29.05.2017

Биометрия на марше

В последнее время вдруг очень актуальной стала тема биометрии - о ней стали говорить не только компании-производители и специалисты по безопасности, но и государство, которое даже сейчас рассматривает 3 законопроекта по данной теме:
  • Законопроект Гаттарова-Матвиенко, который вносит правки в ФЗ-152, уточняя понятие биометрических персональных данных. По версии авторов законопроекта (а мне посчастливилось входить в группу, которая писала этот законопроект) такими данными признаются те, которые используются только при автоматической идентификации субъекта. Иными словами, сличение паспорта с лицом его предоставившим на охране или копирование паспорта в рамках идентификации по 115-ФЗ не будет относиться к обработке биометрических ПДн (в случае принятия данной поправки).
  • Законопроект Аксакова, который также вносит правки в ФЗ-152, но всего одну. Аксаков предлагает разрешить обработку биометрических ПДн не только с согласия субъекта, но и его законного представителя. 
  • Законопроект по удаленной идентификации позволяет кредитным организациям использовать биометрические данные (фото, а также иные виды биометрии) при осуществлении взаимодействия между клиентами и банками. Законопроект является рамочным и просто устанавливает такую возможность, которая будет далее детализирована в нормативно-правовых актах Правительства и нормативных актах Банка России.
В принципе, биометрия действительно решает многие классические проблемы, которые находятся на стыке безопасности и бизнеса. Традиционный вариант проверки личности клиента по его кодовому слову, дате рождения и девичьей фамилии матери давно уже перестали хоть как-то защищить человека от мошенников - узнать эту информацию не представляется такой уж и большой проблемой. По данным Центра речевых технологий 65% клиентов банков не нравится процесс проверки по паролю и кодовому слову при звонках в Call Center. 49% клиентов считает, что проверка слишком долгая (от 40 до 90 секунд). 74% хотя бы раз не получили доступа к своим данным из-за того, что не прошли проверку и не смогли подтвердить свою личность стандартным способом. И биометрия может помочь во всех этих случаях, но…

Когда представители компаний, занимающихся биометрией, рассказывают о том, какие преимущества она дает заказчику, они либо совсем, либо чуть-чуть только касаются вопросов обхода биометрических систем. Причем в рассказах об угрозах разработчики приводят набившие оскомину примеры с отрезанными пальцами, записанным голосом, муляжами ладоней или 3D-масками лица. Но все они представляют только один вектор атаки - на систему сбора данных. А где остальные 12 векторов? Почему про них никто ничего не говорит, рассматривая системы  биометрии?


В условиях, когда биометрия будет насаждаться на уровне законодательных инициатив, такое пренебрежение всесторонним моделированием может сказаться крайне негативным образом на развитии в целом неплохой технологии. Ведь государство ведет речь о системе национального масштаба, где цена ошибки будет очень велика. Представьте себе, что в результате отсутствия моделирования угроз выяснится, что злоумышленник может украсть/подменить свертку биометрических данных (геометрии лица, голоса или отпечатков пальцев). И что дальше делать? По сути на этих способах будет поставлен жирный крест, так как если украденную пару логин/пароль можно легко поменять, то свои отпечатки или лицо уже не поменяешь (вариант с пластической хирургией мы, конечно, не рассматриваем).

Та же проблема и в корпоративном применении биометрии. Тот же Сбербанк заявил в прошлом году, что планирует оснащать все свои банкоматы технологией распознавания клиентов. При масштабах банкоматной сети Сбера это будет дорогостоящий и небыстрый процесс (при сроке жизни банкомата в 7 лет). И что, если выяснится, что в процессе верификации, обработки сигнала, принятия решения или хранения допущена уязвимость, которая может быть использована злоумышленниками. И тут не только пойдет речь о снижении доверия к биометрии как таковой, но и о выброшенных на ветер деньгах и времени.

Вот примерно об этом я и говорил в Казани на IT & Security Forum, который уже в 11 раз проводился компанией ICL КПО ВС.



В рамках презентации показывал несколько видео - тоже выкладываю:







9 коммент.:

SOFTPROM-BLOG комментирует...

В начале 2000-х активно пытались внедрить устройства с отпечатками пальцев как отдельные устройства, так и встроенные в клавиатуры. Было модно :) Потом попытались пойти по опыту Германии (система здравоохранения) и стали комбинировать смарткарты со сканерами отпечатков пальцев. Проектов было много, но к 2005 почти все они "почили в бозе". Новомодные сканеры сетчатки глаза массово не внедрялись. Поэтому, попытки внедрения систем по распознаванию лиц, скорей всего, тоже обречены на провал.

Алексей Лукацкий комментирует...

Есть разница - сейчас это будет прописано в законе

SOFTPROM-BLOG комментирует...

Вы сами написали, что масштаб расходов в одном Сбере оценить просто невозможно. Суммы, которые они собираются потратить, плюс, закон, ещё не значит, что их ИТ-специалисты готовы к внедрению. Ведь они (и не только они) собираются внедрить "опознание клиента" не только в банкоматах, но и при посещении отделения при общении с операционистом.
Наверное, надо было бы задать вопрос по-другому: "Какая цель?" И ещё: "Кому это нужно?"
Вы точно написали, что необходим комплексный подход, а попытка развить/внедрить один из методов (когда их 12) похожа на чью-то частную инициативу, желание, прихоть, если хотите. Просто в масштабе страны получится как с развёртыванием Интернета во всех школах страны. Если вы участвовали в написании проекта закона, то, скажите, кто-то считал эффективность от подобного внедрения? Хоть какой-то проект просчитывался? Какую экономию времени или денег это может принести организации? Хотя бы в относительных цифрах.
И ещё спасибо за публикацию! Очень понятно и доходчиво.

Saches комментирует...

Если я правильно понял, законопроект Гаттарова-Матвиенко еще от декабря 2013 года.
А есть понимание, когда его примут и в каком виде?

Target комментирует...

Перспектив никаких. Сенатор Руслан Гаттаров давно в Челябинске, Бокова Людмила проект не двигает, аппарат Президента не дает на проект положительного заключения. В этот проект включил и другие "правильные" предложения для приведения ФЗ № 152 в какой-то порядок, устранения правовых коллизий. Например, отказ от обеспечения конфиденциальности идентификационных данных, которые предназначены для передачи неопределенному кругу лиц при реализации коммуникативной функции, разрешение операторам ПДн разрабатывать модель угроз безопасности ПДн до издания ФОИВ НПА с отраслевой моделью, приоритет отраслевого законодательства по защите профессиональной тайны и др.

Target комментирует...

Мистика. Отправил комментарий о безперспективности законопроекта, ровно через час пришел запрос об оценке его актуальности... ТАМ читают блог Алексея?

Алексей Лукацкий комментирует...

ТАМ всех и все читают

Saches комментирует...

КМК, проект правильный и очень жаль, что его до сих пор не приняли.

Sergey комментирует...

22 мая на заседании Комиссии Правительства Российской Федерации по законопроектной деятельности законопроект был поддержан Правительством.