Не потерять «лица»

Чем грозит кража биометрии и как ее избежать

Эксперты по информбезопасности призывают крайне избирательно доверять компаниям свои биометрические персональные данные. Без ужесточения ответственности при обработке такой информации риски утечек «лиц», «отпечатков пальцев» и «роговиц глаз» могут быть катастрофичными для потребителей.


ОПАСНЫЕ УДОБСТВА

В начале октября в интервью агентству РИА Новости президент InfoWatch Наталья Касперская призвала россиян не сдавать биометрические данные. «Их практически с гарантией украдут, продадут, сольют. Давайте нам сначала объяснят, как эти данные планируется защищать, в том числе от своих сотрудников», – сообщила она, посоветовав «не вестись на удобство».

В мае замминистра финансов Алексей Моисеев на конференции РБК заявил, что «компрометация биометрических данных – это самое страшное, что может произойти».

Алексей Моисеев, Минфин:

– Если человек доверит частной или государственной экосистеме свои биоданные, а она не оправдает его ожидания, то у пользователя в цифровом будущем будет сломана жизнь. Можно поменять ПИН-код на карточке или паспорт, фамилию, но не биометрические данные. Далеко не все готовы изменять лицо. Поэтому власти должны обеспечить безопасность таких персональных данных (ПД) при работе банковских клиентов через удаленные каналы связи.

Как пояснила RSpectr директор по консалтингу ГК InfoWatch Ирина Зиновкина, если скомпрометирован какой-то биометрический признак, то теоретически можно использовать другие: сетчатку глаза, отпечаток пальца, голос. Но человеческая физиология ограничена в отличие от бесконечного числа новых паролей.

О том, насколько высоки риски утечек, говорит мировая статистика. Самая крупная из госсектора произошла в 2018 году в Индии. Тогда была скомпрометирована информация 1,2 млрд человек, чьи идентификационные данные, включая биометрию, попали в руки злоумышленников.

Эксперт по информационной безопасности компании КРОК Анастасия Федорова также напомнила RSpectr о ряде крупных хищений. Так, в Гане в ходе выборов были украдены четыре компьютера с данными биометрической регистрации голосующих. На Филиппинах из избиркома пропал сервер, на котором хранились отпечатки пальцев 55 млн граждан страны. В Зимбабве злоумышленники похитили информацию об избирателях путем взлома сетевого хранилища.

«В России известно об утечке архива аудиозаписей обращений клиентов Сбербанка в техподдержку. Образцы голоса также относятся к данным, на основании которых осуществляется биометрическая идентификация субъекта», – сообщила А.Федорова.

В апреле 2021 года поймали китайских мошенников, которые при помощи биометрии похитили 76 млн долларов у граждан

Они несколько лет обманывали систему распознавания лиц налоговой службы с помощью дипфейков (поддельных видео и фото). Это позволяло преступникам создавать компании-пустышки для последующей кражи денег. Чтобы провернуть аферу, мошенники придумали схему, которая помогла создавать от лица ненастоящих людей фейковые компании и выдавать клиентам поддельные налоговые накладные.

«Аферисты покупали фотографии людей и их ПД. Далее обрабатывали их в дипфейк-приложениях, с помощью которых получалось скрывать свое лицо за “купленными” лицами с сохранностью мимики», – рассказал RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.
Мошенники также использовали специально подготовленные смартфоны, которые умели имитировать работу фронтальной камеры. Она не включалась, а пересылала налоговой службе сделанное заранее видео.

Алексей Дрозд, «СёрчИнформ»:

– Система распознавания лиц воспринимала людей как реальных, из-за чего мошенников сложно было вычислить. Если бы эти процессы выстраивались иначе и организации полагались не только на биометрию, а также на дополнительные данные или личное присутствие, то подобных афер удалось избежать.

Еще шесть лет назад на Международном хакерском конгрессе в Германии известный интернет-взломщик Ян Крисслер показал, насколько легко можно получить доступ к чувствительной информации не только рядовых пользователей, но и крупных чиновников. Ему удалось по фотографии воссоздать отпечатки пальцев министра обороны Германии Урсулы фон дер Ляйен, а также снять на смартфон ее лицо на публичном выступлении.

Хакер нашел и другие уязвимости биоданных – например, есть способы получать пароли от гаджетов, имея доступ только к фронтальной камере устройства. Можно отслеживать движение глазных яблок владельца, когда тот вводит пароль, или разглядеть отражение телефона в зрачках набирающего. Разрешение смартфонов позволяет получить очень четкую картинку. Я.Крисслер уверен, что биометрия как способ защиты данных совершенно неактуальна.

Украденные «лица» и «голоса» в будущем могут активно использоваться хакерами для создания видео- и аудиообращений от лица «родственников» с просьбой срочно перевести деньги, чтобы выручить из беды. Если люди верили незнакомцам, звонившим от имени «службы безопасности» банков, то логично предположить, что «развод» голосом и лицом будет еще более эффективным.

Хакеры могут создавать с помощью нейросетей алгоритмы для поддержания простейших диалогов с потенциальной жертвой от имени «родственников» и «знакомых»

Н.Касперская отметила, что многие люди даже не подозревают, что их биоданные уже находятся в чьем-то пользовании, а значит, есть риски их незаконного применения.

Наталья Касперская, InfoWatch:

– Люди сначала сдают отпечатки пальцев и фото лиц, потом их без разрешения снимают в общественных местах. Эти данные могут использовать в крупных сделках с недвижимостью, при управлении счетом в банке или проходе на закрытые объекты.

В США дипфейки воспринимают крайне серьезно. Разработкой программ для выявления поддельных видео и фото занялось управление перспективных исследовательских проектов Минобороны США DARPA. RSpectr ранее писал о методах борьбы с новым хакерским инструментом.


ВСЕ ПОПАДУТ В БАЗУ

Движение к легализации биометрии в России началось четыре года назад. В конце 2017 года вступил в силу закон о возможности удаленной идентификации, а в течение 2018-го была создана Единая биометрическая система (ЕБС) и приняты различные нормативные документы. По сути, банки получили еще один инструмент для работы с клиентами. А в конце 2020 года вышел новый закон, регулирующий использование биометрии.

Закон закрепил два основных момента:

1. Банки с универсальной лицензией обязаны передавать данные клиентов в Единую биометрическую систему (ЕБС) и предоставлять дистанционные услуги с аутентификацией по лицу и голосу.

2. Сфера действия биометрии и доступ к ЕБС расширяется. Данные могут получать не только банки, но и госучреждения, МФЦ, нотариусы, юридические лица и ИП.

На начало 2021 года более 13 тыс. отделений кредитных организаций были оснащены этой технологией. Биометрическая идентификация также лежит в основе системы face-pay, которая недавно заработала в московском метро. 

В разговоре с RSpectr директор по продуктам компании Ivideon Заур Абуталимов заявил, что в скором времени оплата с помощью биоданных станет столь же привычной, как банковской картой или смартфоном.

Заур Абуталимов, Ivideon:

– Уже в 2020 году мировой объем платежей, совершенных при помощи биометрии, достиг 404 млрд долларов, подсчитали аналитики Juniper Research.

Поскольку этот тип идентификации никуда не уйдет, необходимо научиться безопасно такие данные собирать и использовать. А.Дрозд считает, что нужно обратить внимание на то, в каком виде изначально хранятся биоданные и как применяются. «Если они зашифрованы в определенный числовой код, а не лежат в виде записи голоса, то злоумышленники не смогут ими воспользоваться. Как и в случае, если биометрия является не единственным этапом аутентификации», – отметил эксперт. По его словам, особого спроса на хищение биоданных пользователей не будет, потому что они хранятся не как портрет, а в виде кода, математически преобразованного из картинки, где пароль – лицо человека. При этом у каждой компании свой алгоритм создания такого кода. «Если преступники собираются использовать биометрию для входа на “Госуслуги”, то нужно их красть в том виде, в котором они сработают для сервиса. Это значит, нужно ломать приложение», – говорит А.Дрозд.

Эксперт выделяет ответственность для трех субъектов:

1. Производитель гаджетов (как он хранит и шифрует данные).

2. Разработчик приложения (какую информацию он использует: дополнительно запрашивает показ лица и шифрует или же берет из памяти телефона готовые данные).

3. Пользователь, который может сам отдать преступникам свою информацию.

З.Абуталимов отмечает, что

сегодня для защиты лицевой биометрии используется liveness detection – механизм для определения примет живого человека

«Обхитрить систему с помощью фотографии или 3D-маски не получится. Вероятность обмануть Face ID в iPhone – одна на миллион. Каждая нейросеть распознает лица по определенному набору примет. То есть алгоритмы обучают их по разным схемам и на разных датасетах. Чтобы их обмануть, нужно точно знать, как устроена конкретная нейросеть», – пояснил эксперт.


УСИЛИТЬ ОТВЕСТВЕННОСТЬ

Напомним, в госорганах, банках и иных организациях применяются требования к защите биометрических ПД, установленные в соответствии со статьей 19 ФЗ «О персональных данных» и подзаконными нормативными актами.

«По закону биометрия уже выделена в отдельный тип ПД, – говорит А.Дрозд. – Однако о нюансах при ее потере написано вскользь. Было бы правильно обязать хранить данные не просто в зашифрованном виде, а на уровне защиты от восстановления даже при помощи математического метода. Это снизит утечки, так как компании не захотят рисковать из-за неверного хранения».

С ним соглашается руководитель дивизиона информационной безопасности Tegrus Кирилл Уголев. «Несмотря на то что биометрические данные выделены в отдельную категорию, перечень мероприятий по обеспечению их защиты почти не отличается от иных ПД, куда входят: ФИО, паспортные данные и прочее», – пояснил он RSpectr.

Эксперты отмечают, что зрелость топ-менеджмента в сфере защиты информации крайне низкая, причем не только в нашей стране. Руководство многих компаний старается либо вообще не замечать наличия подобных категорий ПД, либо выполнять минимально необходимый перечень мероприятий, только чтобы предъявить их регулятору в случае проверки. При этом методов защиты данных достаточно много.

Кирилл Уголев, Tegrus:

– На сегодня есть как технические, так и организационные методики: шифрование баз данных, каналов связи, технологии блокчейн, обезличивание, электронные метки, ограничение доступа и многое другое.

Эксперт уверен, что

биоданным необходимо придать более высокий статус, чтобы усложнить сбор информации, особенно там, где это не является прямой необходимостью

Их обработка должна в обязательном порядке находиться под постоянным техническим надзором со стороны регуляторов. Ответственность сотрудников компании-обработчика за утечку данных этой категории необходимо существенно усилить, вплоть до уголовной.

В свою очередь, А.Федорова считает, что меры по защите регламентируются довольно значительным числом подзаконных актов. «Но большая проблема состоит в том, чтобы операторы реализовывали меры по защите в установленном порядке. И осуществлялся своевременный и достаточный контроль за операторами по соблюдению всех норм», – отметила эксперт.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Лицо как проездной
Риски и преимущества внедрения биометрии для проезда в общественном транспорте