Использование биометрии для аутентификации с каждым становится всё более популярным решением. С помощью биометрических технологий можно идентифицировать человека по уникальным физическим или поведенческим признакам: отпечатки пальцев, распознавание лица или радужной оболочки глаз, образца голоса и т. п.

При этом аналитики отмечают, что использование биометрических данных влечёт за собой определённые риски и вызывает опасения по поводу конфиденциальности. Хранение и обработка биометрических данных требуют высокого уровня защиты данных, поскольку в случае утечки такой информации последствия могут быть намного серьёзнее, чем при утечке традиционных данных. Кроме того, есть вопросы этического характера, связанные с возможным неправомерным использованием таких данных третьими лицами.

Редакция CISOCLUB пообщалась с экспертами, чтобы выяснить основные тенденции и нововведения в области биометрической аутентификации, ключевые проблемы и уязвимости биометрических систем, примеры успешных атак на биометрические системы аутентификации, возникающие этические проблемы при использование биометрических данных и многое другое. На наши вопросы ответили:

• Василиса Скидан, консультант департамента консалтинга и аудита компании «Информзащита».
• Алексей Хмельницкий, генеральный директор компании RooX.
• Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes).
• Евгений Киров, руководитель группы Presale Cloud Networks.

Какие основные тенденции и нововведения в области биометрической аутентификации вы считаете наиболее значимыми в последние годы?

Василиса Скидан, консультант департамента консалтинга и аудита компании «Информзащита»:

«Одной из самых трендовых технологий в части биометрии можно назвать сервисы оплаты при помощи биометрии, предоставляемые ключевыми банковскими организациями в Российской Федерации. Для оплаты на кассе необходимо посмотреть в камеру, которая считывает информацию об уникальных чертах лица (ключевые точки лица) и сравнивает ее со сведениями, хранящимися в базе данных банка, при условии, что клиент ранее предоставил свои биометрические данные (а именно изображение лица) банку.

Подобные сервисы развиваются и внедряются повсеместно в магазинах и в общественном транспорте для удобства и ускорения процесса оплаты услуг и товаров. Таким образом, технологии аутентификации при помощи биометрии постепенно вливаются в повседневную жизнь простых пользователей, не являющихся ИТ- или ИБ-специалистами, что в свою очередь провоцирует повышенный интерес потенциальных правонарушителей к данному классу технологий.

По этой же причине развиваются и меры защиты в указанной области, поскольку сами по себе биометрические персональные данные являются чувствительной информацией, требующей надлежащего обращения с ней и определенного уровня обеспечения информационной безопасности. В части обработки биометрии государство активно развивает нормативное регулирование и задает минимальные планки соответствия для операторов, которые хотят обрабатывать биометрию (например, обязанность подключения к Единой биометрической системе)».

Алексей Хмельницкий, генеральный директор компании RooX:

«Одним из любопытных перспективных применений биометрии мне кажется различение человека от сгенерированной личности. В будущем неизбежно противостояние биометрической аутентификации и фейковых личностей, сгенерированных ИИ.

Например, уже сейчас известны случаи, когда при помощи технологий на базе искусственного интеллекта и дипфейков люди пытаются пройти собеседование за другого человека или воздействовать на сотрудников от лица «начальства».

Также не следует забывать, что в качестве биометрической аутентификации может выступать не только измерение параметров лица, голоса и так далее, но и оценка поведения пользователя. Так, необычный ритм ввода символов в формах или движение курсора позволяет с высокой долей достоверности отличать настоящих пользователей от сгенерированных».

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes):

«Основное – это повышение доступности биометрических технологий и их появление в пользовательских устройствах. В первую очередь речь о смартфонах: сначала появилась возможность идентификации по отпечатку пальца, кстати не очень надежная с точки зрения безопасности, поскольку совпадение один к 50 тысячам, а затем Face ID и другие варианты. То, что биометрия стала неотъемлемой частью устройств, с которыми подавляющее большинство людей взаимодействуют ежедневно, дало очень большой толчок развитию технологий в этом направлении».

Евгений Киров, руководитель группы Presale Cloud Networks:

«Данная тема, правда, очень актуальна. Мы, работая в области ИБ, смотрим на биометрию больше с точки зрения её защищенности. Разбирать все тенденции и ранжировать нововведения — это хлеб разработчиков биометрических систем, для меня лично интересны два момента:

первый — это использование личных устройств для биометрической аутентификации;

второй — это то, что как ни с какой другой системой аутентификации с биометрией происходит забавная вещь.

Чем быстрее и шире развивается биометрия, тем активнее развиваются способы ее сломать. Тем более в век нейросетей и бигдаты!».

В чем заключаются ключевые проблемы и уязвимости биометрических систем аутентификации с точки зрения ИБ?

Евгений Киров, руководитель группы Presale Cloud Networks, заявил, что, конечно, в целом в развитии современных технологий — как материалов, так и программного обеспечения. На самом деле, ключевая проблема заключается в том, что, например, пароль надо еще угадать или перехватить, также как и второй фактор, а вот биометрию надо всего лишь воспроизвести.

«Да, мы действительно приблизились к сценам из фильмов Джеймса Бонда, миссия не выполнима в реальной жизни», — уточнил эксперт.

По словам Василия Степаненко, генерального директора облачного провайдера «НУБЕС» (Nubes), самая главная проблема всей биометрической информации заключается в том, что утекает она только один раз. То есть, скомпрометированный пароль можно заменить, а отпечатки пальцев, или биометрию лица – нет. Также к проблемам можно отнести точность аутентификации и тренд, который стремительно набирает обороты — искусственный интеллект, а точнее созданные при помощи ИИ дипфейки, которые подделывают голос, фото- и видеоизображения.

Можете привести примеры успешных атак на биометрические системы аутентификации и описать, какие выводы были сделаны?

Евгений Киров, руководитель группы Presale Cloud Networks: «Легко, всё гуглится на раз-два. Но приведу примеры, которые будут подчеркивать вышесказанное, да и вообще мне нравятся. Давайте так — пишут 704%! Ну, и как обстоят в этом примере дела с прорывными технологиями? Не думаю, что нужно много источников и примеров. Здесь просто все очень красочно и достаточно: «На прошлой неделе полиция Гонконга объявила, что финансового работника убедили отправить мошенникам сумму, эквивалентную 25 миллионам долларов, после участия в телеконференции с дипфейками нескольких коллег. А в 2021 году мошенники в Китае украли сумму, эквивалентную 75 миллионам долларов, с помощью поддельных налоговых счетов после использования дипфейков для обмана государственных систем распознавания лиц».

Как развитие искусственного интеллекта и машинного обучения влияет на эффективность и безопасность биометрических технологий?

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes), отметил, что всё более активное и зачастую уже бесконтрольное использование нейросетей для генерации «всего на свете» в цифровом пространстве в разы увеличило и продолжает увеличивать риски фальсификации биометрических данных.

«При этом биометрия – относительно надежная система аутентификации. То есть ИИ может сгенерировать миллиард комбинаций сетчатки глаза, или отпечатка пальца, но система безопасности просто не даст возможность проверить этот миллиард простым перебором вариантов.   

С другой стороны, неоднозначно то, что нужно относить к биометрии, а что – нет. Например, голос, как и лицо человека меняются как с возрастом, так и ситуативно, например, усы и борода у мужчин, или охрипший из-за болезни голос. И стоит ли на этих параметрах основывать систему аутентификации – большой вопрос. Голос, кстати, ИИ научился имитировать уже довольно прилично».

Василиса Скидан, консультант департамента консалтинга и аудита компании «Информзащита», уверена, что технологии машинного обучения полезны, в том числе, при работе с биометрией – например, в случаях, когда используются голосовые помощники. При распознавании голоса технология может выдавать обратившемуся лицу заранее определенные права доступа или разрешения на совершение тех или иных действий.

«В повседневной жизни подобные примеры можно встретить при использовании устройств «умного дома», включающие определенные музыкальные жанры, подборки основываясь на распознавании голоса того или иного члена семьи, либо запускать конкретные сценарии действий, настроенные персонально под конкретного человека.

Таким образом можно наблюдать синергию машинного обучения и биометрии – биометрия для аутентификации и авторизации в рамках технологии, запускающей обширный поиск подходящих данных для конкретного объекта. Разумеется, глобально также возможно применение нейросетей для непосредственного поиска по биометрии: например, при работе в городе систем видеонаблюдения, снабженных датчиками распознавания биометрических данных, можно эффективно найти искомого владельца уникальных черт (либо существенно уменьшить круг поиска) – здесь также наглядно прослеживается обработка биометрии в рамках функционирования машинного обучения».

Евгений Киров, руководитель группы Presale Cloud Networks: «Развитие нейросетей саботировало технологию биометрии. Что-то пошло не так. Биометрия проигрывает этот бой. Я лично не планирую ей пользоваться. Возможно, это тупиковый путь развития. Ну, давайте так, какую биометрию сложно добыть или подделать? Глаза, ваше фото, лицо и мимика? Дипфейк (сегодня люди уже не способны отличить своих родственников на видео от продукта нейросети). Завтра и у нейросети не останется шанса узнать нейросеть. 

Ну, ладно, давайте еще немного про фото: «Один незадачливый торговец наркотиками из Ливерпуля на собственном горьком опыте обнаружил, что отпечатки пальцев можно идентифицировать неожиданными способами. После публикации фотографии, на которой он держит в руке упаковку одного из своих любимых продуктов, сыра «Стилтон», полиция заметила фотографию, отследила его отпечатки пальцев и арестовала его после того, как связала отпечатки с преступлениями».

Что еще? Походка? Дипфейк, ДНК? Здесь надо физически с вами встретиться, но мы пока все еще выходим в магазин и гуляем с собаками».

Какие этические проблемы возникают при использование биометрических данных в аутентификационных системах?

Евгений Киров, руководитель группы Presale Cloud Networks, отметил, что в его понимании, если его биометрические данные будут скомпрометированы и станут общедоступными после очередного взлома какой-нибудь единой биометрической системы, то он никогда больше не сможет ими пользоваться. А если биометрия будет вытеснять все остальные способы защиты, он буду чувствовать себя в опасности все больше и больше.

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes): «Интересен подход к биометрии в Индии. Там на официальном уровне такие данные стремятся защищать максимально. Потому что власти исходят из того, что если биометрия утекает один раз, то это навсегда дискредитирует данные и аннулирует аутентификацию посредством биометрии во всех системах.

Существующая в России Единая биометрическая система (ЕБС), а точнее процесс ее создания, пока похоже идет не очень успешно. Граждане сдают биометрические данные неохотно. У людей нет четкого понимания на будущее в какой системе и для каких услуг эта биометрия будет использоваться. Получается, что однажды сдав биометрию для идентификации в банке, человек потом, например, с помощью этого же механизма получает возможность оплачивать проезд в метро, а потом и оформить куплю-продажу квартиры. И если подделывать биометрию ради прохода в метро преступники едва ли станут, то ситуация с квартирой – уже вполне приемлемый куш для злоумышленников.

В целом, биометрия сейчас воспринимается как нечто мало используемое, а сервисы, предоставляемые с ее помощью – удобными, но необязательными. А между тем, «Кража личности», то есть верифицированной биометрии, может иметь самые серьезные последствия – от использования данных для мошенничества и подлога, до того, что «лицо» непричастного человека появится на записях камер видеонаблюдения во время совершения, например, террористического акта. Мнее экстремальные, но важные примеры «кражи личности», которые есть уже сейчас: истории, когда нейросеть генерирует голос, например, известных актеров озвучания, или переводчиков и их «голосом» переозвучивает фильмы. По сути, для этих людей голос – это профессиональный инструмент, способ зарабатывать на жизнь и этого инструмента их лишают».

Какие шаги должны предпринимать организации для защиты биометрических данных своих пользователей от несанкционированного доступа и утечек?

Василиса Скидан, консультант департамента консалтинга и аудита компании «Информзащита»: «В случае, если организация решает внедрить у себя систему, использующую обработку биометрии, следует тщательно продумать порядок работы с такой информацией. Как минимум, необходимо проанализировать применимые регуляторные требования в данной сфере и в первую очередь Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006, поскольку любая биометрия является персональными данными, которые можно обрабатывать только при соблюдении ряда условий (например, на основании согласия субъекта персональных данных, в силу прямого указания закона и т.д.).

Кроме того, в случае применимости (в случае автоматизированной обработки изображений, содержащих биометрические данные), необходимо изучить Федеральный закон № 572 от 29.12.2022, определяющий порядок использования биометрических персональных данных при идентификации и аутентификации субъектов персональных данных, а также порядок подключения к Единой биометрической системе, являющийся обязательным в ряде случаев (например, при использовании биометрии в рамках осуществления банковской деятельности). Разумеется, в числе применимых нормативных актов можно упомянуть и различные документы, регламентирующие технические меры защиты информации, в частности – Приказ ФСТЭК России № 21 от 18.02.2013 (поскольку любая информационная система, обрабатывающая биометрические данные, является информационной системой персональных данных).

Также, в случае если система, обрабатывающая биометрию, является значимым объектом критической информационной инфраструктуры, обязательным будет применение Приказа ФСТЭК России № 239 от 25.12.2017 и ряд других документов в области обеспечения информационной безопасности критической информационной инфраструктуры Российской Федерации».

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes): «Первое и самое главное, что можно посоветовать – не собирать без необходимости биометрические данные. Исходить нужно из того, что утечь могут любые сведения из сколь угодно защищенных хранилищ. Так что по возможности нужно стремиться к тому, чтобы нечему было утекать.

Если же сбор биометрии все же необходим, то надо максимально озаботиться безопасным хранением. Правильная система не подразумевает хранения самой биометрической информации. Хранятся только хэшированные данные, которые проверяются каждый раз при обращении за подтверждением. Желательно еще этот хешированный алгоритм «посолить», то есть добавить известную только тебе дополнительную функцию. Тогда получить данные простым перебором вариантов будет невозможно.  Желательно также не хранить все данные централизованно в одном месте».

Евгений Киров, руководитель группы Presale Cloud Networks: «Приходите к нам, и мы разработаем для вас план построения систем безопасности с целью снижения риска утечки биометрических данных. Но я призываю всех задуматься, а биометрия — это панацея или ахилесова пята?».

Какие технологии считаются наиболее перспективными для повышения надежности и безопасности биометрической аутентификации?

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes), убеждён, что нет однозначного ответа на вопрос о том, какие технологии и какие биометрические данные (сетчатка глаза, отпечаток пальца, узор вен на кисти руки, анализ походки и т. д.) можно считать наиболее перспективными.

«Все зависит от того, где и при помощи каких устройств эта биометрическая аутентификация применяется. Со смартфона проходить аутентификацию по анализу походки или узору вен на кистях рук – затруднительно и неэффективно, но отпечаток пальца, или Face ID отлично подходят. В метро же, например, идентификация по походке, или сканирование руки на валидаторе отлично можно применять. 

Перспективными с точки зрения безопасности, но едва ли претендующими на массовость, можно назвать необычные технологии аутентификации. Есть, например, эксперименты по идентификации человека по манере печати на клавиатуре. Выяснили, что эта манера уникальна у каждого и можно это использовать как биометрию.

Но скорее всего хорошие перспективы развития в части биометрической аутентификации имеет не какая-то одна технология, а комбинация из нескольких технологий. И пресловутые нейросети в будущем способны не только навредить биометрии, создавая дипфейки, но и помочь ей, улучшив работу систем распознавания, чтобы те давали меньше сбоев при аутентификации».

Евгений Киров, руководитель группы Presale Cloud Networks: «В целом, идея одна — это совмещать факторы + пин коды + пароли и т. д. И использовать шифрование».

Источник: CISOCLUB