Навязывание единой биометрической системы и активное внедрение коммерческих биометрических систем в бизнес и госуправление увеличит рост атак на идентификационные базы данных.
По данным «Сбербанка» в феврале 2024 года Татарстан вошел в тройку лидеров по внедрению биометрии в Волго-Вятском банке (наряду с Нижегородской областью и Пермским краем). Сейчас в республике действуют 6 472 терминалов «оплаты улыбкой» — в основном в розничной торговле. По данным банка, чаще всего сервисом пользуются в супермаркетах. Для оплаты требуется подключить в мобильном приложении сервис «биометрия» и предоставить банку изображение лица и голоса. Однако, наш небольшой опрос показал, что в Казани пользователей системы пока все же немного. Продавцы отмечают единичные случаи, а встречается и те, кто думает, что оплата улыбкой - некий бонус и платить деньги за товар не надо.
Пока в республике повсеместно устанавливают новые терминалы оплаты, Роскомнадзор продолжает фиксировать увеличение числа утечек персональных данных россиян (пока не биометрических). Так в 2023 году в открытый доступ попало более 300 миллионов записей, а общее число утечек за год составило 168 (в 2022 году — 140). Среди них данные клиентов «Буквоеда», «Леруа Мерлен», «Твое» и «Едим Дома», данные сотни тысяч детей из «Артека» и их родителей, данные миллионов клиентов туроператора «Интурист», «Лукойла», страховых компаний АСКО и «Астро-Волга», а также интернет-магазина косметики и парфюмерии «Подружка», лаборатории «СИТИЛАБ» и сервиса по продаже билетов kassy.ru.
Развитие новой технологии Face Pay (оплата лицом) может сделать 2024 год переломным с точки зрения увеличения числа атак теперь еще на системы биометрической идентификации и аутентификации.
- Биометрические данные могут использоваться для ускорения различных процессов и в тех случаях, когда от пользователя не будут требовать введения длинного пароля или прохождения многофакторной аутентификации. Биометрия в этом плане облегчает оказание услуг, особенно в дистанционном режиме, - говорит бизнес-консультант по информационной безопасности официального партнера по кибербезопасности Игр будущего Positive Technologies Алексей Лукацкий. - В тоже время населению надо быть более осмотрительными, а бизнесу четко понимать риски и модели угроз перед внедрением биометрии в свои бизнес-процессы, либо процессы государственного управления.
Утечки биометрии страшнее всех остальных
Случаи недобросовестного использования биометрических данных безусловно есть. Классическая история — дипфейки, сделанные ради шутки или для мошеннических целей. Они могут использоваться для кражи денежных средств, введения людей в заблуждение, рекламы недобросовестных услуг, когда пользователя от имени того или иного известного лица заманивают в разные мошеннические схемы и крадут у него деньги. Многие сталкивались с подделкой нейросетью голоса родных или знакомых.
- Мы должны понимать, что биометрия, в этом плане, делится на два больших направления. Первое — когда используются фотографии, голос, видео какого-то лица, полученные из интернета. В этом случае на базе такого изображения или голоса можно сделать дипфейк и заманить ничего не подозревающих граждан в ту или иную мошенническую схему. А государственная биометрия — это, как правило, базы, которые не хранят в чистом виде ни фото, ни голос, ни видео изображение, ни другие биометрические факторы. В ней хранится некая свертка в виде математической модели того или иного биометрического фактора. Кража или утечка этих сверток пока ни к чему не приводит. По крайней мере, таких сведений неизвестно. А вот если хранятся биометрические данные в сыром виде (фотография, голос и так далее), тогда эту информацию можно использовать в различных мошеннических действиях. В России таких случаев пока не было, но за рубежом, например, в Индии такие истории уже бывали, - говорит Лукацкий.
В «Сбербанке» пояснили, что при подключении оплаты по биометрии уникальные черты лица клиента банка сохраняются не в виде статического изображения, а в виде цифрового кода. Система распознавания сканирует уникальные черты лица человека и сравнивает их с загруженными в неё биометрическими данными. В банке уверены, что таким образом невозможно случайно списать деньги или не распознать владельца карты, если тот надел очки, шапку или отрастил бороду. И все же практика показывает, что от неправильного распознавания никто не застрахован. Так было в случае с умными домофонами и даже той же оплатой улыбкой близнецами.
- Недавно был случай, пришла клиентка и решила оплатить лицом, но оказалось, что на карте нет денег. Она думала мошенники, а когда стали разбираться, оказалось нет, так получилось от того, что ее сестра оплачивала покупки, а почему-то списали с ее карты. Может не все еще хорошо настроено? - говорит продавец магазина «Ткани» Альбина.
В Санкт-Петербурге был аналогичный случай: 47-летний мужчина в «Пятерочке», случайно нажав «оплатить улыбкой» с удивлением увидел подтверждение, что оплата прошла. Ни к какому сервису биометрии он подключен не был. Как оказалось, покупку невольно оплатил брат-близнец мужчины, проживающий в Анапе, который как раз был подключен к сервису. Безусловно, подобные случаи единичны и куда страшнее целенаправленная атака на биометрические данные.
Ранее заместитель министра финансов России Алексей Моисеев называл утечки биометрических данных «самыми страшными». Он пояснил, что относится к «консверваторам» в этом вопросе и хоть понимает желание банков сделать систему проще и дешевле, но все же важнее думать о безопасности.
- Последствия могут быть катастрофическими. Мы знаем примеры целого ряда государств — не хочется никого называть, но вы сами знаете — многонаселенных государств, которые к юго-востоку от нас расположены, где были утечки десятков миллионов данных. И все, и непонятно, что делать. Допустить этого ни в коем случае нельзя. Если человек доверил экосистеме — неважно, частной или государственной — свои биометрические данные, и эта система не оправдала его доверия, то у человека в цифровом будущем сломана жизнь. Можно поменять пин-код на карточке, можно поменять паспорт, все что угодно, можно поменять фамилию, но поменять биометрические данные нет, — говорил Моисеев.
Еще и ЕБС...
С 2023 года все образцы биометрии должны храниться в Единой биометрической системе (ЕБС). Как пояснили «Вечерней Казани» в Минцифры России, цель внедрения ЕБС — сделать более доступными услуги, для которых требуется подтверждение личности. С ней станет легче получать государственные и другие услуги дистанционно или очно.
- Существует три уровня биометрии: упрощенная, по ней будут доступны самые простые операции — например проход в организации, оплата проезда в транспорте; стандартная, тут перечень услуг шире, например, еще и удаленное оформление сим-карты; и подтвержденная, с ней можно в том числе дистанционно открыть счет в банке или оформить электронную подпись, - объяснили в пресс-службе министерства.
В ведомстве уверили, что никто не может заставить человека сдавать биометрию. Для передачи данных в ЕБС, нужно дать письменное согласие - это закреплено законом.
- Так как сдача биометрии исключительно добровольная, не может быть и ограничения в предоставлении услуг в случае нежелания передавать свои персональные данные в ЕБС, - сообщили в пресс-службе. - Биометрию можно зарегистрировать в ЕБС самостоятельно в приложении «Госуслуги биометрия» или при личном визите в банк. Удалить свои данные из ЕБС можно в любой момент, в том числе через личный кабинет Госуслуг.
В Минцифре России ответили, что централизованное хранение биометрии помогает защитить данные и избежать утечек. ЕБС аттестована по высоким требованиям, предъявляемым к государственным системам. Биометрия в ней хранится в зашифрованной цифровой форме — векторах. Данные передаются также в зашифрованном виде.
- ЕБС построена по принципу раздельного хранения данных. Это значит, что данные не сложены «в одну кубышку», а хранятся в «разных корзинах». В самой ЕБС есть только биометрические данные. А персональных данных, таких как ФИО, паспорт, адрес и так далее, в ней нет. То есть ту биометрию, что хранится и обрабатывается в ЕБС, нельзя связать с конкретным человеком, - ответили в ведомстве.
Взаимодействовать с системой могут только аккредитованные компании в рамках векторной модели. Все операции с биометрией проходят в ЕБС. Это позволяет обеспечить контроль целостности биометрических образцов и их шифрование при хранении.
Татарстанцы не спешат платить лицом
Несмотря на уверения «Сбербанка» в лидерстве региона по внедрению биометрии желающих пользоваться новым сервисом мало. Во-первых, оказалось подключенных терминалов пока не так много или продавцы не знают о возможности оплаты лицом. Во-вторых среди частых отговорок: опасения недобросовестного использования, утечек данных и даже, что это «унизительная» технология.
- При мне никто еще не платил. Более того крайне негативно высказываются и дело даже не в опасениях утечки данных, а просто называют технологию рабской, - поделилась с журналистом «Вечерней Казани» продавец кафетерия.
В других заведениях ответы были примерно те же, иногда продавцы называли редкое использование новой формы оплаты.
- Нет и не надо, непонятно, как все это могут использовать потом. Оплачивают, конечно, иногда, но больше на интересе, а кто-то пока и не знает, - сказала продавец в пекарне «Жар-свежар» Анастасия.
Директор Института информационных технологии и интеллектуальных систем КФУ Михаил Абрамский считает, что в любом случае за биометрической идентификацией будущее.
- Как любой способ идентификации у биометрии есть свои плюсы и минусы. Обратите внимание мы с каждым годом избавляемся от того, чтоб носить с собой что-то громоздкое: вначале носили монеты в мешках, потом появились банкноты, стало удобнее. Потом появились безналичные платежи, карты, с телефоном можем оплачивать по стикеру. Сейчас вот дошли до того, чтоб ничего с собой не носить. Так что да технологии будут развиваться, - говорит спикер.
Что касается мошенничества, Абрамский вспоминает случаи, когда только появился Face ID у компании Apple, применяли технологию к спящему человека или тот же парадокс близнецов.
- Получается с одной стороны такие параметры вроде как можно украсть, но другой стороны - биометрия хранит не фотографию, а цифровую модель. И если из одной системы эту цифровую модель украсть, то в другой системе она не подойдет. А вот, если вас в каком -то приложении попросили улыбнуться в камеру, то стоит задуматься, что данные куда-то могут попасть, - говорит эксперт.
В целом развитие технологии идет, но крайне важно понимать и оценивать риски.
Автор: Гузель Касимова