— Андрей, вы более десяти лет работаете в области информационной безопасности, наблюдая на практике, как совершенствуются технологии. Сегодня для идентификации и контроля доступа все шире используются биометрические персональные данные. Как получилось, что они почти вытеснили традиционные пароли?
— Начну с того, что такое биометрические персональные данные. Закон определяет их как «сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность». Это могут быть дактилоскопические данные, трехмерное фото лица или тела, радужная оболочка глаз, образец голоса, рисунок вен ладони, анализы ДНК, рост, вес, запах, почерк, походка и так далее. В IT биометрические данные используются для идентификации и контроля доступа. Совершенно очевидно, что такой способ надежнее, чем обычный пароль или токен-ключ, но и биометрические данные могут украсть. И, в отличие от пароля, биометрические признаки в случае компрометации данных изменить невозможно. Поэтому их так важно беречь.
— Появление биометрических технологий упростило процесс идентификации, но обострило проблему кражи персональных данных. В каких ситуациях это происходит чаще всего?
— Потенциально опасной ситуацией может быть, например, телефонный разговор с интернет-магазином — как правило, они записываются, и в отсутствии мер обеспечения безопасности данных голоса клиентов могут быть похищены или просто «слиты». Часто воруют изображения в открытом доступе — из соцсетей, из записей рабочих видеоконференций — чтобы создать на их основе дипфейк. Чревата передача данных по незащищенным каналам, например, при использовании открытой Wi-Fi-сети в общественных местах. Украденную информацию злоумышленники могут использовать для управления банковскими счетами или проникновения на закрытые объекты.
— Жертвами кражи биометрии могут быть не только отдельные люди, но и целые предприятия, если их руководство не уделяет системам информационной безопасности внимания. Думаю, как специалист в этой области вы нередко сталкиваетесь с подобными случаями в своей практике. Есть ли действительно надежные технологии?
— Да, мне и моим сотрудникам не раз приходилось решать проблемы несанкционированного доступа к биометрии на предприятиях, куда нас вызывали, чтобы установить системы информационной защиты. Проблема в том, что последствия утечек информации не всегда очевидны сразу, злоумышленники могут использовать эти данные и позже. Своим клиентам, руководителям организаций, я предлагаю минимизировать риски, используя современные сканеры и специализированное программное обеспечение. По опыту могу сказать, что достаточно надежны технологии с использованием отпечатков пальцев: сегодня сканеры умеют фиксировать не только рисунок папиллярных линий, но и разницу в электрических потенциалах между бугорками и впадинами папиллярного узора. Даже если дипфейк сможет скопировать рисунок папиллярных линий, тепло руки живого человека он сгенерировать не сумеет.
— Насчет тепла. Знаю, что во время пандемии ковида вы внедряли на объектах заказчиков оборудование с использованием биометрических технологий, которое закрывало доступ на предприятие не только посторонним, но и сотрудникам, заболевшим коронавирусом и потому ставшим угрозой для коллег. Расскажите об этом.
— Действительно, был такой опыт. Например, мы делали такой проект на одном из предприятий энергетического комплекса — для доступа сотрудников на объект установили телевизоры для потокового бесконтактного измерения температуры, которые не только распознавали человеческие лица по биометрии, но и реагировали в случае обнаружения повышенной температуры, то есть признаков опасной болезни. Важный момент: чтобы надежно обезопасить биометрическую информацию от кражи и злоупотреблений, мы обеспечили защищенное хранение данных с закрытыми каналами связи внутри сети заказчика.
— В России сейчас происходит импортозамещение IT-технологий ушедших зарубежных производителей, и ваша компания как лицензиат ФСТЭК и ФСБ принимает в этом деятельное участие. Вы предлагаете устройства и ПО российского производства, помогающие защитить ресурсы бизнеса от несанкционированного доступа. Что они собой представляют?
— Да, сейчас мы используем современные средства защиты на основе биометрических данных, созданные в России. Они предназначены для защиты конфиденциальной информации и могут помочь как в случае злоумышленных действий инсайдеров, так и при сетевых атаках или утрате носителей. Обычно это программы, установленные на рабочие компьютеры, или клиент-серверные приложения, а если мы говорим о защите сети, то программно-аппаратные комплексы. Кстати, разработчиком и производителем биометрических систем для идентификации человека с использованием тепловизора, о которых я только что рассказывал, был наш давний партнер, известный российский провайдер цифровых услуг и сервисов.
— Ваша компания «Безопасность информационных технологий» — ключевой поставщик подобных услуг в Камчатском крае, среди ваших клиентов правительственные структуры и региональные министерства. Насколько широко могут применяться биометрические технологии?
— Вообще применяться такие решения могут во всех сферах экономики национальной значимости, от строительной отрасли до финансового сектора. Например, мы внедряли эти технологии на крупных объектах транспортной инфраструктуры, социальных объектах, в медучреждениях. Недавно был интересный проект с транспортной компанией: для обеспечения безопасности передаваемых биометрических персональных данных мы использовали специализированное программное обеспечение, которое хранит данные не на самом исполняющем устройстве, контроллере, а в базе данных на сервере в защищенном помещение. При этом все данные пересылаются только в зашифрованном виде, благодаря чему обеспечивается защита от перехвата по сети.
— Ваш прогноз по поводу будущего систем информационной безопасности для защиты биометрических данных? Реально ли появление технологий, которые сделают биометрию безопасной?
— Технологии защиты биометрических данных не стоят на месте. Например, компания Intel недавно создала технологию FakeCatcher: лежащий в ее основе алгоритм проверяет данные сканирования лица на предмет кровотока и частоты сердечных сокращений с точностью обнаружения дипфейков 96%. Это еще не прорыв, но хороший инструмент, помогающий повысить безопасность биометрии. Конечно, существует множество способов, помогающих дипфейкам пробивать биометрическую безопасность: изобретательность хакеров растет, а случаев небрежности или слива информации не становится меньше. Но специалисты ищут новые, более совершенные методы, и технологии биометрической безопасности постоянно адаптируются к угрозе дипфейкового взлома.