Сравнительно недавно (летом 2017 г.) в СМИ появилась информация о том, что компания «Ростелеком» планирует провести масштабные инновационные для России мероприятия и на горизонте трех-пяти лет станет уникальным оператором национальной биометрической платформы для реализации пилотного проекта Министерства связи и массовых коммуникаций Российской Федерации и Центрального банка Российской Федерации по аутентификации граждан с помощью ранее собранных биометрических персональных данных. Звучит как строчка и научно-фантастической книги. Многие эксперты именно так к этому и относятся. Однако авторы проекта считают, что в случае успешного запуска предложенных в проекте инициатив представители различных отраслей экономики, в первую очередь кредитно-финансовые организации, получат возможность осуществлять биометрическую идентификацию и аутентификацию клиентов – физических лиц с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации» для дистанционного открытия счетов и оказания иных банковских услуг с использованием биометрии (по материалам сайта компании «Ростелеком»).
Сайт корпорации «Ростелеком» по состоянию на декабрь 2017 г. содержит большое количество документальных презентационных материалов и обзоров на эту тему. Их изучение позволило сделать однозначный по сути и спорный с точки зрения ––информационной безопасности вывод о том, что в качестве биометрических параметров при идентификации и аутентификации на время проведения пилотного внедрения технические службы «Ростелеком» рекомендуют банкам использовать изображение лица и/или запись голоса клиента. При этом не исключается, что в дальнейшем, если предложенные модели хорошо себя зарекомендуют, список биометрических параметров может быть существенно расширен. В него (список параметров) планируют добавить возможность анализа отпечатков пальцев, рисунка вен ладони и схемы радужной оболочки глаза.
«Россия постепенно выходит на мировой уровень?!» – подумаете вы и будете совершенно правы. Прогресс не стоит на месте, и новые технологии повсеместно и неминуемо проникают в нашу с вами жизнь. А как бы вы отнеслись к тому, что эксперт в вопросах кибербезопасности биометрических персональных данных в один прекрасный момент сообщит, что некая электронная сущность, отображающая во всех ключевых, как это модно сейчас говорить, критично-информационных, системах вашу реальную личность, единовременно и безвозвратно скомпрометирована злоумышленниками? Уверен, что реакция будет как минимум неоднозначная… «Ну и что, я ими всё равно не пользуюсь!» – скажут люди, которые уже давно забыли свои пароли на порталах госуслуг. «Мне всё равно, у меня денег в банке нет, красть у меня нечего, а что такое критичная инфраструктура я вообще не знаю!» – поддержат другие, ведущие размеренный образ жизни где-то в регионах, поближе «к земле». «А что это вообще – биометрические персональные данные? Компрометация? И чем она так опасна?» – спросят третьи, не вдаваясь в нюансы и принимая решения на основе лишь поверхностных знаний. И только менее четверти россиян (по статистике Министерства связи), подключившихся к интернет-порталу по предоставлению государственных услуг, плюс еще менее 1% наших соотечественников, использующих мобильные устройства с функцией входа по отпечатку пальца (статистика продаж устройств Apple iPhone в России за период с 2014 по 2016 г.), представляют, о чем тут может идти речь.
Грустно, что три четверти россиян либо считают угрозу компрометации своих биометрических персональных данных слишком сложной, либо не осознают до конца всех киберрисков, либо уверены, что эта угроза в отношении них никогда не реализуется. А между тем, в мировой практике сообщения о вероятной компрометации базы данных с аутентификационной информацией, в том числе содержащей биометрические маркеры и образа, появляются в 2016–2017 гг. с завидной регулярностью.
Исследователи уязвимостей публикуют статьи о компрометации записей в системе Aadhaar, обрабатывающей биометрические персональные данные более 99% взрослого населения Индии. В 2016 г. Ааdhaar, в которой теперь хранятся фотографии, имена, адреса, отпечатки пальцев, снимки радужной оболочки глаза и уникальные 12-значные номера граждан, стала крупнейшей в мире системой идентификации с биометрическими параметрами и сущностями на их основе, используемыми в качестве главного фактора при принятии решения о допуске к информации. По данным индийского правительства, на январь 2017 г. в системе Ааdhaar собраны данные об 1,11 млрд из примерно 1,3 млрд граждан Индии, а идентификационную карту Aadhaar имеет каждый первый взрослый житель этой страны. По оценке правительства, Aadhaar уже помогла сэкономить около 5 млрд долл. только на процессе гарантированной и удобной аутентификации в правительственных, медицинских и социальных сервисах. Но это одна, «красивая», сторона медали. Обратная сторона заключается в том, что злоумышленники со всего мира небезуспешно соревнуются во взломе основных и сопутствующих сервисов Aadhaar. В результате в базе Aadhaar неоднократно размещались фальшивые (фишинговые, фейковые) записи, принадлежавшие собакам, священным коровам и даже индуистскому богу Хануману. Еще одна проблема базы биометрических данных Aadhaar – это ее статичность и неизменяемость. Если данные жителя Индии единожды туда попали, их нельзя изменить или исправить в случае компрометации либо кражи образов во внешних системах. Таким образом, оставивший свои отпечатки пальца на стакане воды в ресторане житель Индии, зарегистрированный пользователь Aadhaar, рискует остаться без доступа ко многих критичным, в том числе облачным, медицинским, социальным и финансовым сервисам.
Другим примером успешного внедрения биометрической системы для аутентификации клиентов, без сомнения, можно признать пилотный проект «Сбербанка» по установке банкоматов со считывателем персональных данных. «Биометрия (в банкоматах), видеоконсультирование, NFC – во всех этих областях мы видим большие перспективы. Скорость и масштабы внедрения этих технологий будут зависеть от того, насколько они будут востребованы нашими клиентами сегодня и завтра», – отметил вице-президент «Сбербанка» Сергей Мальцев в беседе с журналистами. Все выглядит очень логично и вкусно, но ровно до того момента, пока мы не перейдем с абстрактно-рекламного уровня на уровень суровой технической конкретики. По сути, считыватели биометрических персональных данных призваны помочь банкомату и/или процессингу принять стандартное решение о валидности клиента, который направил запрос на обслуживание через терминал. Преобразуя биометрические персональные данные в цифровой код и сравнивая его с эталоном, хранящимся на стороне банка, считыватель биометрических данных клиента ничем (кроме входных данных) не отличается от пин-клавиатуры. Он (считыватель) может быть подвержен схожим высокотехническим атакам и уязвим не меньше, чем его кнопочный предшественник. По распространенной в отчетах за 2016 г. информации от киберлабораторий, в IV квартале 2016 г. на черном рынке появились и выгодно продаются более дюжины различных вредоносных программных и аппаратных продуктов, заточенных под современные версии считывателей биометрических данных, назовем их продвинутыми скиммерами. Эти скиммеры способны воровать данные отпечатков пальцев, компрометировать системы распознавания по рисунку вен на запястье и обходить защиту на основе анализа радужной оболочки глаз (данные из отчета Лаборатории Касперского за 2016 г.). Наверно, поэтому служба безопасности «Сбербанка» официально обозначила сроки проведения пилотного проекта по проверке биометрических считывателей до конца 2017 г. и не спешит тиражировать данную удобную для клиентов возможность на всю сеть.
Технологии на основе биометрических персональных данных рано или поздно войдут в обиход граждан РФ. Важно понимать, какие риски для пользователей несут в себе эти инновации, и как каждому субъекту персональных данных минимизировать для себя вероятность компрометации этих данных злоумышленниками. Не использовать новые технологии – значит отставать от технологического прогресса, который огромными шагами идет по всему миру. Безоглядно внедрять биометрические считыватели во все сферы жизнедеятельности и забывать об элементарных мерах по защите информации – значит столкнуться с волной кибермошенничества, которая способна захлестнуть самые дорогие и псевдобезопасные решения и свести к минимум эффективность этих внедрений. Правильная стратегия, как всегда, остается где-то посередине… Радует то, что большинство отечественных компаний (в том числе «Ростелеком») это, я уверен, понимают и учитывают!
