Контакты
Подписка 2024

Авторизация в платежных системах: проблемы безопасности, которые предстоит решить

Федор Музалевский, 21/04/22

Власти России уже несколько лет занимаются созданием и развитием систем авторизации по биометрическим признакам для упрощения процессов взаимодействия с гражданами при обработке документов. Были предприняты разные важные шаги в данном направлении, о которых я расскажу далее.

Автор: Федор Музалевский, директор технического департамента RTM Group

Для начала обратим внимание на проблемы информационной безопасности, которые предстоит решить. Первым важным этапом в сфере автоматизации по биометрическим данным стало создание в 2010 г. Единой системы идентификации и аутентификации (ЕСИА). Ее разрабатывали для упорядочивания и централизации процессов идентификации, аутентификации и авторизации при предоставлении государственных и муниципальных услуг в электронной форме. Результат мы можем видеть, в частности, на платформе "Госуслуги", при помощи которой граждане России запрашивают и получают различные сервисы, не покидая собственной квартиры: подают заявление на новый паспорт, записываются на вакцинацию, узнают график работы районных отделений и т.д. Первоначальный функционал был ограничен, но система развивается и по сей день.

Следующим важным шагом в этом направлении стало начало работы Банка России и компании "Ростелеком" в 2017 г. над Единой биометрической системой (ЕБС). Ее возможности позволяют дистанционно получать банковские услуги, но функционирует она в тесной взаимосвязи с ЕСИА.

Через год после запуска ЕБС к ней планировали присоединиться более 400 банков, но появился ряд проблем, замедливших данный процесс. Однако пандемия и возникший спрос на удаленное предоставление финансовых услуг придали ему значительное ускорение. Если до 2020 г. случаи открытия счетов с помощью удаленной идентификации были единичными, то сегодня таким способом ежемесячно открывается уже около 40–50 счетов.

Минцифры России в середине осени 2021 г. подписало приказ No 930, в котором был обозначен порядок сбора биометрических данных, а также определены правила их обработки и хранения. Кроме того, в этот документ включили требования к информационным системам, взаимодействующим с биометрическими данными.

В конце 2021 г. был принят закон о внесении изменений в 149-ФЗ "Об информации, информационных технологиях и о защите информации", согласно которому ЕБС получила статус Государственной информационной системы (далее – ГИС). Теперь граждане могут самостоятельно размещать свои персональные биометрические данные на платформе, возможности которой будут значительно расширены. Важно не забывать, что с каждым новым шагом в данном направлении появляются и новые угрозы безопасности. Необходимо принимать их во внимание, чтобы система приносила только пользу, не причиняя вреда.

Возможности применения ЕБС

В России для идентификации граждан по биометрическим данным используются голос и изображение лица. С помощью специальных устройств эти данные записываются в базу и преобразуются в цифровой код. Далее при прохождении процедуры идентификации система сравнивает код, полученный в настоящий момент, с кодом, записанным ранее. Если они совпадают, то происходит подтверждение личности. Все данные хранятся в зашифрованном виде.

Изначально ЕБС предназначалась для осуществления ряда банковских операций, включая открытие счета, оформление кредита и т.д. Постепенно варианты использования расширились, среди них уже есть такие возможности, как заключение различных договоров, поступление в вузы и оказание нотариальных услуг. Важным шагом стало включение в перечень услуг оплаты товаров и услуг в онлайн- и офлайн-магазинах при помощи биометрии.

Например, в сети магазинов "Перекресток" весной 2021 г. появилась возможность оплаты покупок "взглядом". СберБанк совместно с компанией X5 Retail Group и платежной системой Visa запустили этот функционал на кассах самообслуживания. Эта технология работает на основе собственной базы биометрических данных Сбербанка. Для использования этой системы клиентам, которые ранее сдали свои биометрические данные, необходимо посмотреть в камеру на кассе самообслуживания, и оплата будет произведена.

В Московском метрополитене в середине октября 2021 г. была запущена система оплаты проезда при помощи распознавания лица Face Pay. Система охватила более 240 станций метро. Чтобы воспользоваться данной технологией, пользователям необходимо "привязать" свою фотографию в анфас, сделанную при хорошем освещении, а также банковскую карту и проездной "Тройка" в приложении "Метро Москвы". В метро пассажирам необходимо проходить через специально обозначенные турникеты на станциях. Достаточно лишь одного взгляда в камеру, расположенную у турникета, и оплата за поездку спишется автоматически.

Безопасность при использовании биометрии

Безопасное использование биометрии беспокоит не только потребителей финансовых услуг, но и представителей банковского сегмента. В отличие от других методов удаленной идентификации биометрия представляет собой некий уникальный "ключ", который пользователь не может потерять, а мошеннику крайне сложно его подделать. Нужно сказать, что сегодня платформа весьма неплохо защищена.

ЕБС распознает данные с точностью до 10-7 – это значит, что система может ошибочно идентифицировать только одного человека на 10 млн. Использование дополнительной связки со стандартными средствами идентификации, с логином и паролем ЕСИА делает практически невозможной вероятность обмана биометрических алгоритмов.

Сегодня, помимо голоса, для идентификации используются фотографии лица. Биометрические данные пользователей хранятся в системе в виде зашифрованных ключей, которые невозможно расшифровать в исходную фотографию, что обеспечивает безопасное использование системы.

Но здесь есть ряд проблем, с которыми придется столкнуться, как только будет запущена оплата по био-признакам. Пока совершенно непонятно, как противостоять волне дипфейков (подделок аудио и видео), которая непременно возникнет, как только будет запущена в массовом режиме оплата с авторизацией по голосу и фото. Простая ситуация: смоделировав запись голоса жертвы, мошенники звонят в банк и просят оформить кредит. Затем посредством различных манипуляций переводят средства с кредитного счета жертвы на свой счет.

Конечно, алгоритмы распознавания фейковых записей могут помочь, но выбор средств пока не очень широк и представлен сертифицированными инструментами ФСБ. Однако когда мошенники вплотную займутся этой темой, если не предпринять серьезных мер, победа будет за ними.

Поэтому всем, кто захочет использовать сервисы биометрии, необходимо сразу проявлять бдительность: не переводить большие суммы и ограничивать верхнюю планку сумм для единовременного перевода; постоянно следить за тем, не возникают ли новые способы обмана граждан, чтобы не только самим быть во всеоружии перед киберпреступниками, но и готовить к этому близких.

В середине декабря 2021 г. Центральный Банк РФ опубликовал указание No 6017-У [1], в котором отражен перечень угроз безопасности информации, циркулирующей в процессе взаимодействия финансовых организаций с ЕБС. Данный документ показывает вектор развития государственного комплекса мер защиты биометрии, который должны выстроить компании, подпадающие под действие данного документа.

Пользователям нужно заботиться об актуальности биометрических данных. Рекомендуется пересдавать их не реже одного раза в три года. В случае если пользователь перенес травму или хирургическое вмешательство, изменившее его внешность, необходимо сделать это досрочно.

Для обеспечения безопасности стоит обратить внимание на то, в каких условиях происходит сдача биометрических данных. Важными пунктами с этой точки зрения являются участок сбора и участок передачи в ЕСИА.

На участке сбора биометрии необходимо:

  • удостовериться, что помещение защищено от прослушки и записи (неправомерного сбора звуковой информации), которую можно будет применить для прохождения авторизации по голосу;
  • убедиться, что сбор биометрии происходит в отдельном помещении, где осуществляется контроль физического доступа во избежание проникновения посторонних лиц;
  • со стороны организации – реализовать систему контроля логического доступа для ее сотрудников, которые осуществляют сбор биометрии, а также обеспечить применение средств защиты информации, включая антивирусные средства, на устройствах, с помощью которых собирается биометрия;
  • и важно, чтобы на местах периодически проводились мероприятия по контролю применяемых мер защиты биометрии.

На участке передачи биометрии в ЕСИА необходимо:

  • реализовать контроль неизменности собранной и направляемой в ЕСИА информации;
  • обеспечить построение защищенного соединения при передаче по сети "Интернет".

Дальнейшие перспективы развития и новые вызовы ИБ

Согласно исследованиям консалтинговой компании J’son & Partners Consulting, объем мирового рынка биометрических услуг к концу 2022 г. увеличится более чем на $40 млрд. В России уже сейчас он оценивается более чем в $250 млн. По мнению специалистов, применение биометрии во всем мире будет становиться все более массовым и всеобъемлющим. Особенно это затронет сегмент лицевой биометрии.

В этот сектор приходят большие инвестиции, значит, здесь появится все больше сервисов и решений. И конечно, сюда активно пойдут киберпреступники, от которых в ближайшее время стоит ожидать появления новых схем мошенничества.

Одна из самых мощных опасностей, которая может заявить о себе уже в этом году, – это кража цифровой личности. Благодаря тому, что сегодня в государственной системе уже есть множество данных о миллионах людей, скоро можно будет объединять их в виртуальные профили. Единая система авторизации госуслуг уже сейчас позволяет проявлять активность, не выходя на улицу. Но когда к ней подключатся и другие платформы, в которых больше данных (биометрических, финансовых, кредитных и т.д.), цифровыми профилями станет гораздо активнее интересоваться киберпреступный мир.

Что значит украсть цифровую личность? Это значит завладеть всеми ее основными элементами, включая данные об адресе, паспорте, семейном положении, кредитах, СНИЛС, фото, цифровой подписи. К краже личности преступники будут подходить многоступенчато. Здесь и покупка персональных данных в базах Интернета, и дипфейки, и случайно переданный пароль. От имени чужой личности можно делать много чего: не только голосовать на выборах и авторизовываться в корпоративных системах, но и совершать подозрительные сделки, банковские переводы, а также противоправные действия. Уже сейчас преступники пользуются отдельными устройствами, включая их в бот-сеть для DDoS-атак, а хозяева и не знают об этом. Или пользуются данными некоторых ИП в качестве дропов. Ну а теперь мошенники перейдут на новый уровень и станут совершать преступления от имени чужих цифровых личностей. Доказать свою непричастность к преступлениям "оригинальным" владельцам будет очень непросто. Бороться с такими киберпреступниками возможно только масштабно, на уровне государства. Однако готовиться к этому надо уже сейчас. Ведь в ближайшем обозримом будущем биометрия будет свободно применяться во всех сферах человеческой жизнедеятельности и станет незаметным для потребителя практичным повседневным явлением.


Темы:БиометрияЖурнал "Информационная безопасность" №1, 2022

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Проблемы использования биометрии в качестве фактора аутентификации
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Старо, как мир бесконечно нарушаемое правило – не регистрировать в разных ресурсах один и тот же пароль. Однако, когда в разных ресурсах регистрируется одно и то же лицо (в прямом физическом смысле), ситуация даже хуже, ведь пароль в случае компрометации поменять существенно легче, чем лицо.
  • Рефлекторная биометрия для цифрового общества: первый шаг сделан
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    Всех, кто захочет нам помочь преодолеть этот тернистый путь, приглашаем присоединиться, будем рады
  • Удаленная идентификация/аутентификация с использованием биометрии
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    Мир внезапно изменился – и все прежние наработки в области технической защиты информации резко, более чем наполовину, потеряли свою актуальность. Корпоративные системы, конечно, остались, но появились новые, открытые компьютерные системы цифровой экономики. И они немедленно стали важнейшими, а методов защиты их нет. “Здесь и сейчас” – вот лозунг цифровой экономики. Но как понять, где и когда, если на пути к этому стоит полное отсутствие методов идентификации в открытой среде? А ведь нужно знать, кому мы оказываем услугу. Как применять криптографию, если пользовательские устройства недоверенные? На какую нормативную базу опираться, если для открытых систем ее нет совсем?
  • Плюсы и минусы биометрической идентификации
    Анатолий Скородумов, Независимый эксперт, экс-начальник Управления по обеспечению информационной безопасности ПАО "Банк Санкт-Петербург"
    Анатолий Скородумов, заместитель директора, начальник отдела информационной безопасности (CISO), Банк “Санкт-Петербург” , о нарастающей роли биометрической аутентификации в жизни людей.
  • Атаки на биометрические системы
    Григорий Маршалко, Эксперт ТК 26, эксперт ISO / IEC JTC1 / SC 27
    Если перед вами стоит задача доказать, что вы именно тот, за кого себя выдаете, если вы хотите, чтобы доступ к какой-либо информации или системе управления имели только вы, то для этой цели представляется удобным использовать биометрические технологии. Но являются ли биометрические системы надежными и безопасными?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать