Безопасность биометрии: буква закона для доверия пользователей

Рынок биометрии – один из самых динамично развивающихся: среднегодовой рост в мире в 2018–2022 гг., по оценкам Json&Partners, составляет 18,2%, в России еще выше – 25,6%. Это означает, что по сравнению с 2018 г. в 2022 г. объем внедрений биометрии в России вырастет на 249%. Активное использование "чувствительных" биометрических данных серьезно повышает интерес хакеров к таким системам. На примере национальной Единой биометрической системы мы рассмотрим вопросы защиты данных и соблюдения норм законодательства.

При разработке биометрических решений подход к идентификации и аутентификации может базироваться на разных принципах:

• "я знаю" (логин, пароль, ПИН-коды, параметры действия и т.д.);
• "я имею" (удостоверение личности, пропуск, смарт-карта, USB-токены, устройства);
• "я являюсь" (биометрия).

Наибольший уровень безопасности системы идентификации/аутентификации достигается на их пересечении. Если использовать только логин и пароль, то их довольно легко украсть, но, если их нужно подтвердить каким-либо USB-токеном, безопасность становится гораздо выше. То же самое с биометрией: полагаться только на нее можно лишь в определенных кейсах. Главное – разработать правильную модель угроз и понять, достаточно ли использования только одной технологии. Для доверенной системы, в рамках которой планируется проводить высокорискованные операции (в том числе для граждан всей страны), нужно работать на пересечении трех указанных принципов.

Обеспечение требований ИБ

При работе с биометрией основные требования к обеспечению ИБ включают в себя:

• использование средств защиты информации в соответствии с требованиями ФСБ России и ФСТЭК России;
• создание защищенного хранилища биометрических образцов и шаблонов с учетом требований по классу ИБ (шифрование и контроль целостности образцов криптографическими средствами по классу КВ2);
• обеспечение физической защиты помещений, в которых расположены информационные системы, работающие с биометрией;
• использование сертифицированных средств криптографической защиты каналов связи;

При использовании Единой биометрической системы в кредитных учреждениях:

• использование внутри банка для взаимодействия сервисов каналов связи с уровнем защиты КС3;
• расположение систем, занимающихся обработкой биометрии в защищенном контуре, по требованиям ИБ по 2-му уровню защиты информации (для системно значимых банков – 1-й уровень) в соответствии с ГОСТ Р 57580.1–2017.;
• использование при взаимодействии со СМЭВ электронной подписи с использованием сертифицированного по классу КВ2 HSM.

А к самому минимуму законодательных актов можно отнести:

1. ФЗ № 152-ФЗ от 27.07.2006 г. "О персональных данных".
2. Постановление Правительства РФ № 1119 от 01.11.2012 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
3. Приказ ФСТЭК от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
4. Приказ ФСБ России от 10.07.2014 г. № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
5. ГОСТ Р 57580.1–2017. "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".

Единая биометрическая система предоставляет гражданам Российской Федерации возможность удобно и безопасно пользоваться государственными и коммерческими услугами. С помощью Единой биометрической системы можно открывать счета, вклады и получать кредиты в удобное время, не привязываясь к банку, который ближе к дому. Банк узнает клиента в лицо – предъявлять паспорт больше не нужно. На сегодняшний день к системе подключены 236 банков и 13,5 тыс. отделений из 1048 городов.

Кроме того, в разработке решений для финансовой отрасли необходимо также учитывать документы Банка России:

1. Методические рекомендации № 4 МР от 14.02.2019 г. "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации".
2. Указание банка России № 4859-У/01/01782-18 от 09.07.2018 г. "О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия".

К сожалению, зачастую бизнес, даже на уровне крупных организаций, нарушает данные требования, обосновывая такое решение принятием возможных рисков.

Время прохода в стандартной СКУД и в СКУД с биометрической идентификацией

Чем опасен такой подход? Во-первых, когда организация, а тем более крупный игрок, нарушает требования, возникает вопрос к качеству работы и безопасности системы в целом. Во-вторых, если происходит утечка биометрических данных даже у одного игрока, то дискредитируется весь рынок биометрии в глазах граждан Российской Федерации. Обязательность выполнения законодательства даже не обсуждается.

В рамках работы над Единой биометрической системой постоянно проводится анализ защищенности (так называемые тесты на проникновение), аттестация, сертификация. Количество проверок очень велико, отчеты отправляются во все необходимые государственные службы, а система при этом исправно функционирует. Важно обратить внимание бизнеса на то, что принимать риски – понятный рыночный подход, но выполнять требования ИБ необходимо.

Национальная платформа

Единая биометрическая система предоставляет гражданам Российской Федерации возможность удобно и безопасно пользоваться государственными и коммерческими услугами. С помощью Единой биометрической системы можно открывать счета, вклады и получать кредиты в удобное время, не привязываясь к банку, который ближе к дому. Банк узнает клиента в лицо – предъявлять паспорт больше не нужно. На сегодняшний день к системе подключены 236 банков и 13,5 тыс. отделений из 1048 городов.

В ближайшее время ожидается принятие Государственной Думой пакета законов, который позволит через Единую биометрическую систему предоставлять широкий перечень услуг в различных сферах:

• государство (предоставление услуг по биометрии);
• нотариат (предоставление услуг по биометрии);
• образование (удаленная сдача экзаменов);
• суды (участие в судебных заседаниях по видеосвязи);
• ритейл (оплата покупок одним взглядом);
• e-commerce (оплата онлайн по биометрии с подтверждением возраста);
• транспорт (проход/оплата проезда с использованием биометрии);
• телеком (дистанционное получение e-SIM).

При этом мультивендорность и мультимодальность обеспечивают максимальную защиту, высокую степень распознавания и непрерывность работы Единой биометрической системы.

Вход в Единый правительственный комплекс в IQ-квартале Москва-Сити

Проход в МРФ Северо-Запад ПАО Ростелеком по биометрии лица

Системы доступа и видеоаналитика

Одна из функций Единой биометрической системы – контроль и управление доступом по биометрическим данным. С ее помощью можно организовать:

• доступ в офис;
• аккредитацию участников и проход на мероприятия по биометрии;
• Fast Track в аэропортах;
• проход в общественный транспорт;
• видеоаналитику и учет рабочего времени.

Если в стандартной СКУД время прохода составляет в среднем 20 с (нужно найти в сумке/кармане пропуск и приложить его), то при биометрической идентификации оно сокращается до 3 с (нужно лишь посмотреть в камеру).

Кроме того, БиоСКУД обеспечивает контроль социальной дистанции в помещениях и распознавание в маске, возможно подключение тепловизора. В связи с пандемией COVID-19 эти дополнительные возможности уже стали стандартом для игроков высшего уровня и присутствуют в Единой биометрической системе.

Обзор решений "Биометрическая идентификация": группа компаний ЦРТ, "АРМО-Системы", RecFaces, InPrice Distribution, "Ванкор", BIOSMART, НВП "Болид" >>>

Чем удобен БиоСКУД, интегрированный с Единой биометрической системой?

В биометрической системе управления доступом можно использовать слепки, которые собраны в рамках Единой биометрической системы. Если человек сдал биометрические признаки в отделении банка или МФЦ, он сможет дистанционно заказать пропуск.

Система, подключенная к Единой биометрической системе, опознает его и пропустит. Это главное удобство, которое предоставляет БиоСКУД в интеграции с Единой биометрической системой.

Что касается соблюдения ФЗ-152, то человек дает письменное согласие при сдаче биометрических признаков в отделении банка. Если используется локальная база, то сотрудник подписывает согласие вместе с остальными документами при приеме на работу. Законодательство в данном случае полностью соблюдается.

Единая биометрическая система не хранит персональные данные гражданина, в ней применяются только математические слепки. Даже если злоумышленник получит какой-либо шаблон, он не сможет по нему обратно восстановить фотографию. Это главное достоинство системы и гарантия безопасности персональных данных.

Опубликовано в журнале "Системы безопасности" №5/2020