|  |
 | Журнал ТЗ № 3 2023 |  |
|
Раздел: КОНТРОЛЬ ДОСТУПА
Тема: СКУД (системы контроля и управления доступом)
Автор: Дмитрий Антонов , СЕО компании Iris Devices , Александр ГОРШКОВ, CBO компании Iris Devices
| Девальвация персональных данных | |  Сейчас всё активнее происходит переход к идентификаторам личности нового поколения. Это и ЭЦП, и цифровые права, и электронный паспорт, и биометрия в чистом виде. Одновременно с этим наблюдается обесценивание традиционных персональных данных.
Сейчас всё активнее происходит переход к идентификаторам личности
нового поколения. Это и ЭЦП, и цифровые права, и электронный паспорт, и биометрия в чистом виде. Одновременно с этим наблюдается
обесценивание традиционных персональных данных.
Обесценивание персональных данных
Персональные и биометрические данные в огромных объёмах похищаются
практически во всех странах. Наиболее известное хищение произошло в
2017 году на Филиппинах, когда были украдены биометрические данные
всех 55 миллионов избирателей страны1.
Не стоит думать, что в «самой информационно защищённой стране» США
не происходит утечек персональных и биометрических данных. Например,
«4 июля 2017 года мы обнаружили сложную атаку вредоносного ПО, которая затронула киоски в некоторых магазинах Avanti Markets» 2.
В Зимбабве летом 2018 года хакеры клонировали домен местного избиркома, проникли в сетевое хранилище и похитили информацию об избирателях.
Помимо базы отпечатков пальцев, злоумышленники завладели такими
персональными данными, как фотографии, адреса, номера мобильных
телефонов и номера национальных идентификаторов3.
| 
Индийский проект Aadhaar – крупнейшая биометрическая система в мире, в
которой зарегистрированы более 1,1
миллиарда пользователей. Несмотря
на все заявления ответственных лиц,
что «данные Aadhaar4 полностью безопасны, и в UIDAI5 не было утечки или
нарушения данных», в 2018 году всего
за 500 индийских рупий (примерно 474
рубля) предоставлялся неограниченный
доступ к самой крупной государственной
биометрической системе для любого из более чем 1 миллиарда номеров Aadhaar. А ещё за 300 рупий (284 рубля)
предоставлялось «программное обеспечение», которое
могло облегчить печать карты Aadhaar после ввода номера Aadhaar любого человека6. Можно констатировать,
что стоимость персональных и биометрических данных
фактически обнулилась.
Защиту персональных и биометрических данных не могут
на 100% обеспечить не только частные и государственные
компании, но и производители биометрического оборудования. В 2019 году разразился скандал в результате утечки
конфиденциальных данных из системы контроля доступа
AEOS, которую предлагает компания Suprema7. Для информации, система контроля доступа AEOS используется более
чем 5700 организациями в 83 странах мира. В частности, она
стоит в британском Скотланд-Ярде, банках и на оборонных
предприятиях8.
В России принимают законы, которые должны защитить
персональные данные граждан. При этом в июле 2019 года
на сайте РИА Новости была опубликована статья, в которой рассказывается о том, как из государственных систем продаются персональнные данные граждан, а жертвы
мошенников не могут найти защиты9. Нас успокаивают, что
«ввели видеоподтверждение», и «теперь, чтобы оформить
заём, человеку нужно связаться с оператором лично по
скайпу или вотсапу и подтвердить своё согласие», но мы
знаем, что такой контроль легко обойти при помощи дипфейков10, которые стали не только очень правдоподобными,
но и легкодоступными. И естественно, что в последующие
годы незаконное оформление мошенниками кредитов на
граждан не прекратилось11.
|  Существенным моментом в объёме защищаемых персональных данных стало присвоение мобильным телефонным
номерам и электронным почтовым адресам статуса официальных идентификаторов россиян12. А теперь эксперты
сообщают, что узнать личные данные любого человека
можно по номеру его телефона, и дают уже совсем смешные
рекомендации менять паспорт раз в три-четыре года13.
Рост утечек персональных данных
Объём утечек персональных данных россиян в 2022 году
вырос в 40 раз по сравнению с предыдущим годом – следует
из аналитического отчета компании Group-IB. В открытом
доступе появилась та или иная личная информация примерно 100 миллионов человек – это две трети граждан
страны или почти всё взрослое население, констатируют
эксперты 14.
Самый крупный случай слива персональных данных произошёл в феврале 2022 года. Тогда из базы данных службы
доставки СДЭК утекли два файла: один – 466 миллионов
строк, второй – 822 миллиона. Ещё одним заметным сливом
в феврале 2022 года стала утечка данных пользователей
сервиса «Яндекс.Еда». Было обнародовано порядка
50 миллионов записей, из них 6,8 миллионов уникальных
наборов данных. В мае 2022 года аналогичная ситуация
произошла с Delivery Club. В сеть просочилась база
заказов на 350 миллионов строк. Также в мае 2022 года
были незаконно обнародованы сведения о 30 миллионах
клиентов сети медицинских лабораторий «Гемотест». База
содержала ФИО, адреса и телефоны15. Благодаря массовым утечкам персональных данных создаются «цифровые
портреты» будущих жертв. Впоследствии их используют для
мошенничества и различных правонарушений.
Невесёлая статистика приведена в отчёте об исследовании
утечек информации ограниченного доступа в I половине 2022 года, подготовленного компанией InfoWatch16: 2% от похищенной
информации составляет государственную тайну. «Масштабы утечек грандиозные, а штрафы копеечные. Они как отмычка для воров» – констатирует
глава СПЧ Валерий Фадеев17.
Не совсем прозрачна ситуация с компрометацией биометрических данных
россиян. И хотя Министерство цифрового развития, связи и массовых коммуникаций РФ не подтвердило утечку биометрических данных россиян из НИИ
«Восход» 18, есть вероятность, что уволенный из НИИ «Восход» сотрудник
смог проникнуть в систему, где собраны данные с 2006 года19.
Получается, что практически все персональные данные уже неоднократно
украдены. Их можно легко найти в интернете, и они сливаются из разных
учреждений в огромных количествах20. Возможно мы ошибаемся, но создаётся впечатление, что обесценивание персональных данных предыдущего
поколения происходит с чьей-то активной помощью, при этом персональные
данные нового поколения явно растут в цене. Персональные данные нового
поколения и связанная с ними информация о действиях каждой личности
становится новым видом капитала.
Среди всех персональных данных нового поколения явно выделяется
биометрия. Использование биометрии осложняет мошенникам множество
возможностей для незаконных действий, но при этом у биометрии остаются
две глобальные проблемы с безопасностью: первая – подмена биометрических данных на различных этапах их регистрации, хранения и использования;
вторая – предоставление биометрических данных под давлением или в
бессознательном состоянии.
Подмена биометрических данных и идентификация под давлением
Как можно определить, где и каким образом были скомпрометированы
персональные биометрические данные? Что необходимо сделать, чтобы
контролировать все потенциальные места возможной компрометации и
подмены? Для этого необходимо наладить систему мониторинга и контроля
за обращением с персональными данными. И главное – установить надёжную
связь между личностью и её биометрическими данными. Например, регистрировать ДНК при рождении и в дальнейшем обновлять биометрические
данные с сопоставлением их владельца по ДНК, начиная с детства и далее
по мере необходимости. Если подделать один тип биометрических данных
возможно, то подделать одновременно несколько, включая ДНК, радужную
оболочку глаз и рисунок кровеносных сосудов, будет практически невозможно ещё очень долго.
Чтобы справиться со второй проблемой, надо уметь выявлять непроизвольные и нетипичные изменения регистрируемых биометрических данных в
момент стресса, наркотического и алкогольного опьянения, потери сознания и при других, опасных для человека, состояниях. Например, это могут
быть изменение сердцебиения, частоты дыхания и моргания, нетипичная
реакция зрачка на изменение внешних условий освещения, поведенческие
особенности и т.д.
Такой комплексный подход позволит организовать оперативное реагирование на возможные угрозы и препятствовать подделке биометрических
данных.
1
https://www.rappler.com/nation/161700-comelec-stolen-computer-lanao-del-sur-data-data-breach/
2 https://krebsonsecurity.com/2017/07/self-service-food-kiosk-vendor-avanti-hacked/
3 https://www.iksmedia.ru/news/5566549-Biometriya-risk-utechki-est-vsegda.html
4 https://en.wikipedia.org/wiki/Aadhaar
5 https://ru.wikipedia.org/wiki/UIDAI
6
https://www.tribuneindia.com/news/archive/nation/rs-500-10-minutes-and-you-have-access-to-billionaadhaar-
details-523361
7 https://www.vpnmentor.com/blog/report-biostar2-leak/
8 https://www.securitylab.ru/news/500471.php
9 https://ria.ru/20190701/1555979096.html
10 https://www.wsj.com/articles/i-cloned-myself-with-ai-she-fooledmy-
bank-and-my-family-356bd1a3
11 https://www.bfm.ru/news/457086
12 https://www.cnews.ru/news/top/2019-09-17_v_edinuyu_biometricheskuyu
13 https://www.rbc.ru/rbcfreenews/5fb090089a7947cc8273c917
14 https://iz.ru/1457616/ivan-chernousov/urozhai-slivov-utechki-personalnykh-dannykhrossiian-
vyrosli-v-40-raz
15 https://safe.cnews.ru/news/top/2023-01-24_v_rossii_fiksiruyut_vzryvnoj
16 https://www.infowatch.ru/sites/default/files/analytics/files/otchyot-ob-utechkakhdannykh-
za-1-polugodie-2022-goda_1.pdf
17 https://rg.ru/2022/12/19/predsedatel-soveta-po-pravam-cheloveka-valerij-fadeevprizval-
uzhestochit-nakazanie-za-utechku-biometricheskih-dannyh.html
18 https://riafan.ru/23927344-mintsifri_rf_oproverglo_utechku_biometricheskih_
dannih_iz_nii_voshod
19 https://tsargrad.tv/news/jeks-sotrudnik-slil-bazu-biometricheskih-dannyh-istochnikrasskazal-
ob-utechke-v-nii-voshod_737232
20 https://yandex.ru/images/search?source=serp&text=фото%20с%20паспортом
| Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru
Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них. Ждем ваших оценок, вопросов и комментариев! |
Добавить комментарий или задать вопрос
Правила комментирования статей
Версия для печати
Средняя оценка этой статьи: 0 (голосов: 0) Ваша оценка:
| | |
|  |
|
|
Реклама |
|
Подписка на новости |
|
 |