| Журнал ТЗ | Статьи, обзоры, аналитические материалы

Автор: Александр ГОРШКОВ, CBO компании Iris Devices, резидента инновационного центра «Сколково»
Голый король
Статья подготовлена по результатам круглого стола «Мошенничество и атаки на цифровые профили и биометрия – где грань безопасности? DeepFake. Как безобидная шутка может привести к потере ваших денег?!» на форуме AntiFraud Russian¹. Участники форума были солидарны с тем, что риски использования биометрии возрастают не только с появлением deepfake алгоритмов, но и с недостаточным обеспечением информационной безопасности в целом.
Продолжительное время всех убеждали, что проблем с использованием биометрической идентификации не возникнет: это надёжно и безопасно. Изредка появлялись публикации о взломе или обмане того или иного биометрического устройства, о разработке новых мошеннических схем хищения денежных средств (чаще всего с использованием социальной инженерии), но о реальных случаях обмана биометрических систем не сообщалось. На самом деле, повторялся сценарий «Неуловимого Джо». Кому эта биометрия нужна, если в Единой Биометрической Системе за три года зарегистрированы биометрические данные чуть больше, чем 120 тысяч россиян? Уже скоро им потребуется обновлять свои данные, но многие ли из них это сделают?
В эйфории от того, что отечественные биометрические решения в тестах Национального Института Стандартов США занимают лидирующие позиции², культивировалось мнение, что эти решения надёжны и их невозможно, ну, или, почти невозможно обмануть.
Ситуация стала меняться, когда банки начали проводить идентификацию клиентов по голосу в своих контакт-центрах, а в Московском метрополитене внедрили оплату проезда по биометрии лица. Как только появилась связь биометрии с финансовыми операциями, то сбором биометрических данных заинтересовались телефонные мошенники, а сколько персональных фото- и видеоматериалов было ими собрано через социальные сети, определить невозможно. Использование социальных сетей, различных опросов, конкурсов и викторин вызывает обоснованные опасения. 6 декабря 2021 года появилась информация о том, что разработчика мессенджера Mitto³ уличили в продаже данных для слежки за пользователями. Не случайно Владимир Владимирович Путин потребовал навести порядок с незаконной слежкой компаний за гражданами⁴. Также у россиян вызывают обоснованные опасения введение общегражданских биометрических паспортов, и текущая ситуация с использованием и защитой биометрических данных.

«Треть россиян (32%) сомневаются в безопасности цифровых паспортов — опасаются кибератак, взломов баз и утечек данных, разглашения персональных сведений и возможности стать жертвами онлайн-мошенников»
Исследование аналитического центра НАФИ⁵
Ещё одним опасением является возможность использования сотрудниками силовых ведомств полученных из ЕБС биометрических данных для слежки за гражданами. Такое опасение, на мой взгляд, не оправдано уже по той причине, что в паспортных столах давно собраны все наши персональные данные, в том числе и фотографии. Предполагаю, что они могут использоваться не всегда законно, но это мы никак проконтролировать не можем.
Опасность использования биометрических решений в текущей реализации озвучила в начале октября 2021 года Наталья Касперская⁶. Можно доверять её экспертной оценке, можно не доверять, но ситуация со сбором биометрии катастрофически ухудшилась после того, как было предложено собирать биометрические данные через смартфоны пользователей. Такое решение вызвало, с одной стороны, недоверие людей к безопасности сбора, передаче и хранению пользовательских биометрических данных⁷, а с другой – непонимание у банков, которые уже вложили значительные средства в криптографическое оборудование для выполнения требований ЦБ по обеспечению «безопасного» использования Единой Биометрической Системы.
Обмануть биометрические системы с каждым днём становится всё проще. Если ещё недавно к deepfake алгоритмам относились снисходительно, поскольку их было сложно создать, а полученные с их помощью изображения и видео имели низкое разрешение и недостаточное качество, то теперь данные алгоритмы способны обмануть биометрические системы идентификации как по лицу, так и по голосу⁸.
Ведущий круглого стола Алексей Лукацкий на форуме AntiFraud Russian отметил, что даже регуляторы не рассматривают многие реальные модели угроз, уверяя, что с защитой биометрических данных у них всё хорошо, что есть различные сертификаты и т.д. Алексей задал экспертам вопрос: «Насколько сегодня стандартизация готова отвечать на вопросы, связанные с защитой от дипфейков и с идентификацией дипфейков». Ответил на него директор некоммерческого партнерства «Русское биометрическое общество» (РБО) Данила Николаев: «К сожалению, ни одна биометрическая система в стране, кроме единиц, не протестирована нормально по стандартам. Даже та же самая ЕБС».
Есть три типа испытаний:
1. Технологические – тестирование биометрических алгоритмов по различным базам (аналог NIST).
2. Сценарные – тестирование макета системы перед внедрением.
3. Оперативные – тестируется действующая система.
Требования к проведению испытаний установлены в следующих национальных стандартах: ГОСТ Р ИСО/МЭК 19795–1–2007, ГОСТ Р 58292–2018 (ИСО/МЭК 19795–2:2007) и ГОСТ Р 58624.3–2019.
Данила Николаев на примере самолётостроения объяснил, почему наличие стандартов ещё не обеспечивает полную безопасность. Сделали самолёт и испытали отдельно его узлы и агрегаты. Потом самолёт начинает летать на определённых маршрутах (ближние или дальние магистральные маршруты, взлёты и посадки на аэродромах будущего базирования и т.д.). В процессе эксплуатации самолёт дорабатывается с учётом выявленных недостатков, изменяющихся требований или климатических условий и т.д. В случае с биометрией дела обстоят удручающе: ни одна из биометрических систем, кроме паспортного контроля в Шереметьеве, не проходила сценарных испытаний.
Когда банки стали приглашать представителей РБО для проведения испытаний биометрических систем по ГОСТу, то они увидели страшную картину: атаки на биометрические системы проходят проще, чем дипфейки. Простая идентификация под принуждением позволяет получить удалённый доступ к банковскому счёту. К сожалению, ни одна из действующих систем не может защитить от идентификации под принуждением.
Ещё одной атакой на биометрические системы является использование телефона, подключённого к компьютеру, в качестве микрофона или видеокамеры. Ни один современный алгоритм не позволяет выявить атаку при помощи воспроизведения аудио- или видеосигнала с такого подключенного устройства. Не потребуется делать 3D маску.
Воспроизведение качественной генерации deepfake голоса или анимации изображения реального пользователя смогут обмануть практически все существующие биометрические системы. Об опасности такого типа атаки предупреждал пару лет назад Владимир Иванов, ещё один участник круглого стола.
На вопросы о защите от таких атак вендоры разводят руками, говоря, что наука ещё не дошла до уровня, позволяющего выявлять такие атаки. При этом в своих презентациях они уверяют, что могут защитить биометрические системы от любых атак и попыток взлома. Это не напоминает вам сказку про голого короля? На презентациях всё хорошо, всё отлично, приводятся какие-то научные исследования, а на самом деле специалисты РБО демонстрируют банкам атаки с затратами в ноль рублей на внедрённые у них биометрические системы. Воистину, «биометрический король» оказался голым. Печально, что в надёжность биометрии поверили не только пользователи и банки, но и регуляторы.
Если продолжить сравнение с авиастроением, то получается что статических испытаний достаточно, чтобы начать эксплуатацию авиалайнера. Только в авиации за чрезвычайные происшествия и катастрофы финансовую и уголовную ответственность несёт разработчик (конструкторское бюро) и эксплуатирующая компания (аэропорт и авиаперевозчик), а в случае с биометрией такая ответственность является большой редкостью.
По мнению Николаева, на данный момент не спасёт ситуацию даже страхование от подобных рисков: «если взять международную классификацию рисков идентификации, то у нас сейчас требования установлены по низшему уровню». Кто станет страховать ошибки идентификации, если даже «непрофессиональные» участники этой конференции смогли публично сфотографировать в хорошем качестве, достаточном для изготовления муляжа, отпечаток пальца одного из выступающих на пленарной сессии.
Глава InfoWatch Наталья Касперская считает, что «нужно корректировать Уголовный кодекс с точки зрения того, что это должны быть реальные сроки наказания за утечку массовых данных, потому что сейчас законодательство организовано таким образом, что наказание будет по жалобе человека, у которого эти данные утекли. Гражданин должен обратиться, и тогда возбуждают дело, в то время как есть миллионные утечки, и никто за них не отвечает».
Аналогичная позиция у советника президента РФ, председателя Совета при президенте по развитию гражданского общества и правам человека Валерия Фадеева. Он предлагает ужесточить наказание за утечку персональных данных. «Я что-то не слышал, чтобы по ст. 158 УК РФ были наказаны непосредственные исполнители этой кражи… Есть также ст. 293 УК РФ, которую можно было бы применять к начальнику, руководителю сотрудника, совершившего кражу, значит, этот руководитель допустил кражу, это называется халатность » ⁹.
Похоже, стало приходить понимание, что «биометрический король» оказался голым и пора задуматься о поиске для него нового портного. Необразованных и зависимых людей можно убедить в чём угодно. Они легко поверят в невидимое ими новое платье короля. Журналисты эмоционально, а не компетентно, убеждают нас в безопасности использования биометрии: «В столичном департаменте транспорта рассказали, что вся информация надёжно зашифрована – камера на турникете считывает биометрический ключ, а не изображение лица или другие персональные данные» ¹⁰. После такого разъяснения стоит ли удивляться распространению слухов о «метке зверя», которая остаётся на человеке после сдачи им биометрических данных. Помните, чем заканчивается сказка «Новое платье короля»? «Королю стало не по себе: ему казалось, что люди правы, но он думал про себя: «Надо же выдержать процессию до конца». И он выступал ещё величавее, а камергеры шли за ним, неся шлейф, которого не было».

¹ https://vipforum.ru/conferences/antifraud_russia/
² https://pages.nist.gov/frvt/html/frvt1N.html
³ https://www.mitto.ch/
⁴ https://www.rbc.ru/society/09/12/2021/61b1ff729a7947487add6f6f
⁵ https://www.rbc.ru/society/10/12/2021/61b219d99a79475adcf27154
⁶ https://ria.ru/20211006/kasperskaya-1753227872.html
⁷ https://1prime.ru/telecommunications_and_technologies/20211209/835457429.html
⁸ https://deepfakechallenge.com/2021/12/02/11642/
⁹ https://www.tadviser.ru/index.php/Статья:Защита_персональных_данных_в_России
¹⁰ https://www.pnp.ru/social/kto-mozhet-rasplatitsya-vashim-licom.html

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru