Еще раз о биометрической аутентификации: от мифов к реальности
Миф № 1. Биометрическая аутентификация как альтернатива другим аутентификационным технологиям. Никакие биометрические данные не могут быть самостоятельно использованы для аутентификации человека – пользователя информационной системы. Специалисты в области информационной безопасности прекрасно знают основные требования к аутентификационным данным. Это, в частности, приватность аутентификационных данных и их периодическая сменяемость пользователями с периодом от трех месяцев до одной недели. А в некоторых особо критичных случаях смена аутентификационных данных должна происходить каждые 1–2 дня. Такие сроки, например, озвучил представитель руководства одного из ведущих банков страны на первом Международном конгрессе по кибербезопасности.
Поясним сказанное на простом примере. В классической схеме «логин/пароль» логин является идентификатором, который пользователь предъявляет информационной системе. А аутентификационными данными в этой схеме является пароль. Собственно, к нему и применяются указанные выше требования. Как известно, пароли должны быть строго конфиденциальны. Они вводятся и меняются непосредственно самими пользователями. Никаких посредников в этом процессе, будь то администраторы системы либо какие-
то другие специалисты, быть не должно. Вместе с тем практически любые биометрические данные, которые используются или предлагаются к использованию для целей аутентификации, не удовлетворяют этим базовым требованиям: во-первых, они не являются приватными, во-вторых, их практически невозможно сменить. Конечно, польза от биометрических данных в рассматриваемой задаче все-таки есть. Но только в том случае, если они применяются как дополнительный (например, к паролям) параметр аутентификации, подтверждающий личность пользователя, набравшего верный пароль. И не более того.
Миф № 2. Безопасность биометрии при проведении (подтверждении) финансовых транзакций. Конечно, с помощью отпечатка пальца, цифрового слепка голоса или лица пользователям очень удобно подтверждать платежные транзакции. Это не занимает много времени, не нужно запоминать или где-то искать свои пароли (ПИН-код) или токены. Никто с этим и не спорит, хотя говорить о достаточном уровне безопасности в этом случае не приходится. Сейчас многие крупные ИТ-компании и стартапы буквально соревнуются друг с другом в разработке как самих систем распознавания человека по его биометрическим характеристикам, так и способов их «обмануть». Если раньше это были поддельные отпечатки пальцев, то теперь разработчики демонстрируют прекрасные образцы подделок как голосов медийных личностей, так и видеоконтента с их динамическим поведением в кадре. Недавно в различных медийных средствах, в частности на радио Москва FM, был озвучен сюжет с «беседой» трех персонажей (В. Путина, В. Познера и К. Собчак), смоделированной с помощью голосовых подделок с практически 100%-ной узнаваемостью. Эта композиция была реализована российской компанией VeraVoice. Хорошо известны и зарубежные подобные подделки. Думаю, что никто не удивится, если через полгода/год на 3D-принтерах начнут под заказ печатать маски любых людей, пригодные для успешного прохождения биометрической идентификации.
Заметим, что для существующих программ распознавания образов совсем не обязательно иметь «неотличимые» от подлинников подделки. Специалисты знают, что используемые для определения подлинности клиента элементы искусственного интеллекта (например, нейронные сети) имеют свои особенности, которые приводят к существенным ошибкам – идентифицируют человека даже при значительных отличиях подделки от подлинника. Для обмана преступникам нужно лишь хорошо знать и эффективно использовать особенности конкретной нейронной сети. За счет этого практически любые биометрические данные можно подделать с уровнем качества, достаточным для их использования для аутентификации, затратив на это соответствующие материальные и технические ресурсы. Конечно, при подтверждении единичных транзакций на небольшие суммы будет просто невыгодно изготавливать дорогостоящие подделки. Но единичные мошеннические транзакции на крупные суммы вполне возможны. В некоторых ситуациях вполне реально реализовать схему периодического мошеннического списания и относительно небольших сумм. Такая возможность может появиться, если атакуемый клиент весьма интенсивно использует средство платежа и не проверяет на постоянной основе все свои совершенные транзакции.
Мне могут возразить, что сейчас, например, выпускаются банковские карты со встроенным сканером отпечатка пальца. Подтверждение оплаты осуществляется с помощью имеющегося на чипе карты алгоритма, который проверяет совпадение записанного на чипе отпечатка пальца законного держателя карты с отпечатком плательщика. Такой метод предлагается в качестве альтернативы ПИН-коду или электронной подписи. Но представьте себе, что плательщик – злоумышленник, который на время позаимствовал (украл) карту и заранее подделал отпечаток пальца ее владельца. Тогда он без труда может несанкционированно провести платеж.
Миф № 3. Созданная в Ростелекоме единая биометрическая система (ЕБС) полностью закрывает все вопросы безопасности дистанционных банковских сервисов. Ключевое слово здесь – «полностью». Без сомнения, надо отдать должное специалистам Ростелекома, Банка России и других организаций, реализовавших масштабный проект по внедрению биометрии в банковские технологии дистанционного предоставления защищенных банковских услуг клиентам. Но сразу следует заметить, что в этой разработке специалисты фактически использовали биометрию как дополнительный фактор аутентификации. Основным фактором здесь является аутентификация через ЕСИА (в частности, логин/пароль), так как клиент, прежде чем дистанционно передавать свои биометрические данные в банк, а затем в ЕБС, должен пройти авторизацию на сайте госуслуг (ЕСИА).
Но даже во всей этой грандиозной задумке существуют слабые места, дающие потенциальные возможности для реализации различных угроз. Первая из них связана с первичной регистрацией клиента в ЕБС. Такая регистрация проводится в отделениях многих банков, где клиент по определенному протоколу демонстрирует свое лицо и голос, которые записываются системой, оцифровываются и передаются (через банк) в ЕБС. После этого клиент может дистанционно получить практически полный спектр услуг в любом банке (не посещая его физически ни одного раза). Получается, что клиент регистрируется в ЕБС в одном банке, а затем получает дистанционную услугу в другом. При этом непонятно, какой из этих банков несет ответственность за возможные нарушения. Представим себе ситуацию, когда клиент пытается зарегистрироваться в ЕБС с фальшивым паспортом под именем другого человека. Подлинность паспорта сотрудник банка проверяет по известным признакам (вид бумаги, вид и расположение записей, вид и форма расположения печатей и т. д.). Но соответствие фотографии на паспорте лицу предъявляющего этот паспорт клиента сотрудник банка сверяет фактически «на глазок». Здесь и заключена главная уязвимость схемы.
Биометрические данные могут использоваться только в качестве дополнительного фактора при идентификации
Разумеется, воспользоваться этой уязвимостью преступнику будет не так-то просто. Для этого злоумышленник должен будет вначале пройти аутентификацию в ЕСИА, поэтому ему понадобятся аутентификационные данные клиента в ЕСИА либо аналогичные данные в Сбербанк Онлайн, поскольку в веб-интерфейсе этого сервиса можно подтвердить регистрацию в ЕСИА. Таким образом, массовая реализация описанной угрозы представляется маловероятной.
Куда более значимая угроза связана с уже упомянутым постоянством биометрических данных человека. Фактически клиент предоставляет внешней информационной системе свою биометрию, которая остается неизменной всю его жизнь. Сравнить это можно, например, со сбором отпечатков пальцев всех жителей России. Конечно же, ЕБС защищена с помощью самых последних достижений науки и техники. Там присутствуют и современная крипто- и техническая защита, включая сетевую, и разделение параметров информации по различным базам данных, и многое другое. Однако многолетний опыт и конкретные происходящие в мире события подсказывают, что базы данных, в которых достаточно долго (десятки лет) хранится неизменная информация, подвержены различным утечкам, по крайней мере, частичным. Причем сами физические лица, чьи биометрические данные хранятся в ЕБС, фактически не могут влиять на содержание своих данных. Более того, эти данные, теоретически, могут использоваться для целей, которые не согласованы с субъектом персональных данных.
Что делать?
Создание специальных механизмов влияния субъектов на свои данные в ЕБС позволило бы элиминировать риск их несанкционированного использования. Постановка подобного вопроса на первый взгляд кажется абсурдной. Действительно, выше мы уже отмечали, что биометрические данные являются постоянными и не меняются со временем. Кроме того, они имеют еще одно существенное отличие от обычных аутентификационных данных, например, тех же паролей. Основные биометрические данные человека обычно снимаются аналоговыми устройствами, затем оцифровываются и хранятся в базе данных в качестве цифровых слепков, которые могут различаться между собой в зависимости от времени, места их фиксации и поведенческих опций человека. Например, слепки голоса зависят от произносимых фраз, слепки лица зависят от положения головы и мимики. Поведенческие биометрические данные, например походка, движения конечностей, работа на клавиатуре компьютера и с компьютерной мышкой, зависят от очень многих параметров, характеризующих состояние человека в момент фиксации (снятия) этих данных. Поэтому слепки таких данных формально будут разными, если они сняты в разное время. И дальнейшее сравнение слепков с эталонами, хранящимися в ЕБС, будет происходить путем оценки «близости» к эталонам в определенной метрике с использованием теоретико-вероятностных и алгоритмических методов. В этом и заключено существенное отличие от классической парольной аутентификации, где сравнение происходит путем определения полного совпадения. Здесь же полного совпадения не бывает, поэтому результат сравнения биометрических данных описывается различными математическими моделями и рассчитывается в них.
Поэтому такие методы сравнения приводят к ошибкам. В теоретико-вероятностных моделях эти ошибки называются ошибками 1-го и 2-го рода, когда система не подтверждает подлинность легального пользователя и, наоборот, злоумышленника принимает за легального пользователя. В алгоритмических моделях (нейросети, машинное обучение) вводятся похожие понятия точности и полноты, также характеризующие эффективность используемых алгоритмов.
В подобных условиях можно определить следующий механизм влияния субъектов на свои хранящиеся в ЕБС биометрические персональные данные. Мы уже отмечали, что слепки хранятся в ЕБС в зашифрованном виде. При этом перед каждой операцией «сравнения» слепка конкретного субъекта с подобным слепком, полученным при аутентификации удаленного (от банка) пользователя (идентификатор которого совпадает с идентификатором этого субъекта), слепок из ЕБС расшифровывается. В настоящее время ключ этого шифра (или сам шифр) зависит только от ЕБС, поскольку определяется правилами этой системы. Но если дополнительно к имеющейся зависимости мы введем также зависимость этого ключа (или шифра) и от субъекта (пользователя) ЕБС, то поставленная задача будет решена. В результате каждый субъект ЕБС получит механизм влияния на свой слепок.
Сама технология при этом изменится следующим образом. При первичной регистрации субъекта (пользователя) в ЕБС он придумывает для ЕБС свой пароль (или ключ) и вводит его при обработке своих слепков в точке приема биометрических данных для регистрации в ЕБС. Этот пароль в защищенном виде попадает в ЕБС и становится частью ключевой информации, используемой для шифрования слепка биометрии этого субъекта. Далее при получении удаленных банковских услуг пользователь каждый раз вводит в систему этот пароль и отправляет (через банк) в ЕБС слепки своей биометрии. Хранящиеся в ЕБС слепки субъекта, за которого выдает себя данный пользователь, расшифровываются и сравниваются с поступившей информацией. Таким образом, без указанного пароля никто не сможет управлять слепками этого субъекта. Кроме того, если выявится какая-либо попытка компрометации слепков субъекта, хранящихся в ЕБС, он всегда имеет возможность прохождения повторной первичной регистрации в ЕБС с новым паролем. Уверен, что при такой реализации системы работы с ЕБС и хранения в ней биометрических данных скорость наполняемости базы Единой биометрической системы, до последнего времени вызывающая ряд справедливых нареканий, только увеличится.
Таким образом, мы приходим к выводу о том, что биометрия хотя и становится востребованной пользователями и клиентами банков современной технологией, но требует при каждом ее внедрении проведения тщательного анализа и оценки рисков, которые должны осуществлять высококвалифицированные специалисты. При этом биометрические данные в любом случае могут использоваться только в качестве дополнительного фактора при идентификации.