Зачем организациям нужна биометрия, если можно обойтись другими методами аутентификации? Каковы преимущества и недостатки применения биометрии? Как убедить сотрудников в безопасности биометрии, а также минимизировать риски компрометации системы и утечки биометрических идентификаторов?
- Введение
- Какие методы биометрической аутентификации есть на рынке
- Как быть с утечками биометрии
- Сценарии использования биометрической аутентификации
- Зачем бизнесу использовать именно биометрическую аутентификацию
- Как выбрать технологию биометрической аутентификации
- Особенности и сложности при внедрении системы биометрической аутентификации
- Какие меры должны принимать организации для защиты от утечек биометрии
- Прогнозы развития технологии
- Выводы
Введение
Сегодня тема биометрической аутентификации в корпоративной среде обсуждается весьма часто, но при этом её всё равно называют новой, поскольку она только начинает брать разгон. Как следствие, для тех организаций, которые собираются использовать такую систему аутентификации, возникает множество непонятных нюансов, к которым добавляются ещё и различные мифы. Внести ясность в столь важный вопрос решил проект AM Live, пригласивший экспертов разобраться в биометрической аутентификации.
Ранее мы касались темы правового регулирования и практики применения биометрии в России, а также обозревали российский рынок биометрической идентификации и аутентификации. Кроме того, вас может заинтересовать наш недавний разбор систем биометрической идентификации.
В этот раз на эфире AM Live зрителей порадовали своим присутствием следующие специалисты:
- Алексей Кузьмин, начальник отдела биометрических технологий и систем аутентификации, «Инфосистемы Джет».
- Ярослав Голеусов, руководитель технологического консалтинга, «Индид».
- Владимир Иванов, директор по развитию компании «Актив».
- Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры».
Следил за регламентом Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС».
Зачем нужна биометрия
Для начала модератор предложил экспертам определить термины, а также обсудить преимущества и недостатки биометрической аутентификации в корпоративной среде. Первым слово взял представитель компании «Актив» Владимир Иванов, после чего Алексей Кузьмин из «Инфосистем Джет» высказал несколько отличное мнение по ряду вопросов.
Владимир Иванов:
— Для меня биометрия — прежде всего технология идентификации, которая к аутентификации имеет достаточно опосредованное отношение. При этом стоит учитывать, что это — достаточно сложные и дорогие технологии, если они реализованы качественно, поэтому и применять их следует лишь в тех случаях, когда без них тяжело обойтись или когда существуют достаточно высокие риски. Например, в том случае, если нам нужна непрерывная идентификация пользователя: положим, такой пользователь прошёл аутентификацию, а потом поменялся местами с кем-то, кто уже продолжает работу как лицо наделённое соответствующими правами.
Алексей Кузьмин:
— Позволю себе поспорить с тем, что биометрия не может использоваться как фактор аутентификации. Вообще, аутентификация связана не только с компьютерными системами: человек на протяжении всей своей истории должен подтверждать, кто он и что он имеет право на выполнение какой-либо операции. Каждый раз мы используем три фактора: что я знаю, что я имею и чем я являюсь на самом деле. В этом ключе биометрия часто использовалась как единственный фактор аутентификации. Тем не менее сегодня биометрия действительно редко используется в качестве единственного фактора аутентификации, но ей при этом ничто не мешает выступать именно в такой роли.
Ярослав Голеусов:
— С коллегами в целом согласен, но я бы всё-таки использовал термин «верификация», а не «аутентификация». Ведь речь идёт о подтверждении подлинности, а не о сравнении «один ко многим». Также отмечу, что в ближайшее время будут использоваться несколько биометрических факторов, поскольку отдельно ни один из факторов не даёт стопроцентной гарантии распознавания.
Владимир Иванов, дополняя эксперта компании «Индид», указал на ещё один интересный термин: мультимодальная биометрия. Его используют как раз в том случае, когда речь идёт о нескольких биометрических характеристиках. Мультимодальная биометрия направлена на снижение частотности ложного опознавания и т. п.
— Когда мы применяем любые факторы, мы идентифицируем непонятно что: физическую оболочку человека или психическую личность. Последняя отличается наличием разума, памяти, поэтому ограничиваться физическими факторами не совсем правильно: надо идентифицировать психическую личность.
Какие методы биометрической аутентификации есть на рынке
Обсуждая современные биометрические технологии, которые используются в сфере информационной безопасности, специалисты назвали сканирование отпечатка пальца и лица (как 2D, так и 3D) в качестве самых распространённых методов. Помимо этого, вспомнили и про рисунок вен ладони и радужную оболочку глаза. Это — всё, что касается физических характеристик.
Если говорить о поведенческих характеристиках, можно отметить голос, анализ клавиатурного и даже «мышиного» почерка. Любая биометрическая система состоит условно изо двух подсистем: собственно подсистемы распознавания и подсистемы «определения живости». Задача второй — убедиться, что перед ней стоит живой человек, а не муляж или фотография.
Алексей Кузьмин подчеркнул, что заказчику надо быть внимательным при выборе вендора, поскольку некоторые специально акцентируют использование 3D. Важно выяснить, для чего у них 3D — для распознавания или для определения, что система имеет дело с живым человеком. Среди «экзотики» биометрической аутентификации эксперты выделили сканирование геометрии носа, уха.
Как быть с утечками биометрии
Один из зрителей задал участникам дискуссии вполне логичный вопрос: как быть, если биометрия попала в руки третьих лиц, ведь её уже не поменяешь, как тот же пароль. Специалисты признали наличие такого недостатка, который изначально логически заложен в биометрию. В то же время отсутствие накопленной практики не позволяет сделать однозначно негативный прогноз по утечкам. Модератор напомнил, что вся пограничная система, например, построена на биометрии: сверяется фотография в паспорте. Помимо этого, в случае утечки биометрии может помочь замена другого фактора, например криптографического ключа.
К этому моменту Лев Палей озвучил результаты первого опроса зрителей, в ходе которого они отвечали на вопрос «используется ли биометрическая аутентификация в вашей компании». Всего 17 % респондентов заявили, что применяют её для сотрудников, 14 % — для клиентов. Большинство (69 %) не используют эти методы.
Рисунок 1. Используется ли биометрическая аутентификация в вашей компании?
Сценарии использования биометрической аутентификации
Наиболее распространённым примером реализации биометрической аутентификации эксперты назвали СКУД (систему контроля и управления доступом), где используется сканирование отпечатка пальца, рисунка вен ладони и радужной оболочки. Современные смартфоны — ещё один удачный пример реализации.
Ретейл и антитеррор также применяют видеоаналитику для идентификации потенциально опасных субъектов. По таким технологиям Россия пока лишь догоняет США и Китай.
Когда разговор зашёл о самых дешёвых реализациях биометрической идентификации, специалисты в первую очередь отнесли в эту группу сканирование отпечатка пальца, что также является и самой ненадёжной технологией. Узнать пользователя по рисунку вен ладони будет уже дороже, но при этом и защищённость выше. Не забыли и об использовании голоса: такую технологию по дешевизне можно поставить сразу после сканирования отпечатка пальца и лица. При этом с помощью подтверждения голосом можно переводить деньги в банковских приложениях.
Зачем бизнесу использовать именно биометрическую аутентификацию
Как подчеркнули эксперты, в ряде случаев организациям не обойтись без биометрических систем аутентификации. Также стоит отметить, что биометрию можно продать под видом наиболее удобного фактора аутентификации. «Стильно, модно, молодёжно» — бизнесу полезно преподносить биометрическую аутентификацию как что-то статусное и прогрессивное.
Пока участники обсуждали мотивацию бизнеса, подоспели результаты второго опроса: «сдали ли вы свои биометрические данные в государственную Единую биометрическую систему (ЕБС)». Ответили утвердительно 11 % зрителей; не сдавали — 57 %; сдавали, но не в ЕБС — 6 %; не захотели никому выдавать свою биометрию 26 % участников опроса.
Рисунок 2. Сдали ли вы свои биометрические данные в государственную Единую биометрическую систему (ЕБС)?
Как выбрать технологию биометрической аутентификации
Выбор биометрической системы подразумевает выбор программно-аппаратного комплекса: оборудования и софта. Чтобы заказчику было проще определиться, какому именно ПАК отдать предпочтение, эксперты предложили несколько рекомендаций. Во-первых, важно подчеркнуть главное достоинство биометрической системы — удобство. Ещё важнее не испортить это удобство и максимально упростить применение системы для пользователя.
Во-вторых, стоит обратить внимание на недостатки биометрии. Банальный пример: вы порезали палец, и система вас теперь не пустит через сканирование отпечатка. В этом случае предпочтение всегда нужно отдавать той реализации, которая учитывает не только один палец при аутентификации.
Что касается программной части, то заказчики часто «зацикливаются» на алгоритме распознавания. Тем не менее не стоит полагаться исключительно на рейтинги таких алгоритмов, поскольку отличия между первым и десятым местом будут видны только в лабораторных условиях. Поэтому обратите внимание на дополнительную функциональность и прикладные задачи, которые выполняет приложение: позволяет ли решение осуществлять непрерывную аутентификацию, есть ли интеграция с другими решениями, как осуществляется ролевой доступ.
Когда стоит вопрос об использовании биометрической идентификации, нужно оценивать возможность применения той или иной технологии в конкретных условиях, подчеркнул Владимир Иванов. Необходимо «пилотирование» на протяжении какого-то времени, чтобы заказчик понял, с чем ему придётся иметь дело. Если важно время отклика, но неважна точность, надо смотреть на первый параметр.
Особенности и сложности при внедрении системы биометрической аутентификации
Участники AM Live согласились с тем, что сегодня к биометрии существует рациональное недоверие, которое объективно тяжело преодолеть. Но тем не менее, повышая осведомлённость сотрудников, можно постепенно убедить их в преимуществах биометрических систем аутентификации. Для этого надо в первую очередь говорить об интересах пользователя, о том, что именно он выиграет от использования такого подхода.
Как точно подметил Владимир Иванов, неизвестность пугает. Именно поэтому тратятся колоссальные ресурсы, чтобы объяснить народу, что биометрия — это хорошо и безопасно. Алексей Кузьмин со своей стороны дополнил коллег цифрами: по результатам всероссийского исследования «Инфосистем Джет», в ходе которого аналитики спрашивали у работников, готовы ли те подписать согласие на обработку персональных данных, около 35 % респондентов оказались категорически против биометрии. Но тем менее ещё треть из этих 35 % готовы при определённых условиях подписать такое согласие, если, например, биометрия будет использоваться в качестве единственного фактора аутентификации или если компания будет вести образовательную деятельность по теме биометрии. По словам Кузьмина, только 15 % опрошенных боятся слежки с использованием биометрических данных.
После такой статистики Лев Палей озвучил результаты третьего опроса — «если в вашей компании необходимо будет сдавать биометрические данные, будете ли вы это делать». 20 % согласились сдать биометрию, 76 % отказались бы по возможности и 4 % готовы даже пойти на увольнение, лишь бы не сдавать эти данные.
Рисунок 3. Если в вашей компании необходимо будет сдавать биометрические данные, будете ли вы это делать?
На этом этапе к беседе присоединился признанный и уважаемый эксперт Михаил Емельянников. Михаил Юрьевич обозначил свою позицию по поводу использования биометрических систем аутентификации:
— Я считаю, что рано и опасно всеми возможными способами навязывать использование биометрической идентификации. А ведь стремительное внедрение этих методов идёт с 2018 года. Обратите внимание, что начиналось это всё легко и просто — с некой системы, облегчающей доступ к банковским продуктам, потом эта система неожиданно стала государственной. Далее в ЕБС появились возможности, которые по факту не нужны для реализации функций заложенных статьёй 14.1 закона «Об информации, информационных технологиях и о защите информации», а в прошлом году государство объявило, что вся биометрическая идентификация (независимо от того, кем она используется) уходит под чёткий контроль властей. ФСБ и ФСТЭК России получили полномочия проверять состав организационных и технических мер по защите персональных данных в биометрических системах любых организаций. При этом мы используем идентификацию по лицу и голосу — самые ненадёжные с точки зрения безопасности способы. Прекрасно понимаю людей, которые говорят, что «пальчики» и голос они сдадут для использования в системах биометрической идентификации только в том случае, если на них наденут наручники. Ведь можно представить, для чего это делается.
Комментируя результаты второго опроса, Емельянников подчеркнул, что не сдавал данные в ЕБС и не собирается этого делать. При этом эксперт признался, что использует сканер отпечатка пальца в смартфоне, который уже оправдал себя и помог заблокировать утерянный телефон, а впоследствии — и вернуть его. Михаил Юрьевич считает, что биометрия нужна человеку только в одном случае — если он получает от её применения реальную пользу.
Результаты четвёртого опроса — «доверяете ли вы биометрическим методам идентификации» — показали следующую картину: 20 % полностью доверяют, 38 % доверяют, но только в рамках многофакторной аутентификации, у 33 % биометрия не вызывает доверия и 9 % считают её вредной.
Рисунок 4. Доверяете ли вы биометрическим методам идентификации?
Какие меры должны принимать организации для защиты от утечек биометрии
Эксперты напомнили, что в России действуют соответствующие приказы ФСТЭК России, в которых прописаны все меры, которые необходимо принимать для защиты персональных данных. Что касается технических вопросов, нужно уходить от централизованной обработки и перемещать хранение биометрических образцов на конечные точки, оснащённые доверенными аппаратными устройствами.
Здесь Лев Палей озвучил результаты пятого опроса. Люди отвечали на вопрос «какой из сценариев применения биометрии выглядит для вас наиболее привлекательным». Ни один из сценариев не интересует 16 % респондентов; вариант «в качестве фактора аутентификации» выбрали 45 %, контроль аномального поведения пользователя привлекателен для 10 %, а ещё 8 % остановились на подтверждении авторства выполнения операции.
Рисунок 5. Какой из сценариев применения биометрии выглядит для вас наиболее привлекательным?
Прогнозы развития технологии
В перспективе трёх–пяти лет, учитывая безудержный энтузиазм на рынке биометрической идентификации, её реализуют повсеместно, считают эксперты: на уроках в школах, на рабочих местах, в самых разных сферах. Владимир Иванов отметил, что на данный момент прогноз будет похож на «киберпанковскую антиутопию».
Михаил Емельянников видит на горизонте и другую опасность — цифровой профиль. Всё идёт к тому, считает специалист, что в ближайшем будущем у каждого гражданина России появится цифровой профиль. Над этим уже сейчас работают Минцифры и ряд других государственных органов. Биометрическая идентификация уйдёт в сторону определения человека по внешним признакам: походка, силуэт, манера работать, двигаться и использовать, например, клавиатуру. По мнению Михаила Юрьевича, всё это позволит вполне точно идентифицировать любого человека.
Алексей Кузьмин прогнозирует, что в ближайшие годы доля биометрии в системах аутентификации увеличится, поскольку пока это — всё же самый удобный способ. Ярослав Голеусов озвучил более позитивную позицию: в течение ближайших пяти лет шумиха вокруг биометрии будет расти, а потом произойдут естественный откат интереса и «охлаждение» к теме.
В завершение эфира Лев Палей привёл статистику по ответам на заключительный вопрос, который звучал следующим образом: «каково ваше мнение относительно биометрии после эфира». Убедились, что за этой технологией будущее, всего 8 % опрошенных; заинтересовались и готовы тестировать биометрию 4 %; интересной, но лишней эту тему сочли 50 %; 38 % заявили, что участники не смогли доказать необходимость внедрения биометрической системы аутентификации.
Рисунок 6. Каково ваше мнение относительно биометрии после эфира?
Выводы
Насколько мы видим из беседы уважаемых специалистов, даже у них есть сомнения в необходимости навязывать применение биометрической идентификации и аутентификации. Под занавес модератор даже подчеркнул, что у участников не было цели убедить зрителей и заказчиков в пользе биометрии.
Что касается прогноза Владимира Иванова и Михаила Емельянникова, которые делали упор на повсеместном внедрении систем биометрической идентификации, то эта динамика будет видна уже в ближайшие несколько лет. В одном эксперты сошлись: биометрия — это удобно, а вокруг самого удобного метода, как правило, выстраивается весь интерес, даже если она — не такая защищённая, как её более сложные альтернативы.
Проект AM Live продолжит держать руку на пульсе актуальных тенденций российской индустрии информационной безопасности. Впереди новые встречи с экспертами в прямом эфире. Чтобы не остаться в информационном вакууме и иметь возможность задать вопросы нашим спикерам, не забудьте подписаться наYouTube-канал Anti-Malware.ru. До встречи в эфире!