Подделают даже лица. Пять фактов о взломе и защите биометрии

Вход по биометрии не станет панацеей от мошенников на «Госуслугах» и в банковских приложениях, поскольку технологически подкованные преступники смогут взломать и их, сообщили опрошенные aif.ru эксперты. Украсть могут даже лицо и голос, предупреждают они.

Биометрия станет одним из инструментов защиты личных данных от кражи в интернете по новому законопроекту о борьбе с телефонными мошенниками, который сейчас рассматривают в Госдуме. «Паролем» от банковских приложений и государственных сайтов станут в обязательном порядке лицо, голос или отпечаток пальца. Мы задали экспертам пять наивных вопросов о защите биометрии.

Можно ли взломать биометрию фотографией?

Логично предположить, что мошенники могут попытаться обойти биометрическую защиту с помощью фотографий или видео своей жертвы. Как говорят разработчики систем распознавания лиц, есть технологии, которые этого не позволят.

«Считается, что взломать систему с помощью фотографий и видео нельзя, поскольку живое лицо обладает уникальными характеристиками, которые сложно воспроизвести на статичном изображении или видеозаписи, — считает профессор факультета Информационных технологий и анализа больших данных Финансового университета при правительстве России Дмитрий Чистов. — Эти характеристики включают в себя микровыражения, движение мышц лица, глубину и текстуру кожи, а также особенности освещения и отражения света. Но, как известно, технологии совершенствуются с обеих сторон, и я бы эти риски не стал отбрасывать. Если человека удается обмануть с помощью дипфейков, насколько защищены компьютерные системы?»

Как могут «украсть» лицо?

Стоит помнить, что мошенники могут незаконно собирать биометрические данные различными способами, используя как физические, так и цифровые методы, считает Чистов.

«Это может быть скрытое фотографирование или видеосъемка в общественных местах, использование поддельных сканеров отпечатков пальцев или других биометрических устройств для получения данных, — объясняет эксперт. — Есть хитроумные схемы, при которых жертва добровольно предоставляет свои данные под предлогом участия в лотерее, опросах или предоставления других услуг».

А если зашифровать биометрию в «цифре»?

Есть вариант, при котором вместо хранения самих данных, например, отпечатков пальцев или сканирования лица, хранится их зашифрованный аналог — токен. Сам по себе токен никакой информации не содержит. По словам Чистова, с его помощью восстановить данные нельзя. То есть даже при утечке базы данных, злоумышленники не смогут получить доступ к чувствительной биометрической информации. Это дополнительный уровень защиты.

Можно ли украсть базы с биометрией?

Риск взлома самих реестров биометрической информации, несмотря на увеличение количества методов защиты, все же остается, предупреждает Чистов.

«Нельзя исключать ситуацию, при которой биометрические данные населения со всеми отпечатками, подписями и „сканами“ лиц утекут к злоумышленникам, — говорит эксперт. — Сейчас применяются разные способы защиты от подобных утечек, например, в виде раздельного хранения биометрических и персональных данных лиц. Но все равно эта связь существует, а значит, может быть установлена при должном уровне заинтересованности».

Как самому себя обезопасить?

Перед тем, как повсеместно внедрять вход по биометрическим данным, властям нужно тщательно продумать их защиту, полагает юрист Эдуард Шалоносов.

«Технологии не стоят на месте, по их развитию мошенники государство порой даже опережают», — считает он.

Но меры предосторожности можно и нужно предпринимать и самим россиянам.

Шалоносов предлагает три способа не дать украсть свою биометрию:

1. Не оставлять телефон, в котором есть банковские или государственные приложения, без присмотра. Существует возможность кражи биометрических данных со смартфона.
2. Быть бдительными во время видеосвязи с малознакомыми людьми. В частности игнорировать просьбы поворачиваться в разные стороны, если собеседник жалуется, что ему плохо видно лицо говорящего. Нельзя исключать вероятность, что ничего не подозревающего человека сканируют специальной программой. В дальнейшем получившиеся биометрические данные могут быть использованы для взлома банковских и других приложений.
3. Если на рабочем месте используются биометрические данные сотрудника (например, вход по отпечатку пальца или лицу) при увольнении написать заявление с просьбой убрать биометрию из базы. По возможности стараться в принципе не оставлять такие данные нигде, кроме личных приложений.

Для защиты от интернет-мошенников в Госдуме предложили также создать «базу доверчивых граждан». Тех, кто войдет в этот список, могут ждать ограничения в денежных переводах и усложнение процесса получения кредитов.