Пользователи популярных приложений в России смогут повысить безопасность своих аккаунтов, используя биометрические данные. Это предусмотрено новым законопроектом, направленным на борьбу с телефонными и интернет-мошенниками, который был внесен в Государственную Думу в феврале текущего года. Однако, по мнению экспертов, эти изменения могут быть сопряжены с определенными рисками, включая возможность утечки личной информации.
Для чего нужна биометрическая идентификация в приложениях
Потребность в использовании биометрической аутентификации в приложениях обусловлена ростом числа случаев интернет-мошенничества, когда злоумышленники используют чужие учётные данные для доступа к важным сервисам, таким как «Госуслуги», онлайн-банки и другим ресурсам, содержащим конфиденциальную информацию. Об этом сообщил Константин Горбунов, ведущий эксперт по сетевым угрозам и веб-разработчик компании «Код Безопасности».
В ответ на внедрение двухфакторной авторизации мошенники активно придумывают новые схемы и под разными предлогами узнают у пользователей одноразовые коды: кто-то через фишинг в мессенджерах, кто-то — через спам-звонки, кто-то — через рассылки. Однако в случае биометрии пользователь должен непосредственно сам находиться перед экраном для авторизации.
Евгений Янов, возглавляющий отдел аудита и консалтинга в компании F6, отмечает, что биометрические данные не могут быть утеряны, как пароль или PIN-код, и не могут быть забыты, как устройство с двухфакторной аутентификацией. Это делает процесс взаимодействия более удобным и потенциально снижает административные расходы на проверку информации о пользователях.
Опыт внедрения биометрии в приложениях за рубежом
В мире уже существует множество примеров использования биометрической идентификации в различных приложениях. Один из таких примеров — система Aadhaar в Индии. Она использует биометрические данные для взаимодействия с налоговой системой и банками, а также для оформления сим-карт.
Ещё один пример — система e-ID в Эстонии. Она используется для доступа к большинству государственных сервисов, таких как здравоохранение, банки, голосование и налоги. Подобные системы также существуют в ОАЭ, Бразилии и других странах.
Эксперт по кибербезопасности из Angara Security Николай Долгов отмечает, что наиболее распространённые методы биометрической идентификации — это распознавание лиц, отпечатков пальцев и голоса. Важно отметить, что в большинстве случаев технология используется добровольно, что позволяет минимизировать риски утечки данных и лучше защищать права пользователей.
Сергей Полунин, руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис», добавил, что опыт использования биометрии в различных сферах оказывается неоднозначным. Например, в Индии уже не раз происходили случаи взлома государственного реестра биометрических данных. В 2024 году в сеть попали данные полицейской службы страны, включая отпечатки пальцев, подписи и сканы лиц.
С другой стороны, в европейских странах активно внедряется электронное голосование на выборах, где биометрия является основным способом подтверждения личности, подчёркивает эксперт.
Эффективна ли биометрия
Сведения о контактах и личные данные, включая ФИО, хранятся отдельно от зашифрованной биометрической информации, что уменьшает вероятность их утечки, как утверждает Виталий Фомин, руководитель группы специалистов по информационной безопасности в Лиге цифровой экономики. Даже если данные окажутся в руках злоумышленников, они не смогут их применить.
Физиологические и поведенческие особенности человека сложно подделать, поэтому при правильном внедрении биометрических технологий можно достичь высокого уровня защиты. Однако эффективнее сочетать этот метод с другими вариантами идентификации, чтобы обеспечить полную безопасность.
В то же время, по словам Виталия Фомина, жители России с опаской относятся к инновациям и не спешат предоставлять биометрические данные, поскольку осведомлены о случаях мошенничества с их использованием. В частности, в настоящее время активно развиваются технологии дипфейков, что затрудняет для обычных пользователей распознавание поддельных изображений и аудиосообщений при входе по лицу или голосу.
Евгений Янов, специалист в области биометрической идентификации, объясняет, что существует несколько методов, которые можно использовать для реализации этой технологии в приложениях. Среди них — сканирование лица, дактилоскопия, аутентификация по радужной оболочке глаза и по голосу.
Наиболее распространёнными методами являются распознавание лица и отпечатков пальцев. Однако существуют и другие варианты, которые можно использовать. Главное — обеспечить надёжную защиту от подделки и учесть доступность устройств с необходимым методом для пользователей.
Сможет ли биометрия эффективно защитить пользователей, будет напрямую зависеть от реализации и принятых мер защиты. Эстонская система, например, построена на основе блокчейна, а биометрические данные хранятся на смарт-картах. Система в Индии использует централизованное хранилище с многослойным шифрованием.
В некоторых других системах используется SSI — модель хранения для обеспечения децентрализации. При этом большинство из них не хранят биометрические данные напрямую, а используют токенизацию. Также важно обеспечить безопасность передачи данных в системе и следовать принципу «нулевого доверия» при разработке её архитектуры.
Риски от биометрической идентификации
Важно, чтобы эта инициатива была реализована с учётом интересов и прав граждан, а также для защиты их частной жизни и личности, заявил руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар» Максим Бузинов. По его словам, для сбора и обработки данных будут использоваться алгоритмы машинного обучения, которые способны распознавать голоса и лица. Важно обеспечить безопасность как самой базы данных, так и точность распознавания, которая достигается благодаря этим алгоритмам.
Необходимо обеспечить регулярную актуализацию и обновление такой базы, обеспечить работу по исправлению ложных срабатываний. И, конечно же, стоит учитывать риски атак, в которых используются цифровые двойники, полностью сгенерированные искусственным интеллектом (ИИ).
В то же время Евгений Янов считает, что существует вероятность того, что мошенники могут перейти от попыток кражи данных к принуждению людей к совершению действий, направленных на незаконный сбор биометрических данных. В случае компрометации биометрических данных их невозможно будет изменить, в отличие от пароля.
В наше время нейронные сети способны создавать довольно реалистичные изображения людей. А для отпечатков может быть использована спуфинг-атака, когда один человек или программа успешно маскируется под другого. Чтобы защититься от такой атаки, необходимо не только проверять соответствие рисунка папиллярных линий, но и достоверно определять, что прикладываемый палец является настоящим. Это усложняет процесс проверки.
Для того чтобы сделать более точные выводы о достоверности источника информации при попытке аутентификации, необходимо принимать во внимание не только технические характеристики, но и особенности поведения пользователя. Кроме того, использование биометрических методов аутентификации требует наличия соответствующего оборудования, такого как сканер лица или отпечатков пальцев. Это может стать проблемой для людей старшего возраста.
Ранее россиян предупредили, что мошенники начали использовать видеозвонки для сбора биометрических данных, включая голос и изображение лица, с целью последующего списания средств с банковских счетов. Злоумышленники могут представляться сотрудниками мобильных операторов, предлагать услуги, проводить опросы или тестировать качество связи.
Читать материалы по теме:
ЦБ: Мошенники стали использовать виртуальные образы банковских карт своих жертв
Узнать по голосу: в России предложили создать базу биометрических данных телефонных мошенников
Госдума дополнит законопроект по борьбе с мошенничеством новыми правилами работы с биометрией
