| Журнал ТЗ | Статьи, обзоры, аналитические материалы

Автор: Дмитрий Антонов , СЕО компании Iris Devices , Александр ГОРШКОВ, CBO компании Iris Devices
Девальвация персональных данных

Сейчас всё активнее происходит переход к идентификаторам личности нового поколения. Это и ЭЦП, и цифровые права, и электронный паспорт, и биометрия в чистом виде. Одновременно с этим наблюдается обесценивание традиционных персональных данных.

Сейчас всё активнее происходит переход к идентификаторам личности нового поколения. Это и ЭЦП, и цифровые права, и электронный паспорт, и биометрия в чистом виде. Одновременно с этим наблюдается обесценивание традиционных персональных данных.

Обесценивание персональных данных

Персональные и биометрические данные в огромных объёмах похищаются практически во всех странах. Наиболее известное хищение произошло в 2017 году на Филиппинах, когда были украдены биометрические данные всех 55 миллионов избирателей страны¹.

Не стоит думать, что в «самой информационно защищённой стране» США не происходит утечек персональных и биометрических данных. Например, «4 июля 2017 года мы обнаружили сложную атаку вредоносного ПО, которая затронула киоски в некоторых магазинах Avanti Markets» ².

В Зимбабве летом 2018 года хакеры клонировали домен местного избиркома, проникли в сетевое хранилище и похитили информацию об избирателях. Помимо базы отпечатков пальцев, злоумышленники завладели такими персональными данными, как фотографии, адреса, номера мобильных телефонов и номера национальных идентификаторов³.

Индийский проект Aadhaar – крупнейшая биометрическая система в мире, в которой зарегистрированы более 1,1 миллиарда пользователей. Несмотря на все заявления ответственных лиц, что «данные Aadhaar⁴ полностью безопасны, и в UIDAI⁵ не было утечки или нарушения данных», в 2018 году всего за 500 индийских рупий (примерно 474 рубля) предоставлялся неограниченный доступ к самой крупной государственной биометрической системе для любого из более чем 1 миллиарда номеров Aadhaar. А ещё за 300 рупий (284 рубля) предоставлялось «программное обеспечение», которое могло облегчить печать карты Aadhaar после ввода номера Aadhaar любого человека⁶. Можно констатировать, что стоимость персональных и биометрических данных фактически обнулилась.

Защиту персональных и биометрических данных не могут на 100% обеспечить не только частные и государственные компании, но и производители биометрического оборудования. В 2019 году разразился скандал в результате утечки конфиденциальных данных из системы контроля доступа AEOS, которую предлагает компания Suprema⁷. Для информации, система контроля доступа AEOS используется более чем 5700 организациями в 83 странах мира. В частности, она стоит в британском Скотланд-Ярде, банках и на оборонных предприятиях⁸.

В России принимают законы, которые должны защитить персональные данные граждан. При этом в июле 2019 года на сайте РИА Новости была опубликована статья, в которой рассказывается о том, как из государственных систем продаются персональнные данные граждан, а жертвы мошенников не могут найти защиты⁹. Нас успокаивают, что «ввели видеоподтверждение», и «теперь, чтобы оформить заём, человеку нужно связаться с оператором лично по скайпу или вотсапу и подтвердить своё согласие», но мы знаем, что такой контроль легко обойти при помощи дипфейков¹⁰, которые стали не только очень правдоподобными, но и легкодоступными. И естественно, что в последующие годы незаконное оформление мошенниками кредитов на граждан не прекратилось¹¹.

Существенным моментом в объёме защищаемых персональных данных стало присвоение мобильным телефонным номерам и электронным почтовым адресам статуса официальных идентификаторов россиян¹². А теперь эксперты сообщают, что узнать личные данные любого человека можно по номеру его телефона, и дают уже совсем смешные рекомендации менять паспорт раз в три-четыре года¹³.

Рост утечек персональных данных

Объём утечек персональных данных россиян в 2022 году вырос в 40 раз по сравнению с предыдущим годом – следует из аналитического отчета компании Group-IB. В открытом доступе появилась та или иная личная информация примерно 100 миллионов человек – это две трети граждан страны или почти всё взрослое население, констатируют эксперты ¹⁴.

Самый крупный случай слива персональных данных произошёл в феврале 2022 года. Тогда из базы данных службы доставки СДЭК утекли два файла: один – 466 миллионов строк, второй – 822 миллиона. Ещё одним заметным сливом в феврале 2022 года стала утечка данных пользователей сервиса «Яндекс.Еда». Было обнародовано порядка 50 миллионов записей, из них 6,8 миллионов уникальных наборов данных. В мае 2022 года аналогичная ситуация произошла с Delivery Club. В сеть просочилась база заказов на 350 миллионов строк. Также в мае 2022 года были незаконно обнародованы сведения о 30 миллионах клиентов сети медицинских лабораторий «Гемотест». База содержала ФИО, адреса и телефоны¹⁵. Благодаря массовым утечкам персональных данных создаются «цифровые портреты» будущих жертв. Впоследствии их используют для мошенничества и различных правонарушений.

Невесёлая статистика приведена в отчёте об исследовании утечек информации ограниченного доступа в I половине 2022 года, подготовленного компанией InfoWatch¹⁶: 2% от похищенной информации составляет государственную тайну. «Масштабы утечек грандиозные, а штрафы копеечные. Они как отмычка для воров» – констатирует глава СПЧ Валерий Фадеев¹⁷.

Не совсем прозрачна ситуация с компрометацией биометрических данных россиян. И хотя Министерство цифрового развития, связи и массовых коммуникаций РФ не подтвердило утечку биометрических данных россиян из НИИ «Восход» ¹⁸, есть вероятность, что уволенный из НИИ «Восход» сотрудник смог проникнуть в систему, где собраны данные с 2006 года¹⁹.

Получается, что практически все персональные данные уже неоднократно украдены. Их можно легко найти в интернете, и они сливаются из разных учреждений в огромных количествах²⁰. Возможно мы ошибаемся, но создаётся впечатление, что обесценивание персональных данных предыдущего поколения происходит с чьей-то активной помощью, при этом персональные данные нового поколения явно растут в цене. Персональные данные нового поколения и связанная с ними информация о действиях каждой личности становится новым видом капитала.

Среди всех персональных данных нового поколения явно выделяется биометрия. Использование биометрии осложняет мошенникам множество возможностей для незаконных действий, но при этом у биометрии остаются две глобальные проблемы с безопасностью: первая – подмена биометрических данных на различных этапах их регистрации, хранения и использования; вторая – предоставление биометрических данных под давлением или в бессознательном состоянии.

Подмена биометрических данных и идентификация под давлением

Как можно определить, где и каким образом были скомпрометированы персональные биометрические данные? Что необходимо сделать, чтобы контролировать все потенциальные места возможной компрометации и подмены? Для этого необходимо наладить систему мониторинга и контроля за обращением с персональными данными. И главное – установить надёжную связь между личностью и её биометрическими данными. Например, регистрировать ДНК при рождении и в дальнейшем обновлять биометрические данные с сопоставлением их владельца по ДНК, начиная с детства и далее по мере необходимости. Если подделать один тип биометрических данных возможно, то подделать одновременно несколько, включая ДНК, радужную оболочку глаз и рисунок кровеносных сосудов, будет практически невозможно ещё очень долго. Чтобы справиться со второй проблемой, надо уметь выявлять непроизвольные и нетипичные изменения регистрируемых биометрических данных в момент стресса, наркотического и алкогольного опьянения, потери сознания и при других, опасных для человека, состояниях. Например, это могут быть изменение сердцебиения, частоты дыхания и моргания, нетипичная реакция зрачка на изменение внешних условий освещения, поведенческие особенности и т.д.

Такой комплексный подход позволит организовать оперативное реагирование на возможные угрозы и препятствовать подделке биометрических данных.

¹ https://www.rappler.com/nation/161700-comelec-stolen-computer-lanao-del-sur-data-data-breach/
² https://krebsonsecurity.com/2017/07/self-service-food-kiosk-vendor-avanti-hacked/
³ https://www.iksmedia.ru/news/5566549-Biometriya-risk-utechki-est-vsegda.html
⁴ https://en.wikipedia.org/wiki/Aadhaar
⁵ https://ru.wikipedia.org/wiki/UIDAI
⁶ https://www.tribuneindia.com/news/archive/nation/rs-500-10-minutes-and-you-have-access-to-billionaadhaar- details-523361
⁷ https://www.vpnmentor.com/blog/report-biostar2-leak/
⁸ https://www.securitylab.ru/news/500471.php
⁹ https://ria.ru/20190701/1555979096.html
¹⁰ https://www.wsj.com/articles/i-cloned-myself-with-ai-she-fooledmy- bank-and-my-family-356bd1a3
¹¹ https://www.bfm.ru/news/457086
¹² https://www.cnews.ru/news/top/2019-09-17_v_edinuyu_biometricheskuyu
¹³ https://www.rbc.ru/rbcfreenews/5fb090089a7947cc8273c917
¹⁴ https://iz.ru/1457616/ivan-chernousov/urozhai-slivov-utechki-personalnykh-dannykhrossiian- vyrosli-v-40-raz
¹⁵ https://safe.cnews.ru/news/top/2023-01-24_v_rossii_fiksiruyut_vzryvnoj
¹⁶ https://www.infowatch.ru/sites/default/files/analytics/files/otchyot-ob-utechkakhdannykh- za-1-polugodie-2022-goda_1.pdf
¹⁷ https://rg.ru/2022/12/19/predsedatel-soveta-po-pravam-cheloveka-valerij-fadeevprizval- uzhestochit-nakazanie-za-utechku-biometricheskih-dannyh.html
¹⁸ https://riafan.ru/23927344-mintsifri_rf_oproverglo_utechku_biometricheskih_ dannih_iz_nii_voshod
¹⁹ https://tsargrad.tv/news/jeks-sotrudnik-slil-bazu-biometricheskih-dannyh-istochnikrasskazal- ob-utechke-v-nii-voshod_737232
²⁰ https://yandex.ru/images/search?source=serp&text=фото%20с%20паспортом

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru