Биометрическая аутентификация: этические и юридические аспекты, инциденты и методы защиты
Биометрические параметры 一 уникальные данные пользователя, которые позволяют распознавать личность при аутентификации. Под биометрической аутентификацией понимается использование изображения лица, сканирования глаз, голосовых паттернов, отпечатков пальцев, а также некоторых поведенческих характеристик, которые проверяются для предоставления доступа. При этом количество проверяемых факторов прямо влияет на надежность системы.
Повсеместное распространение биометрической аутентификации в мобильных устройствах расширило положительный опыт и закрепило мнение пользователей, что авторизация с помощью биометрии 一 это просто, быстро и безопасно.
Американское издание Biometric Technology Today приводит следующие данные: 80% держателей кредитных карт в США серьезно обеспокоены кражей кредитных карт и личных данных, а 67% готовы доплачивать за введение проверки по биометрическим параметрам. Еще один опрос, на который ссылается издание, проходил среди 900 потребителей в Австралии, Гонконге, Индии, Индонезии, Филиппинах и Сингапуре. 46% опрошенных оценили опыт называния секретных слов при обращении в контактный центр как нейтральный и ужасный. Готовность потребителей переходить на голосовую биометрию при проверке личности по телефону составила 88%.
Таким образом, применение биометрической аутентификации для компаний становится фактором лояльности клиентов. Однако, внедрение систем биометрии на практике оказывается рискованным и неоднозначным.
Этическая сторона вопроса
Биометрические данные принципиально отличаются своей уникальностью. В отличие от типичных форм идентификации 一 паролей, номера телефона, номера паспорта, водительского удостоверения и других, они не могут быть заменены в случае кражи. С этой точки зрения на бизнес ложится гораздо более высокая ответственность по хранению и защите биометрических данных.
Для снижения рисков законодательство разных стран предусматривает ограничительные меры. Например, в США нормативными документами ограничен срок хранения биометрических данных и их уничтожение в случае, если клиент не пользуется услугами компании-оператора. Наравне с другими персональными и конфиденциальными данными ограничиваются раскрытие, передача, покупка и другие формы работы с биометрическими данными. В обязанности компаний включается информирование физических лиц при сборе биометрических данных, получение письменного согласия, а также раскрытие целей их использования. Раскрытие целей использования биометрических данных является важным параметром для предотвращения дальнейшего использования данных, например, в маркетинговых целях для таргетированной рекламы и создания профилей потребителей.
Основополагающими нормативными принципами для работы с биометрическими данными можно назвать:
- Прозрачный сбор
- Безопасное хранение
- Продуманную утилизацию и ограниченный срок службы
В России нормативная база по биометрии включает, по словам экспертов, уже более 50 источников, среди которых ФЗ от 29.12.2022 № 572 ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных (…)».
Одна из норм документа закрепляет использование государственной информационной системы «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (ЕБН).
Статья 17 ФЗ №572 закрепляет положение об аккредитации организаций, планирующих аутентификацию биометрических персональных данных в информационных системах. На январь 2024 года такая аккредитация была получена 9 компаниями, среди которых Сбербанк, ВТБ и Альфа-банк, МТС и другие.
Также в соответствии с Федеральным законом банки обязуются передавать собранные биометрические данные в ЕБН. При этом оператор ЕБН отмечает, что информационная система Госуслуги содержит лишь информацию о наличии биометрических данных физического лица в ЕБН, а пользователь может в любой момент удалить свои биометрические данные через интерфейс сервиса.
Законопроект, предусматривающий приведение отдельных законодательных актов в соответствии с ФЗ №572, в настоящий момент находится на рассмотрении в Госдуме. Принятие законопроекта, в частности, позволит банкам предоставлять клиентам возможности открывать счета (вклады) в рублях и получать кредиты в рублях без личного присутствия после проведения идентификации с использованием единой системы идентификации и аутентификации и единой биометрической системы через интернет.
Стоит отметить, что ФЗ №572 содержит нормы о запрете передачи биометрических данных третьим лицам и требования к криптографическим средствам защиты.
Утечки данных и взломы систем биометрической аутентификации
Рост популярности биометрических систем сопровождается ростом утечек и взломов. Так, в октябре 2023 данные более 800 млн. человек, проживающих в Индии и оформивших 12-значный государственный идентификатор Aadhaar, были обнаружены в даркнете. Aadhaar ー одна из крупнейших систем, аккумулирующих биометрические данные. Достоверно известно, что 400 тыс. записей оказались реальными, при этом утечка исходных биометрических данных не подтверждена.
Опасения вызывает и быстрый рост технологий голосового клонирования и синтеза речи. Описанные кейсы подтверждают возможность прохождения биометрической аутентификации с помощью фейковой голосовой записи, но в реальности голосовая биометрия практически не используется в качестве единственной защитной меры, так как голос подвержен естественным изменениям, например, при болезни или смене настроения.
Обнаружение фейковых изображений лица ー более сложная задача. Исследование швейцарского научно-исследовательского института Идиап показало: до 95% дипфейков остаются незамеченными передовыми системами биометрической аутентификации.
С начала июня 2023 года группа хакеров GoldFactory из Китая распространяет зараженные мобильные приложения, которые способны совершать кражу 3D-сканов лиц пользователей. Полученные сканы применяются для обхода биометрической аутентификации в приложениях банков Вьетнама и Таиланда, а также для удаленного управления финансами потерпевших. Особое внимание привлекает троян GoldPickaxe. iOS, который был первым обнаруженным трояном для iPhone, способным одновременно собирать биометрические данные, документы пользователей, перехватывать сообщения SMS и использовать зараженные устройства в качестве прокси-серверов.
Количество систем обнаружения дипфейков также растет. Например, в Индии разрабатывается система, определяющая подделку изображений и видео по морганию глаз. Другой пример ーсистема университета Нью-Йорка, разоблачающая фейки по зрачкам неправильной формы.
Методы защиты при биометрической аутентификации
Типичная биометрическая система состоит из двух этапов: этапа регистрации и этапа проверки. На этапе регистрации биометрические данные пользователя извлекаются из биометрического образца (например, изображения лица или сканирования отпечатков пальцев) и сохраняются в базе данных в качестве шаблона. На этапе проверки биометрические данные запроса, обработанные так же, как и на этапе регистрации, сравниваются или сопоставляются с шаблоном для расчета показателя сходства. Если этот показатель превышает заранее определенный порог, сопоставление считается успешным.
Для решения задачи защиты биометрических шаблонов и сохранения конфиденциальности используются несколько видов архитектуры: биометрические криптосистемы, отменяемая биометрия, гомоморфное шифрование и другие методы.
Биометрические криптосистемы
Вид защиты, при котором биометрический шаблон шифруется, а затем расшифровывается. Проверка биометрических данных осуществляется косвенно через проверку ключей, результатом которой является либо ключ, либо сообщение об ошибке.
Слабыми местами защиты в данном случае становится централизация и растущие вычислительные мощности, требующие постоянного усиления криптографической защиты.
Одним из вариантов решения проблемы централизации является использование блокчейн-технологий, предполагающее минимальную зависимость от центрального модуля аутентификации.
Отменяемая биометрия
Отменяемые биометрические системы не сохраняют исходные биометрические данные в виде шаблонов. Вместо этого необработанные биометрические данные преобразуются с помощью функции необратимого преобразования на этапе регистрации, и преобразованные данные сохраняются в базе данных. Такое преобразование является преднамеренным и воспроизводимым.
Важным свойством отменяемой биометрии является необратимость, то есть вычислительно невозможно получить исходные биометрические данные из преобразованного шаблона. На этапе проверки к данным запроса применяется то же преобразование. Сопоставление выполняется в преобразованном домене, поэтому исходные биометрические данные не разглашаются. Если сохраненный (преобразованный) шаблон скомпрометирован, новую версию можно создать, изменив параметры преобразования. Отменяемая биометрия считается относительно простой и легкой в реализации.
Гомоморфное шифрование
Гомоморфное шифрование ー это тип шифрования, который позволяет выполнять математические операции над зашифрованными биометрическими данными без необходимости их расшифровки для аутентификации. Наиболее простые примеры гомоморфного шифрования ー поиск по запросу без знания запроса, фильтрация спама без чтения писем и так далее.
Биометрические данные могут быть зашифрованы и сохранены в базах данных без расшифровки во время сопоставления, что предотвращает несанкционированный доступ или нарушение конфиденциальности. Кроме того, в отличие от отменяемой биометрии, гомоморфное шифрование не влияет на точность распознавания.
Построение схемы гомоморфного шифрования требует четырех шагов: генерации ключа, шифрования, расшифровки и гомоморфных арифметических операций. Схема шифрования считается гомоморфной, если она поддерживает гомоморфное сложение и/или гомоморфное умножение.
Авторы: Дмитрий Макаров, эксперт по информационной безопасности R-Style Softlab и Евгения Поносова, редактор R-Style Softlab.
