре. Глава надзорного ведомства Александр Жаров отмечал, что вопрос широкого внедрения этой системы нуждается в публичном обсуждении. В этой связи он особое внимание уделил процедуре биометрической идентификации детей, раскритиковав проект Сбербанка «Ладошки», позволяющий оплачивать по ладони питание в учебных заведениях, а также контролировать вход и выход ребенка. Для оплаты система идентифицирует ребенка по индивидуальному рисунку вен. В учебных заведениях, в которых установлен сервис, по ладони может быть организован проход в здание.

«Отношение к проекту «Ладошки» у меня отрицательное, мы находимся в дискуссии, и сейчас по закону его не должно быть, по крайней мере, школы мы по этому поводу наказываем», - заявил Жаров в декабре прошлого года (цитата по РИА Новости).

По его словам, биоидентификация – «это опасная история», ведь биометрические данные не только личное, но и национальное достояние, и «на этом будет строиться цифровая экономика нашей страны».

Руководитель развития сервисов кибербезопасности в странах дальнего зарубежья и СНГ группы компаний Softline Михаил Лисневский в комментарии НЕВСКИМ НОВОСТЯМ также обращает внимание на то, что система биоидентификации (отпечаток пальца, сканирование сетчатки и лица) уже активно используется во многих современных смартфонах, но при этом открытым остается вопрос – кто и как воспользуется личными данными в перспективе?

«С одной стороны, инцидент (взлом биометрических данных Агентства Индии по уникальной идентификации, - прим.ред) явно показывает, что с точки зрения безопасности есть над чем поработать, и этому пункту необходимо уделить побольше внимания. С другой стороны, заметно свойственное журналистам раздувание новостей - получить доступ к административному порталу сайта и получить доступ к биометрическим данным совершенно разные вещи. Как сказал в прошлом знаменитый хакер (сейчас он консультант) Кевин Митник: «Самое слабое звено в любой безопасности - это человеческий фактор». В данном случае это звено и сработало, и этим слабым звеном оказался тот самый дилер доступа. Несмотря на то, что биометрия осталась нетронутой, остальная персональная информация оказалась в свободном доступе. Если бы на месте журналистов оказался злоумышленник, это очень сильно облегчило бы ему задачу в подделке документов, например. Но основная мысль, которая наверняка тревожит людей после прочтения этой статьи, в другом. Уверен, что многие задумывались раньше и думают сейчас после прочтения о том, можно ли доверять кому-то свои биометрические данные? Насколько безопасен переход со старых методов на новые, и можно ли доверять сетчатке глаза вместо старого доброго пароля? А что случится, если мои биометрические данные украдут? Само возникновение этих вопросов в головах у людей говорит о том, что информационная безопасность является неотъемлемой частью не только больших корпораций, но и персональной ответственностью каждого. Давайте попробуем разобраться…

Биометрия предполагала отличное решение очень важной проблемы компрометации (факт доступа постороннего лица к защищаемой информации, - прим.ред) аутентификатора. До недавних пор самым распространенным аутентификатором являлся обычный пароль. И его всегда было довольно просто скомпрометировать - подобрать, украсть (в том случае, если он хранился запиской в бумажнике), подсмотреть и так далее. С появлением биометрии все стало гораздо сложнее - сложно подделать сетчатку глаза, согласитесь. Также появление биометрии в нашей жизни принесло много удобство - мало того, что проблема забытых паролей отошла в сторону, так еще и все аутентификаторы всегда с собой. Посмотрите на свой телефон - это отличный пример удобства биометрии. В моделях постарше данные в телефоне расшифровываются, используя отпечаток пальца. Да, именно расшифровываются. В большинстве топовых моделей данные на заблокированном телефоне зашифрованы, и пин-код - это не просто ключ к открытию экрана, а ключ к расшифровке информации, которая хранится на телефоне. Попробуйте перезагрузить iPhone и попросите позвонить на него, не разблокировав - вы не увидите имя адресата, так как данные зашифрованы и вы ни разу их не расшифровывали, чтобы поместить список контактов в другой блок памяти. Самые современные телефоны умеют распознавать лица. С биометрией можно использовать несколько аутентификаторов безо всяких неудобств для пользователя - например, температуру пальца и отпечаток, отпечаток и образ лица, и так далее. По всему получается, что биометрия во всем лучше, удобнее и безопаснее стандартных паролей. Но есть в ней пара недостатков.

Первый - если уж информация скомпрометирована, то дороги назад нет. Так ли это? И да, и нет. С одной стороны, отпечатки пальцев уже не изменить. Но с другой стороны, всегда можно добавить новый фактор биометрии - температуру пальца или силу нажатия кнопки, голос человека и так далее. В конце концов, для особо важных операций всегда можно добавить дополнительный фактор аутентификации старым добрым паролем. Согласитесь, не каждая операция с доступом требует высокой степени безопасности, чтобы настолько жертвовать комфортом.

Ну и второй, очень интересный момент о биометрии - это то, что мы всегда носим эту биометрию с собой. Недавно был проделан успешный эксперимент, в ходе которого удалось подделать отпечатки пальца человека по фотографии. При чем это была не фотография пальца в высоком разрешении, а обычная фотография на камеру телефона в момент публичного выступления человека. Немного страшновато, но тем не менее, и в этой ситуации нас выручит комбинация факторов для проверки доступа при повышенной необходимости безопасности. Вернемся опять к телефонам - последняя модель телефона Apple при двух неудачных попытках разблокировки с помощью отпечатка лица (если ваш телефон взял в руки кто-то другой), требует пароль.

Вывод напрашивается простой: биометрия - классная штука, приносящая в нашу жизнь удобства, и бояться ее не стоит. Но, тем не менее, всегда будьте начеку, так как безопасность - личная ответственность каждого».

Материалы по теме: