«Живые» данные: можно ли воспользоваться чужой биометрией и стоит ли бояться ее утечки
Российские банки активно внедряют систему сбора биометрических данных клиентов с целью усовершенствования механизма взаимодействия с ними. Дистанционная идентификация позволяет совершать необходимые операции гораздо быстрее. Однако специалисты в сфере информационной безопасности уже предупредили россиян о неизбежности утечки биометрии, а в Минфине такой сценарий назвали «самым страшным». Чем именно рискует клиент, который предоставляет организации подобные данные, и есть ли поводы для серьезного беспокойства — читайте в материале «Вечерней Москвы».
Потеря репутации и подделка личности
Биометрия основана на сопоставлении уникальных физических особенностей человека с содержанием оцифрованного шаблона, хранящегося в базе организации. В качестве таких данных может использоваться отпечаток пальца, сетчатка глаза, изображение лица, голос или другие характеристики, объясняет эксперт по биометрическим системам безопасности Константин Новиков.
По словам специалиста, банки, как правило, пользуются двумя биометрическими шаблонами — изображением лица и голосом клиента — ради обеспечения большей безопасности. Злоумышленникам, намеренным украсть персональные данные, требуется получить доступ к обоим показателям, отмечает Новиков.
— Вскрытый шаблон ничего не даст злоумышленникам. Он нужен, только чтобы с ним сравнивали «живые» данные: изображение и голос. Допустим, мошенники заполучили эту информацию. Но что с ней дальше делать? Они не могут применить ее, чтобы войти в систему, ведь требуется именно живое изображение лица и живой голос. Конечно, есть вероятность того, что можно их подделать, но это какие-то голливудские истории, — объясняет специалист.
Гораздо более серьезную опасность, по его мнению, представляет сам факт кражи персональных данных. При помощи этой информации можно создать биометрическую подделку личности, предупреждает эксперт по информационной безопасности Олег Седов.
— Если у вас украли номер кредитной карты или паспорта, вы можете его восстановить: ваша информация в конечном итоге останется вашей. Но если у вас украли биометрию — считайте, у вас украли цифровую подпись, которую вы уже не восстановите. Могут появиться биометрические подделки личности, а это — потеря вашей репутации. Это влияет и на карьерный рост, и на получение кредитов и т. д. Если ваш статус в обществе высок, последствия такой утечки могут быть катастрофическими, — напоминает Седов.
Биометрия, по мнению обоих экспертов, является хорошим средством безопасности. Однако и у этой системы есть свои издержки. В случае компрометации таких данных их не получится заменить, как это происходит с обычным паролем, подчеркивает Седов.
«Это всегда сходит с рук»: проблемы хранения биометрии в банках
Биометрические данные хранятся в формате зашифрованного двоичного кода, сообщает Седов. В надежных системах они никогда не имеют форму «картинки» или «аудиозаписи», добавляет Новиков. По его словам, в некоторых организациях алгоритм шифрования биометрических данных известен даже не всем сотрудникам.
Однако этот факт не отменяет существования проблемы, связанной с культурой обращения персональными данными. По мнению Седова, она широко распространена в нашей стране.
— Биометрия не представляет серьезной угрозы, но персональные данные зачастую хранятся небрежно и утекают. В наших реалиях не дается гарантии того, что они будут надежно сохранены: сотрудники многих структур не понимают, зачем эти данные беречь и как с ними взаимодействовать. Культура обращения с персональными данными находится на очень невысоком уровне, — замечает Седов.
Не составит труда вспомнить множество случаев утечки данных из банков, считает специалист. Проблема, по его мнению, заключается в том, что подобные ситуации, как правило, не доходят до штрафов и судебных разбирательств. Пострадавшие попросту не имеют представления о механизме кражи личной информации.
С этой точкой зрения соглашается и Константин Новиков.
— За безопасность любой базы данных отвечает ее компания-оператор. Когда происходит утечка, всегда виновата именно она. Но я не помню ни одного уголовного дела о привлечении к ответственности такого оператора. Почему-то это всегда сходит с рук, — подтверждает собеседник «Вечерней Москвы».
«То, что удобно, не всегда безопасно»: стоит ли соглашаться на биометрию
Разумнее всего использовать биометрию как дополнительное средство безопасности, но не делать его основным. Такое мнение высказывает эксперт по информационной безопасности Олег Седов.
— Я думаю, стоит делать биометрию, потому что это удобно. Сейчас можно оформить кредит одним нажатием клавиши. Это может сделать даже ребенок. Но все же лучше использовать биометрию как дополнительное средство безопасности. Например, эффективно сделать ее операцией, подтверждающей совершение финансовых транзакций, — посоветовал специалист.
Он добавил, что в некоторых случаях работа системы действительно оправданна. Это касается и людей, находящихся в зонах потенциальных катастроф. Восстановить доступ к документам и счетам при помощи биометрии всегда проще, отмечает Седов. Однако, по его словам, биометрия пока не является заменой всем существующим системам безопасности.
По мнению Новикова, всегда лучше внимательно изучить вопрос перед тем, как соглашаться на биометрию. Она нужна для удобства и в первую очередь должна быть безопасной.
— Вероятность риска зависит от того, насколько профессиональна выбранная вами система безопасности. Надо изучать этот вопрос. Скорее всего, к биометрии в банковском секторе мы скоро привыкнем. Но решение человек должен принимать самостоятельно, а не под нажимом, — считает он.
По мнению Новикова, главной проблемой в данном контексте можно считать недостаток информации о техническом устройстве биометрической системы. Прежде чем внедрять ее в механизм пользования теми или иными услугами, стоит понять, в каком виде хранятся данные и каковы алгоритмы выбранной системы, считает он.
В конце концов, «любая биометрическая система имеет право на ошибку», хоть эта вероятность и мала, замечает Новиков. Седов соглашается с тем, что перед использованием данного механизма стоит оценить существующие риски.
— Так же и с распознаванием лиц в метро: система видит изображение вашего лица. Вся информация, скрытая от других, открывается владельцу этой системы. Но то, что удобно, не всегда безопасно, — заключает он.
Читайте также: Кто торгует нашими данными
