Риски, связанные со сбором и использованием биометрических данных, наиболее наглядно были проиллюстрированы талибами, захватившими Афганистан в конце прошлого года. Тогда антиправительственные силы захватили власть, а вместе с ней и мощную систему биометрической идентификации, созданную американскими военными. Система портативного межведомственного оборудования для обнаружения личности (HIIDES) была разработана для того, чтобы силы США могли легко идентифицировать людей в полевых условиях и отличать друзей от врагов. Но в руках талибов эти системы могли раскрыть личности людей, которые работали с американскими войсками, биометрическая идентификация рисковала превратиться в механизм мести.
Впрочем, в современном мире биометрические технологии используются не только в войне с терроризмом, они проникают в самые разные сферы нашей жизни, в нашу повседневную реальность. От разблокировки смартфона лицом до посадки на рейс с помощью отпечатков пальцев - использование биометрических данных для аутентификации становится обычным явлением. И далеко не все осознают связанные с этим риски.
Склонность пользователей назначать одинаковые или похожие пароли нескольким учетным записям часто называют серьезной проблемой безопасности системы, но это становится менее серьезной проблемой, когда пароли зашифрованы и хешированы. Хеширование присваивает каждому паролю совершенно уникальный идентификатор, который хакерам трудно или невозможно расшифровать. Это позволяет пользователям устанавливать пароли, которые они могут запомнить, для легкого доступа к системам.
Напротив, сканеры, используемые для захвата и считывания биометрических данных, не точны в 100% случаев. Даже небольшие различия в том, как пользователь прикасается к сканеру отпечатков пальцев или смотрит в камеру во время сканирования лица, создают разные изображения. Когда пользователь регистрируется в биометрической системе, его информация, скорее всего, записывается в хорошо освещенной, стабильной и предсказуемой среде. Но при повторном использовании датчика условия не будут идеальными и, вероятно, ухудшатся. Возникающие в результате несоответствия могут привести к сбою аутентификации и блокировке доступа законных пользователей к системе.
Ирония этой ситуации заключается в способности хакера воспроизвести убедительную подделку оригинального скана и использовать ее для успешного доступа. Информация уязвима, когда она записывается, хранится и передается, что дает хакерам множество возможностей для кражи идентифицирующих данных.
Кстати, Наталья Касперская (президент группы компаний InfoWatch и сооснователь компании "Лаборатория Касперского") в одном из своих интервью крайне категорично высказалась против биометрии. Она посоветовала ни в коем случае никому не передавать свои биометрические данные из-за огромного риска их кражи. И добавила, что лично ей непонятно, зачем вообще нужно повсюду использовать биометрию.
После сбора идентификаторов данные необходимо где-то хранить. Поскольку никакая форма хранения не может считаться полностью безопасной, это создает ту же проблему, что и любая другая стратегия управления доступом, в которой предприятия и организации несут ответственность за защиту данных пользователей. Шифрование данных во время передачи решает только часть проблемы, поскольку хакеры по-прежнему могут получать доступ к биометрической информации по мере ее сбора и сопоставления с ранее полученными данными.
Предприятия могут повысить безопасность, применяя шифрование во время выполнения, которое обеспечивает зашифровку конфиденциальных данных во время использования, или отказываясь от хранения биометрических данных вообще. Приложения для аутентификации, использующие биометрические данные, хранящиеся локально на устройствах пользователей, сводят к минимуму опасность компрометации, но по-прежнему несут риски в случае потери или кражи устройства. Скомпрометированные приложения на устройствах или в сетях создают дополнительные уязвимости, которые следует учитывать при выборе наилучшего метода реализации.
Технологии биометрической аутентификации создают проблемы конфиденциальности и безопасности: если биометрические данные были скомпрометированы, исправить ущерб невозможно. Если скомпрометирован пароль, вы просто меняете его. Если же речь об отпечатке пальца, изображении уха или скана радужной оболочки, вы остаетесь со скомпрометированными биометрическими данными. В отдельных случаях вы можете изменить используемые биометрические данные, но данные, которые можно поменять, ограничены. Биометрические идентификаторы явным образом связывают человека с системой или деятельностью. Это нормально, когда вы разблокируете свое мобильное устройство с помощью сканера отпечатков пальцев или лица, но есть и другие связи, которые мало кому понравятся: например, при авторизации кредитных или дебетовых транзакций ваша история покупок однозначно привязана к вам.
