Мошенники на удаленке: почему биометрические данные приобрели особую ценность

Весь мир осваивает удаленную работу, жизнь переходит в онлайн. Такие операции, как открытие счета в банке и перевод денег, уже не требуют личного присутствия. И тут берут слово специалисты по цифровой безопасности.

Георгий Минасян, директор по безопасности компании-разработчика систем против утечек информации: «Ситуация с утечками персональных данных скверная».

Анализ ситуации за последний год: больше всего утечек происходит из телекоммуникационных компаний. Ничего не подозревающие люди сотнями становились владельцами липовых контор. И в довершение всего в Сеть слили поименный список постоянных клиентов сети алкомаркетов. Но не спешите винить во всем хакеров.

Георгий Минасян: «Основная причина — это злой умысел сотрудников, которые находятся внутри организации».

Впрочем, с некоторыми сотрудниками ни хакеры, ни инсайдеры не нужны. На втором месте в рейтинге угроз после злонамеренного слива персональных данных сотрудниками компаний идет банальная безалаберность. Вот пример: сайт одного образовательного учреждения в США. Здесь обнаружили целый каталог, в котором есть и водительские права, и различные дипломы и сертификаты, и карты соцстрахования, и образцы подписи, и актуальные фотографии. Это все удалось найти с помощью обычных поисковых систем. В Москве продемонстрировали технологию, которая помогла бы избежать такого неприятного казуса.

владимир Арлазаров, кандидат технических наук, генеральный директор компании-разработчика систем распознавания: «Берем рукописный паспорт, просто чтобы усложнить нам задачу. Берем телефон, вводим его в авиарежим, запускаем систему распознавания. Система не может иметь никакой связи. И система распознала данные. И проверила заодно, паспорт подлинный или нет. ФИО, кем выдан, распознала их. Расшифровала рукописный текст. Но врачебные они не могут расшифровать».

Распознавание происходит прямо на устройстве, тогда как многие компании используют для этого облачные технологии. То есть изображение обрабатывается на удаленном сервере. И это еще одно место для утечки. Кроме того, хотя это звучит как анекдот, искусственный интеллект может оказаться вполне естественным, когда распознаванием занимаются живые люди.

Владимир Арлазаров: «Под видом искусственного интеллекта сидит деревня в Китае, Таиланде, где подешевле. Им передаются данные, они это вбивают, а потом возвращаются. И вот такой естественный интеллект в виде деревни маскируется под видом искусственного. И такое встречается».

Изначально так делали в середине 2000-х для решения задач, с которыми компьютеры не могли эффективно справляться. Например, распознавание лиц. Но в наши дни технологии шагнули вперед, и базы биометрических данных человека представляют настоящую ценность.

Что делать, если ваши персональные данные были скомпрометированы? Логин и пароль можно поменять, паспорт — переделать, а как быть с биометрическими данными? Ведь новое лицо уже не сделать, да и отпечатки пальцев не перерисовать. В «Сколково» работает компания, которая занимается распознаванием радужки глаза.

Александр Горшков, директор по развитию компании — разработчика биометрических технологий: «Мы много раз видели, как кто-то снимает отпечаток пальца, делает с него копию, приложил — все заработало. Насколько этот киношный вариант реален? Он абсолютно реален, мы можем наблюдать на YouTube, как могут разблокировать телефон при помощи поддельного отпечатка пальца, как с поддельной радужкой разблокируют телефоны, Но надо учитывать, что там нет основной защиты. Нет защиты от того, что разблокировка производится живым человеком».

Более совершенные системы работают с несколькими параметрами, чтобы компьютер мог распознать, живой перед ним человек или нет. Например, система делает два снимка глаза: справа — обычное фото, слева — инфракрасное изображение.

Александр Горшков: «Левое изображение украсть значительно сложнее, здесь необходим непосредственный контакт с человеком, например, у офтальмолога. Но в любом случае вы тогда украдете левую часть, у вас не будет правой. И вы не соберете этот кубик из спектров видимого и невидимого изображения».

Все эксперты сходятся в одном: с 2020 года в сфере компьютерной безопасности главной угрозой станет технология deepfake — замена лица и голоса. И сейчас, хоть видео и смотрятся убедительно, на их создание требуется немало времени и ресурсов. Но технология совершенствуется.

Владимир Арлазаров: «Надо понимать это борьба меча и брони, и здесь она будет вестись бесконечно».

Раньше у нас воровали документы, пароли, аккаунты, теперь остается главное — не потерять лицо.