Rambler's Top100
Статьи
Николай НОСОВ  21 октября 2019

Биометрия не спасет

Безопасность биометрических методов аутентификации вызывает опасения у специалистов.

Эксперты в области информационной безопасности, в частности эксперты компании «Актив», отечественного разработчика программно-аппаратных ИБ-решений, высказывают опасения в отношении использования широко рекламируемых биометрических методов распознавания человека – идентификации, и аутентификации – проверки подлинности пользователя или документа.

Бизнесу нужно доверие, которое нелегко обеспечить в современном цифровом мире. Но без доверия цифровую экономику не построишь. Бизнес – это оценка рисков, и если риски слишком высоки, то люди не будут пользоваться современными технологиями. Требуется поиск баланса между удобством, безопасностью и стоимостью решения – сложные в использовании и дорогие средства не найдут спроса на рынке.

Широко применяемый российскими банками метод двухфакторной аутентификации с помощью SMS признан небезопасным Национальным институтом стандартов США (NIST), российскими и европейскими регуляторами. В качестве недорогого надежного средства подтверждения личности в цифровом мире предлагают использовать биометрию – уникальные биологические данные человека, такие как лицо, отпечатки пальцев, голос.

«Ростелеком» при поддержке Центрального Банка России запустил проект по удаленной идентификации граждан с помощью Единой биометрической системы (ЕБС). Декларируется, что с помощью биометрии (лица и голоса) можно будет стать клиентом банка и получать услуги через интернет без посещения офисов и предъявления паспорта. Обсуждаются перспективы оплаты покупок или проезда в общественном транспорте по скану лица.

«Для идентификации биометрия еще более или менее подходит, а для аутентификации – нет», – считает директор по развитию компании «Актив» Владимир Иванов. Технологии сбора и проверки биометрических данных «сырые» и не всегда работают. Возможность получения кредитов на чужое лицо уже сейчас привлекает мошенников. И если раньше получение мошеннического кредита с большой вероятностью указывало на сговор с сотрудником банка, то сначалом оформления кредитов через интернет преступникам стало работать проще. 

Идентификация личности в некоторых микрофинансовых организациях сводится к сравнению данных в заявке и в паспорте. Иногда не требуют даже скан документа, достаточно ввести его данные. Сканы чужих паспортов продаются в интернете, фотографии жертв можно найти в соцсетях, голос записать во время разговора по телефону. Можно подделать голос с помощью систем машинного обучения. Технологии изготовления муляжей человека уже прорабатываются и при появлении возможности с их помощью переводить через интернет большие суммы будут востребованы злоумышленниками.

Использование централизованной базы также несет риски компрометации, в частности со стороны обслуживающего персонала. И если электронную подпись поменять можно, то лицо и голос уже не сменишь. «Ничего одного универсального не будет. Иметь один ключ – все равно, что иметь один ключ от всего на свете. От сейфа, дачи, офиса и банковских счетов. Один и навсегда! Если потеряете – потеряете всё, просто перестанете существовать в электронном цифровом мире», – подчеркнул генеральный директор компании «Актив» Константин Черников.

Эксперты компании «Актив» считают, что для массового коммерческого использования по-прежнему более эффективны аппаратно-программные средства криптографической защиты. Например, ключевые носители – компактные устройства в виде USB-токенов, служащих для авторизации пользователей и безопасного удаленного доступа к информационным ресурсам. Они широко используются коммерческими организациями при проведении расчетов в системах интернет-банкинга. Для мобильных устройств предлагаются смарт-карты.

«Серебряной пули» в области безопасности не существует. Скандал с выдачей удостоверяющим центром чужой электронно-цифровой подписи мошеннику с последующей продажей квартиры жертвы через интернет – яркий пример возможных рисков. Ключевой носитель можно потерять, злоумышленники могут его украсть. Но стабильно растущий спрос показывает, что средства электронной подписи и аутентификации по-прежнему остаются базисным сегментом рынка информационной безопасности.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!