Камень, ножницы, биометрия: как электронные данные становятся безопаснее бумажных
Биометрические решения для идентификации (распознавания пользователя) и аутентификации (подтверждения подлинности пользователя, процесса или устройства) за считанные годы стали неотъемлемой частью цифровой жизни человека.
Еще 10-12 лет назад телефон с подтверждением личности отпечатком пальца был диковинкой, но сегодня — напротив, трудно найти смартфон без такой функции.
Переход в новую цифровую эпоху полностью изменил нашу повседневную жизнь. То, как мы сегодня взаимодействуем друг с другом, пользуемся услугами, оплачиваем товары, работаем и отдыхаем, полностью основано на взаимодействии и аутентификации с помощью цифровых технологий.
На волне совершенствования технологий машинного обучения и доступности больших данных, разработка и внедрение биометрических технологий превратилась в один из наиболее динамичных ИТ-трендов, а борьба с пандемией COVID-19 лишь ускорила их повсеместное распространение.
Возможность подтвердить свою личность самим фактом физического присутствия без необходимости предъявления бумажных документов, магнитных карт, запоминания сложных паролей и других не самых удобных процедур стала привычным делом — ведь она не только мгновенна, но еще и удобна.
Насколько комфорт использования персональной биометрии сочетается с ее защищенностью от взлома и угроз кибератак? Как на самом деле используются технологии и данные?
Уязвимость данных
Глобальная Сеть и цифровые сервисы принесли людям не только свои блага, но также многочисленные проблемы с конфиденциальностью и безопасностью персональных данных. Согласно прогнозу аналитиков Valuates Reports, объем мирового рынка защиты данных уже достиг объема $61,33 млрд по итогам 2020 года, и вырастет до $113,39 млрд к 2027 году при среднегодовых темпах роста 9,1%.
Использование биометрии расширяется по мере роста потребности в идентификации людей — например, при доступе в здания и критически важные объекты инфраструктуры, при использовании цифровых и мобильных устройств, в банковской сфере, здравоохранении, школах, транспорте, офисах и других повседневных ситуациях.
В настоящее время разработка новых систем использования биометрии ведется с учетом накопленного опыта эксплуатации подобных решений. Помимо повышения защищенности данных в таких системах, повышения их точности и снижения стоимости, заказчикам порой не менее важно сформулировать цель ее использования. Например, действительно ли необходима биометрическая идентификация, или для бизнеса более чем достаточно этапа верификации основных признаков, чтобы убедиться в присутствии человека, а не его изображения.
Разумная достаточность
Во многих случаях определение характера модели использования биометрической системы критично для принятия решения об уровне безопасности доступа и точности, и здесь — как и в случае использования любых персональных данных, для биометрии действует схожий принцип: не нужно собирать и хранить ненужное. В противном случае избыточные данные могут обернуться дополнительной уязвимостью, проблемами для клиентов и в конечном итоге разрушить репутацию или даже весь бизнес.
В отличие от паролей или криптографических ключей, обеспечивающих 100% точность (пароль подходит или нет), биометрическая идентификация и аутентификация имеет небольшой процент вероятности ложных срабатываний (пропуск самозванца) и ложных отрицаний (отказ авторизованному лицу).
Между удобством и безопасностью
Еще на стадии проектирования системы для сбора и использования биометрических данных важно представлять реальные требования к такой платформе по ее ключевым параметрам: безопасности, скорости работы, масштабируемости и необходимому (достаточному) объему используемых данных.
Вне зависимости от сферы применения — будь то решение для правительственных и государственных служб (полиция, федеральные службы, армия и флот), доступ к ОС (операционной системе) на офисном компьютере или проверка баланса у телеком-провайдера, биометрическая система должна обеспечивать безошибочное предоставление доступа.
Однако для каждого частного случая существует свой собственный баланс между удобством и безопасностью. Применений технологий и соблюдение различных уровней безопасности при использовании биометрии напрямую зависит от характера управляемых данных и уровня жизненно важных рисков.
Безопасность и инфраструктура
После того, как число кибератак и инцидентов с безопасностью начало расти с угрожающей скоростью в последние годы, многие организации, обращающиеся к работе с биометрией, стараются обеспечить дополнительные уровни защиты данных за счет привлечения наиболее надежных поставщиков услуг и решений. Особенно эта тенденция заметна в финансовой и банковской сфере.
Дополнительная защита может обеспечить хранение данных на инфраструктуре безопасности в зашифрованном виде, при этом для каждой «ячейки данных» применяются разные протоколы шифрования. Например, отпечаток пальца, данные радужки глаза и номер банковского счета связаны для идентификации нужного человека, но при этом зашифрованы и хранятся на разных серверах.
И даже если злоумышленник получит доступ к одному из элементов данных, войти в систему и украсть деньги все равно не получится. Аналогичный подход для хранения конфиденциальных данных клиентов вполне подходит для использования и в других сферах.
Как это работает
Примером системного подхода к разработке решения для биометрического контроля доступа в операционную или информационные системы является программный продукт Id-Logon компании РекФэйсис.
Программный продукт Id-Logon используется в организациях и учреждениях для проверки прав доступа в системы при помощи биометрической идентификации и верификации. В процессе идентификации биометрия человека поступает в систему через специальные веб-камеры или сканеры, после чего Id-Logon сверяет полученные шаблоны с данными базы профилей, и в результате предоставляет доступ в систему либо отказывает в нем. В процессе верификации общий уровень безопасности повышается с помощью двухфакторной проверки, когда биометрическая идентификация дополняется вводом пароля.
Решения на базе Id-Logon подходят для проверки прав доступа личности к платформам любого масштаба — от корпоративных инфосистем до отдельных ПК под управлением Windows, при этом скорость биометрической идентификации при входе составляет менее 1 секунды, а вероятность ложного события заявлена на уровне менее 0,0001%.
Дополнительным плюсом такой системы является ее модульность: цена решения находится в прямой зависимости от выбранной лицензии по числу лиц в базе и источников получения биометрии (камер, сканеров, терминалов, банкоматов, инфокиосков и других). Кроме того, организация, использующая Id-Logon, развертывает это решение на собственном сервере, к которому подключены клиентские ПК, камеры и терминалы. При необходимости решение на базе Id-Logon готово к интеграции со СКУД, реле турникета или другого проходного устройства, а также терминалом или контроллером Wiegand.
В медицинских учреждениях система РекФэйсис идентифицирует лица сотрудников или пациентов, и при необходимости уведомляет администрацию о важной информации или появлении лиц из «черного списка» на территории клиники. Система также может быть настроена на бесконтактное измерение температуры сразу на входе, с занесением информации в журнал событий.
В банковской сфере внедрение Id-Logon и других продуктов РекФэйсис позволяет производить мгновенную идентификацию человека перед камерой по его лицу, и тем самым повысить качество обслуживания в отделениях банка, мониторить присутствие сотрудников на рабочем месте, обезопасить помещения от несанкционированного доступа и в целом оперативно реагировать на инциденты безопасности.
Биометрические системы на основе Id-Logon и других продуктов РекФэйсис применимы во многих отраслях, где необходима оперативная идентификация персонала и посетителей, включая государственные учреждения, образование, правоохранительные органы, промышленные и спортивные объекты, бизнес-центры, транспорт, розничную торговлю, ресторанный бизнес, индустрию развлечений и многое другое.
Биометрия и российское законодательство
Совсем недавно, 11 октября 2021 года, постановлением Правительства России №1729 в нашей стране утверждены нормативы госконтроля в сфере биометрической идентификации и/или аутентификации. Согласно этим правилам, организации, аккредитованные для работы с персональной биометрией, отныне делятся на три «группы тяжести».
Принадлежность к той или иной группе отражает тяжесть последствий, которые могут возникнуть при несоблюдении требований закона. Так, к группе высокой тяжести А отнесены все объекты, которые занимаются идентификацией (аутентификацией) людей с использованием личных персональных данных или оказывают профильные услуги.
В группу средней тяжести Б занесены организации, которые используют персональную биометрию только для аутентификации или оказания услуг соответствующего характера. Группа с низкой тяжестью В включает организации, применяющие биометрию для аутентификации в системах контроля управления доступом – например, для доступа на охраняемую территорию.
Роль контролирующего органа возложена на Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) России, уровень контроля напрямую зависит от присвоенной группы тяжести. Действие закона вступает в силу 1 января 2022 года, одновременно с поправками в федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации», направленными на нормирование правил работы с биометрическими персональными данными для аккредитованных организаций.
Еще один важный документ, принятый в 2021 году, определил требования к деловой репутации руководителей организаций, осуществляющих идентификацию с использованием персональной биометрии. Этот документ вступит в силу 1 марта 2022 года и будет действовать до 2028 года.
Согласно этому приказу Министерства цифрового развития №896 от 27 августа, у главы или члена коллегиального исполнительного органа организации с ИТ-системой идентификации или аутентификации с использованием персональной биометрии, не должно быть неснятой или непогашенной судимости; увольнений менее трехлетней давности по факту разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной); предпринимательской деятельности без разрешения или незаконной деятельности в области защиты информации давностью менее года, а также фактов административных правонарушений в области персональных данных в предыдущие три года.
Итог
С наступлением цифровой эпохи развития человечества нам больше не нужно доверять бумаге свои сокровенные тайны, а с развитием биометрических технологий, также уходят в прошлое и пароли, записанные на случайных клочках бумаги.
Сегодняшнее состояние биометрических технологий можно назвать лишь началом долгого пути их развития и совершенствования. С каждым годом они становятся более универсальными, быстродействующими, более безопасными, и, что не менее важно, более удобными для повседневного использования.