Автор: Александр ГОРШКОВ, CBO компании Iris Devices
Биометрию узаконили, что дальше?
В конце прошлого года был принят Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» 1. Пусть юридические вопросы останутся для комментариев профильным специалистам, а в этой статье обсудим, как закон № 572-ФЗ повлияет на информационную безопасность и защиту персональных данных граждан. Например, как будет обеспечена надёжная защита данных в единой биометрической базе. Это не праздный вопрос, не думаю, что в США защита персональных и биометрических данных организована менее надёжно, чем у нас в стране, однако и у них наблюдается утечка такой информации: всего за 68 долларов немецкие хакеры купили на Ebay биометрические данные американских военных2. Карта памяти устройства содержала имена, национальности, фотографии, отпечатки пальцев и сканы радужной оболочки глаза 2632 человек. Причиной этой компрометации биометрических данных могло оказаться то, что в документах «Руководство командующего армией США по биометрии в Афганистане» 3 и «Миссия в Афганистане: биометрия» 4, опубликованного на сайте ФБР, отсутствует какое-либо упоминание о мерах обеспечения безопасности данных на местах. Ни в одном из этих документов не обсуждается защита собранных данных. В этих документах говорится только об аппаратном и программном обеспечении, которое используется для сбора информации в полевых условиях, создания баз и загрузки данных, а инструменты и серверы, на которых хранятся данные, описываются как безопасные. Можно возразить, что в данном случае продавец просто не извлёк флеш-карту из продаваемого устройства, и в США нет централизованной базы, из которой могли бы похитить биометрические данные сразу всех граждан. Например, компания Anonybit предлагает децентрализованную биометрическую аутентификацию 1:1 и биометрическое сопоставление 1:N практически для всех модальностей: лицо, голос, радужная оболочка, отпечаток пальца5. В нашей стране ситуация обстоит несколько иначе. Производимое отечественное оборудование для сканирования биометрических данных в ряде случаев не имеет извлекаемой флеш-карты, и вся получаемая информация сохраняется на встроенных энергонезависимых микросхемах памяти. Чтобы убедиться в этом, достаточно посмотреть на сайтах производителей биометрических устройств описание предлагаемого оборудования для сканирования отпечатков пальцев, рисунка вен ладони и даже биометрических данных лица. Ситуация с хранящимися на серверах биометрическими данными обстоит не лучшим образом. Эксперт Kaspersky Threat Intelligence Юлия Новикова сообщила, что за 2022 год в результате крупных утечек в сеть попало более 1,5 млрд записей6. Если думаете, что хищения произошли из общедоступных источников, то это далеко не так: в начале декабря 2022-го года произошла кража исходных программных кодов из закрытых репозиториев на GitHub7. Можно предположить, что эти утечки не относятся к России и не касаются суперсекретных данных. Но такое предположение опровергает «Отчёт об исследовании утечек информации ограниченного доступа в I половине 2022 года», подготовленный компанией InfoWatch. На рисунке 1 (из отчёта InfoWatch) видно, что в ДаркВебе число предложений похищенных данных из России занимает второе место в мире после США.
Рис. 1. Распределение утечек информации по странам Не менее пугающей является информация о распределении предлагаемых в ДаркВебе данных из нашей страны по основным отраслям. На рисунке 2 (из отчёта InfoWatch) видно, что 12% предлагаемых в ДаркВебе данных из России были похищены в государственных органах и силовых структурах. Несмотря на то, что защите информации в этих структурах уделяют особое внимание, данные из них становятся предметом продажи. В сети были обнаружены базы данных как минимум 20 российских ведомств: Главный радиочастотный центр, Минкульт, ФНС и др.8
Рис. 2. Распределение объявлений по отраслям о продаже данных из России Эксперты PT Expert Security Center рассказали о результатах расследований киберинцидентов в 2022 году. Больше половины атак было совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и trusted relationship, расследование которых требует высокой квалификации специалистов по ИБ9. Увеличение числа утечек в 2022 году существенно снизило стоимость украденных данных в даркнете10. При этом за рубежом предусмотрены крупные штрафы даже за саму возможность компрометации персональных данных (Общий регламент по защите данных в Евросоюзе11). В нашей стране предлагают рассмотреть введение уголовной ответственности за утечку биометрических данных12. На самом деле эта задача является более сложной, чем это может показаться на первый взгляд. На рисунке 3 приведена схема, демонстрирующая, что на каждом этапе работы с биометрическими данными они могут быть или подменены, или скопированы. Принимая это во внимание, не ясно, как и в каких местах будет выявляться утечка биометрических данных для определения и наказания виновных.
Рис. 3. Возможные места утечек и компрометации биометрических данных в процессе их обработки Немаловажным является ответ на вопрос, что делать пользователю в случае компрометации его биометрических данных. Конечно, надо подать жалобу в Роскомнадзор. Виновных, возможно, найдут и оштрафуют, но, к сожалению, потерпевшим никакой компенсации из таких штрафов не предусматривается. Например, компания «Яндекс Еда» сама признана потерпевшей стороной13в результате компрометации собираемых в ней персональных данных. Пока ещё до конца не понятно, будут ли распространяться эти штрафы на компрометацию любых персональных данных или только на компрометацию биометрии лица и голоса. Конечно, потерпевший может обратиться в суд и подать иск к виновнику компрометации его персональных данных с требованием компенсации вреда чести и достоинству. Правда, в большинстве случаев суды по таким искам компенсируют только в районе 5000 рублей, что не может сравниться с потерями от компрометации биометрических данных. Остаётся надеяться, что в такой ситуации никто из нас не окажется. Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского», считает, что создатели систем, в которых используются биометрические данные, должны позаботиться о мерах безопасности по сбору и обработке изображений и другой персональной информации. В этом случае риски их применения будут небольшими. «Сама база должна храниться в зашифрованном виде, а при сравнении изображений необходимо использовать хеши – числовые коды, которые получаются в результате анализа изображений по определенным алгоритмам. Таким образом, даже в случае утечки исходные данные будет невозможно восстановить» 14. К сожалению, нельзя полностью согласиться с таким заявлением. 1 декабря 2022 на Форуме All-Over-IP во время дискуссии «Перспективы развития биометрических технологий в России» Борис Вишняков, руководитель направления биометрии и видеонаблюдения Центра технологий искусственного интеллекта НИЦ им. Жуковского, поделился неожиданной для многих информацией по биометрическому вектору (хеш) 15. Он рассказал, почему с биометрическим вектором на самом деле не всё так хорошо, как это выглядит в теории. «Данного человека, понятно, что оставил своё лицо [в биометрической системе], могут распознать везде, где бы он ни находился на предприятии. Дальше, все системы, которые говорят о том, что его персональные данные остаются безопасными, это в целом действительно так. Но, так скажем, вендоры, которые хотят не просто выучить систему распознавания лиц, а сделать что-то ещё, они могут это сделать, потому что существуют Сиамские [нейронные] сети16… либо сети, которые типа генеративно-состязательные сети, где являются там декодеры и энкодеры17, можем научить сеть в оба конца всегда… Уже несколько лет с появлением генеративно-состязательных сетей мы можем построить обратную часть этого сгустка и по любому биометрическому вектору развернуть его обратно в лицо. Конечно, это будет не такого же качества лицо, как и до того, как оно попало [в биометрическую систему] и свернулось в этот биометрический вектор, но, тем не менее, опознать как-то этого человека можно. Поэтому такой постулат, как мы не храним фотографии, а храним только биометрический вектор – он на самом деле уже в основном уходит в недра NDA», – констатировал Борис Вишняков. Разработчики алгоритмов формирования биометрических шаблонов изначально не ставили перед собой задачу, чтобы генерируемые шаблоны обязательно были необратимы. Долгое время считалось, что из формируемых биометрических шаблонов нельзя восстановить первоначальное изображение лица. Но недавно алгоритмы восстановления исходных изображений из биометрических шаблонов были разработаны, и это обстоятельство должно кардинально изменить подход к защите биометрических и персональных данных. 6 декабря 2022 г. в рамках конференции «Доверенный искусственный интеллект 2022», проведённой Академией криптографии РФ, также был представлен доклад о возможности восстановления исходного образца из биометрического вектора. На рисунке 4 представлены исходные фотографии лиц (девушка и молодой человек) и пошаговый процесс восстановления изображения лица из биометрического шаблона. Полученный результат поражает и пугает одновременно.
Рис. 4. Исходные изображения и пошаговый процесс восстановления изображений лица из биометрических шаблонов Конечно, алгоритмы контроля, что перед камерой находится живой человек, а не его фотография, смогут правильно классифицировать такое изображение, но полученное изображение можно будет использовать для создания дипфейк видео или морфинга фотографии другого человека. Также открытым остается вопрос обнаружения профессиональных атак на биометрическое предъявление: пластические операции, пластический грим, 3D силиконовые головы, 3D силиконовые механизированные головы, принуждение и т. п. Алгоритмы построения биометрических шаблонов по отпечатку пальца и радужной оболочке глаз пока ещё не используют генеративно-состязательные сети, но обработка этих биометрических модальностей не регулируется Федеральным законом № 572, чтобы однозначно ответить на вопрос, как они могут использоваться. После принятия Федерального закона № 572 все биометрические данные по лицу и голосу (а это касается более 70 миллионов человек) должны быть переданы в Единую Биометрическую Систему. Но есть очень важные вопросы. Какого качества будут переданные данные? Что станет с данными неудовлетворительного качества, будет ли связка записи лица и голоса? Для всех ли записей будет такая связка и как будет для них решаться вопрос соответствия движения губ произносимому тексту? Если качество хранящихся в ЕБС данных будет плохое, то и качество идентификации может стать недопустимым. Причём это касается не только записей неудовлетворительного качества. На практике (ещё в начале 2010-х годов) нами было выявлено, что наличие данных, сформированных по фотографиям низкого качества, негативно влияет на точность биометрического сравнения для всей системы в целом. Для исправления этой ситуации во время промышленной эксплуатации нам пришлось удалять такие записи из системы и проводить их перерегистрацию. Надеюсь, что исправлением поднятых в этой статье недостатков Единой Биометрической Системы займутся эксперты создаваемого в России Координационного совета по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных. В состав этого совета войдут представители администрации президента РФ, Минцифры, ФСБ, Роскомнадзора, «Ростелекома», «Центра биометрических технологий» и Банка России. Постановление правительства уже подписал премьер-министр РФ Михаил Мишустин18. 1http://publication.pravo.gov.ru/File/GetFile/0001202212290024 2https://www.nytimes.com/2022/12/27/technology/for-sale-on-ebay-amilitary-database-of-fingerprints-and-iris-scans.html 3 https://info.publicintelligence.net/CALL-AfghanBiometrics.pdf 4 https://www.fbi.gov/news/stories/mission-afghanistan-biometrics 5 https://www.anonybit.io/products 6 https://rg.ru/2022/12/08/bolee-15-mlrd-zapisej-s-personalnymidannymi-popali-v-set-v-2022-godu.html 7 https://www.tadviser.ru/index.php/Продукт: Okta_Workforce_Identity_Cloud 8 https://www.cnews.ru/news/top/2023-01-16_eksperty_poschitalivo_skolko 9 https://www.tadviser.ru/index.php/Статья:Кибератаки 10 https://www.kommersant.ru/doc/5747985 11 https://ogdpr.eu/ru 12 https://www.rbc.ru/rbcfreenews/639ff4219a7947037e0483a4 13 https://new-retail.ru/novosti/retail/yandeks_eda_poluchila_ status_poterpevshey_po_delu_ob_utechke_personalnykh_dannykh_klientov/ 14 https://iz.ru/1449130/mariia-shaipova/dobrovolnobiometricheskichto-nuzhno-znat-o-sbore-lichnykh-dannykh 15 https://youtu.be/G9bXaXSh_LM 16 https://en.wikipedia.org/wiki/Siamese_neural_network 17 https://en.wikipedia.org/wiki/Encoder_(digital) 18 http://publication.pravo.gov.ru/Document/View/0001202212310024
Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru