Журнал "Information Security/ Информационная безопасность" #6, 2018

Квантовые вычисления l Квантово-безопасные ли алгоритмы вы сейчас используете? l Как долго мы должны обеспечивать конфиденци- альность наших данных (каков их жизненный цикл)? l Как быстро мы можем обновить существующие средства криптографиче- ской защиты? l Обязаны ли применять только сертифицированные СКЗИ или можем рассмот- реть вариант с применением постквантовой несертифи- цированной криптографией? Биометрия l Как мы поступим, если произойдет утечка или ком- прометация базы биометри- ческих идентификаторов? l Какой временной гори- зонт допустим при внедре- нии биометрии? l На какой тип биометрии мы рассчитываем – физио- логический или психологи- ческий? l Какова наша модель угроз? l Квантово-безопасные ли алгоритмы вы сейчас исполь- зуете? l Как долго мы должны обес- печивать конфиденциальность наших данных (каков их жиз- ненный цикл)? Не все зашиф- рованные данные имеют дол- говременную ценность, и для них по-прежнему будет возмож- ным применение текущих алго- ритмов. l Как быстро мы можем обно- вить существующие средства криптографической защиты (для многих предприятий могут потребоваться на это годы)? Этот вопрос особенно актуален для финансовых организаций, которых, согласно положению Банка России № 382-П, обязали перейти на российские серти- фицированные СКЗИ, но они пока не являются полностью квантово-безопасными. l Обязаны ли применять только сертифицированные СКЗИ или можем рассмотреть вариант с применением постквантовой несертифицированной крипто- графии? Надо отметить, что постквантовой криптографией сегодня занимаются не только за пределами нашей страны, на конференции РусКрипто регулярно представляются доклады по гомоморфному шифрованию, изогенным супер- сингулярным эллиптическим кривым, криптографии на муль- тивариативных квадратичных уравнения и кодах исправления ошибок, а именно эти четыре направления признаны наибо- лее перспективными в ситуа- ции, когда на рынке появится первый работающий квантовый компьютер. Биометрия В отличие от квантовых ком- пьютеров, которые пока видны на горизонте, биометрия уже прочно вошла в нашу жизнь, и многие компании не только активно используют встроенные в мобильные устройства техно- логии типа Touch ID или Face ID, но и внедряют самостоя- тельные решения для иденти- фикации и аутентификации своих пользователей с помо- щью различных биометриче- ских факторов (голос, геомет- рия лица, отпечатки пальцев, геометрия ладони и др.). Для многих это не является необхо- димостью, а скорее демонстри- рует "продвинутость" компании, которая может обойтись слиш- ком дорого. Какие особенности надо учи- тывать при решении бизнеса внедрять биометрию? Я бы выделил также четыре основ- ных вопроса, к которым надо быть готовым: l Как мы поступим, если про- изойдет утечка или компроме- тация базы биометрических идентификаторов? В отличие от пароля или украденного про- пуска мы не можем сменить голос или отпечатки пальцев. Выбранная бизнесом техноло- гия позволяет реализовать искажение биометрического фактора (для его замены) или использовать не все факторы (например, два пальца, которые в случае компрометации можно заменить оставшимися). l Какой временной горизонт допустим при внедрении био- метрии? Технологии меняются и дешевеют быстро, а внедре- ние биометрии на тысячи и десятки тысяч устройств (напри- мер, банкоматов) может занять длительное время. А в случае компрометации системы нам, возможно, придется заменять ее на другую, что будет не толь- ко долго, но и дорого. l На какой тип биометрии мы рассчитываем – физиологиче- ский или психологический? Пер- вый менее подвержен измене- ниям с течением времени, чем второй (например, динамика набора текста на клавиатуре), но реализовать второй может быть дешевле. При этом надо учитывать, что сегодня на рынке представлено множество раз- личных технологий биометрии, которые используют разные факторы, от распространенных (голос, лицо, глаза, ладонь) до очень специфичных (походка, ЭКГ, свайпинг пальцами на экране смартфона). На практи- ке обычно используется муль- тимодальность (комбинация двух и более факторов), обес- печивающая здоровый баланс между уровнем ложных сраба- тываний (FAR/FRR), стоимостью решения и временным горизон- том. l Какова наша модель угроз? Дело даже не в том, что обычно рассматривается только одна угроза – подмена фактора на этапе сбора данных (отрезан- ные пальцы, муляжи ладони или 3D-маски лица), забывая про остальные 12 векторов (например, можно просто под- менить вердикт системы на про- тивоположный и вся система превратится в "тыкву"). Но даже на этапе сбора сегодня появляется немало новых угроз, которые могут кардинально изменить будущее биометрии, которое нельзя не учитывать в стратегии ИБ. Например, известно немало исследований в области применения нейро- сетей для обмана биометриче- ских систем. Да, сегодня они пока применяются в благих целях (для улучшения системы защиты), но и хакеры могут (и уже делают) воспользоваться полученными результатами и обойти биометрию. Блокчейн и смарт-контракты Ваша компания решила внедрить у себя блокчейн. Для контроля цепочки поставок, для ведения базы данных мошен- нических операций, для борьбы с контрафактом, для контроля активов, для ведения юриди- чески значимых реестров/кадастров/баз дан- ных, для проведения плате- • 39 УПРАВЛЕНИЕ www.itsec.ru Рис. 2.