Единая биометрическая система расширяет возможности удалённой идентификации граждан, но создаёт принципиально новые угрозы безопасности.
В отличие от традиционных паролей, биометрические параметры труднее изменить после компрометации данных.
Замминистра финансов Алексей Моисеев считает безопасность биометрических данных россиян значительно важнее улучшения сервиса в банках, отмечая, что «поменять пин-код или паспорт можно, но лицо — вряд ли».
Необратимость утечек: главная проблема биометрических данных
Традиционные средства защиты допускают ротацию — украли пароль, заменили новым. С биометрией ситуация кардинально иная. Когда злоумышленники копируют электронный пропуск, подбирают пароль или применяют скимминг пластиковой карты, все эти вещи можно заменить и таким образом предотвратить дальнейший ущерб. Отпечатки пальцев, геометрия лица, рисунок радужки остаются неизменными на протяжении всей жизни человека.
Пользователи сталкиваются со следующими рисками при утечке биометрических данных:
- скомпрометированные параметры нельзя обновить или аннулировать;
- мошенники получают доступ ко всем сервисам, использующим эту биометрию;
- восстановление безопасности требует полного отказа от биометрической аутентификации;
- возможны многократные атаки с использованием одних и тех же украденных данных.
В третьем квартале 2019 года 37% компьютеров, используемых для сбора, обработки и хранения биометрических данных, подверглись риску заражения вредоносным ПО. Такая статистика демонстрирует уязвимость инфраструктуры.
Технические ограничения и проблемы эксплуатации
Биометрические системы демонстрируют нестабильную работу при изменении условий регистрации и использования. Специалисты отмечают частые сбои при первичной записи шаблонов — низкое качество микрофонов, фоновые шумы, неподходящее освещение препятствуют корректному формированию биометрического профиля.
Как записать ЭП на токен становится актуальным вопросом для пользователей, которые сталкиваются с отказами биометрических систем и вынуждены использовать традиционные методы электронной подписи. Процедура требует соблюдения строгих технических требований к оборудованию и программному обеспечению.
Основные технические проблемы биометрии включают:
- высокую чувствительность к качеству регистрирующих устройств;
- необходимость контролируемых условий для получения стабильных результатов;
- проблемы с распознаванием при травмах, возрастных изменениях, болезнях;
- ложные срабатывания и отказы в доступе для легитимных пользователей.
Многие организации предпочитают дублировать биометрическую аутентификацию классическими методами именно из-за непредсказуемости работы биологических сенсоров.
Дипфейк-технологии: новая угроза биометрической безопасности
С помощью технологий глубокого машинного обучения начали создаваться многочисленные аудио- и видео-подделки на реальных людей. Дипфейк представляет качественно новый вызов для систем биометрической идентификации. С точки зрения биометрии основная угроза дипфейков связана с выдачей одного человека за другого.
За несколько последних лет мы наблюдали стремительное развитие технологий дипфейк — подделка видеозаписи лица человека и подделка голоса. Злоумышленники получили инструменты для создания убедительных подделок, способных обмануть алгоритмы распознавания. Достаточно нескольких фотографий из социальных сетей, чтобы синтезировать реалистичную видеозапись для обхода систем контроля доступа.
Проблема дипфейк-атак усугубляется доступностью инструментов создания подделок. Ранее такие технологии требовали профессиональных навыков и дорогостоящего оборудования, теперь они стали общедоступными через веб-сервисы и мобильные приложения. Если к мошенникам попадет база данных, которая хранится в ЕБС (Единой биометрической системе), то они смогут оформить кредит на чужое имя.