В апреле 2021 г. в журнале «Директор по безопасности» опубликована статья Никиты Артемова, эксперта-профайлера НИЦКБ, специалиста в области расследований и цифровой безопасности про риски повсеместного внедрения биометрии. В декабре 2020 года президент России Владимир Путин подписал федеральный закон об использовании Единой биометрической системы (ЕБС) для удаленной идентификации при получении различных финансовых и госуслуг. Буквально на днях Минцифры заявило, что сбор биометрии граждан проходит крайне медленно, и поэтому они планируют ввести административные меры, чтобы стимулировать людей. Например, это закрытие ряда сервисов на Госуслугах при отказе граждан предоставлять биометрию. Мотивация понятна. Повсеместное использование биометрии может очень упростить жизнь обычным гражданам: возможность оплаты покупок или проход в общественном транспорте по лицу, дистанционная подпись договоров с помощью голоса и многое другое. Все это свидетельствует о том, что правительство взяло активный курс на сбор и обработку биометрических данных и, возможно, в скором времени предоставление этих данных станет обязательным. Давайте разберемся, почему такой довольно резкий переход может стать очень опасным. Начнем с того, что биометрия реально может очень сильно упростить использование различных сервисов и даже изменить быт (в каком-то смысле). Проблема лишь с тем, что в цифровой среде есть одно устоявшееся правило: за удобство всегда нужно платить своей безопасностью / приватностью. Лучший пример – социальные сети. Они бесплатны, и их функционал очень удобен. За счет чего они тогда существуют? Соцсети монетизируются по средствам продажи данных пользователей различным частным компаниям, которые, в свою очередь, используют наши данные в рекламных целях. Это уже давно ни для кого не секрет. Данный пример наглядно демонстрирует тот факт, что мы не можем быть уверены на 100%, что наши биометрические данные будут использованы только по целевому назначению. Если мы внимательно почитаем поправки в законе об использовании ЕБС, то увидим, что теперь биометрию могут собирать не только банки или госучереждения, но и юрлица. Это означает, что любое ИП может ввести, например, обязательный вход в свои офисы по распознаванию лица. И тогда оно просто купит доступ к единой системе идентификации и аутентификации (ЕСИА), которая работает в связке с единой биометрической системой. Малый и средний бизнес в России в большинстве своем пока не уделяет должного внимания информационной безопасности. Особенно это касается вопроса повышения грамотности сотрудников в области цифровой гигиены. Это пренебрежение открывает потенциальную возможность получения биометрии злоумышленниками различными способами. Также не стоит исключать редких случаев, когда биометрией могут торговать недобросовестные сотрудники внутри организаций. Мы можем видеть похожие примеры внутри компаний сотовых операторов или банков, когда некоторые сотрудники, имеющие доступ к базам данных, «сливают» информацию за вознаграждение. Сегодня утечки персональных данных происходят практически ежемесячно. Вот те, которые стали известны широкой общественности в последнее время: крупная утечка данных клиентов «Сбербанка», утечка из «Билайна», каршеринга, а также утечка данных жителей Москвы, переболевших ковид. Происходит это только благодаря тому, что еще плохо выстроена общая инфраструктура хранения данных с точки зрения безопасности. Очевидно, что этот вопрос относительно новый, но угроза таких «сливов» очень серьезная: прежде всего, базы продаются на различных теневых ресурсах, после чего используются злоумышленниками для целевых и массовых атак. Пока компании не начнут внедрять безопасную инфраструктуру хранения данных повсеместно, очень преждевременно говорить о массовом сборе биометрии. В последнее время в сфере кибербезопасности все чаще поднимается тема замены обычных паролей на биометрию. С точки зрения криптостойкости, биометрическая аутентификация во много раз надежнее пароля: его можно взломать, например, «брутфорсом» (грубый перебор из большого количества комбинаций или перебор по специализированным словарям). Это актуально, прежде всего, для слабых паролей – тех, где мало символов, или они маловариативны, или при создании был использован логический паттерн, популярное слово, и т.д. Но помимо взлома существуют и способы обхода пароля, что хорошо известно большинству злоумышленников. В этом плане с биометрией дела обстоят лучше: подделать голос или радужную оболочку глаза сегодня почти невозможно. Но такой подход лишь поначалу кажется более безопасным. Какие можно сделать выводы? В нашей стране еще не выстроена безопасная структура хранения персональных данных. Это доказывает огромное количество «утечек». По моему мнению, пока мы не устраним перечисленные проблемы, повсеместно внедрять биометрию еще очень и очень рано.За удобство всегда нужно платить своей приватностью и безопасностью
*Биометрические данные подразделяются на статические (отпечатки пальцев, радужная оболочка глаза, форма лица, ДНК, форма кисти, рисунок вен на руках) и динамические (почерк, подпись, голос, походка)
Лазейки в законе
Вопросы к хранению данных
Использование биометрии в целях повышения безопасности