Журнал "Information Security/ Информационная безопасность" #4, 2019

Отсутствие "крайнего" также не вызывает оптимиз- ма, но уже у обычных граж- дан, в среде которых цирку- лирует слух, что ЕБС зате- валась не для оказания финансовых услуг дистан- ционным способом, а для сбора биометрических дан- ных граждан России в целях идентификации неблагоже- лательных личностей на всяких митингах, в местах массового скопления людей, ну и, конечно, для борьбы с терроризмом и экстремиз- мом. ЕБС и внес в нее коррективы или вовсе украл исходные био- метрические данные граждан? Банк России? Он дистанциру- ется от этого. Банк, собираю- щий биометрию? Так он ее не хранит. Ростелеком? Он тоже не хочет брать на себя эту роль. В итоге ключевой вопрос любой системы безопасности ("кто крайний?") остается без ответа. Это также не вызывает оптимизма, но уже у обычных граждан, в среде которых цир- кулирует слух, что ЕБС затева- лась не для оказания финансо- вых услуг дистанционным спо- собом, а для сбора биометри- ческих данных граждан России в целях идентификации небла- гожелательных личностей на всяких митингах, в местах мас- сового скопления людей, ну и, конечно, для борьбы с терро- ризмом и экстремизмом. Кто- то даже говорит о том, что Рос- сия хочет внедрить систему социального рейтинга, анало- гичную той, которая запускается в Китае, и которая завязана на биометрическую идентифика- цию граждан. Удаленная идентификация = личное присутствие? Третья проблема ЕБС, с которой столкнулись банки в процессе ее внедрения, заключается в том, что до сих пор нет ответа на вопрос, можно ли считать удаленную идентификацию равнозначной той, которая происходит при выполнении транзакций при личном присутствии. В послед- нем случае клиент всегда ста- вит свою подпись собственно- ручно, и это является серьез- ным доказательством при раз- боре конфликтных ситуаций, и особенно в суде. А вот как доказать, что клиент осознанно согласился с какой-либо дис- танционно проведенной опе- рацией? Что является доказа- тельством прохождения иден- тификации и аутентификации? Логи ЕБС? В условиях несложившейся судебной практики этот вопрос сильно волнует банковских юри- стов и рисковиков, которые пока не знают, как описывать про- цессы, связанные с физическим отсутствием человека при совершении банковских опера- ций. То есть вновь возникает ситуация: закон разрешил уда- ленно идентифицироваться, но детально никто не расписал в нормативных актах, как осу- ществляется данное действие в рамках существующих про- цессов. И это еще один барьер для, казалось бы, отличной тех- нологии, которая призвана сэко- номить людям деньги, время и нервы. Процесс адаптации Когда в корпоративной среде внедряется какое-либо новое решение, всегда есть процесс адаптации, когда сначала можно пользоваться и старыми, и новыми методами. Затем постепенно старые подходы замещаются, но все это сопро- вождается активной работой по повышению осведомленности сотрудников: что это, зачем, как пользоваться, кому зада- вать вопросы и т.п. Ну, по край- не мере, у нас это так. Тогда внедрение проходит безболезненно и с наименьши- ми "потерями" (недовольные всегда будут, но число их незначительно). В случае с ЕБС, к сожалению, регуляторы само- устранились от процесса разъ- яснения всех нюансов работы с этой системой. Производители решений для нее тупо продви- гают свои продукты под соусом “Вы обязаны купить, иначе вас накажет регулятор”. Вот у потребителя и возни- кает в такой ситуации оттор- жение того, что могло бы дей- ствительно стать уникальным проектом даже в международ- ном масштабе, где биометрия на национальном уровне пре- имущественно реализуется только для идентификации граждан по паспорту с био- метрическим чипом. Но увы, пока проект буксует, чего не скажешь о корпоративном сек- торе, где существует немало примеров успешных внедре- ний систем биометрической идентификации по голосу, изображению лица или иным биометрическим признакам, которых насчитывается пара десятков. Защита биометрии Правда, и в этом случае тоже не стоит думать, что это панацея, которая решает все проблемы. Достаточно просто помнить, что подобранный пароль или украденный токен можно легко заменить, а вот утекший биометрический про- филь (особенно если он хра- нился в "сыром" виде, а не в виде свертки) заменить будет проблематично. Поэтому как никогда важна проработка вопросов защиты биометрии от различных угроз, и крипто- графия составляет примерно 10% от общего числа защит- ных механизмов, которые должны применяться в этом случае. Именно поэтому многие успеш- ные проекты сегодня рассмат- ривают биометрию не как основ- ной, а как вспомогательный спо- соб идентификации и, как пра- вило, в некритичных кейсах. Например, та же идентификация по голосу в центрах обработки вызовов позволяет сократить время на обслуживание клиен- тов, что дает вполне серьезную экономию. Но как механизм без- опасности она не рассматрива- ется. Чтобы сделать ее таковой, придется не только составить правильную модель угроз и выбрать соответствующее тех- ническое решение (которое в том числе умеет бороться с Deep- fake), но и проработать вопросы защиты вокруг него, а также, что еще важнее, грамотно впи- сать биометрию (особенно если она удаленная) в существующие процессы и разработать про- цедуру разбора конфликтных ситуаций. Без этого внедрение биометрии на скорую руку и впо- пыхах может сформировать у людей стойкое убеждение, что биометрии доверять нельзя. А это – недопустимо! l • 31 КОНТРОЛЬ ДОСТУПА www.itsec.ru Вопрос № 3 Кто несет ответственность за все происходящее в ЕБС? Вопрос № 4 Кто отвечает, если кто-то взломал ЕБС и внес в нее коррективы или вовсе украл исходные биометрические данные граждан? Вопрос № 5 Как доказать, что клиент осознанно согласился с какой-либо дистанционно проведенной операцией? Вопрос № 6 Что является доказательством прохождения идентификации и аутентификации? Ваше мнение и вопросы присылайте по адресу is@groteck.ru