ЕБС не соответствует требованиям по безопасности

Antifraud Russia 2021 Технологии
А вы сдали биометрию в Единую биометрическую систему?
Да, по своей воле
4.73%
Да, принудили
0.34%
Нет, пока руки не дошли, но планирую
1.35%
Нет и не буду, пока не заставят
87.5%
Пока не определился
6.08%
Проголосовало: 296

Секцию по дипфейкам и атакам на биометрию в рамках конференции Antifraud Russia 2021, после обзора текущего состояния этой проблемы, сделанного Александром Антиповым, главредом портала SecurityLab.ru, я начал именно с вопроса в зал — сколько человек, из порядка сотни участников секции, сдало свою биометрию в ЕБС. Поднялось всего 2 руки! Позже выяснилось, что одна рука принадлежала человеку, которого принудили сдать биометрию на работе, а вторая — представителю компании-разработчика сертифицированных СКЗИ, который сдал биометрию «потому, что это удобно», но он пока ни разу так биометрией нигде и не воспользовался. Эксперты секции (Дмитрий Гадарь, Tinkoff.ru, Александр Горшков, проект DeepFakeChallenge, Владимир Иванов, «Актив», Данила Николаев, ТК098 «Биометрия и биомониторинг» и «Русское биометрическое общество»), включая и меня с Александром Антиповым, тоже никто не сдал биометрию в ЕБС.

Кстати, 2 года назад, когда я также вел на Antifraud Russia секцию по биометрии, число рук было примерно таким же. Ну разве что на секции было больше сотрудников Ростелекома и поэтому они, как операторы ЕБС, поднимали руку (правда, в кулуарах говорили, что их принудили сдать биометрию на работе). И эта картинка повторяется от мероприятия к мероприятию (посмотрим, что покажет опрос выше).

Почему у граждан тотальное недоверие к системе биометрии?

Дело не только в том, что граждане не верят в очередную инициативу государства якобы «для удобства». Все считают, что система будет использоваться для слежки, и не хотят своими руками загонять себя в миры Оруэлла. Государство не готово нести ответственность за утечки, за подмену, за принятие неправильных решений на базе данных из ЕБС. Ростелеком, как оператор ЕБС, прямо об этом пишет у себя на сайте. Третья причина заключается в том, что государство не готово ответить на вопрос: «Что делать, если биометрию все-таки скомпрометируют?» Эксперты, кстати, тоже не смогли дать ответ на этот вопрос, что уже само по себе говорит о многом. Точнее ответы были, но не уверен, что они подходят большинству. Александр Антипов предложил сменить имя, фамилию, дату рождения, пол, расу и т.п. Но часто это не будешь делать. Александр Горшков предложил вообще дистанцироваться от всех этих новых технологий и вообще уехать в деревню.

Трезвый взгляд на биометрию прозвучал из уст Дмитрия Гадаря и Владимира Иванова. Они исходят из того, что биометрия — это не первый и даже не второй фактор аутентификации, а пятый или десятый. Обычная подмена лица или голоса не даст возможности получить какие-либо услуги или продукты. Но тут есть пара нюансов. Немало систем, где биометрия является единственным фактором. Например, у FacePay в московском метро, достаточно просто показать лицо и деньги спишутся со карточного счета. Никаких дополнительных факторов. Второй нюанс связан с тем, что по мнению Дмитрия Гадаря, в банках нельзя получить доступ к услугам, просто скомпрометировав биометрию. Я соглашусь с этим, но… После того, как Банк России вместе с Минцифры договорились, что удаленная идентификация и аутентификация может быть проведена через Госуслуги, число мошенничеств с выданными на мошенников кредитов, оформленных электронных кошельков (член моей семьи с этим столкнулся и я разбирался с этой историей лично) выросло многократно. Пользователи Госуслуг же не всегда включают 2FA и поэтому их логин/пароль легко взломать, а дальше вы обманываете биометрию и все, вы в дамках. Кстати, есть же и другой сценарий — злоумышленник может первым зарегистрировать вашу биометрию удаленно и потом вам придется доказывать, что это не вы мошенник, укравший миллионы. Кстати, проблема цифровых двойников со знаком минус — это будущее, которое наступит очень скоро, но к которому никто пока не готов.

Кстати, о сценариях атак. Вы в курсе, что в России нет ни одной биометрической системы, которая бы прошла все необходимые тесты? Даже ЕБС, которая обвешана сертификатами ФСБ как новогодняя елка, не проходила нужных тестов и поэтому не может считаться защищенной от современных атак. Об этом рассказал Данила Николаев. И снова кстати. Вы в курсе, что в принятых и принимаемых моделях угроз для биометрии, разработанных Банком России и Ростелекомом, угроза дипфейков в принципе не рассмотрена? А как же заявления Ростелекома о высоком уровне безопасности и точности на уровне 99,99%? Так это откровенное лукавство, рассчитанное на неопытных пользователей и не-экспертов, незнакомых с тем, как проходит тестирование биометрии. А я вам расскажу.

Биометрические системы должны проходить три типа тестов:

  • Технологические, в рамках которых сравнивают конкурирующие алгоритмы распознавания лиц на биометрических данных одной группы людей и при использовании единой тестовой базы данных. Результатами именно этих тестов хвалятся разработчики систем биометрии.
  • Сценарные, в рамках которых используют разные базы тестовых данных, распознавание проводится в реальном времени (в технологических тестах — не в реальном времени), тестирование для различных сценариев и т.п. Например, обычный сценарий — работа под давлением. Этот сценарий сегодня не проходит почти ни одна система биометрии, включая и ЕБС. Согласно Даниле Николаеву, этот этап прошла только одна система в России, — система паспортного контроля в Шереметьево.
  • Операционные, в рамках которых тестируется конкретная биометрическая система в реальном времени.

Как можно доверять системе, которая прошла только одну группу тестов из трех?!

А как же сертификат ФСБ? Так он выдан не на биометрию, а на подсистему криптографической защиты информации. То есть сценарии, связанные с подменой данных, взломом базы данных, модификацией алгоритма и т.п. в сертификационные испытания не включаются и их никто не проверяет. Это как в известном анекдоте: «…претензии к пуговицам есть?»

Однако при этом, эксперты секции были не так негативно настроены в отношении ЕБС, что обуславливается на мой взгляд другим анекдотом — про Неуловимого Джо. И действительно. Число сдавших свои данные пользователей очень мало и поэтому мошенникам неинтересно.

Есть исследования, которые показывают, что популярность среди хакеров у какого-либо продукта наступает по достижению им доли рынка в 12%.

ЕБС даже близко не приблизилась к этому значению и поэтому ее неинтересно ломать. А вот когда с ее помощью начнут массово выдавать кредиты, оформлять недвижимость и т.п., тогда ситуация сдвинется с мертвой точки и число взломов будет только расти. Пока же дипфейки, которым и была посвящена секция, больше опасны для социнжиниринга. Представьте, что вашему бухгалтеру звонит генеральный директор и просит перевести срочно деньги на указанные реквизиты? И это, кстати, реальный пример, который был зафиксирован в этом году. Или вашим родителям звоните «вы», ой, не вы, а мошенники, прикрывающиеся вами, и просят перевести срочно деньги, чтобы отмазаться от гашника. Родители узнают вас по голосу и скорее всего переведут деньги. А если в канун Нового года вы увидите на Youtube новогоднее «поздравление» главы государства, который… объявляет о мобилизации или отмене приватизации? Рынки отреагируют мгновенно и кто-то на этом наживется (а кто-то потеряет). Кстати, тоже реальный пример.

Вот такой краткий пересказ того, о чем мы говорили на секции про дипфейки в рамках конференции Antifraud Russia 2021 2-го декабря. И откуда тогда взяться позитиву в отношении ЕБС у граждан? И именно поэтому общий совет относительно ЕБС будет такой — без особой необходимости подключаться к ЕБС и сдавать в нее свою биометрию не стоит!

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Антон

    Для меня лично и некоторых людей из моего окружения на первом месте стоит проблема/вопрос с компрометацией данных, которая дает сто очков форы всем другим проблемам из списка и ответы, которые давали эксперты совершенно не отвечают на поставленный вопрос.
    Иллюзий в отношении организации и обеспечения безопасности данных не питаю, даже если стена за ЕБС будет вся увешана сертификатами, аттестатами, заключениями, грамотами, благодарственными письмами и прочим. Ко всему прочему чаще всего сертификаты (не рассматривая способ получения) это всего лишь состояние «системы» в моменте и даже самые хорошо написанные документы, внедренные современные средства защиты и выстроенные процессы не дают полной гарантии обеспечения безопасности в будущем.
    Соглашусь с утверждениями из статьи, которые можно свести к поговорке «благими намерениями…(далее по тексту)». Понравилось, что в качестве одного из случаев приведена сдача биометрии «потому, что это удобно» и при этом гражданин не воспользовался этим удобством (действительно удобно, еще например, не закрывать машину тоже удобно — сел и поехал).
    Добавлю следующее, этот сервис сделан не для нашего удобства, а для бизнеса и исходя из этого можно сделать вывод, что ставится во главу угла, поэтому для того чтобы проводить дальнейшие обсуждения необходимо получить вразумительный ответ на основной вопрос (выше), до этого все обсуждения выглядят и будут выглядеть как торг.

    Ответить
    1. Алексей Лукацкий автор

      Ну бизнесу, по крайней мере, банкам, эта биометрия в том виде, котором ее навязывает государства, она нафиг не сдалась. Они воют от этой обязаловки, так как не понимают ее смысла и не готовы платить миллионы за внедрение и не готовы брать на себя 100% ответственности, так как Ростелеком ее с себя снимает. Поэтому бизнес тоже не в восторге от идеи.

      Ответить
      1. Сергей

        ЕБС ещё и не бесплатная. Каждая успешная авторизация 5-8 рублей. Есть компании где клиенты авторизуются по 3 000 000 раз в месяц. Отличный бизнес для ЕБС.

        Ответить
        1. Алексей Лукацкий автор

          Интересно, сколько таких компаний? И где расценки можно посмотреть?

          Ответить
          1. Сергей

            МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
            И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

            ПРИКАЗ
            от 19 мая 2021 г. N 474

            ОБ УТВЕРЖДЕНИИ МЕТОДИКИ
            РАСЧЕТА ВЗИМАНИЯ ПЛАТЫ ЗА ИСПОЛЬЗОВАНИЕ ЕДИНОЙ
            ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЕСПЕЧИВАЮЩЕЙ
            ОБРАБОТКУ, ВКЛЮЧАЯ СБОР И ХРАНЕНИЕ БИОМЕТРИЧЕСКИХ
            ПЕРСОНАЛЬНЫХ ДАННЫХ, ИХ ПРОВЕРКУ И ПЕРЕДАЧУ ИНФОРМАЦИИ
            О СТЕПЕНИ ИХ СООТВЕТСТВИЯ ПРЕДСТАВЛЕННЫМ БИОМЕТРИЧЕСКИМ
            ПЕРСОНАЛЬНЫМ ДАННЫМ ФИЗИЧЕСКОГО ЛИЦА

          2. Сергей

            К примеру.
            Число штатных сотрудников «Ленты» составляет 48000 человек. Биометрию они использую(не везде, но если захотят везде). Удачных авторизаций вход\выход допустим 100000 в день. Это пусть 2 000 000 в месяц грубо.

          3. Алексей Лукацкий автор

            Спасибо!

      2. Антон

        Если где-то убыло, значит где-то прибыло, банкам сначала не повезло, но уверен, что многие понимают, кто в итоге за это заплатит. Какому-то бизнесу инициатива пришлась по вкусу, какому-то нет, я к тому, что граждане (клиенты) стоят в сторонке и их проблемой в отношении удобства и доступности получения услуг аргументируют появление подобных систем.
        Объективный или естественный ли это запрос (повышение удобства или доступности) в отношении услуг с использованием ЕБС для меня также вопрос, особенно на фоне потерь граждан в результате всевозможных мошеннических действий, сумм, которые удается гражданам вернуть, закредитованности населения и возможных последствий от повышения интереса к услугам связанным с ЕБС (взял из предпоследнего абзаца статьи). Чем вводить новые каналы и объекты (в целях повышения доступности и удобства) для атак, может разберемся со старыми, а то складывается впечатление, что в у нас все хорошо.
        Касательно мнения банков не удивлен, тоже удобная позиция — ущемленная, которую можно перевести в свою сторону. В части согласований бюджетов (грядущих, текущих или прошедших), вот такого козыря всегда и не хватает.

        Ответить
      3. Сергей

        Алексей подскажите, как так получилось, что при аккредитации по биометрии с 1 января теперь нужно иметь минимум 50 млн рублей, лицензию ФСБ на криптографию со всеми вытекающими требованиями. Откуда требования по защите биометрических данных криптографией? Или же все таки не всем компаниям нужно проходить аккредитацию?

        Ответить
        1. Алексей Лукацкий автор

          Ну это продолжение ЕБСной истории, в которую исторически была вовлечена только ФСБ и вся ИБ биометрии строилась только на требованиях ФСБ по криптографии. А потом, я думаю, возникла мысль, что негоже коммерческим компаниям иметь свою биометрию и надо всех загнать в ЕБС (об этом же и Путин на AI Journey заявил). Эту мысль продвигает ЦБ и ФСБ. Поэтому стали вводить заградительные нормы — отсюда 50/100 миллионов, лицензия ФСБ, сертифицированные СКЗИ и т.п.

          Ответить
          1. Сергей

            Спасибо за комментарий!

  2. Наталья

    Откуда у экспертов сведения о том, что испытания не проводятся? Они работают в ЕБС или имеют доступ к внутренним документам?

    Ответить
  3. Наталья

    Так откуда все таки у экспертов сведения о том, проводились какие либо типы испытаний в ЕБС или нет? Они работают в ЕБС или имеют доступ к внутренним документам?

    Ответить
    1. Алексей Лукацкий автор

      Так этого же никто и не скрывает 🙂 Кроме того, рынок безопасности достаточно узкий и все всё знают. Если это не так и все испытания ЕБС пройдены, то об этом можно и нужно говорить. Но ведь этого нет

      Ответить