Защита данных с помощью биометрии – востребованный метод обеспечения информационной безопасности. Популярность этому объясняется текущими трендами: стоимость его внедрения падает, а надежность – только растет. В связи с этим, распознавание по отпечаткам пальцев, голосу, радужной оболочке глаза считается оптимальным решением для идентификации личности.
Биометрические системы используются где угодно:
- в аэропортах — для проверки личности пассажиров и принятия решения о разрешении или запрете на их въезд в страну
- на особо защищенных объектах — для ограничения доступа на их территорию
- в быту — для управления отопительными и осветительными приборами, техникой для досуга
Голосовой поиск в Интернете, разблокировка телефона по отпечатку пальца — это тоже примеры основанных на биометрии технологий, прочно вошедших в нашу жизнь.
И хотя подделать биометрические данные гораздо сложнее, безопасность использующих их технологий не может не вызывать опасения.
Точно так же, как можно украсть пароли, отпечатки пальцев и другие биометрические данные можно перехватить и совершить так называемую «презентационную атаку». Например, преступник может подделать отпечаток пальца или напечатать на 3D-принтере маску лица, чтобы получить доступ к защищенным биометрией системам.
Однако в отличие от паролей, биометрические данные изменить нельзя, что, по сути, дает преступникам постоянный доступ к любому компьютеру или устройству, требующему пройти биометрическую авторизацию. Поэтому угроза вполне реальна.
В 2019 году исследователям в области информационной безопасности удалось взломать британскую базу данных, содержавшую отпечатки пальцев, а также информацию системы распознавания лиц более миллиона человек. Среди высокопоставленных пользователей этой базы оказалась полиция Великобритании, оборонные подрядчики и банки.
В недавно обновленном международном стандарте МЭК/ИСО 24745 подчеркивается особая важность защиты биометрических систем и самих биометрических данных. Документ содержит руководство по обеспечению их безопасности с учетом требований конфиденциальности, целостности и возможности их обновления и отзыва в ходе хранения и передачи.
В стандарте также представлены требования и рекомендации по безопасному управлению и обработке биометрической информации с соблюдением требований конфиденциальности. Темы, затрагиваемые в документе, включают:
- Анализ угроз и мер защиты, типичных для биометрических систем
- Требования безопасности при привязке биометрических данных к конкретной личности
- Руководство по защите конфиденциальности в ходе обработки биометрической информации
- и другие
МЭК/ИСО 24745 посвящен исключительно вопросам, связанным с безопасностью биометрических систем, и не содержит информации по обеспечению физической защиты или управлению ключами шифрования.
Перевод с английского языка: ООО «Открытый сертификат»
Источник: www.iec.ch/blog/