3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Биометрические технологии как средство защиты банков

Биометрические системы защиты

С наступлением эпохи информационных технологий у человечества появилась целая масса новых, неведомых ему ранее проблем. Теперь, когда у каждого в кармане есть свой собственный телефон, кажется безрассудным и даже глупым не установить на него хотя бы пароль.

В наше время каждый заботится о том, как же все-таки максимально эффективно защитить свои данные. Стремясь обезопасить личную информацию, человечество долгие годы разрабатывало все новые и новые системы защиты. Одной из наиболее эффективных подобных систем оказалась биометрическая защита.

История

Биометрия и в наше время относится к числу передовых и сложных технологий, что уж говорить о периоде времени до 2001 года, когда подобные технологии обеспечения безопасности применялись лишь в целях обеспечения защиты военной тайны и наиболее важной коммерческой информации.

Однако, после страшной трагедии 11 сентября 2001 года, когда во время теракта во Всемирном Торговом Центре погибло около трех тысяч человек, многое изменилось. Биометрическая защита информации с тех пор постоянно получала все большее распространение и была внедрена в разнообразные места повышенного скопления людей, в том числе в крупные торговые центры, здания аэропортов и вокзалов.

Резкое увеличение спроса на подобные технологии привело к росту предложения на рынке, к увеличению количества конкурирующих производителей, и, как следствие, к снижению цены на средства защиты информации и к приобретению этой технологией массовости.

Резкое увеличение спроса на подобные технологии привело к росту предложения на рынке, к увеличению количества конкурирующих производителей, и, как следствие, к снижению цены на средства защиты информации и к приобретению этой технологией массовости.

Виды систем

В современном мире биометрическая защита информации является одним из наиболее действенных методов ее сохранения. Благодаря процессу аутентификации человека, то есть сравнения его характеристик с характеристиками, заранее внесенными в систему, удается с максимальной точностью определить, имеет данный человек доступ к запрашиваемой информации или же все-таки нет.

В целом, все средства информационной защиты, основанные на биометрии, можно разделить по средству идентификации на два вида: статические и динамические.

Статические

К статическим относятся методы аутентификации по неповторимым чертам физиологии конкретного человека, которые сохраняются в организме в течение всей его жизни. Наиболее популярными примерами являются:

  • Дактилоскопия – способ, когда для распознавания личности используются отпечатки уникального рисунка линий на подушке пальца руки. Этот метод до удивления удобен в использовании, потому крайне часто используется в различных бытовых биометрических системах, таких как мобильные телефоны с функцией распознавания отпечатков пальцев и биометрические дверные замки.
  • Сканирование радужной оболочки глаза – один из наиболее точных способов аутентификации. Рисунок “радужки” формируется задолго до рождения человека и имеет крайне сложный и очень четкий рисунок. На качество распознавания оболочки глаза не влияют очки и контактные линзы, что делает такой способ еще и одним из самых удобных.
    В 2015 году этот метод также был внедрен в мобильные технологии, что несомненно дало большой толчок его популяризации и массовому распространению.
  • Распознавание по геометрии руки ширина и длина пальцев, изгиб их фаланг, расстояние между их суставами – все это, и еще многое другое, позволяет вполне надежно и достоверно выяснить, принадлежит исследуемая рука владельцу данных, или же кто-то пытается получить несанкционированный доступ. Хотя по отдельности эти показатели у разных людей могут сходиться, в совокупности шансы на подобное ничтожно малы.
    Достоинства данного метода заключаются в относительной простоте требуемого оборудования, что способствует его сравнительной дешевизне и доступности.
    Однако, у него имеется также и один существенный недостаток: любые травмы и повреждения руки, в том числе порезы, шишки и ушибы, а именно на этой части тела их появление очень даже вероятно, способны сильно снизить эффективность работы распознающего оборудования.
  • Считывание геометрии лица способ, в последние годы получивший все большее и большее распространение. Он основывается на выделении основных контуров человеческого лица (глаза, нос, губы брови и т.д.) и выстраивании на их основе объемного изображения. Данный метод получил широкое внедрение в многокамерных системах идентификации человека по чертам лица и используется в работе полиции и спецслужб по всему миру.

Динамические

К динамическим методам биометрической идентификации относятся те, которые основаны на анализе подсознательных поведенческих процессов, выражаемых в постоянно повторяющихся действиях, привычках и т.д. Среди них можно выделить:

  • Распознавание голоса довольно простой, но не самый надежный метод. Несмотря на то, что для повышения точности аутентификации комбинируют показатели интонации речи, звуковой высоты и модуляции голоса, для получения доступа преступник может, например, использовать запись с диктофона, что значительно снижает степень защищенности.
    Другой недостаток заключается в том, что голос имеет свойство изменяться в течение жизни человека, а также в связи с состоянием его здоровья. Таким образом, вариативность идентификации резко снижается.

  • Графологическое распознавание основано на считывании уникального графического почерка человека, появляющегося за счет рефлекторно совершаемых кистью руки движений при письме. Для считывания данных используют специальные приборы-стилусы, фиксирующие информацию о силе давления на поверхность.

Как обмануть систему?

Прежде всего, ни одна, даже самая надежная биометрическая система защиты не способна дать стопроцентную гарантию того, что ее никто не сумеет обойти. Например, биометрический сканер лица на подавляющем большинстве смартфонов можно обойти, изготовив гипсовую копию головы, как в 2018 году и поступил журналист издания Forbes, разблокировав 4 из 5 инспектируемых им смартфонов при помощи гипсовой копии себя.

И все же, не получится обмануть биометрию в смартфоне, сделав макет по одной фотографии, ведь для изготовления качественного бюста необходимо несколько фото, сделанных с разных ракурсов и при хорошем уровне освещения.

Как оказалось, дактилоскопическая биометрия тоже имеет все шансы быть обманутой. Японский криптограф Цутому Мацумото в своем руководстве от 2002 года подробно описал, как вполне не сложно в домашней обстановке можно обработать отпечаток пальца жертвы и изготовить из желатина выпуклую маску.

Сложнее всего для злоумышленника − сделать качественную копию настоящего отпечатка пальца, ведь самые четкие образцы отпечатков приходится искать на стеклянных поверхностях или дверных ручках. Однако, сейчас становится все легче и легче воспроизвести рисунок линий на подушечке непосредственно с фотографии.

Однако, часто получение доступа к смартфону обыкновенного пользователя отнюдь не стоит средств, которые придется на него затратить, так что злоумышленнику это будет попросту невыгодно. Отсюда следует, что гипсовый бюст обойдется ему примерно в $400, а значит взлом телефона должен будет принести ему больше этой суммы.

Применение

Биометрические технологии обеспечения безопасности все чаще и чаще становятся повседневными атрибутами жизни обычного человека. Как уже было сказано ранее, в последние годы они получили крайне широкое распространение в сфере производства мобильной техники: в смартфоны встраивают сканеры отпечатков пальцев, сканеры геометрии лица, распознаватели голоса. Все это делает жизнь обыкновенного пользователя намного удобнее, спокойнее и безопаснее.
Точно такими же устройствами теперь очень часто оборудуют персональные компьютеры, умные дома и многую другую компьютеризованную технику.

В настоящем самым распространенным из этих методов является дактилоскопический, будучи наиболее надежным, доступным и подходящим для личного пользования вариантом.

Биометрические системы также довольно популярны среди предприятий, где вход на территорию или доступ к информации открыт для большого, но ограниченного круга лиц. На пропускных пунктах таких предприятий обычно установлено специализированное оборудование, позволяющее идентифицировать “своего” человека через радужную оболочку глаза, геометрию руки, лица или через рисунок папиллярных линий на подушечках пальцев рук, а иногда и все вместе.

Читать еще:  Как оплатить штраф через сбербанк онлайн по номеру постановления реквизитам

Внедрение биометрии открывает море разных возможностей еще и в банковском деле, сильно облегчая жизнь не только банку, но и его клиентам. С помощью внедрения биометрических технологий руководства банков хотят снизить количество краж данных, случаев мошенничества и намного упростить процедуру работы клиента с банкоматом.
Так, биометрическая система была впервые внедрена в Сбербанке России в 2017 году в банкомате в Москве на Кутузовском проспекте.

Система аутентификации в банкоматах Сбербанк

В июне 2017 года Сбербанком был запущен пилотный проект банкомата, способного аутентифицировать клиента по его лицу, без надобности для него иметь при себе банковскую карточку. Чтобы внести в базу биометрическую модель своего лица, клиенту необходимо обратиться в отделение банка.

В банке утверждают, что сканирование лица будет самым надежным способом биометрической идентификации, поскольку папиллярный узор отпечатков пальцев может легко повредиться, что повышает количество ошибок оборудования во время работы с ним людей с сухой кожей и пенсионеров.

Подобные системы распознавания распространяются также и за рубежом. Например, в Макао, районе Китая, где легализованы азартные игры, наличие системы распознавания лиц в банкоматах стало обязательным.

Эксперты считают, что физические носители, в том числе и банковские карты, стремительно устаревают, и что на смену им в ближайшем будущем должна прийти биометрическая система, что позволит в разы повысить степень безопасности и удобства банковских учреждений.

Биометрия в банках: сдавать или не сдавать

Уже больше года в России действует Единая биометрическая система (ЕБС), оператором которой является «Ростелеком», а регулирующим органом — Министерство цифрового развития, связи и массовых коммуникаций РФ. Возможности применения ЕБС крайне широки, но пока что ограничиваются лишь банковской сферой: в скором времени для открытия счета, перевода денежных средств или получения кредита будет достаточно воспользоваться приложением на смартфоне или личным кабинетом на сайте банка, не придется запоминать кодовое слово для обращения в кол-центр, а верифицировать операции, которые покажутся банку подозрительными, можно будет не по звонку, а с помощью биометрии. Удобно? Бесспорно. Но насколько безопасно?

Биометрические персональные данные — это «сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность». К таким особенностям, помимо всем известных отпечатков пальцев, могут относиться топография лица, кисти руки или пальца, текстура кожи лица, структура радужной оболочки глаза, изображение сетчатки глаза, структура сосудов кисти руки, папиллярная структура ладони, динамика рукописной подписи и голос.

ЕБС представляет собой базу данных, в которой хранятся биометрические контрольные шаблоны (эталонные образцы для сравнения). К ЕБС могут обращаться различные организации и учреждения для установления личности конкретного гражданина. В качестве образцов используются фотография лица и запись голоса человека. Это связано с доступностью средств сбора образцов — нужны только фотоаппарат и микрофон, которые есть в любом современном смартфоне.

В настоящий момент порядок размещения образцов следующий (проверено на личном опыте):

  1. Нужно прийти в отделение банка, предоставляющее такую услугу, и заявить о желании сдать биометрию. В банке должно быть установлено рабочее место оператора, оснащенное фото- и звукозаписывающим оборудованием, отвечающим требованиям Минкомсвязи. До начала сбора данных перечень используемого оборудования должен быть согласован с Ростелекомом».
  2. Банк проводит фотосъемку и запись образца голоса и направляет эти данные в ЕБС с соблюдением мер защиты.
  3. Данные в ЕБС могут храниться не более трех лет, после чего должны быть обновлены. Также пересдать биометрические персональные данные потребуется в случае серьезных лицевых травм или при повреждении голосовых связок, которые привели к изменению голоса.

Если вы пользуетесь услугами нескольких банков, сдавать биометрию в каждом не нужно: использовать биометрические образцы для подтверждения личности могут все банки, подключенные к ЕБС. При удаленной идентификации клиента банк не имеет доступа к самим данным: образцы, полученные во время идентификации, направляются в ЕБС для сверки с контрольным шаблоном, а затем оператор ЕБС информирует банк о результатах идентификации.

Не существует на 100% защищенных систем — всегда есть риски обхода защитных механизмов, варьируется лишь их величина. Поэтому при создании системы защиты информации крайне важно определить актуальные угрозы и подобрать меры защиты, которые будут их нивелировать. Актуальные угрозы, касающиеся биометрических персональных данных, определил Центробанк. Это угрозы, связанные со сбором данных в банке и на устройстве клиента при удаленной идентификации, с передачей и хранением данных. Какие меры применяются для защиты от перечисленных угроз?

Сбор биометрических данных осуществляется в отделении банка по предъявлении паспорта и в присутствии сотрудника кредитной организации, который должен: удостовериться, что паспорт действительно принадлежит предъявившему его гражданину; проверить, что гражданин не включен в перечень физлиц и организаций, связанных с терроризмом и экстремистской деятельностью; проверить, что у банка отсутствуют подозрения в связях гражданина с легализацией (отмыванием) доходов, полученных преступным путем, или с финансированием терроризма; удостовериться, что гражданин зарегистрирован в Единой системе идентификации и аутентификации (ЕСИА) и его учетная запись является подтвержденной. Совокупность этих факторов, в особенности наличие подтвержденной учетной записи в ЕСИА, минимизирует возможность компрометации личности на этапе сбора биометрических образцов.

Для защиты собранных биометрических образцов от модификации и хищения до момента передачи в ЕБС банки должны применять ряд мер, которые были определены ЦБ. К ним относится, например, внедрение различных средств защиты информации. Отправка в ЕБС происходит с использованием Системы межведомственного электронного обмена, что также исключает возможность подмены или компрометации данных во время передачи.

В отличие от сбора биометрических данных, удаленная идентификация используется банками добровольно. Если кредитная организация предоставляет эту услугу, она должна использовать средства шифрования информации и дать возможность применять такие средства клиентам. Если клиент банка проходит удаленную идентификацию с помощью компьютера, он вправе отказаться от использования шифровальных средств. В случаях с мобильным телефоном, смартфоном или планшетом применение средств шифрования является обязательным, и при отказе от их использования человек не сможет воспользоваться дистанционными банковскими услугами, где для идентификации требуются биометрические данные. То есть ответственность за сохранность собственных данных ложится также на плечи клиентов банков.

Защитой является непосредственно порядок сбора биометрических данных: для идентификации используются две характеристики (изображение и голос), к тому же при проверке соответствия образцов контрольным шаблонам в ЕБС одновременно применяется несколько алгоритмов. Все это снижает вероятность ошибки или обмана при проведении удаленной идентификации.

При соблюдении требований и рекомендаций регулятора обеспечивается надежная защита данных на всех участках обработки. Защите персональных данных сейчас уделяется особое внимание как со стороны государства, так и со стороны банков, ведь утечка может негативно отразиться на восприятии ЕБС в целом и на доверии к банкам в частности. Поэтому можно с уверенностью сказать, что применяемый комплекс мер будет дорабатываться, чтобы противостоять вновь появляющимся угрозам. По планам Ростелекома, до конца 2019 года к ЕБС должно быть подключено 100% банков, однако возможность удаленной идентификации с использованием биометрических персональных данных в эти сроки реализуют далеко не все. Поэтому еще есть достаточно времени, чтобы принять решение, сдавать биометрию или нет.

Мнение автора может не совпадать с мнением редакции

Биометрические технологии как средство защиты банков

В современном мире технологии развиваются достаточно стремительными темпами. То, что вчера было объектом научной фантастики, сегодня уже является предметом исследования в какой-нибудь транснациональной корпорации.

Читать еще:  Как играть в банку

Однако, следует обратить внимание на то, что с момента появления какой-то технологии и до ее внедрения в реальность может пройти много времени. Иногда это занимает целые десятилетия.

Причинами данного явления оказываются разнообразные факторы. Например, усовершенствование инфраструктуры стоит достаточно дорого, поэтому встает вопрос об экономической выгоде внедрения технологии. Другими словами, нужно быть уверенным в том, что вложенные средства смогут дать адекватную отдачу.

Преимущества биометрических технологий:

Ярким примером могут служить биометрические технологии. Мир уже десятки лет говорит о них, а сканером пальцев уже никого нельзя удивить. Если когда-то в фильмах такие вещи впечатляли, то теперь они создают эффект вторичности. Таким образом, биометрические технологии существуют и развиваются, однако в современном мире их встретить практически невозможно.

Некоторые производители несколько лет назад начали выпускать ноутбуки и мобильные телефоны с данной технологией, но на этом внедрение такого рода сенсоров прекратилось. Теперь оказалось, что выход есть. На помощь НТР могут прийти частные структуры, крупнейшим из которых являются банки.

Банковская отрасль в нашем мире считается одной из наиболее консервативных. Однако, несмотря на это, им приходится адекватно реагировать на различные новинки. Имеются в виду проблемы безопасности, с которыми сталкиваются любые финансовые учреждения, независимо от их размера. Основная проблема заключается в том, что если 100 лет назад грабителям нужно было лично присутствовать для того, чтобы ограбить банк, то в 21 веке они могут сделать это при помощи современных технологий.

Уже существуют специальные устройства, которые полностью считывают данные с кредитки и создают ее «клон», а микрокамеры в это время просто снимают пин-код, который вводит настоящий владелец карты. Цифровую подпись, как и паспорт, можно подделать, а вот отпечатки пальцев или уникальный узор сетчатки глаз подделать нельзя, даже используя все доступные в наше время технологии.

Поэтому биометрические технологии являются отличным вариантом для обеспечения безопасности банков. В первую очередь, это касается тех финансовых учреждений, которые пока не сумели добиться много в области борьбы с мошенниками. Учитывая то, что биометрические технологии не являются чем-то новым, то некоторые банки уже используют их. Однако, в основном такие учреждения находятся на территории развитых стран.

Например, в финансовых организациях Франции или Германии кредитную историю можно посмотреть только после прохождения контроля на биометрическом датчике. Другими словами, для того, чтобы проверить информацию о человеке, который хочет оформить займ, нужно просто приложить его палец к специальному считывающему устройству.

Разумеется, даже малейшая ошибка в данном случае исключена. Таким образом, подобные инновационные кредиты очень безопасны и занимают минимум времени на обработку. Кроме того, данное обстоятельство показывает, какое значение имеет кредитная история в западных странах, и какой важной она может стать на территории нашей страны.

Что касается сканирования сетчатки глаза, то данная технология реализовывается намного сложнее. Кроме того, сама процедура менее привычна, поэтому банки предпочитают использовать именно ее. Дело в том, что сканирование отпечатков пальца уже в какой-то степени устарело, и если пока мошенники не научились подделывать их, то в скором времени у них это получится. А вот подделать сетчатку глаза пока кажется невозможным.

Разумеется, получение кредитной истории является не единственным способом использования биометрической технологии в банках, есть и другие, более популярные и востребованные области.

Например, некоторые финансовые организации уже сейчас думают о том, чтобы записывать информацию об отпечатках пальца на кредитную карту, а банкоматы оснастить специальными считывателями. Далее, вместо пин-кода или же вместе с ним в качестве дополнительной гарантии нужно будет просто приложить палец человека к сканеру. Если записанный на карте отпечаток совпадет с отпечатком человека, который использует карту, то он сможет без проблем получить деньги.

Бесконтактные платежи и биометрические технологии:

Это станет отличным способом защиты кредитки от посягательств мошенников. Ведь ее можно подделать, пин-код – подсмотреть или взломать, а вот с отпечатками пальцев все намного сложнее. Кроме того, биометрические технологии могут стать частью внедрения системы бесконтактных платежей. Другими словами, онлайн кредит теперь станет намного доступнее и безопаснее, ведь для подтверждения будет использоваться сканер отпечатка пальцев.

Кроме того, клиенты банков смогут оплачивать покупки в сети интернет, просто приложив свой телефон к терминалу. Наличие сканера сделает данный процесс полностью безопасным, так как совершить оплату сможет только настоящий владелец кредитной карты или устройства.

Разумеется, кредит взять можно и в отделении банка, просто предъявив паспорт. Однако, в современном мире каждая минута имеет огромное значение, поэтому технологии, позволяющие взять онлайн кредит, будут становиться все популярнее.

Биометрические технологии в России:

Что касается России, то инновации подобного рода в нашей стране отсутствуют. Однако, на данный момент есть два учреждения, которые оснащают свои банкоматы биометрическими датчиками. Также, кредит взять в данном банкомате не составит труда, ведь он может сделать копии ваших документов и фотографию человека, который пытается получить кредит.

Такого рода аппарат в считанные секунды проверяет кредитную историю гражданина, и если все в порядке, то выдает необходимую сумму. Разумеется, в данный момент система запущена в тестовом режиме, однако подобное решение представляется очень интересным.

Следует отметить, что «ВТБ 24» предлагает клиентам банковские карты, которые способны считывать отпечатки пальцев. Таким образом, никто, кроме владельца кредитки, не сможет ею воспользоваться.

В идеальном варианте, когда-то банки смогут вообще отказаться от карт. Для выдачи денег и других операций достаточно будет подтвердить свою личность при помощи биометрического сканера. Таким образом, можно будет просто создать базу данных клиентов, к которой люди смогут получать доступ благодаря биометрическим технологиям.

На сегодняшний день биометрические технологии и системы пользуются достаточно большим спросом на территории Латинской Америки и в Южной Африке. Дело в том, что в данных государствах отсутствует развитая система банкоматов, которая находится там на стадии создания. Таким образом, здесь нет необходимости что-нибудь переделывать, ведь можно начать просто с чистого листа.

Проблемы и угрозы биометрической идентификации

В 2018 году в России вступил в действие закон о биометрической идентификации. В банках идёт внедрение биометрических комплексов и сбор данных для размещения в Единой биометрической системе (ЕБС). Биометрическая идентификация даёт гражданам возможность получать банковские услуги дистанционно. Это избавляет их от очередей и технически позволяет «посетить банк» в любое время суток.

Удобства дистанционной идентификации по фотографии или голосу по достоинству оценили не только клиенты банков, но и киберпреступники. Несмотря на стремление разработчиков сделать технологию безопасной, исследователи постоянно сообщают о появлении новых способов обмана таких систем.

Так может, не стоит соглашаться на предложение приветливого операциониста пройти биометрическую идентификацию в отделении банка? Или всё-таки воспользоваться преимуществами новой технологии? Разбираемся в этом посте.

В чём проблема?


У биометрической идентификации есть особенности, которые отличают её от привычной пары логин/пароль или «безопасной» 2FA:

  1. Биометрические данные публичны. Можно найти фотографии, видео- и аудиозаписи практически любого жителя планеты Земля и использовать их для идентификации.
  2. Невозможно заменить лицо, голос, отпечатки пальцев или сетчатку с той же лёгкостью, как пароль, номер телефона или токен для 2FA.
  3. Биометрическая идентификация подтверждает личность с вероятностью, близкой, но не равной 100%. Другими словами, система допускает, что человек может в какой-то степени отличаться от своей биометрической модели, сохранённой в базе.
Читать еще:  Зао банк втб 24

Поскольку биометрические данные открывают не только турникеты в аэропортах, но и банковские сейфы, хакеры и киберпреступники всего мира усиленно работают над способами обмана систем биометрической идентификации. Каждый год в программе конференции по информационной безопасности BlackHat неизменно присутствуют доклады, связанные с уязвимостями биометрии, но практически не встречается выступлений, посвящённых разработке методов защиты.

В качестве основных проблем, связанных с биометрической идентификацией, можно выделить фальсификацию, утечки и кражи, низкое качество собранных данных, а также многократный сбор данных одного человека разными организациями.

Фальсификация


Публикации, связанные с различными способами обмана систем биометрической идентификации, часто встречаются в СМИ. Это и отпечаток пальца министра обороны Германии Урсулы фон дер Ляйен, изготовленный по её публичным фотографиям, и обман Face ID на iPhone X с помощью маски, нашумевшая кража 243 тысяч долларов с помощью подделанного нейросетью голоса генерального директора, фальшивые видео со звёздами, рекламирующими мошеннические выигрыши, и китайская программа ZAO, которая позволяет заменить лицо персонажа видеоролика на любое другое.

Чтобы биометрические системы не принимали фотографии и маски за людей, в них используется технология выявления «живости» — liveness detection — набор различных проверок, которые позволяют определить, что перед камерой находится живой человек, а не его маска или фотография. Но и эту технологию можно обмануть.


Внедрение фальшивого видеопотока в биометрическую систему. Источник

В представленном на BlackHat 2019 докладе «Biometric Authentication Under Threat: Liveness Detection Hacking» сообщается об успешном обходе liveness detection в Face ID с помощью очков, надетых на спящего человека, внедрения поддельных аудио- и видеопотоков, и других способов.


X-glasses — очки для обмана liveness detection в Face ID. Источник

Для удобства пользователей, Face ID срабатывает, если человек надел солнцезащитные очки. При этом количество света в глазах уменьшается, поэтому система не может построить качественную 3D-модель области вокруг глаз. По этой причине, обнаружив очки, Face ID не пытается извлечь 3D-информацию о глазах и представляет их в виде абстрактной модели — чёрной области с белой точкой в центре.

Качество сбора данных и ложные распознавания


Точность идентификации сильно зависит от качества биометрических данных, сохранённых в системе. Чтобы обеспечить достаточное для надёжного распознавания качество, необходимо оборудование, которое работает в условиях шумных и не слишком ярко освещённых отделений банков.

Дешёвые китайские микрофоны позволяют записать образец голоса в неблагоприятных условиях, а бюджетные камеры — сделать фото для построения биометрической модели. Но при таком сценарии значительно возрастает количество ложных узнаваний — вероятность того, что система примет одного человека за другого, с близким по тональности голосом или сходной внешностью. Таким образом, некачественные биометрические данные создают больше возможностей для обмана системы, которыми могут воспользоваться злоумышленники.

Многократный сбор биометрии


Некоторые банки начали внедрение собственной биометрической системы раньше, чем заработала ЕБС. Сдав свою биометрию, человек считает, что может воспользоваться новой технологией обслуживания в других банках, а когда выясняется, что это не так, сдаст данные повторно.

Ситуация с наличием нескольких параллельных биометрических систем создаёт риск, что:

  • У человека, дважды сдавшего биометрию, скорее всего, уже не вызовет удивления предложение повторить эту процедуру и в будущем он может стать жертвой мошенников, которые будут собирать биометрию в своих преступных целях.
  • Чаще будут происходить утечки и злоупотребления, поскольку увеличится количество возможных каналов доступа к данным.

Утечки и кражи


Может показаться, что утечка или кража биометрических данных — настоящая катастрофа для их владельцев, но, в действительности, всё не так плохо.

В общем случае биометрическая система хранит не фотографии и записи голоса, а наборы цифр, характеризующие личность — биометрическую модель. И теперь поговорим об этом подробнее.

Для построения модели лица система находит опорные антропометрические точки, определяющие его индивидуальные характеристики. Алгоритм вычисления этих точек отличается от системы к системе и является секретом разработчиков. Минимальное количество опорных точек — 68, но в некоторых системах их количество составляет 200 и более.

По найденным опорным точкам вычисляется дескриптор — уникальный набор характеристик лица, независимый от причёски, возраста и макияжа. Полученный дескриптор (массив чисел) и представляет собой биометрическую модель, которая сохраняется в базе данных. Восстановить исходное фото по модели невозможно.

Для идентификации пользователя система строит его биометрическую модель и сравнивает с хранящимся в базе дескриптором.

Из принципа построения модели имеются важные следствия:

  1. Использовать данные, похищенные из одной биометрической системы для обмана другой — вряд ли получится из-за разных алгоритмов поиска опорных точек и серьёзных различий в результирующей модели.
  2. Обмануть систему с помощью похищенных из неё данных тоже не получится — для идентификации требуется предъявление фотографии или аудиозаписи, по которой уже будет проведено построение модели и сравнение с эталоном.

Даже если база хранит не только биометрические модели, но и фото и аудио, по которым они построены, обмануть систему с их помощью «в лоб» нельзя: алгоритмы проверки на «живость» считают ложными результаты с полным совпадением дескрипторов.

Методы проверки liveness для лицевой и голосовой модальности.
Источник: Центр речевых технологий

Таким образом, использование утекших биометрических данных не поможет киберпреступникам быстро получить материальную выгоду, а значит, они с большей вероятностью будут искать более простые и надёжные способы обогащения.

Как защититься?


Вступившая в действие 14 сентября 2019 года директива Евросоюза PSD2, также известная как Open Banking, требует от банков внедрения многофакторной аутентификации для обеспечения безопасности удалённых транзакций, выполняемых по любому каналу. Это означает обязательное использование двух их трёх компонентов:

  • Знания — какой-то информации, известной только пользователю, например, пароля или контрольного вопроса.
  • Владения — какого-то устройства, которое имеется только у пользователя, например, телефона или токена.
  • Уникальности — чего-то неотъемлемого, присущего пользователю и однозначно идентифицирующего личность, например, биометрических данных.

Эти три элемента должны быть независимыми так, чтобы компрометация одного элемента не влияла на надёжность других.

Применительно к банковской практике это означает, что проведение операций по биометрическим данным должно обязательно сопровождаться дополнительными проверками с помощью пароля, токена или PUSH/SMS-кодов.

Использовать или нет?


У биометрической аутентификации имеются большие перспективы, однако опасности, которые приходят в нашу жизнь вместе с ними, выглядят весьма реалистично. Разработчикам систем и законодательным органам стоит изучить результаты новейших исследований уязвимостей биометрических систем и оперативно доработать как решения по идентификации, так и нормативные акты, регулирующие их работу.

Банкам необходимо принять во внимание ситуацию с deepfakes и другими способами обмана биометрических систем, используя сочетание традиционных способов идентификации пользователя с биометрическими: пароли, 2FA и usb-токены всё ещё могут принести пользу.
С клиентами банков ситуация сложная. С одной стороны, биометрическая идентификация разрабатывалась для их удобства как попытка расширить возможности для получения банковских услуг в любое время с минимальными формальностями. С другой — в случае успешной атаки рискуют своими деньгами именно они, а регуляторы и разработчики биометрических систем ответственности за взломы не несут.

В связи с этим, логичная рекомендация клиентам банков — не торопиться со сдачей биометрических данных, не обращать внимание на агрессивные призывы. Если же без биометрической идентификации никак не обойтись, то используйте её совместно с многофакторной аутентификацией, чтобы хотя бы частично снизить риски.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector