Снятие отпечатков пальцев: не попадут ли персональные данные казахстанцев в третьи руки
Уже с 1 января в стране вводится обязательная дактилоскопическая регистрация граждан при получении паспорта и удостоверения личности, то есть, снятие отпечатков пальцев. Казахстанцы разделились на два лагеря: те, кто верит в возможности цифровизации и безопасность используемой системы защиты, и те, кто опасается, что их персональные данные могут быть использованы третьими лицами в корыстных целях. Чтобы развеять все мифы и узнать, как будет обеспечена 100-процентная безопасность данных граждан, корреспондент МИА «Казинформ» поговорила с IT-специалистом, ведущим бизнес-аналитиком Lead Business Analyst, CBAP (Certified Business Analyst Professional) в США Алмасом Нуржановым.
— Алмас, расскажите, какие системы защиты должны использоваться, чтобы отпечатки пальцев не попали в руки третьих лиц?
— Для защиты информационных активов организации используют технические, физические и организационные меры информационной безопасности. Также должны учитываться правовые меры, которые включают в себя законодательные акты и нормативные документы в той или иной юрисдикции. Помимо этого, стоит уделить внимание морально-этическим мерам, таким как непрерывное обучение персонала этике использования информации и осознания последствий нарушения правил. Все эти меры должны служить для обеспечения конфиденциальности, целостности и доступности информационных систем и данных.
Какие меры и системы защиты будут выбираться, зависит от конкретных бизнес и функциональных требований будущей информационной системы, но, на мой взгляд, должно учитываться следующее:
криптографирование — данные должны быть зашифрованы как в покое, так и при транспортировке.
безопасные хранилища — данные должны храниться в изолированных базах данных или системах хранилищ с разграниченным доступом.
биометрические шаблоны — должны сохраняться шаблоны, а не реальные отпечатки. Биометрический шаблон — это математическая репрезентация биометрических данных.
система аудита — поддержка детализированного логирования всех операций с отпечатками, таких как доступ, модификация и удаление. Регулярный мониторинг данных логов для выявления подозрительных действий.
обезличивание данных — использование техники обезличивания через отображения только какой-то части при верификации и идентификации.
физическая безопасность — использование защищенной физической инфраструктуры, где хранятся данные, включая серверы, дата-центры и биометрические сенсоры, а также использование видеонаблюдения, где это возможно.
план по реагированию на инциденты — разработка плана по реагированию на утечку данных или на неавторизированный доступ к данным. План должен включать шаги по локализации атаки, информированию соответственных служб и восстановлению целостности данных.
— Как вы думаете, насколько система защиты гарантирует безопасность данных?
— Ни одна информационная система в мире в одиночку не гарантирует абсолютную безопасность. Реализуется стратегия, так называемая «Defense In Depth», что в переводе значит «глубокоэшелонированная защита». Эта стратегия подразумевает использование многослойных мер защиты информации для защиты активов организации от киберугроз. Если одна линия защиты прорвана, злоумышленник столкнется со следующим слоем мер информационной безопасности. Таким образом, вектор кибератаки будет остановлен или минимизирует ущерб.
Данная стратегия покрывает уязвимости не только в аппаратном и программном обеспечении, но человеческий фактор, так как очень часто человек или человеческие ошибки являются основными факторами взломов и утечек данных.
— В МВД утверждают, что отпечатки пальцев не будут привязаны к личным данным человека. Поэтому, даже если отпечатки пальцев попадут в чужие руки, их никто не сможет использовать. Насколько это возможно?
— Технически это возможно. Используется так называемая токенизация или присвоение уникального идентификатора отпечатку, который, в принципе, может персонализировать хозяина отпечатка. Но опять-таки встает вопрос: как будет спроектирована сама система с учетом данного требования и каков будет бизнес-процесс, где традиционно самым слабым звеном является человек.
— Все-таки техника есть техника. Могут ли перепутать отпечатки пальцев?
— Процесс получения отпечатков пальцев в западных развитых странах автоматизирован. Используется цифровое оборудование и специально обученный персонал. При проведении процесса получения отпечатков используется видеонаблюдение и отдельная комната. Человек сдает свои отпечатки пальцев индивидуально по назначенному времени и в определенном здании. Программное обеспечение анализирует, как четко был отсканирован отпечаток и соответствует ли он шаблону. Время получения отпечатков и идентификационный номер специалиста, взявшего отпечаток, сохраняется как дополнительные атрибуты. В завершение человек должен поставить свою подпись на touch screen (тачскрин) экране и предоставить дополнительные персональные данные — имя и год рождения. Как видим, реализуется комплекс как технических, так и организационных мер по недопущению ошибки. Опять-таки тут вопрос больше не по техническим аспектам реализации, а больше к организации самого процесса и последующего аудита.
Вероятность того, что два отпечатка пальцев будут идентичными, крайне низка. В 1894 году Фрэнсис Голтон, английский исследователь, географ, антрополог, психолог, статистик, основатель дифференциальной психологии и психометрики заявил, что вероятность того, что два отпечатка пальцев будут идентичными, составляет менее одного к одному миллиарду.
— Если хакеры взломают систему и получат доступ к данным, что тогда произойдет? Могут ли они использовать отпечатки пальцев в других целях?
— Украденные отпечатки пальцев могут быть использованы для доступа к устройствам, защищенным биометрическими системами. Например, хакер может использовать украденные отпечатки пальцев для разблокировки цифровых кошельков или доступа к банковским счетам и кредитным картам. Также отпечатки пальцев могут быть проданы в даркнете. Существуют множество подпольных рынков в сети, где можно продать украденные личные данные. Не секрет, что покупателями на данных площадках бывают и спецслужбы иностранных разведуправлений, так что персональные данные, а биометрические данные в особенности, имеют важность для национальной безопасности.
— Может быть вы знаете, какие страны используют подобную систему снятия отпечатков пальцев?
— Многие страны используют биометрические данные для различных целей, начиная от идентификации и заканчивая голосованием. Например, США собирают отпечатки пальцев у всех иностранных граждан, прибывающих в страну по не иммиграционной визе. Албания в 2021 году внедрила голосование по отпечаткам пальцев.
— Возможно ли такое, что отпечатки пальцев могут перепутать с данными преступников на месте преступления?
— В Казахстане отпечатки пальцев, снимаемые на месте преступления, или проверяются вручную дактилоскопическими экспертами, или вносятся в некую отдельно стоящую систему для сверки с базой правонарушителей. Если вы имеете в виду интеграцию существующей системы отпечатков пальцев, которая имеется у правоохранительных органов, с гипотетической системой национальной базы данных отпечатков, то при правильно построенном бизнес-процессе и, учитывая меры информационной безопасности, которые я озвучил ранее, позволит существенно помочь сократить данную возможность.
— Спасибо за беседу!