Журнал "Information Security/ Информационная безопасность" #1, 2022

тически невозможной вероятность обма- на биометрических алгоритмов. Сегодня, помимо голоса, для иденти- фикации используются фотографии лица. Биометрические данные пользо- вателей хранятся в системе в виде зашифрованных ключей, которые невоз- можно расшифровать в исходную фото- графию, что обеспечивает безопасное использование системы. Но здесь есть ряд проблем, с которыми придется столкнуться, как только будет запущена оплата по биопризнакам. Пока совершенно непонятно, как противостоять волне дипфейков (подделок аудио и видео), которая непременно возникнет, как только будет запущена в массовом режиме оплата с авторизацией по голосу и фото. Простая ситуация: смоделировав запись голоса жертвы, мошенники звонят в банк и просят оформить кредит. Затем посредством раз- личных манипуляций переводят средства с кредитного счета жертвы на свой счет. Конечно, алгоритмы распознавания фейковых записей могут помочь, но выбор средств пока не очень широк и представлен сертифицированными инструментами ФСБ. Однако когда мошенники вплотную займутся этой темой, если не предпринять серьезных мер, победа будет за ними. Поэтому всем, кто захочет использо- вать сервисы биометрии, необходимо сразу проявлять бдительность: не пере- водить большие суммы и ограничивать верхнюю планку сумм для единовре- менного перевода; постоянно следить за тем, не возникают ли новые способы обмана граждан, чтобы не только самим быть во всеоружии перед кибер- преступниками, но и готовить к этому близких. В середине декабря 2021 г. Централь- ный Банк РФ опубликовал указание № 6017-У 1 , в котором отражен перечень угроз безопасности информации, цир- кулирующей в процессе взаимодействия финансовых организаций с ЕБС. Данный документ показывает вектор развития государственного комплекса мер защиты биометрии, который должны выстроить компании, подпадающие под действие данного документа. Пользователям нужно заботиться об актуальности биометрических данных. Рекомендуется пересдавать их не реже одного раза в три года. В случае если пользователь перенес травму или хирур- гическое вмешательство, изменившее его внешность, необходимо сделать это досрочно. Для обеспечения безопасности стоит обратить внимание на то, в каких усло- виях происходит сдача биометрических данных. Важными пунктами с этой точки зрения являются участок сбора и участок передачи в ЕСИА. На участке сбора биометрии необхо- димо: l удостовериться, что помещение защи- щено от прослушки и записи (неправо- мерного сбора звуковой информации), которую можно будет применить для прохождения авторизации по голосу; l убедиться, что сбор биометрии про- исходит в отдельном помещении, где осуществляется контроль физического доступа во избежание проникновения посторонних лиц; l со стороны организации – реализовать систему контроля логического доступа для ее сотрудников, которые осуществ- ляют сбор биометрии, а также обеспе- чить применение средств защиты инфор- мации, включая антивирусные средства, на устройствах, с помощью которых собирается биометрия; l и важно, чтобы на местах периодиче- ски проводились мероприятия по конт- ролю применяемых мер защиты био- метрии. На участке передачи биометрии в ЕСИА необходимо: l реализовать контроль неизменности собранной и направляемой в ЕСИА информации; l обеспечить построение защищенного соединения при передаче по сети "Интер- нет". Дальнейшие перспективы развития и новые вызовы ИБ Согласно исследованиям консалтинго- вой компании J’son & Partners Consulting, объем мирового рынка биометрических услуг к концу 2022 г. увеличится более чем на $40 млрд. В России уже сейчас он оценивается более чем в $250 млн. По мнению специалистов, применение биометрии во всем мире будет стано- виться все более массовым и всеобъем- лющим. Особенно это затронет сегмент лицевой биометрии. В этот сектор приходят большие инве- стиции, значит, здесь появится все боль- ше сервисов и решений. И конечно, сюда активно пойдут киберпреступники, от которых в ближайшее время стоит ожидать появления новых схем мошен- ничества. Одна из самых мощных опасностей, которая может заявить о себе уже в этом году, – это кража цифровой лично- сти. Благодаря тому, что сегодня в госу- дарственной системе уже есть множе- ство данных о миллионах людей, скоро можно будет объединять их в виртуаль- ные профили. Единая система автори- зации госуслуг уже сейчас позволяет проявлять активность, не выходя на улицу. Но когда к ней подключатся и другие платформы, в которых больше данных (биометрических, финансовых, кредитных и т.д.), цифровыми профиля- ми станет гораздо активнее интересо- ваться киберпреступный мир. Что значит украсть цифровую лич- ность? Это значит завладеть всеми ее основными элементами, включая данные об адресе, паспорте, семейном положе- нии, кредитах, СНИЛС, фото, цифровой подписи. К краже личности преступники будут подходить многоступенчато. Здесь и покупка персональных данных в базах Интернета, и дипфейки, и случайно пере- данный пароль. От имени чужой лично- сти можно делать много чего: не только голосовать на выборах и авторизовы- ваться в корпоративных системах, но и совершать подозрительные сделки, банковские переводы, а также противо- правные действия. Уже сейчас преступ- ники пользуются отдельными устрой- ствами, включая их в бот-сеть для DDoS- атак, а хозяева и не знают об этом. Или пользуются данными некоторых ИП в качестве дропов. Ну а теперь мошен- ники перейдут на новый уровень и станут совершать преступления от имени чужих цифровых личностей. Доказать свою непричастность к преступлениям "ори- гинальным" владельцам будет очень непросто. Бороться с такими киберпре- ступниками возможно только масштаб- но, на уровне государства. Однако гото- виться к этому надо уже сейчас. Ведь в ближайшем обозримом будущем био- метрия будет свободно применяться во всех сферах человеческой жизнедея- тельности и станет незаметным для потребителя практичным повседневным явлением. l • 43 КОНТРОЛЬ ДОСТУПА www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.garant.ru/products/ipo/prime/doc/403445912/

RkJQdWJsaXNoZXIy Mzk4NzYw