Чем опасны "поддельные лица" и утечки при внедрении биометрии в банках
Российские банки могут начать выдавать кредиты или оформлять вклады через мобильное приложение, только если клиент прошел идентификацию по биометрическим данным. Соответствующий проект опубликовал Центробанк. По словам специалистов, единая биометрическая система, к которой предлагает вернуться ЦБ, запущена давно, однако спросом не пользуется из-за опасений россиян за сохранность своих данных. С какими проблемами могут столкнуться клиенты при возможной утечке биометрических данных? И сложно ли мошенникам создать фейк для оплаты лицом? Об этом рассказали эксперты в ходе круглого стола в пресс-центре МИЦ "Известия".
Незаменимые данные
Банк России опубликовал проект, согласно которому банки смогут выдавать кредиты или оформлять вклады через мобильное приложение только в том случае, если клиенты прошли идентификацию по биометрическим данным. То есть через единую биометрическую систему. По словам вице-президента Ассоциации банков России Алексея Войлукова, данная система не пользуется спросом на сегодняшний день, и причина тому – опасения россиян за сохранность своих личных данных.
"Что будет, если вдруг произойдет утечка? Такое нельзя исключать, это происходит в различных системах. Но одно дело, если вы потеряли паспорт – его можно заменить. А другое дело, если пропали биометрические данные, которые единственные у человека. Как дальше быть?" – отметил в ходе пресс-конференции Войлуков.
По словам директора Регионального общественного центра интернет-технологий Рустама Сагдатулина, самая главная проблема для клиентов заключается в том, что биометрические данные, в отличие от пароля, логина, паспорта, нельзя заменить.
"Мы не поменяем свой голос, не поменяем отпечатки пальцев, в принципе не поменяем свое лицо. Поэтому при утечке этих данных вы становитесь полностью незащищенными, и злоумышленники могут использовать их в дальнейшем", – говорит Сагдатулин.
Поддельные лица для оплаты
Создать фейк для последующей оплаты лицом достаточно сложно, говорит директор по консалтингу ИБ-компании Ирина Зиновкина. По ее словам, это связано с уникальностью лица каждого человека.
"Хотя Face ID тоже обманывают легко, потому что, как и любое сканирование лица, это работает на опорных точках, и есть уязвимости у данных технологий, которые позволяют обмануть", – подчеркнула эксперт.
По словам Зиновкиной, большей популярностью у мошенников пользуется подделка голоса человека. "Голос легче подделать, чем наше лицо, потому что наше лицо более уникально", – пояснила спикер.
Однако, отметила специалист, злоумышленники вряд ли будут массово использовать такой вид мошенничества.
"Делать это массовой атакой пока невозможно. Сейчас мошенники не звонят всем повально, а делают это точечно. Потенциальная прибыль от мошенничества будет превалировать над стоимостью создания голосового клона", – считает директор по консалтингу ИБ-компании.
Риски утечки биометрических данных
По словам Рустама Сагдатулина, чаще всего утечки персональных данных происходят по вине сотрудников банков.
"Все сливы со стороны банков происходят из-за человеческого фактора – когда сотрудники банка или те люди, у которых имеется доступ к данным, по сговору со злоумышленниками передают им эти данные", – объяснил Сагдатулин.
Аналитик, IT-специалист Алексей Парфентьев при этом отметил, что биометрические данные человека являются исключительными, и, если их потерять, заменить уже будет невозможно.
"Все другое можно поменять – номер телефона, паспорта, но биометрию достаточно потерять один раз, и с этого момента можно вечно идентифицироваться по вашей личности", – пояснил эксперт.
К рискам утечки биометрических данных может привести их многократное хранение и тиражирование. Однако этого можно избежать, полагает аналитик.
"В принципе угрозу утечки биометрии избежать можно. Для этого достаточно хранить биометрические данные в абсолютно невосстановимом виде. То есть технологии такие есть, и они основаны на создании цифровых отпечатков", – рассказал Парфентьев.
Можно ли запретить банкам использовать биометрические данные
Для того, чтобы банк перестал использовать биометрические данные человека, которые тот передал ему ранее, необходимо предъявить соответствующее требование. После этого учреждение обязано их удалить. Однако, предупреждает Алексей Войлуков, не все банки спешат выполнить данное требование.
"Отозвать всегда все можно, вопрос – насколько это реально произойдет. У нас штрафы являются символическими, поэтому многие не спешат выполнять нормы и требования закона", – сказал Войлуков.
В то же время, по словам Рустама Сагдатулина, отзыв биометрических данных после того, как произошла их утечка, не имеет смысла.
"Если утечка уже произошла, то, что вы отзовете, ничего не поменяет. У злоумышленника все равно будут ваши данные. И вы эти данные по итогу не поменяете. Даже если оператор их удалил у себя, у злоумышленника они все равно уже будут", – объяснил директор Регионального общественного центра интернет-технологий.
Ирина Зиновкина высказала иное мнение. По ее словам, человек не сможет отозвать свои биометрические данные у банка – это можно сделать только через оператора единой биометрической системы.
"Насколько я понимаю, все, что будет передаваться банками в единую биометрическую систему, отозвать мы не сможем. Если мы являемся клиентом одного банка и сдаем ему свою биометрию и мы передумали – у банка мы уже отозвать не сможем. Отозвать можно только у оператора единой биометрической системы", – подчеркнула эксперт.