Биометрические системы безопасности: перспективы развития и вызовы для информационной безопасности
Изображение: Timothy Muza (unsplash)
Биометрические технологии распознавания активно развиваются: всё чаще их используют и на производстве, и в быту. Так, например, уже вряд ли кого-то можно удивить использованием биометрии для разблокировки смартфона или для оплаты услуг.
Биометрические данные на производстве в основном применяют для обеспечения прохода на территорию компании, доступа в помещения внутри организации, доступа к компьютеру и к информационным системам организации.
При этом биометрия, несмотря на расширение сферы использования, для многих остается загадкой: с ней связано много мифов и страшилок.
В данной статье мы обобщили наш опыт построения биометрических систем в части возможных сценариев использования биометрии и уязвимостей биометрических систем. В результате получился обзор с практическими рекомендациями.
Основные выводы:
- Биометрия уже сейчас может решить ряд задач, которые трудно или вовсе невозможно реализовать при помощи других факторов аутентификации.
- Главное препятствие к распространению биометрии сейчас находится в области психологии. Как и ко всему новому, к ней пока относятся с осторожностью и недоверием.
- Применение биометрии будет расширяться, потому что это самый удобный фактор аутентификации.
Главная рекомендация: при внедрении биометрии проводить обучение пользователей, повышать осведомленность о возможных угрозах и принятых мерах для их устранения.
Типы биометрических систем, наиболее распространенные в настоящее время
Биометрические методы распознавания делятся на биологические и поведенческие. Из биологических сейчас наиболее распространенными являются распознавание по изображению лица, отпечатку пальца, рисунку вен ладони, геометрии ладони и радужной оболочке глаза.
Из поведенческих самой используемой биометрической характеристикой является голос. Для обеспечения доступа к компьютеру используется такая поведенческая биометрическая характеристика, как клавиатурный почерк. В целом любая биометрическая система имеет одинаковую функциональную схему. В любой биометрической системе имеются: устройство сбора биометрических данных; база данных, где хранятся биометрические данные; алгоритм, который выделяет из собранного отличительные биометрические признаки и сравнивает их с записанными ранее в базе. Это позволяет рассматривать вопросы применения биометрии, возможных уязвимостей и способов борьбы с ними единым подходом для любых биометрических систем вне зависимости от используемой биометрической характеристики.
Основные преимущества и ограничения биометрии
Применение биометрии следует рассматривать с точки зрения безопасности и удобства для пользователя.
С точки зрения удобства использования биометрия — наиболее удобный метод аутентификации. От пользователя не требуется что-то запоминать, как пароль, или носить с собой, как смарт-карту. Всё уже при вас.
С точки зрения безопасности применения среди преимуществ биометрии стоит отметить неотчуждаемость биометрии от человека. Пароль может кто-то подслушать, подсмотреть при наборе или увидеть записанным на листке бумаги. Карта доступа может быть потеряна, украдена или специально передана другому человеку.
Конечно, биометрия — не панацея от всех бед. При ее использовании стоит понимать и принимать ограничения метода. Например, биометрические данные пользователя могут быть признаны системой аутентификации негодными вследствие физических изменений и телесных повреждений частей тела, содержащих соответствующую биометрическую характеристику. Это может привести к тому, что пользователь не сможет войти в систему без прохождения повторной процедуры регистрации своих биометрических данных.
При рассмотрении вопросов безопасности аутентификации часто говорят об отдельных преимуществах того или иного фактора, не рассматривая процесс в целом. Также частая ошибка — исключение пользователя из процесса. Можно сделать длинный сложный пароль, который будет защищать лучше любой биометрии. Но сможет ли пользователь его запомнить? В итоге мы получаем записанные на листочках пароли, и о защите информации уже не идет и речи.
Задачи, которые решает биометрия
Среди специфичных задач, которые биометрия может решить в отличие от других методов аутентификации, стоит отметить следующие.
Для физической безопасности интеграция системы распознавания лиц и системы видеонаблюдения позволяет реализовать в компании контроль присутствия людей в зонах, которые по тем или иным причинам не могут быть ограничены механизмами: двери с замками, турникеты и т. д.
Для информационной безопасности актуальна задача контроля пользователя после прохождения аутентификации. Как удостовериться, что в конкретный момент времени за компьютером работает тот пользователь, который ранее в него вошел? С помощью паролей, карт, токенов такую задачу решить невозможно. Если просить пользователя постоянно вводить пароль/прикладывать карту, это осложнит рабочие процессы. В данной ситуации может помочь биометрия, например, периодически распознавая лицо работающего за компьютером человека. При этом от пользователя не будет требоваться дополнительных действий.
Основные уязвимости биометрических систем и как с ними бороться
Меры защиты информации в биометрических системах должны применяться в соответствии с актуальными угрозами безопасности. Если говорить о биометрических данных, то основные угрозы находятся на уровне хранения данных и на уровне передачи данных между компонентами биометрической системы. Для надежного хранения биометрических данных должно применяться его шифрование. При этом стоит отметить, что биометрические данные хранятся в виде биометрического шаблона, по которому невозможно восстановление исходного изображения биометрической характеристики. Для безопасной передачи биометрических данных взаимодействие между компонентами системы должно осуществляться с использованием алгоритмов шифрования и контроля целостности трафика.
Специфичными для биометрических систем являются атаки с помощью муляжа. Например, злоумышленник может предъявить системе распознавания фотографию человека.
Для защиты от данных атак системы, использующие биометрическое распознавание, имеют в своем составе специальные механизмы Liveness Detection, в задачу которых входит проверка того, что с датчиком «общается» живой пользователь, а не его муляж. Стоит отметить, что продукты лидеров российского и международного рынков в технологиях распознавания лиц имеют достаточную степень защищенности своих систем от подобного взлома.
Защита биометрических данных, впрочем, как и любой другой информации, — это комплексная задача. Необходимо обеспечение физической безопасности при доступе к биометрическим считывателям и серверам системы, разграничение доступа к функциям администраторов, антивирусная защита и прочее.
Законодательство о биометрических системах
В России государство уделяет значительное внимание вопросам биометрического распознавания. Создана Единая биометрическая система, государственные органы выпускают нормативно-правовые акты по биометрии.
Список законов, касающихся биометрии, на сегодняшний день довольно обширен. Из основных стоит отметить нормативно-правовые документы в области обработки и защиты ПДн (ФЗ-152, приказ ФСТЭК № 21 и др.), документы, определяющие порядок обработки биометрических персональных данных, требования к аккредитации организаций, осуществляющих идентификацию и аутентификацию биометрическими методами, и прочее.
Недавно опубликован Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных».
Перспективы развития биометрических систем
Я считаю, что область применения биометрических технологий будет расширяться. Вся история развития технологий говорит о том, что большее распространение получает та, которая удобнее. Далее уже вокруг этой технологии выстраиваются смежные процессы, обеспечивающие ее использование, прежде всего — процессы безопасности. Удобство биометрии для целей идентификации и аутентификации очевидно — ваш идентификатор всегда с вами.
Пока доверие к биометрии в обществе не очень высоко. Причина этого, на мой взгляд, лежит не в технической области, а в области психологии. Биометрия — относительно новая технология, поэтому люди относятся к ней с подозрением.
Думаю, что для дальнейшего развития и распространения этой технологии люди должны увидеть на практике безопасность ее использования. В случае отсутствия громких масштабных показательных случаев взлома страхи пользователей постепенно уйдут. В конце концов, летать на самолетах теоретически крайне небезопасно. Садясь в авиалайнер, мы рискуем своей жизнью. Но зная, что риск авиакатастрофы, согласно статистике, крайне мал, мы устраиваемся поудобнее в кресле и наслаждаемся полетом.
Автор: Алексей Кузьмин, начальник отдела биометрических технологий и систем аутентификации, «Инфосистемы Джет».
