Единая биометрическая система: безопасность или угроза

[BOOX]

Единая биометрическая система (ЕБС) — амбициозный проект, призванный упростить идентификацию граждан и повысить безопасность отдельных сфер жизни.


Но вместе с удобством и возможностью избежать лишних формальностей, ЕБС несет в себе и ряд серьезных рисков для конфиденциальности и кибербезопасности. В статье рассмотрим преимущества и угрозы ЕБС с точки зрения кибербезопасности.

Что такое ЕБС​

Единая биометрическая система — это информационная система, которая собирает и обрабатывает биометрические данные граждан с целью идентификации и верификации личности. В систему вводятся данные о физических особенностях человека: отпечатки пальцев, образ лица, голос и т. д.

Цели и задачи проекта:

1. Упростить процесс идентификации и верификации личности граждан. С ЕБС нет необходимости предъявлять паспорт или другие документы, например, при получении государственных услуг, покупке билетов на транспорт, доступе к банковским операциям и т. д.
2. Повысить безопасность. Использование биометрических данных для идентификации снижает риск мошенничества и подделки документов.
3. Создание единого реестра биометрических данных. Единая система объединяет все существующие базы данных с биометрическими сведениями в одну, что упрощает доступ к информации для государственных органов и коммерческих структур.

Единая биометрическая система основана на использовании современных технологий сбора, обработки и хранения биометрических данных.

Единая биометрическая система (ЕБС) собирает огромное количество биометрических данных, что делает её привлекательной целью для злоумышленников. При использовании биометрии могут возникать различные риски, такие как ошибки в распознавании лиц, голосов или других характеристик, утечки персональных данных и возможность злоумышленников скомпрометировать систему аутентификации. Риск хищения биометрических данных заключается в возможности их кражи во время передачи или хранения. Эти данные уникальны и неизменны, что делает их особенно ценными для злоумышленников. В случае кражи биометрических данных злоумышленники могут получить несанкционированный доступ к защищенной информации. Риск подмены биометрических данных связан с тем, что злоумышленники могут использовать фальшивые отпечатки пальцев, маски или записи голосов для обхода системы аутентификации. Это позволяет им получить доступ к защищенным системам, не имея права на это.

В систему интегрированы различные устройства для считывания биометрических данных. Например, сканеры отпечатков пальцев, камеры распознавания лиц, микрофоны для распознавания голоса. Данные обрабатываются и хранятся в защищенных центрах обработки данных с использованием современных систем криптографии и защиты от несанкционированного доступа.

Риски и угрозы единой биометрической системы​

Единая биометрическая система, несмотря на свои преимущества, несет в себе и ряд серьезных рисков.

Основная проблема, на мой взгляд, заключается в самой природе биометрических данных. Если данные о ваших отпечатках пальцев, данных распознавания лиц или радужной оболочки глаза, окажутся в общем доступе, вы не сможете экстренно обновить эти данные, как в случае паролем — количество пальцев и глаз у нас весьма ограниченно. Безусловно, о безопасности биометрии есть множество ни на чем не основанных мифов, вроде опасности биометрических сканеров для здоровья, или слежки за теми, кто биометрию сдал. Но реальная угроза — это всё-таки доступ к этим данным злоумышленников, минуя все те средства защиты, которые регуляторы требуют применять для их безопасности.

Хранение большого количества чувствительной информации в одной системе делает ЕБС привлекательной мишенью для разных групп нарушителей. Это и потенциальные инсайдеры, и недобросовестные подрядчики. Также существует риск взлома системы киберпреступниками, что может привести к утечке биометрических данных или их полной утере.

Несмотря на то, что основным страхом среди людей является опасение, что биометрические данные могут быть похищены из ЕБС злоумышленниками, эта опасность не является самый главной. В современном мире раздобыть фотографию или запись голоса человека (а именно с этими параметрами работает ЕБС) не представляет для злоумышленника большой сложности и для этого не имеет смысла проводить сложный и дорогостоящий взлом защищенной государственной информационной системы.

Основным риском при работе с биометрическими данными является возможность подмены злоумышленником биометрических данных, размещенных в ЕБС, а также использование дипфейков в процессе биометрической верификации.

Простые граждане часто опасаются, что ЕБС может быть использована для создания систем тотального контроля над населением, например, для отслеживания перемещений и мониторинга поведения. Однако, с помощью грамотного законодательного регулирования, строгих правил хранения и обработки данных, а также сильных систем безопасности можно свести к минимуму угрозы, связанные с ЕБС.

Есть мнение, что централизованное хранение биометрических персональных данных (ПДн) — опасно, так как при взломе Единой биометрической системы (ЕБС) существует вероятность утечки сотни тысяч биометрических данных граждан России. Однако стоит учесть, что ЕБС — это государственная информационная система, которая соответствует всем требованиям законодательства в области защиты информации, прошла анализ защищенности и аттестацию по требованиям безопасности ФСТЭК России и взаимодействует с ГосСОПКА. Поэтому вероятность реализации какой-либо угрозы в ЕБС сильно ниже, чем для любой локальной системы организации, хранящей биометрические ПДн. Также возникают риски нарушения целостности (подмены, удаления ПДн), внесения фиктивных данных и компрометации информации.

Важно отметить, что эти риски не являются неизбежными. С помощью грамотного законодательного регулирования, строгих правил хранения и обработки данных, а также сильных систем безопасности можно свести к минимуму угрозы, связанные с ЕБС. Но важно быть осведомленным об этих рисках и вести открытый диалог о том, как обеспечить безопасность и конфиденциальность данных в рамках ЕБС.

Меры по обеспечению безопасности ЕБС​

Для обеспечения безопасности Единой биометрической системы (ЕБС) установлены строгие правила хранения и обработки биометрических данных, определен срок хранения данных и условия их уничтожения. Также эта система надежно защищена от фейковых данных и подделок биометрических характеристик.

Ключевой элемент защиты — мультивендорность. Она подразумевает использование множества различных алгоритмов для обработки и анализа биометрических данных, что значительно усложняет задачу злоумышленников. Взлом даже одного алгоритма в рамках мультивендорного подхода требует значительных усилий и ресурсов, так как алгоритмы постоянно меняются и совершенствуются. Но пользователи также должны соблюдать правила безопасности при использовании своих биометрических данных.

Важный инструмент — Liveness-проверка. Она используется для проверки подлинности биометрических данных, предоставленных пользователем, и помогает отличить реального человека от фейка, например, от фотографии или видеозаписи. Технология использует поведенческий анализ в реальном времени – моргание глаз, движение головы или реакция на звуковые сигналы. Если система обнаруживает признаки подделки, она отклоняет запрос на авторизацию или доступ к сервисам. Этот метод защиты особенно важен в контексте онлайн-банкинга и других финансовых операций.

Мультимодальность также обеспечивает безопасности и доверие к ЕБС. В системе используются две модальности биометрии: голос и лицо. Каждая из них имеет свои уникальные характеристики, которые вместе обеспечивают более точную идентификацию. Комбинируя оба типа данных, система может более точно определить, является ли человек настоящим или нет. Мультимодальность также помогает улучшить точность распознавания в сложных условиях, таких как низкое качество изображения или шумовая обстановка.

Выявление аномалий основано на анализе больших объемов данных и обнаружении необычных или подозрительных шаблонов поведения. Система отслеживает такие параметры, как частота и время использования биометрических данных, географическое положение пользователя, устройства, с которых были сделаны запросы, и другие факторы. При аномальной активности системе может заблокировать доступ к учетной записи или потребовать дополнительной проверки личности.

ЕБС защищена от киберугроз с помощью современных технологий безопасности, регулярно проводимых аудитов безопасности системы и обновлений программы защиты.

Конфиденциальность данных обеспечивается на разных уровнях. Первое – это уровень приложения, в котором применяется многофакторная аутентификация, криптография и жесткое разграничение доступа. Второй уровень – сетевой, где применяется усиленное шифрование каналов передачи данных. Серверный сокрыт завесой секретности. А вот для конечных организаций-участников ЕБС (банки, МФЦ) — применяется ГОСТ 57580, который содержит целый комплекс средств защиты – от антивирусов до защиты мобильных устройств.

Уязвимости последнего звена, вызванные невыполнением требований, видятся наиболее опасными для конфиденциальности сведений. На заре появления ЕБС в банках рабочие места по сбору данных располагались в операционных залах банков – не исключено, что подобная халатность будет встречаться и сейчас.

Для повышения доверия к ЕБС необходимо обеспечить прозрачность ее работы, чтобы граждане имели доступ к информации о том, как используются их биометрические данные, какие органы имеют доступ к этой информации и как обеспечивается защита данных. Необходимо также установить механизмы отчетности, чтобы граждане могли контролировать действия операторов ЕБС.

Заключение​

Единая биометрическая система — это инструмент с огромным потенциалом, способный упростить жизнь граждан и повысить безопасность различных сфер. ЕБС упрощает идентификацию граждан, повышает безопасность банковских операций, государственных услуг, транспорта, а также снижает риск мошенничества.

Система ЕБС способна отличать живого человека от его цифровой копии, благодаря использованию нейросетей и встроенному искусственному интеллекту. Защита выстраивается через сочетание нескольких биометрических модальностей, что затрудняет возможность создания подделки. За счет технологии Liveness система отличает живого человека от фейка, а использование дополнительных факторов защиты, например, подтверждение личности через двухфакторную аутентификацию, повышает точность распознавания почти до 100%.

Также в ЕБС реализовано распределенное хранение данных, то есть биометрический шаблон зашифрован и хранится в обезличенной форме отдельно от персональных данных – ФИО, паспортных данных и т. д., что сокращает шансы мошенников на идентификацию жертвы даже при успешной компрометации.

Но эта система требует внимательного подхода и учета всех возможных рисков. Только с помощью грамотного планирования, строгих мер безопасности и открытого диалога с гражданами ЕБС будет действительно безопасной и эффективной.

Для просмотра ссылки необходимо нажать Вход или Регистрация