Rambler's Top100
 
Блоги Алексей ЛУКАЦКИЙ

Биометрия на марше

  30 мая 2017 Страница персоны
В последнее время вдруг очень актуальной стала тема биометрии - о ней стали говорить не только компании-производители и специалисты по безопасности, но и государство, которое даже сейчас рассматривает 3 законопроекта по данной теме:
  • Законопроект Гаттарова-Матвиенко, который вносит правки в ФЗ-152, уточняя понятие биометрических персональных данных. По версии авторов законопроекта (а мне посчастливилось входить в группу, которая писала этот законопроект) такими данными признаются те, которые используются только при автоматической идентификации субъекта. Иными словами, сличение паспорта с лицом его предоставившим на охране или копирование паспорта в рамках идентификации по 115-ФЗ не будет относиться к обработке биометрических ПДн (в случае принятия данной поправки).
  • Законопроект Аксакова, который также вносит правки в ФЗ-152, но всего одну. Аксаков предлагает разрешить обработку биометрических ПДн не только с согласия субъекта, но и его законного представителя. 
  • Законопроект по удаленной идентификации позволяет кредитным организациям использовать биометрические данные (фото, а также иные виды биометрии) при осуществлении взаимодействия между клиентами и банками. Законопроект является рамочным и просто устанавливает такую возможность, которая будет далее детализирована в нормативно-правовых актах Правительства и нормативных актах Банка России.
В принципе, биометрия действительно решает многие классические проблемы, которые находятся на стыке безопасности и бизнеса. Традиционный вариант проверки личности клиента по его кодовому слову, дате рождения и девичьей фамилии матери давно уже перестали хоть как-то защищить человека от мошенников - узнать эту информацию не представляется такой уж и большой проблемой. По данным Центра речевых технологий 65% клиентов банков не нравится процесс проверки по паролю и кодовому слову при звонках в Call Center. 49% клиентов считает, что проверка слишком долгая (от 40 до 90 секунд). 74% хотя бы раз не получили доступа к своим данным из-за того, что не прошли проверку и не смогли подтвердить свою личность стандартным способом. И биометрия может помочь во всех этих случаях, но…

Когда представители компаний, занимающихся биометрией, рассказывают о том, какие преимущества она дает заказчику, они либо совсем, либо чуть-чуть только касаются вопросов обхода биометрических систем. Причем в рассказах об угрозах разработчики приводят набившие оскомину примеры с отрезанными пальцами, записанным голосом, муляжами ладоней или 3D-масками лица. Но все они представляют только один вектор атаки - на систему сбора данных. А где остальные 12 векторов? Почему про них никто ничего не говорит, рассматривая системы  биометрии?


В условиях, когда биометрия будет насаждаться на уровне законодательных инициатив, такое пренебрежение всесторонним моделированием может сказаться крайне негативным образом на развитии в целом неплохой технологии. Ведь государство ведет речь о системе национального масштаба, где цена ошибки будет очень велика. Представьте себе, что в результате отсутствия моделирования угроз выяснится, что злоумышленник может украсть/подменить свертку биометрических данных (геометрии лица, голоса или отпечатков пальцев). И что дальше делать? По сути на этих способах будет поставлен жирный крест, так как если украденную пару логин/пароль можно легко поменять, то свои отпечатки или лицо уже не поменяешь (вариант с пластической хирургией мы, конечно, не рассматриваем).

Та же проблема и в корпоративном применении биометрии. Тот же Сбербанк заявил в прошлом году, что планирует оснащать все свои банкоматы технологией распознавания клиентов. При масштабах банкоматной сети Сбера это будет дорогостоящий и небыстрый процесс (при сроке жизни банкомата в 7 лет). И что, если выяснится, что в процессе верификации, обработки сигнала, принятия решения или хранения допущена уязвимость, которая может быть использована злоумышленниками. И тут не только пойдет речь о снижении доверия к биометрии как таковой, но и о выброшенных на ветер деньгах и времени.

Вот примерно об этом я и говорил в Казани на IT & Security Forum, который уже в 11 раз проводился компанией ICL КПО ВС.
Источник

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.