20.02.2018

#ibbank Удаленная биометрическая идентификация и ее обход мошенниками, использующими нейросети

На Уральском форуме очень много говорилось о том, как полезна и удобна удаленная биометрическая идентификация с точки зрения клиента, а у банков появляется новая возможность для зарабатывания денег, потому что увеличивается число клиентов, которые смогут проходить идентификацию без физического присутствия в отделении банка. Особенно много может появиться таких клиентов из удаленных регионов, где физически сложно присутствовать в отделении кредитной организации для проведения тех или иных операций.

Но совершенно неозвученной оказалась тема безопасности хранилища биометрических данных, применяемых для удаленной идентификации. Да и вообще тема безопасности самой биометрической идентификации осталась незаслуженно обойденной вниманием. Но в отличие от хранилища биометрических паспортов, доступ к которому имеет ограниченное количество лиц, к базе биометрических данных всех граждан Российской Федерации в ЕСИА получают доступ все банки, Почта России и другие организации. А значит риски возрастают многократно. И если в случае кражи или подмены обычного логина и пароля их легко заменить, то заменить биометрические данные становится проблематично.

В этом контексте мне понравился мастер-класс, который на пару вели представители Информзащиты и Oz Forensics. Это, кстати, был единственный пример, когда выступление было разделено между двумя спикерами, играющими свои роли, которые передавали друг другу слово по мере рассказа.

Начав с исторического экскурса в историю фальсификации фотографий:


докладчики перешли к примерам угроз для систем биометрической идентификации:


а потом немного коснулись темы применения искусственного интеллекта... нет, не в средствах защиты, а наоборот, мошенниками и киберпреступниками:


А перед описанием защиты от такого рода угроз был дан неплохой обзор (хотя и короткий) особенностей средств биометрической идентификации и того, как они принимают решения о достоверности представленных биометрических данных и их совпадении с имещимся в хранилище эталонным образцом. Там тоже есть множество нюансов, которые могут превратить национальную систему идентификации в тыкву, если не подумать о нивелировании этих рисков.

Но к сожалению, о безопасности удаленной биометрической идентификации на форуме не говорилось. То ли потому, что сказать пока нечего, то ли потому, что никто не хотел привлекать внимание к тому, как можно обойти систему, которая может стать одним из центральных звеньев будущей стратегии развития ЦБ. Хорошим финалом для этой темы (или промежуточной точкой) стал доклад Алексея Сабанова из Аладдина, который привел ссылки на большое количество международных стандартов по идентификации и аутентификации, в которых прямо написано, что биометрия не является надежным методом идентификации и не должен использоваться как единственный механизм проверки подлинности гражданина, получающего доступ к финансовым услугам. "Безопасность биометрии сродни домофону", так закончил свой доклад Алексей Сабанов и также хочу завершить заметку и я.

8 коммент.:

Евгений комментирует...

Алексей, а предусматривает ли "стратегия развития" ЦБ и иже с ними фиксацию в "базе биометрических данных всех граждан Российской Федерации" отказ гражданина от выполнения операций в его отношении с использованием биометрических данных?

Алексей Лукацкий комментирует...

Конечно. Обработка любых ПДн только с согласия субъекта, а в случае биометрических ПДн еще и с письменного согласия

МФЦ СИБ комментирует...

И да это не спасет от мошенничества) как не удивительно и люди будут об этом узнавать из повестки судебных исполнителей.
Личный пример-декабрь 13(может 14) года приходит письмо, что моя пенсия переходит в росгосстрах по моему заявлению - есстественно заявление подделано, подпись подделана итд итп. В итоге деньги вернули назад(обращение в ихнее СБ как не странно помогло, сработали они оперативно...относительно), ни наказания, ни уголовного дела, как обычно. И таких потерпевших было море. И тут будет также, ваше согласие подделают, биометрию левую воткнут (сейчас эт вообще легко вон пишут мода пошла порно клепать подделанное) , заведут кредит...итдитп.
Погуглите - deepfakes, FaceSwap и эти технологии улучшаются постоянно.

Евгений комментирует...

Поэтому и уточняю про "базу всех граждан". Если она будет под контролем ЦБ хоть каким-нибудь, и в ней можно будет сделать пометку, что гражданин запретил использовать биометрические методы идентификации, то надеюсь это снизит риск в отношении мошеннических действия с использованием фото/видео и проч.

Алексей Лукацкий комментирует...

База будет под контролем Ростелекома

МФЦ СИБ комментирует...

Да не важно под чьим она контролем...пенсионные деньги под контролем пенсионного фонда, но это не спасает от мошенничества в отношении ваших пенсий, так и тут также...огромное количество банков замешано в махинациях, за которые никто не несет ответственность(одна из основных, которая была сильно видна, это обналичка).
Если в отношении Вас будет мошенничество как в моем случае, т.е. за Вас напишут расписку что Вы согласны на биометрию, за Вас откроют кредитный счет и снимут деньги, то это Вы будете доказывать свою не виновность, а не банк. Другими словами Вы никак не защищены. Вот когда банк будет нести ответственность, притом сильно материальную, скажем страховка от такого мошенничества будет 10 миллионов, тогда есть смысл говорить о безопасности, а так это одни декларации ни о чем. И все эти технические приблуды(больше никак их не назовешь, потому, что для того чтоб их поставить надо будет лезть в андроид в режим разработчика и разрешать установку из недоверенных зон, т.к. они не будут находится в плей маркетах, их надо будет скачать с сайта, который опять же можно подменить)...итдитп.

МФЦ СИБ комментирует...

И еще один механизм защиты это установить презумпцию виновности банка, чтобы банк доказывал, что это именно Вы открыли счет. Вот тогда Банк будет сильно заинтересован в защите любых ваших данных, включая биометрию. Но это естественно никакое согласование и не пропустит, лобби у них сильное.

Евгений комментирует...

> База будет под контролем Ростелекома

Худшая идея...