Биометрия преткновения
Эксперты и регулятор разошлись в оценке эффективности ее защиты
В ходе Международного банковского форума был поднят вопрос о безопасности Единой биометрической системы (ЕБС). Специалисты по информбезопасности скептически оценили ее способности защитить данные клиента с учетом развития современных технологий подделки фото, видео и голоса. В ЦБ считают, что разработали защитные механизмы от максимального числа угроз. Но эксперты отмечают, что развитие технологий уже через один-два года позволит мошенникам «украсть» чью угодно личность. Сейчас в этом нет необходимости, поскольку украсть деньги у клиента банка можно проще и дешевле.
Председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт» Наталья Касперская на Международном банковском форуме заявила об опасности использования биометрии. По ее словам, утечки происходят из самых разных баз данных, и не так важно, как они защищены от взлома снаружи, поскольку часто это делается изнутри. Госпожа Касперская добавила, что с биометрическими данными есть еще одна «чудовищная проблема» — технология глубокой подделки DeepFake (подделка фотографии, видео и голоса человека, которые неотличимы от оригинала). По словам эксперта, защиты от нее не существует, поэтому «следует воздержаться от сдачи биометрии».
«Мы не зафиксировали значимых инцидентов, связанных с подменой биометрических образцов или других фактов»,— заверил в ответ директор департамента информационной безопасности Банка России Вадим Уваров.
Впрочем, по словам собеседника “Ъ” в крупном банке, угрозы нет просто потому, что биометрия еще не работает: «Людям до сих пор непонятно и неудобно ей пользоваться».
В ЦБ заявили, что «для устойчивости системы проводилось углубленное моделирование различных угроз, в том числе и DeepFake». Это позволило заранее предусмотреть «защитные механизмы от максимального числа угроз и выработать методы защиты от действий широкого круга потенциальных нарушителей». В ЦБ добавили, что механизм удаленной идентификации является многофакторным: основу составляет ЕСИА (система, обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах), а ЕБС используется как дополнительный инструмент: «Кроме того, биометрические образцы хранятся раздельно от других персональных данных, что является дополнительным элементом защиты».
Эксперты отмечают, что системы ЕБС сами по себе довольно хорошо защищены. И до тех пор, пока данные не используются для каких-либо операций, проблем не будет. Однако, по словам управляющего RTM Group Евгения Царева, «как только они начнут массово применяться для осуществления трансакций, преступники непременно найдут способ "встроиться" в систему».
Между тем технологии DeepFake становятся широко доступны.
«Такие фейки могут применяться для шантажа, атак с применением социальной инженерии и других мошеннических действий»,— говорит господин Царев. Эксперт поясняет, что технологии быстро развиваются, и скоро преступники смогут создать образцы, идентичные тем, что находятся в банке или государственной системе, и таким образом «украсть» чью угодно личность, совершив оплату или другую операцию за жертву. По его оценке, подобные прецеденты появятся «в течение года-двух».
Эксперты признают, что для массового использования таких инструментов есть технологические препятствия. Коммерческий директор компании RuSIEM Александр Булатов обращает внимание, что потенциальному злоумышленнику необходимо получить доступ к смартфону своей жертвы, разблокировать его, предъявить банковскому приложению DeepFake. «Поэтому среднестатистическому пользователю вряд ли стоит опасаться, что под него будет создан цифровой двойник»,— говорит он. А вот людям, у которых на счетах хранятся существенные суммы, от биометрической идентификации будет лучше отказаться.
Однако, уточняет директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, уже сейчас тот же результат можно получить «простыми и хорошо отработанными приемами взлома». Для обхода биометрический аутентификации преступникам совсем не требуется формировать DeepFake или подменять биометрический профиль клиента: «Можно провести атаку на инфраструктуру банка и "вбросить" фальшивое платежное поручение на заключительном этапе обработки платежа, когда биометрическая аутентификация считается успешно пройденной. Или провести атаку "здравствуйте, вас беспокоит служба безопасности банка" непосредственно на клиента, и он сам подтвердит перевод денег на "резервный" счет».