Как потерять лицо: утечки биометрических данных – новая угроза Big Data систем

В то время, как нацпрограма «Цифровая экономика» активно продвигает использование биометрических персональных данных россиян в качестве основных идентификаторов для государственных Big Data систем и коммерческих сервисов, информация продолжает утекать. В этой статье мы собрали наиболее крупные инциденты с утечками данных из биометрических систем в России и за рубежом.

Как утекают биометрические персональные данные: 7 ярких примеров за последние 5 лет

В августе 2019 года в открытом доступе оказалось более 27,8 миллионов записей суммарным объемом 23 Гб, включая биометрическую информацию (отпечатки пальцев и фотографии), незашифрованные логины и пароли пользователей, журналы посетителей, сведения об уровне доступа и персональные данные сотрудников организаций. Эта база данных принадлежит южнокорейской компании Suprema, разработчику системы контроля и управления доступом Biostar 2. Данный продукт используется для контроля доступа на режимные объекты (офисные здания, склады и пр.), где идентификация личности выполняется по отпечаткам пальцев и лицу. Biostar 2 используется в британском Скотланд-Ярде, банках и на оборонных предприятиях. Причина утечки – некорректная настройка удаленного сервера Elasticsearch [1].

Другая масштабная утечка биометрических данных произошла в 2017 и 2018 годах с крупнейшей системой биометрии – индийского Big Data проекта AADHAAR на базе MapR и Apache Hadoop. Конфиденциальная информация о миллиарде резидентов Индии оказалась скомпрометирована. Причиной утечки в 2018 году считается атака злоумышленников, которые взломали информационную систему правительства штата Раджастхан [2]. А годом ранее из-за не недостаточных мер обеспечения cybersecurity, в т.ч. не полностью сформулированных и реализованных требований к информационной безопасности, из AADHAAR утекли данные 135 миллионов человек [3].

Еще в 2017 году злоумышленники взломали сеть американской компании Avanti Markets, которая производит киоски самообслуживания для приобретения закусок и напитков. В результате атаки хакеры получили доступ не только к платежным данным, но и к биометрической информации клиентов компании. В феврале 2017 года также случилась утечка биометрических персональных данных всех избирателей на Филиппинах. Из Комиссии по выборам был украден сервер, на котором хранились отпечатки пальцев 55 миллионов граждан страны. Аналогичный случай произошел в 2016 году в Гане, когда из избирательной комиссии были похищены 4 компьютера с данными биометрической регистрации голосующих [4].

Подобный инцидент также имел место в Зимбабве летом 2018 года, когда злоумышленники клонировали домен местного избиркома, проникли в сетевое хранилище и похитили информацию об избирателях: отпечатки пальцев, фотографии, адреса, номера мобильных телефонов, номера национальных идентификаторов [5]. 

В России, несмотря на пока не слишком большое распространение биометрии, такие данные уже успели утечь из Сбербанка. В октябре 2019 года на черном рынке данных продавался архив аудиозаписей разговоров клиентов банка с техподдержкой банка. Таким образом, в сеть утекли образцы голоса пользователей этой финансовой корпорации, а речь, как и отпечатки пальцев, снимки лица, также относится к биометрическим персональным данным [6].

Чего ждать от cybersecurity биометрических Big Data систем

Эксперты «Лаборатории Касперского» прогнозируют, что в будущем число утечек биометрических персональных данных еще больше возрастет, поскольку технологии биометрии активно внедряются в Big Data систем разных сферы деятельности [7]. Чтобы снизить ущерб от подобных инцидентов, в январе 2020 года Еврокомиссия предлагает запретить использования технологии распознавания лиц в общественных местах на срок до 5 лет. Ожидается, что за этот период будет разработана методика оценки рисков неправомерного использования таких биометрических технологий и меры по снижению вероятности их возникновения. Таким образом, Еврокомиссия намерена защитить персональные данных граждан ЕС и их права на неприкосновенность частной жизни [8]. В России же, наоборот, московская мэрия заложила планирует в 2020 году 8,4 миллиарда рублей на крупнейшую в мире городскую Big Data систему видеонаблюдения с функцией распознавания лиц [9]. О том, как на это реагирует общественность, мы рассказываем здесь.

Тем не менее, в нашей стране тоже задумываются об уязвимостях биометрических систем и невозможности полного перехода на них в условиях постоянных нарушений cybersecurity. Поэтому в январе 2020 года российская Госдума заморозила ранее принятый в 1-м чтении законопроект по сбору биометрии в банках. Несмотря на настойчивость Центробанка в продвижении этого документа, он вызвал ряд вопросов у силовых структур и у самих банков, которые должны нести расходы на закупку оборудования для снятия биометрии. Кроме того, у непосредственных пользователей – клиентов банков эта услуга не слишком востребована. Например, на 1 декабря 2019 г. сбор биометрических данных осуществлялся менее чем в 40% отделений кредитных организаций. А, согласно статистике «Ростелекома», на начало января 2020 года в единой биометрической системе было зарегистрировано около 110 тыс. человек. В связи с этим Госдума на неопределенный срок приостановила принятие законопроекта по сбору биометрических данных россиян. Однако, это временная мера, которая не отменяет общего тренда глобальной цифровизации на государственном уровне, когда биометрические персональные данные будут использоваться в качестве уникальных идентификаторов в различных бизнес-приложениях [6].

В следующей статье мы поговорим про характерные уязвимости биометрических систем, рассмотрев естественные ограничения по матрице ошибок (confusion matrix) и атаки злоумышленников. А реальные бизнес-приложения биометрии и практические мероприятия по защите больших данных разбираются на наших образовательных курсах в лицензированном учебном центре обучения и повышения квалификации ИТ-специалистов (менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data) в Москве:

• BDAM: Аналитика больших данных для руководителей
• DSEC: Безопасность озера данных Hadoop

Источники

1. https://www.securitylab.ru/news/500471.php
2. https://www.infowatch.ru/resources/analytics/leaks-monitoring/19567
3. https://www.infosecurity-magazine.com/news/aadhaar-id-card-scheme-135-million/
4. https://www.infowatch.ru/resources/analytics/digest/19796
5. http://www.iksmedia.ru/news/5566549-Biometriya-risk-utechki-est-vsegda.html
6. https://www.cnews.ru/news/top/2020-01-14_gosduma_otlozhila_prinyatie
7. https://www.anti-malware.ru/news/2019-11-21-1447/31354
8. https://www.securitylab.ru/news/504195.php
9. https://snob.ru/news/184520/