ЕБС не соответствует требованиям по безопасности

Секцию по дипфейкам и атакам на биометрию в рамках конференции Antifraud Russia 2021, после обзора текущего состояния этой проблемы, сделанного Александром Антиповым, главредом портала SecurityLab.ru, я начал именно с вопроса в зал — сколько человек, из порядка сотни участников секции, сдало свою биометрию в ЕБС. Поднялось всего 2 руки! Позже выяснилось, что одна рука принадлежала человеку, которого принудили сдать биометрию на работе, а вторая — представителю компании-разработчика сертифицированных СКЗИ, который сдал биометрию «потому, что это удобно», но он пока ни разу так биометрией нигде и не воспользовался. Эксперты секции (Дмитрий Гадарь, Tinkoff.ru, Александр Горшков, проект DeepFakeChallenge, Владимир Иванов, «Актив», Данила Николаев, ТК098 «Биометрия и биомониторинг» и «Русское биометрическое общество»), включая и меня с Александром Антиповым, тоже никто не сдал биометрию в ЕБС.

Кстати, 2 года назад, когда я также вел на Antifraud Russia секцию по биометрии, число рук было примерно таким же. Ну разве что на секции было больше сотрудников Ростелекома и поэтому они, как операторы ЕБС, поднимали руку (правда, в кулуарах говорили, что их принудили сдать биометрию на работе). И эта картинка повторяется от мероприятия к мероприятию (посмотрим, что покажет опрос выше).

Почему у граждан тотальное недоверие к системе биометрии?

Дело не только в том, что граждане не верят в очередную инициативу государства якобы «для удобства». Все считают, что система будет использоваться для слежки, и не хотят своими руками загонять себя в миры Оруэлла. Государство не готово нести ответственность за утечки, за подмену, за принятие неправильных решений на базе данных из ЕБС. Ростелеком, как оператор ЕБС, прямо об этом пишет у себя на сайте. Третья причина заключается в том, что государство не готово ответить на вопрос: «Что делать, если биометрию все-таки скомпрометируют?» Эксперты, кстати, тоже не смогли дать ответ на этот вопрос, что уже само по себе говорит о многом. Точнее ответы были, но не уверен, что они подходят большинству. Александр Антипов предложил сменить имя, фамилию, дату рождения, пол, расу и т.п. Но часто это не будешь делать. Александр Горшков предложил вообще дистанцироваться от всех этих новых технологий и вообще уехать в деревню.

Трезвый взгляд на биометрию прозвучал из уст Дмитрия Гадаря и Владимира Иванова. Они исходят из того, что биометрия — это не первый и даже не второй фактор аутентификации, а пятый или десятый. Обычная подмена лица или голоса не даст возможности получить какие-либо услуги или продукты. Но тут есть пара нюансов. Немало систем, где биометрия является единственным фактором. Например, у FacePay в московском метро, достаточно просто показать лицо и деньги спишутся со карточного счета. Никаких дополнительных факторов. Второй нюанс связан с тем, что по мнению Дмитрия Гадаря, в банках нельзя получить доступ к услугам, просто скомпрометировав биометрию. Я соглашусь с этим, но… После того, как Банк России вместе с Минцифры договорились, что удаленная идентификация и аутентификация может быть проведена через Госуслуги, число мошенничеств с выданными на мошенников кредитов, оформленных электронных кошельков (член моей семьи с этим столкнулся и я разбирался с этой историей лично) выросло многократно. Пользователи Госуслуг же не всегда включают 2FA и поэтому их логин/пароль легко взломать, а дальше вы обманываете биометрию и все, вы в дамках. Кстати, есть же и другой сценарий — злоумышленник может первым зарегистрировать вашу биометрию удаленно и потом вам придется доказывать, что это не вы мошенник, укравший миллионы. Кстати, проблема цифровых двойников со знаком минус — это будущее, которое наступит очень скоро, но к которому никто пока не готов.

Кстати, о сценариях атак. Вы в курсе, что в России нет ни одной биометрической системы, которая бы прошла все необходимые тесты? Даже ЕБС, которая обвешана сертификатами ФСБ как новогодняя елка, не проходила нужных тестов и поэтому не может считаться защищенной от современных атак. Об этом рассказал Данила Николаев. И снова кстати. Вы в курсе, что в принятых и принимаемых моделях угроз для биометрии, разработанных Банком России и Ростелекомом, угроза дипфейков в принципе не рассмотрена? А как же заявления Ростелекома о высоком уровне безопасности и точности на уровне 99,99%? Так это откровенное лукавство, рассчитанное на неопытных пользователей и не-экспертов, незнакомых с тем, как проходит тестирование биометрии. А я вам расскажу.

Биометрические системы должны проходить три типа тестов:

• Технологические, в рамках которых сравнивают конкурирующие алгоритмы распознавания лиц на биометрических данных одной группы людей и при использовании единой тестовой базы данных. Результатами именно этих тестов хвалятся разработчики систем биометрии.
• Сценарные, в рамках которых используют разные базы тестовых данных, распознавание проводится в реальном времени (в технологических тестах — не в реальном времени), тестирование для различных сценариев и т.п. Например, обычный сценарий — работа под давлением. Этот сценарий сегодня не проходит почти ни одна система биометрии, включая и ЕБС. Согласно Даниле Николаеву, этот этап прошла только одна система в России, — система паспортного контроля в Шереметьево.
• Операционные, в рамках которых тестируется конкретная биометрическая система в реальном времени.

Как можно доверять системе, которая прошла только одну группу тестов из трех?!

А как же сертификат ФСБ? Так он выдан не на биометрию, а на подсистему криптографической защиты информации. То есть сценарии, связанные с подменой данных, взломом базы данных, модификацией алгоритма и т.п. в сертификационные испытания не включаются и их никто не проверяет. Это как в известном анекдоте: «…претензии к пуговицам есть?»

Однако при этом, эксперты секции были не так негативно настроены в отношении ЕБС, что обуславливается на мой взгляд другим анекдотом — про Неуловимого Джо. И действительно. Число сдавших свои данные пользователей очень мало и поэтому мошенникам неинтересно.

Есть исследования, которые показывают, что популярность среди хакеров у какого-либо продукта наступает по достижению им доли рынка в 12%.

ЕБС даже близко не приблизилась к этому значению и поэтому ее неинтересно ломать. А вот когда с ее помощью начнут массово выдавать кредиты, оформлять недвижимость и т.п., тогда ситуация сдвинется с мертвой точки и число взломов будет только расти. Пока же дипфейки, которым и была посвящена секция, больше опасны для социнжиниринга. Представьте, что вашему бухгалтеру звонит генеральный директор и просит перевести срочно деньги на указанные реквизиты? И это, кстати, реальный пример, который был зафиксирован в этом году. Или вашим родителям звоните «вы», ой, не вы, а мошенники, прикрывающиеся вами, и просят перевести срочно деньги, чтобы отмазаться от гашника. Родители узнают вас по голосу и скорее всего переведут деньги. А если в канун Нового года вы увидите на Youtube новогоднее «поздравление» главы государства, который… объявляет о мобилизации или отмене приватизации? Рынки отреагируют мгновенно и кто-то на этом наживется (а кто-то потеряет). Кстати, тоже реальный пример.

Вот такой краткий пересказ того, о чем мы говорили на секции про дипфейки в рамках конференции Antifraud Russia 2021 2-го декабря. И откуда тогда взяться позитиву в отношении ЕБС у граждан? И именно поэтому общий совет относительно ЕБС будет такой — без особой необходимости подключаться к ЕБС и сдавать в нее свою биометрию не стоит!

Заметка ЕБС не соответствует требованиям по безопасности была впервые опубликована на Бизнес без опасности.

Категории: Технологии, Угрозы, биометрия