В ходе Международного банковского форума был поднят вопрос о безопасности Единой биометрической системы (ЕБС). Специалисты по информбезопасности скептически оценили ее способности защитить данные клиента с учетом развития современных технологий подделки фото, видео и голоса. В ЦБ считают, что разработали защитные механизмы от максимального числа угроз. Но эксперты отмечают, что развитие технологий уже через один-два года позволит мошенникам «украсть» чью угодно личность. Сейчас в этом нет необходимости, поскольку украсть деньги у клиента банка можно проще и дешевле.
Мнения ЦБ и участников рынка о безопасности использования биометрии диаметрально разошлись
Фото: Владимир Деревягин
Председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт» Наталья Касперская на Международном банковском форуме заявила об опасности использования биометрии. По ее словам, утечки происходят из самых разных баз данных, и не так важно, как они защищены от взлома снаружи, поскольку часто это делается изнутри. Госпожа Касперская добавила, что с биометрическими данными есть еще одна «чудовищная проблема» — технология глубокой подделки DeepFake (подделка фотографии, видео и голоса человека, которые неотличимы от оригинала). По словам эксперта, защиты от нее не существует, поэтому «следует воздержаться от сдачи биометрии».
«Мы не зафиксировали значимых инцидентов, связанных с подменой биометрических образцов или других фактов»,— заверил в ответ директор департамента информационной безопасности Банка России Вадим Уваров.
Впрочем, по словам собеседника “Ъ” в крупном банке, угрозы нет просто потому, что биометрия еще не работает: «Людям до сих пор непонятно и неудобно ей пользоваться».
В ЦБ заявили, что «для устойчивости системы проводилось углубленное моделирование различных угроз, в том числе и DeepFake». Это позволило заранее предусмотреть «защитные механизмы от максимального числа угроз и выработать методы защиты от действий широкого круга потенциальных нарушителей». В ЦБ добавили, что механизм удаленной идентификации является многофакторным: основу составляет ЕСИА (система, обеспечивающая санкционированный доступ к информации, содержащейся в информационных системах), а ЕБС используется как дополнительный инструмент: «Кроме того, биометрические образцы хранятся раздельно от других персональных данных, что является дополнительным элементом защиты».
Эксперты отмечают, что системы ЕБС сами по себе довольно хорошо защищены. И до тех пор, пока данные не используются для каких-либо операций, проблем не будет. Однако, по словам управляющего RTM Group Евгения Царева, «как только они начнут массово применяться для осуществления трансакций, преступники непременно найдут способ "встроиться" в систему».
Между тем технологии DeepFake становятся широко доступны.
«Такие фейки могут применяться для шантажа, атак с применением социальной инженерии и других мошеннических действий»,— говорит господин Царев. Эксперт поясняет, что технологии быстро развиваются, и скоро преступники смогут создать образцы, идентичные тем, что находятся в банке или государственной системе, и таким образом «украсть» чью угодно личность, совершив оплату или другую операцию за жертву. По его оценке, подобные прецеденты появятся «в течение года-двух».
Эксперты признают, что для массового использования таких инструментов есть технологические препятствия. Коммерческий директор компании RuSIEM Александр Булатов обращает внимание, что потенциальному злоумышленнику необходимо получить доступ к смартфону своей жертвы, разблокировать его, предъявить банковскому приложению DeepFake. «Поэтому среднестатистическому пользователю вряд ли стоит опасаться, что под него будет создан цифровой двойник»,— говорит он. А вот людям, у которых на счетах хранятся существенные суммы, от биометрической идентификации будет лучше отказаться.
Однако, уточняет директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, уже сейчас тот же результат можно получить «простыми и хорошо отработанными приемами взлома». Для обхода биометрический аутентификации преступникам совсем не требуется формировать DeepFake или подменять биометрический профиль клиента: «Можно провести атаку на инфраструктуру банка и "вбросить" фальшивое платежное поручение на заключительном этапе обработки платежа, когда биометрическая аутентификация считается успешно пройденной. Или провести атаку "здравствуйте, вас беспокоит служба безопасности банка" непосредственно на клиента, и он сам подтвердит перевод денег на "резервный" счет».