В ходе Международного банковского форума Наталья<br />
Касперская, председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт», президент InfoWatch, заявила об опасности использования биометрии в рамках ныне существующих моделей, в которых присутствуют потенциальные дыры в требованиях к безопасности и фактические возможности гарантированного риска утечки биометрических данных.<br />
Почему же возникают такого рода опасения? Чем обусловлены возникающие риски? Свои ответы на эти вопросы предлагают Данила Николаев, директор некоммерческого партнерства «Русское биометрическое общество», председатель ТК 098 «Биометрия и биомониторинг», и его заместитель Василий Мамаев.
В России биометрические технологии развиваются своим и весьма «интересным» путем. К сожалению, в этом случае мы зачастую забываем народную пословицу, которая особенно актуальна при внедрении любых новых технологий: «Семь раз отмерь — один раз отрежь», а применительно к биометрии: «Семь раз испытай — один раз внедри». А забывая это простое правило о необходимости проведения независимых и корректных испытаний, мы сталкиваемся с оправданным недоверием общества к технологии в целом.
Следует напомнить, что в биометрической отрасли существует три вида испытаний: технологические, сценарные и оперативные.
У каждого вида испытаний свое назначение [требования к проведению технологических, сценарных и оперативных испытаний установлены в следующих национальных стандартах: ГОСТ Р ИСО/МЭК 19795–1–2007, ГОСТ Р 58292–2018 (ИСО/МЭК 19795–2:2007) и ГОСТ Р 58624.3–2019]:
- технологические испытания предназначены для проведения испытаний алгоритмов распознавания и алгоритмов обнаружения атак на биометрическое предъявление и проверки гипотезы о работоспособности технологии для необходимого сценария;
- сценарные испытания предназначены для проведения испытаний макетов биометрических систем, в том числе с подсистемой обнаружения атак на биометрическое предъявление в планируемом сценарии использования;
- оперативные испытания предназначены для проведения испытаний действующих биометрических систем также и с подсистемой обнаружения атак на биометрическое предъявление для подтверждения требуемых эксплуатационных характеристик.
Семь критических ошибок при испытаниях
При испытании происходит выявление критических ошибок для каждого сценария работы с биометрическими данными. Основной целью технологических испытаний является проверка гипотезы о работоспособности технологии для необходимого сценария. Поэтому первой критической ошибкой, которую допускают клиенты при внедрении, является использование для принятия решения результатов открытых тестирований/испытаний, не учитывающих локальную специфику и реализуемый сценарий применения биометрии.
Второй критической ошибкой является использование результатов технологических испытаний вместо сценарных испытаний для принятия решения о внедрении технологии в промышленную эксплуатацию.
Третьей критической ошибкой, которая касается всех видов испытаний (технологических, сценарных и оперативных), является неучастие в испытаниях «подлинных лиц» или «самозванцев», имитирующих потенциальных злоумышленников со всеми возможными инструментами атак, характерными для используемого сценария. При этом самозванцы должны быть как активными (т. е. пытающиеся нарушить политику биометрической системы), так и пассивными (которые не предпринимают никаких действий для нарушения политики биометрической системы).
Четвертой критической ошибкой, которую допускают при внедрении коммерческих биометрических систем, является использование испытуемой группы меньшего размера (это характеризуется «ступеньками» на кривой компромиссного определения ошибки).
Пятой критической ошибкой является преднамеренное уменьшение числа независимых инструментов атак при проведении всех видов испытаний из-за нехватки финансирования или сроков сдачи проекта. Например, в биометрической системе предполагается использование двух подсистем обнаружения атак на биометрическое предъявление: одна подсистема для одной модальности, вторая — для другой модальности, но испытания проходит только одна подсистема обнаружения атак на биометрическое предъявление для одной модальности. Также не учитываются атаки, связанные с принуждением человека к выполнению действий, например, находящегося в состоянии алкогольного опьянения или седации.
Шестой критической ошибкой является неполная реализация всех сценариев при испытании, в котором будет применяться биометрия. Например, предполагается, что биометрическая система будет работать в любых условиях, но сбор испытуемой группы и создание базы данных для проведения технологических испытаний или проведение самих сценарных испытаний происходит в помещении с хорошим освещением и без внешнего шума, т. е. в идеальных условиях.
Седьмой критической ошибкой является вольная трактовка национальных стандартов в области испытаний биометрических технологий.
Пример результатов испытаний коммерческих биометрических технологий с недостаточным размером базы данных (т. е. не гарантирующим качество работы алгоритмов/системы и недостаточным для принятия решений) для проведения испытаний/испытуемой группы представлен на рис. 1 (а). В свою очередь, пример результатов испытаний коммерческих биометрических технологий с достаточным размером базы данных для проведения испытаний/испытуемой группы представлен на рис. 1 (б).
Все вышеприведенные ошибки приводят к возникновению возможных негативных воздействий как на человека, так и на организацию и государство в целом. А отсутствие результатов испытаний как технологических, так и сценарных в открытом доступе не добавляет доверия у общества.
Влияние ошибок на уровень доверия
Международное сообщество, понимая все риски от некорректного внедрения биометрических технологий, утвердило требования для проведения сценарных испытаний биометрических систем верификации и возможные влияния ошибок распознавания на каждый уровень доверия (см. таб. 1). Уровни доверия установлены в международном стандарте ISO/IEC 19989–2 «Information security. Criteria and methodology for security evaluation of biometric systems. Part 2. Biometric recognition performance».
Но, к большому сожалению, в нормативном регулировании на национальном уровне (приказ Минцифры от 10.09.2021 № 930), устанавливаются значения, которые соответствуют только низкому (для голоса) и среднему уровню доверия (для лица). И необходимость проведения сценарных испытаний игнорируется, поскольку разработчики считают достаточным проведение только технологических испытаний. При этом в отношении такого рода биометрических решений должны проводиться реальные сценарные испытания, как это делается в других отраслях промышленности (например, натурные испытания в автомобилестроении и авиастроении), для сертификации новых типов изделий и обеспечения безопасности граждан. Ознакомиться со сводкой отзывов и с позицией разработчика можно на официальном сайте.
При этом гарантировать безопасность и возмещение не сможет, к большому сожалению, и постановление Правительства Российской Федерации от 20.10.2021 № 1799 «Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц», если случится ошибка.
Для наглядности приведем лишь пару примеров.
Пример 1. Средняя стоимость 3-комнатной квартиры в Москве составляет 20–25 млн рублей. Если злоумышленнику удалось найти уязвимость системы и ею воспользоваться (переписать квартиру на себя), то начиная с третьего пострадавшего аккредитованная компания не сможет гарантировать возмещения убытков, т. к. минимальный порог финансового обеспечения за убытки (для аккредитации) составляет всего 50 млн рублей.
Пример 2. Удаленно в банке можно получить кредит до 5 млн рублей. Если злоумышленнику удалось найти уязвимость системы и ею воспользоваться (взять кредит на другого человека), то начиная с 11-го пострадавшего аккредитованная компания не сможет гарантировать возмещения причиненных убытков, т. к. минимальный порог финансового обеспечения за убытки (для аккредитации) составляет всего 50 млн руб лей.
Наглядный пример потери финансовых ресурсов и проведения атаки на биометрическое предъявление — покупка девочкой 13 покемонов на 250 долл. США с помощью мобильного устройства и подтверждения операции отпечатком пальца спящей мамы.
Наглядный пример вреда, причиненного как минимум деловой репутации — ошибочное задержание режиссера и сценариста в подмосковном Одинцово, т. к. система распознавания определила 70 процентов совпадения с подозреваемым. Аналогичные примеры были и за рубежом. Так, с мая 2017 г. по март 2018 г. система распознавания выдала для полиции Южного Уэльса 2685 совпадений людей с базой данных подозреваемых, однако 2451 из них оказались ложными. Более 2 тыс. болельщиков, присутствовавших на финале Лиги чемпионов УЕФА 2017 в Кардиффе, были ошибочно идентифицированы как подозреваемые вследствие низкого качества изображений в базе данных.
Еще один наглядный пример потери финансовых ресурсов и вреда, причиненного деловой репутации, — система распознавания, развернутая правительством КНР для идентификации пешеходов, использующая распознавание лиц в режиме реального времени, ошибочно определила знаменитость по фото на проходящем автобусе как нарушителя, переходящего пешеходный переход на красный сигнал светофора.
P.S.
Взломать или обмануть можно любую биометрическую систему, но когда устанавливаемые эксплуатационные характеристики на государственном уровне соответствуют минимальному и среднему уровню доверия, не проводятся сценарные испытания внедряемых биометрических систем, а требования по их проведению считаются избыточными, игнорируются требования национальных и международных стандартов, то взломать/обмануть биометрическую систему становится все проще, и это может быть посильно буквально каждому студенту соответствующего вуза в домашних условиях.
Фото: Plusworld