RecFaces: как электронные данные становятся безопаснее бумажных

Еще каких-то 10-12 лет назад телефон с подтверждением личности отпечатком пальца был диковинкой, но сегодня — напротив, трудно найти смартфон без такой функции. Переход в новую цифровую эпоху полностью изменил нашу повседневную жизнь. То, как мы сегодня взаимодействуем друг с другом, пользуемся услугами, оплачиваем товары, работаем и отдыхаем, основано на аутентификации с помощью цифровых технологий.

На волне совершенствования технологий машинного обучения и доступности больших данных, разработка и внедрение биометрических технологий превратились в один из наиболее динамичных ИТ-трендов, а борьба с пандемией COVID-19 лишь ускорила их повсеместное распространение.

Возможность подтвердить свою личность самим фактом физического присутствия без необходимости предъявления бумажных документов, магнитных карт, запоминания сложных паролей и других не самых удобных процедур стала привычным делом – ведь она не только мгновенна, но еще и удобна.

Насколько комфорт использования персональной биометрии сочетается с ее защищенностью от взлома и угроз кибератак? Как на самом деле используются технологии и данные?

УЯЗВИМОСТЬ ДАННЫХ
Глобальная Сеть и цифровые сервисы принесли людям не только свои блага, но также многочисленные проблемы с конфиденциальностью и безопасностью персональных данных. Согласно прогнозу аналитиков Valuates Reports, объем мирового рынка защиты данных уже достиг объема $61,33 млрд по итогам 2020 года, и вырастет до $113,39 млрд к 2027 году при среднегодовых темпах роста 9,1%.

Использование биометрии расширяется по мере роста потребности в идентификации людей – например, при доступе в здания и критически важные объекты инфраструктуры, при использовании цифровых и мобильных устройств, в банковской сфере, здравоохранении, школах, транспорте, офисах и других повседневных ситуациях.

В настоящее время разработка новых систем использования биометрии ведется с учетом накопленного опыта эксплуатации подобных решений. Помимо повышения защищенности данных в таких системах, повышения их точности и снижения стоимости, заказчикам порой не менее важно сформулировать цель ее использования. Например, действительно ли необходима биометрическая идентификация, или для бизнеса более чем достаточно этапа верификации основных признаков, чтобы убедиться в присутствии человека, а не его изображения.

РАЗУМНАЯ ДОСТАТОЧНОСТЬ
Во многих случаях определение характера модели использования биометрической системы критично для принятия решения об уровне безопасности доступа и точности, и здесь – как и в случае использования любых персональных данных, для биометрии действует схожий принцип: не нужно собирать и хранить лишнее. В противном случае избыточные данные могут обернуться дополнительной уязвимостью, проблемами для клиентов и в конечном итоге разрушить репутацию или даже весь бизнес.

В отличие от паролей или криптографических ключей, обеспечивающих 100% точность (пароль подходит или нет), биометрическая идентификация и аутентификация имеет небольшой процент вероятности ложных срабатываний (пропуск самозванца) и ложных отрицаний (отказ авторизованному лицу).

МЕЖДУ УДОБСТВОМ И БЕЗОПАСНОСТЬЮ
Еще на стадии проектирования системы для сбора и использования биометрических данных важно представлять реальные требования к такой платформе по ее ключевым параметрам: безопасности, скорости работы, масштабируемости и необходимому (достаточному) объему используемых данных.

Вне зависимости от сферы применения — будь то решение для правительственных и государственных служб (полиция, федеральные службы, армия и флот), доступ к Windows на офисном компьютере или проверка баланса у телеком-провайдера, биометрическая система должна обеспечивать безошибочное предоставление доступа.

Однако для каждого частного случая существует свой собственный баланс между удобством и безопасностью. Применений технологий и соблюдение различных уровней безопасности при использовании биометрии напрямую зависит от характера управляемых данных и уровня жизненно важных рисков.

БЕЗОПАСНОСТЬ И ИНФРАСТРУКТУРА
После того, как число кибератак и инцидентов с безопасностью начало расти с угрожающей скоростью в последние годы, многие организации, обращающиеся к работе с биометрией, стараются обеспечить дополнительные уровни защиты данных за счет привлечения наиболее надежных поставщиков услуг и решений. Особенно эта тенденция заметна в финансовой и банковской сфере.

Дополнительная защита может обеспечить хранение данных на инфраструктуре безопасности в зашифрованном виде, при этом для каждой «ячейки данных» применяются разные протоколы шифрования. Например, отпечаток пальца, данные радужки глаза и номер банковского счета связаны для идентификации нужного человека, но при этом зашифрованы и хранятся на разных серверах.

И даже если злоумышленник получит доступ к одному из элементов данных, войти в систему и украсть деньги все равно не получится. Аналогичный подход для хранения конфиденциальных данных клиентов вполне подходит для использования и в других сферах.

БИОМЕТРИЯ И РОССИЙСКОЕ ЗАКОНОДАТЕЛЬСТВО
11 октября 2021 года, постановлением Правительства России №1729 в нашей стране утверждены нормативы госконтроля в сфере биометрической идентификации и/или аутентификации. Согласно этим правилам, организации, аккредитованные для работы с персональной биометрией, отныне делятся на три «группы тяжести».

Принадлежность к той или иной группе отражает тяжесть последствий, которые могут возникнуть при несоблюдении требований закона. Так, к группе высокой тяжести «А» отнесены все объекты, которые занимаются идентификацией (аутентификацией) людей с использованием личных персональных данных или оказывают профильные услуги.

В группу средней тяжести «Б» занесены организации, которые используют персональную биометрию только для аутентификации или оказания услуг соответствующего характера. Группа с низкой тяжестью «В» включает организации, применяющие биометрию для аутентификации в системах контроля управления доступом – например, для доступа на охраняемую территорию.

Роль контролирующего органа возложена на Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) России, уровень контроля напрямую зависит от присвоенной группы тяжести. Действие закона вступило в силу 1 января 2022 года, одновременно с поправками в федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации», направленными на нормирование правил работы с биометрическими персональными данными для аккредитованных организаций.

Еще один важный документ, принятый в 2021 году, определил требования к деловой репутации руководителей организаций, осуществляющих идентификацию с использованием персональной биометрии. Этот документ вступает в силу 1 марта 2022 года и будет действовать до 2028 года.

Согласно этому приказу Министерства цифрового развития №896 от 27 августа, у главы или члена коллегиального исполнительного органа организации с ИТ-системой идентификации или аутентификации с использованием персональной биометрии, не должно быть неснятой или непогашенной судимости; увольнений менее трехлетней давности по факту разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной); предпринимательской деятельности без разрешения или незаконной деятельности в области защиты информации давностью менее года, а также фактов административных правонарушений в области персональных данных в предыдущие три года.

Сегодняшнее состояние биометрических технологий можно назвать лишь началом долгого пути их развития и совершенствования. С каждым годом они становятся более универсальными, быстродействующими, более безопасными, и, что не менее важно, более удобными для повседневного использования. 

Источник: recfaces.com