Насколько безопасна биометрия
Биометрия не обеспечивает 100% защиты от действий злоумышленников. Как еще один фактор обеспечения безопасности биометрия может существенно повысить безопасность хранения данных, считают эксперты, принявшие участие в работе круглого стола iot.ru. Специалисты советуют защищать одной лишь биометрией данные, не имеющих особой ценности.
-
Спикеры:
-
Михаил Кондрашин, технический директор Trend Micro в России и странах СНГ
-
Никита Пинчук, директор по технологиям Infosecurity a Softline Company
-
Игорь Смирнов, старший инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет»
-
Андрей Грузинов, директор департамента информационной безопасности Oberon
-
Юлий Гольдберг, Директор по инновациям, SAS Россия / СНГ
Насколько хорошо защищены биометрические данные рядовых/корпоративных пользователей от взлома, кражи, редактирования?
Игорь Смирнов: Как правило, организации, собирающие и обрабатывающие биометрические данные, уделяют повышенное внимание вопросам безопасности, связанным с хранением цифровых образов. Важно учитывать и другие потенциальные риски. Например, биометрические данные могут быть также перехвачены при их передаче, если компания не обеспечит защиту каналов связи. А при недостаточно высоком уровне защищенности точек сбора биометрические данные могут быть подвержены краже или мошенническим действиям. Так, при регистрации пользователя в Единой биометрической системе злоумышленник может подменить изображение лица и запись голоса человека на свои данные.
Михаил Кондрашин: Чаще всего биометрические данные защищаются также, как и прочие конфиденциальные данные. Но для подобного класса информации этого совершенно недостаточно, так как биометрия не может быть изменена в случае её компрометации, как, например, пароль доступа.
Поэтому лучше обрабатывать биометрию без ее хранения. Для целей аутентификации вполне достаточно хранить только «слепки» биометрических данных, что не позволит восстановить биометрические параметры в случае утечки.
К сожалению, подобные инциденты уже случались. Например, в 2016 году на Филиппинах утекли персональные данные 55 млн зарегистрированных избирателей, в результате чего были раскрыты и маркеры отпечатков пальцев.
Никита Пинчук: С одной стороны, средства сбора и обработки данных должны быть надежно защищены, являться автономной и особо защищенной структурной единицей ИБ-инфраструктуры. Защита контура должна происходить по всем современным стандартам: выделение в защищенный сегмент, наличие двухфакторной аутентификации, ограниченный круг лиц при доступе к контуру, постановка на мониторинг и реагирование SOC (security operations center).
C другой стороны, сами данные можно получить, не прибегая к взлому базы данных, классическими методами такими как снятие отпечатков пальцев, использование видео и фото материалов. В целом, подделка непосредственно отпечатков, если говорить о желатиновых, силиконовых слепах, а также дактилоскопической модели, не являются особенно сложной задачей для специалистов.
Важно, чтобы к вопросу защиты биометрической информации ответственно подходили не только организации, но и сами пользователи. В дополнение к биометрической лучше всего использовать иные способы идентификации.
Андрей Грузинов: К сожалению, бизнес мыслит только финансовыми показателями, забывая или не принимая в расчет репутационные риски и риски для граждан, чьи персональные данные скомпрометированы. Многие российские компании принимают этот риск осознанно.
В РФ фактически нет наказания за утечку персональных данных. Не берем в расчет ст. 13.14 со штрафом в 5 тыс. руб. - это просто смешные деньги для бизнеса. Роскомнадзор и суды не горят желанием штрафовать нарушителей в области персональных данных, подавляющее большинство выявленных нарушений заканчивается только предупреждением.
Например, в Евросоюзе за утечки персональных данных предусмотрены GDPR штрафы до 20 млн евро или 4% от оборота компании. Вывод напрашивается сам собой: на данном этапе развития бизнеса в РФ нет знака равенства между защитой финансовых показателей и персональными данными клиентов и работников компании.
Каково количество инцидентов, связанных с биометрическими данными в 2018 году?
Андрей Грузинов: Случаи утечки миллионов записей персональных данных в России регистрируются не часто. Тем не менее, общее число утечек продолжает расти, в 2018 на 5% по сравнению с 2017. В 2018 году большинство утечек персональных данных произошли в результате умышленных действий сотрудников организаций (превышение прав доступа к базам данных и использование служебной информации в мошеннических целях).
Самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора. Несмотря на то что баг был оперативно устранен, скомпрометированной оказалась база данных о 14 млн бывших студентов.
Например, в столичном метро оператор Wi-Fi не защищал номера телефонов. Брешь в системе безопасности позволяла заинтересованным лицам более года составлять портрет каждого пользователя, зная лишь номер его мобильного телефона. Пострадало примерно 12 млн. пользователей. «Пострадал» ли Метрополитен как юридическое лицо? Нет!
Переход на электронные медицинские карты и перевод конфиденциальной информации в цифровое русло также не всегда проходят безболезненно. Так французское Управление по защите данных (CNIL) оштрафовало компанию Optical Centre на $300 тыс. за утечку сотен тысяч счетов клиентов, содержавших персональные данные и информацию о здоровье.
Юлий Гольдберг: Точной статистики по этому поводу у меня нет. Учитывая, что в информационном поле не было громких случаев, связанных с подобными кражами, думаю, что они пока единичны. Косвенно это подтверждают, например, цифры за 2018 год по России, согласно которым подавляющее большинство кибератак на банки ставило своей целью хищение денег, а не данных. Система биометрической идентификации только вводится, тем более в добровольном режиме, она еще не выведена с пилотного уровня, поэтому неудивительно, что каких-то массированных атак пока не было, либо мы о них ничего не знаем. Тем не менее, есть опасения, что в 2019 году ситуация может измениться к худшему: ряд экспертов прогнозирует, что кражи биометрических данных войдут в топ-5 угроз безопасности.
Никита Пинчук: На рынке РФ, несмотря на огромное количество новостей об успешном внедрении систем биометрической идентификации, практическая реализация подобных технологий не используется в критичных сервисах, в связи с этим говорить о трендах и статистике пока преждевременно. Как только технологии войдут в повседневное использование в финансовой сфере, промышленности, сфере услуг, где от кражи данных есть финансовый эффект, мы увидим новые ответные технологии обхода и реальные случаи их применения злодеями.
Какие отрасли наиболее уязвимы перед хакерами, специализирующимися на биометрии?
Юлий Гольдберг: Биометрия используется не для защиты данных, биометрия используется для идентификации и авторизации, т.е. разрешения доступа, и, конечно, это не единственный инструмент на сегодняшний день. Хотя она становится все популярнее, ни в России, ни в Казахстане, ни в подавляющем большинстве стран мира она не вводится директивно (отдельный и не совсем релевантный пример – Китай, где биометрическая идентификация используется в принудительном порядке для построения социального рейтинга). Пользователи могут выбирать, как их будут идентифицировать – по обычным пин-кодам, паролям, документам или с помощью отпечатка пальцев и скана сетчатки.
Думаю, что эта тенденция сохранится и в ближайшем будущем – процент биометрии будет расти, но и традиционные методы не потеряют актуальности. Что касается уязвимости перед хакерами – то я бы сказал, что это банки, но не потому, что они хуже защищены – они обычно как раз лучше защищены, – но там есть чем поживиться. Чаще всего хакеры охотятся за деньгами, банки – их основная мишень, их чаще атакуют. Сама по себе биометрия хакерам не так интересна, получение биометрических данных – это лишь ключ к хранилищу с деньгами, возможность несанкционированного доступа.
Игорь Смирнов: Ни одна система не дает 100% защиты от действий злоумышленников, биометрия не является исключением. При этом использование биометрии как второго фактора аутентификации может существенно повышать безопасность защищаемых данных. Для предотвращения несанкционированного доступа к критичной информации рекомендуется использовать бимодальные системы биометрической аутентификации, которые снижают вероятность ложной идентификации.
Стоит ли использовать только биометрию для защиты данных?
Михаил Кондрашин: Только биометрию допустимо использовать для данных, которые не представляют особой ценности. В остальных случаях стоит рассмотреть применение двухфакторной аутентификации, которая дополняет биометрию паролем.
Никита Пинчук: Убежден, что нет. Можно с уверенностью сказать, что невозможно ограничиться лишь защитой самих систем сбора и обработки биометрической информации. Необходимо использовать дополнительный фактор, возможно, онлайн видео идентификация, классические одноразовые пароли и т.д.
Какие дополнительные меры предпринимают предприятия для защиты биометрии?
Никита Пинчук: Обеспечение и повышение осведомленности персонала и клиентов по вопросам биометрической идентификации, защита контуров и постановка на дополнительный мониторинг и реагирование SOC, что значительно снижает риски доступа к данным и их неправомерное использование.
Юлий Гольдберг: Если же говорить о мерах, принимаемых на отраслевом и государственном уровне, то в России Центробанк уже разработал рекомендации по работе с биометрическими данными клиентов, которые призваны минимизировать риск утечки или кражи ценной информации, но это тоже только начало.
Игорь Смирнов: Для защиты цифровых образов граждан предприятия могут использовать шифрование и хранение биометрических шаблонов в виде односторонних хеш-функций. Эти меры обеспечивают конфиденциальность информации даже в случае утечек и не позволяют злоумышленникам восстановить исходные биометрические данные. Также используются методы распределенного хранения информации: даже при компрометации базы данных злоумышленникам будет сложно сопоставить биометрические данные с конкретными пользователями.
Какие факторы обеспечат динамику рынка? Какие тренды будут ведущими в период 2019-2020 гг?
Никита Пинчук: Основные новшества произойдут под флагом цифровизации услуг. Появление новых цифровых каналов продаж, сокращение реальных офисов, экономический эффект от ухода в «облака» останутся основными двигателями индустрии.
Игорь Смирнов: По нашим оценкам, отечественный рынок биометрии ожидает существенный рост. Основным драйвером роста станет Федеральный закон от 31 декабря 2017 г. N 482-ФЗ, который обязывает обеспечить все банки возможностью сбора биометрических данных граждан для регистрации в Единой биометрической системе. Если говорить о средствах защиты биометрических данных, то развитию этого направления будут способствовать Методические рекомендации Центробанка по нейтрализации угроз при работе с ЕБС от 14.02.2019 №4-МР.
Андрей Грузинов: Основным фактором должен стать проект поправок Минкомсвязи в КоАП, предусматривающий административное наказание за несоблюдение требований по конфиденциальности ПДн. Только штрафы для юридических лиц должны быть существенными, иначе это не стоит внимания бизнеса.
Назад