| Рубрикатор |  |
 |
Реклама
| Блоги |  |
Алексей ЛУКАЦКИЙ | |
|
Биометрия на марше
| 30 мая 2017 |
|
В последнее время вдруг очень актуальной стала тема биометрии - о ней
стали говорить не только компании-производители и специалисты по
безопасности, но и государство, которое даже сейчас рассматривает 3
законопроекта по данной теме:
- Законопроект Гаттарова-Матвиенко, который вносит правки в ФЗ-152, уточняя понятие биометрических персональных данных. По версии авторов законопроекта (а мне посчастливилось входить в группу, которая писала этот законопроект) такими данными признаются те, которые используются только при автоматической идентификации субъекта. Иными словами, сличение паспорта с лицом его предоставившим на охране или копирование паспорта в рамках идентификации по 115-ФЗ не будет относиться к обработке биометрических ПДн (в случае принятия данной поправки).
- Законопроект Аксакова, который также вносит правки в ФЗ-152, но всего одну. Аксаков предлагает разрешить обработку биометрических ПДн не только с согласия субъекта, но и его законного представителя.
- Законопроект по удаленной идентификации позволяет кредитным организациям использовать биометрические данные (фото, а также иные виды биометрии) при осуществлении взаимодействия между клиентами и банками. Законопроект является рамочным и просто устанавливает такую возможность, которая будет далее детализирована в нормативно-правовых актах Правительства и нормативных актах Банка России.
В принципе, биометрия действительно решает многие классические проблемы,
которые находятся на стыке безопасности и бизнеса. Традиционный вариант
проверки личности клиента по его кодовому слову, дате рождения и
девичьей фамилии матери давно уже перестали хоть как-то защищить
человека от мошенников - узнать эту информацию не представляется такой
уж и большой проблемой. По данным Центра речевых технологий 65% клиентов
банков не нравится процесс проверки по паролю и кодовому слову при
звонках в Call Center. 49% клиентов считает, что проверка слишком долгая
(от 40 до 90 секунд). 74% хотя бы раз не получили доступа к своим
данным из-за того, что не прошли проверку и не смогли подтвердить свою
личность стандартным способом. И биометрия может помочь во всех этих
случаях, но…
Когда представители компаний, занимающихся биометрией, рассказывают о том, какие преимущества она дает заказчику, они либо совсем, либо чуть-чуть только касаются вопросов обхода биометрических систем. Причем в рассказах об угрозах разработчики приводят набившие оскомину примеры с отрезанными пальцами, записанным голосом, муляжами ладоней или 3D-масками лица. Но все они представляют только один вектор атаки - на систему сбора данных. А где остальные 12 векторов? Почему про них никто ничего не говорит, рассматривая системы биометрии?
Когда представители компаний, занимающихся биометрией, рассказывают о том, какие преимущества она дает заказчику, они либо совсем, либо чуть-чуть только касаются вопросов обхода биометрических систем. Причем в рассказах об угрозах разработчики приводят набившие оскомину примеры с отрезанными пальцами, записанным голосом, муляжами ладоней или 3D-масками лица. Но все они представляют только один вектор атаки - на систему сбора данных. А где остальные 12 векторов? Почему про них никто ничего не говорит, рассматривая системы биометрии?
В условиях, когда биометрия будет насаждаться на уровне законодательных
инициатив, такое пренебрежение всесторонним моделированием может
сказаться крайне негативным образом на развитии в целом неплохой
технологии. Ведь государство ведет речь о системе национального
масштаба, где цена ошибки будет очень велика. Представьте себе, что в
результате отсутствия моделирования угроз выяснится, что злоумышленник
может украсть/подменить свертку биометрических данных (геометрии лица,
голоса или отпечатков пальцев). И что дальше делать? По сути на этих
способах будет поставлен жирный крест, так как если украденную пару
логин/пароль можно легко поменять, то свои отпечатки или лицо уже не
поменяешь (вариант с пластической хирургией мы, конечно, не
рассматриваем).
Та же проблема и в корпоративном применении биометрии. Тот же Сбербанк заявил в прошлом году, что планирует оснащать все свои банкоматы технологией распознавания клиентов. При масштабах банкоматной сети Сбера это будет дорогостоящий и небыстрый процесс (при сроке жизни банкомата в 7 лет). И что, если выяснится, что в процессе верификации, обработки сигнала, принятия решения или хранения допущена уязвимость, которая может быть использована злоумышленниками. И тут не только пойдет речь о снижении доверия к биометрии как таковой, но и о выброшенных на ветер деньгах и времени.
Вот примерно об этом я и говорил в Казани на IT & Security Forum, который уже в 11 раз проводился компанией ICL КПО ВС.
Источник
Та же проблема и в корпоративном применении биометрии. Тот же Сбербанк заявил в прошлом году, что планирует оснащать все свои банкоматы технологией распознавания клиентов. При масштабах банкоматной сети Сбера это будет дорогостоящий и небыстрый процесс (при сроке жизни банкомата в 7 лет). И что, если выяснится, что в процессе верификации, обработки сигнала, принятия решения или хранения допущена уязвимость, которая может быть использована злоумышленниками. И тут не только пойдет речь о снижении доверия к биометрии как таковой, но и о выброшенных на ветер деньгах и времени.
Вот примерно об этом я и говорил в Казани на IT & Security Forum, который уже в 11 раз проводился компанией ICL КПО ВС.
Источник
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.