Журнал "Information Security/ Информационная безопасность" #4, 2019

Многие успешные про- екты сегодня рассматри- вают биометрию не как основной, а как вспомога- тельный способ идентифи- кации и, как правило, в некритичных кейсах. Например, та же идентифи- кация по голосу в центрах обработки вызовов позво- ляет сократить время на обслуживание клиентов, что дает вполне серьезную экономию. Но как механизм безопасности она не рас- сматривается. Подчеркну особо, что я не говорю о биометрии как таковой. Она вполне себе применяется на корпоративном уровне, и очень неплохо. Но когда речь заходит о проектах национального мас- штаба, картина вдруг меняется и, казалось бы, очевидные пре- имущества перестают быть таковыми. Положительный опыт Возьмем недавний инцидент, произошедший в Китае, где биометрическая система выяви- ла убийцу, который пытался получить деньги своей жертвы, подставив под видеокамеру ее труп. Система быстро распо- знала отсутствие признаков жизни и просигнализировала об этой аномалии уполномо- ченным сотрудникам, которые и подтвердили, что на видео- изображении мертвый человек. Дальше последовал сигнал пра- воохранительным органам, которые быстро скрутили убий- цу, признавшегося в содеянном. Вот он, яркий пример того, как может работать система в финансовой сфере. Или, например, "Аэрофлот", который внедрил распознава- ние голоса в своем кол-центре и тем самым снизил нагрузку на операторов и их число, взяв на автоматизированный конт- роль первоначальный контакт с клиентами. Тоже положитель- ный опыт. Обход системы С другой стороны, на про- шедших в августе в США кон- ференциях Black Hat и DefCon было несколько докладов о том, как можно обойти системы био- метрической идентификации и выдать себя за другого чело- века. И эти две американские конференции – не единствен- ные, кто уделяет внимание взлому биометрии. Самым ярким примером, пожалуй, я бы назвал проект DeepFake, который в шутку поз- волял менять лицо людей на видеоизображениях на любое другое. Так появились смешные ролики с Николасом Кейджем, который "превращался" то в гнома, то в женщину, то в ска- зочного героя, при этом каче- ство подмены было достаточно высоким. Лицо Кейджа, а за ним и многих других знамени- тостей, делало все то, что изна- чально делал оригинал: так же говорило, так же менялась мимика, так же двигались губы. Потом стали появляться и ана- логичные приложения, которые подменяли личность на более профессиональном уровне. Это явление в целом получило название Deepfake. В чем проблема ЕБС? И вот тут я бы хотел вновь вернуться к ЕБС. С ней не все так просто. В утвержденной Банком России и согласованной с ФСБ России модели угроз я не нашел в явном виде упоми- нания угроз, аналогичных Deep- fake, собственно, как и многим другим угрозам, присущим био- метрии. И при этом банки обя- заны внедрять у себя компо- ненты ЕБС, не имея возможно- сти отказаться. Тратятся мил- лионы рублей, но где отдача от этой системы? Альфа-Банк недавно заявил, что потратил на внедрение ЕБС $1,5 млн, но никакой отдачи не видит. Банк России обязал всех своих сотрудников сдать био- метрические данные для ЕБС. Вообще число граждан России, которые их сдали, измеряется долями процента от целевой аудитории. Почему так? Вроде бы у системы есть оче- видные преимущества – она позволяет получать финансо- вые услуги, не выходя из дома. Но… Оказалось, что там, где у граждан есть деньги, а это обычно крупные города, им не составляет большого труда прийти в офис банка и совер- шить нужную операцию. А там, где удаленная идентификация действительно могла бы сэко- номить на посещении банков- ских отделений, денег нет. Но признавать такой просчет никто не хочет, и ЕБС по-прежнему навязывают всем банкам, даже не видящим в этом никакой бизнес-отдачи. Чья ответственность? Есть и еще одна проблема с ЕБС. Дело в том, что до сих пор открытым остается вопрос: а кто несет ответственность за все происходящее в ЕБС? Кто отвечает, если кто-то взломал 30 • ТЕХНОЛОГИИ Успех внедрения биометрии зависит от того, как выстроен процесс повышения осведомленности достаточно пристально слежу за сферой биометрии и за последнее время сделал несколько достаточно интересных наблюдений. Эта тематика очень важна и для России, где Единую биометрическую систему (ЕБС) насаждают достаточно активно, невзирая на неочевидные преимущества этой системы для ее конечных пользователей – банков. Я Алексей Лукацкий, бизнес-консультант по информационной безопасности Вопрос № 1 Тратятся миллионы рублей, но где отдача от этой системы? Вопрос № 2 Число граждан России, которые сдали свои биометрические данные, измеряется долями процента от целевой аудитории. Почему так?