ОЦЕНКА БЕЗОПАСНОСТИ УДАЛЕННОГО ДОСТУПА С ПРИМЕНЕНИЕМ БИОМЕТРИИ Текст научной статьи по специальности «Компьютерные и информационные науки»

И

Н

Ф

О

Р

М

А

Ц

И О Н Н Ы Е

ТЕХНОЛОГИИ И БЕЗОПАСНОСТЬ

Б.М. Захир, Е.К. Чаркина

ОЦЕНКА БЕЗОПАСНОСТИ УДАЛЕННОГО ДОСТУПА С ПРИМЕНЕНИЕМ БИОМЕТРИИ

В статье рассматриваются вопросы безопасности удаленного доступа, в котором используется процесс биометрической аутентификации. В качестве примера разбирается схема осуществления доступа к удаленным информационным ресурсам посредством банковского приложения на мобильных телефонах.

Ключевые слова: удаленный доступ, идентификация, аутентификация, биометрия, биометрический фактор, отпечаток пальца, риски безопасности, угрозы безопасности, мобильный удаленный доступ, банковские приложения, онлайн-банк.

Введение. Использование биометрии в современных системах управления доступом завладело умами пользователей и маркетологов как практически неотъемлемый символ безопасности. Доступ с применением биометрических данных осуществляется преимущественно удаленно, посредством мобильных телефонов. Сегодня наиболее широко данная технология раскрыта финансовым сектором: вход в банковские приложения, оплата по лицу в московском метро и некоторых кафе. Также существуют системы хранения паролей, как например от компании Kaspersky, где доступ к аккаунту осуществляется по биометрическому фактору.

Биометрия в банковских приложениях на мобильных телефонах

Осуществляют ли банковские приложения удаленный доступ в принципе?

Согласно определению ФСТЭК России (в сокращенном виде), удаленным доступом считается процесс получения доступа к объектам доступа информационной системы из другой информационной системы или средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой оно получает доступ.

© Б.М. Захир, Е.К. Чаркина, 2022.

Рассмотрим вопрос обеспечения безопасности. К управлению доступом всегда предъявляются высокие требования по безопасности, и тем более к удаленному доступу, так как он влечет за собой повышенные риски. Среди рисков безопасности удаленного доступа можно выделить следующие тезисы, разделенные на три категории. Организационные:

•Риск потери управления над удаленной информационной системой (угроза всем трем составляющим безопасности)

•Привязка к поставщику сервисов удаленного доступа к информационной системе, что влечет зависимость всех аспектов информационной безопасности от поставщика (угроза всем трем составляющим безопасности)

•Неполный перечень всех условий и уровней обслуживания (SLA), вследствие отсутствия опыта или навязывания текста провайдером услуг безопасности, что может отразиться, например, в виде неполного предоставления оплаченных услуг. В частности, услуг по обеспечению безопасности удаленного соединения (угроза всем трем составляющим безопасности)

•Риск уничтожения/разглашения идентификационной и/или аутентификационной информации субъекта доступа вследствие человеческого фактора (забыл пароль, потерял смарт-карту)

•Риск понижения контроля над доступом субъекта к информационным ресурсам вследствие произведения им множественной регистрации с различными идентификационными данными

•Риск увеличения негативного влияния человеческого фактора при применении мер безопасности повышенной надежности. К таким мерам можно отнести правило периодической смены паролей, доступ по usb-токену и тому подобные. Юридические:

•Неразвитость законодательной и подзаконной нормативной базы, что может повлечь недостаточность мер защиты против злоумышленников (угроза всем трем составляющим безопасности) Технические:

•Риск подмены объекта доступа (например, сайта при атаке типа «фишинг»), вследствие чего может произойти утечка идентификационной информации. Злоумышленник также может попытаться пройти процедуру удаленной аутентификации полученной информацией, что в случае его успеха влечет (угроза конфиденциальности и целостности)

•Риска атаки типа «человек посередине» (угроза конфиденциальности и целостности) •Риск полного совпадения идентификационной и/или аутентификационной информации двух или более субъектов доступа (одинаковый логин и пароль)

•Риск произведения доступа одного субъекта по идентификационным данным другого субъекта Использование биометрического фактора также влечет к увеличению рисков. И все они проистекают из статистической сути оценки совпадения предъявляемых биометрических данных с шаблонными. В связи с этим во всем мире приняты стандарты, указывающие на полный запрет использования биометрического фактора аутентификации в качестве единственного. Допускается только в совокупности с остальными не статистическими факторами.

Операции по переводу средств, базы учетных данных пользователей - объекты доступа - расположены в защищенных контурах банковских и финансовых организаций. А субъект доступа, то есть пользователь, находится за границами этого контура. Таким образом, удаленный доступ через банковские приложения полностью подпадает под действие документов по стандартизации. Однако в подавляющем большинстве событий доступа он производится по одному фактору - биометрическому, например, с помощью пальца.

Рассмотрим нормативно-правовую базу в области удаленного доступа с применением биометрических процедур, исходя из предположения, что существует набор специальных законодательных актов и стандартов, регламентирующих предмет приведенной выше проблемы. Обратимся к базе российской базе стандартов.

Утвержденных стандартизирующих документов в области мобильного удаленного доступа в Российской Федерации на сегодняшний день не существует. Присутствует только ПНСТ 379-2019 (ISO/IEC TR 30125:2016) «Информационные технологии. Биометрия. Применение биометрии в мобильных устройствах». Согласно п. 10 ст. 2 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации» Предварительный Национальный Стандарт (ПНСТ) - нормативный документ, разработанный на ограниченный срок (3 года) в целях накопления опыта в процессе его применения для последующей разработки на его основе национального стандарта России - ГОСТ Р. Таким образом, его срок истекает в этом году.

В тексте предварительного стандарта сказано, что он «... определяет использование биометрии в тех сценариях, в которых человек использует мобильное устройство для подключения к конкретной

службе независимо от типа мобильного устройства и канала связи». Отдельно надо отметить, что вопросы безопасности в документе не поднимаются. Стандарт приводит три ключевых фактора использования биометрии:

•условия окружающей среды сбора биометрических данных, при которых разработчикам приложений необходимы способы учета неконтролируемых условий окружающей среды сбора биометрических данных. Неконтролируемость условий окружающей среды сбора биометрических данных будет означать невозможность соответствия рекомендациям действующих биометрических стандартов для сбора биометрических данных (например, положение, фон и т. д.), а также повлечет за собой модификацию алгоритмов распознавания и/или порогов для учета снижения качества сбора биометрических данных, если приложение позволяет понизить уровень безопасности;

•конфиденциальность биометрических данных и последствия нарушения безопасности - размещение биометрических данных на коммерческих мобильных устройствах с уязвимостями безопасности и хранение биометрических данных в сторонних облачных реализациях;

•биометрическое распознавание, которое включает в себя процедуры сбора биометрических данных на коммерческих вычислительных мобильных устройствах с облачным распределением биометрических данных.

В терминах этого стандарта мобильное устройство представляет собой «небольшое, компактное, портативное, легкое вычислительное устройство, как правило, имеющее экран дисплея с входом для устройства ввода аналоговой (графической или речевой) информации и/или миниатюрной клавиатурой».

Этот стандарт - единственный открытый нормативный документ, который есть в открытом доступе на сегодняшний момент в мире (и его англоязычный аналог - ШО/ГБС TR 30125:2016). Из этого можно сделать вывод, что особой правовой среды у мобильной идентификации и аутентификации нет, и тем более нет стандартизированных требований к безопасности мобильных банковских приложений. А это в свою очередь говорит, что все эти вопросы подпадают под действие нормативно-правовых актов, регулирующих рассмотренную раннее область удаленной идентификации и аутентификации.

В условиях действия стандартов из области удаленного доступа, факт осуществления доступа в мобильное банковское приложение исключительно по биометрии становится очень острым вопросом. ГОСТ Р 58833-2020 содержит прямую формулировку, что нельзя использовать биометрию как единственный источник идентификационных данных и единственный фактор аутентификации.

Исследование схемы доступа к информационным ресурсам мобильного банковского приложения.

Основываясь на опыте использования приложений онлайн-банков, можно определить два уровня доступа - к сведениям счета и к проведению финансовых операций.

аутентификации -знания (пароль, пин)

аутентификации биометрии

Доступ к сведениям о банковских счетах

Всегда

Предоставление второго фактора аутентификации -владения (смс-код)

Доступ к операциям с банковскими счетами

Рис. 1.

Схема описывает аутентификационные процессы, которые видны со стороны пользователя. В приложение обычно осуществляется вход по пальцу или лицу. Однако раз в определенное количество входов (или в определенный период времени) запрашивается пин-код или пароль. После входа в приложение субъект доступа получает возможность просмотра средств на счетах данного банковского аккаунта, а также к просмотру настроек. Появляется возможность заблокировать какую-либо карту, или сменить пользователя приложения. Как видно, к сведениям о банковском счете возможно получить доступ исключительно по биометрии, что противоречит нормативным документам. Можно предположить, что в качестве мер по устранению этого противоречия можно обозначить информацию о банковских счетах как не требующую защиты. Но согласно статье 26 ФЗ № 395-1 «О банках и банковской деятельности» от 02.12.1990, данные о банковских счетах пользователей, а именно: тип открытых счетов, дату оформления, хранимую сумму денег, приходно-расходные операции, наличие валютных счетов, остатка и прихода/расхода средств по ним входят в перечень сведений, составляющих банковскую тайну, что не позволяет сгладить нарушение защищенности доступа к сведениям о банковском счете.

Операции с денежными средствами, все же, не имеют столь слабой защиты. Тут начинают выполняться рекомендации стандартов, и появляется второй фактор аутентификации в виде смс-кода, который надо ввести в приложение. Таким образом можно считать, что все операции с финансовыми средствами действительно защищены в соответствии со всеми регламентирующими документами.

В свете полученных выводов лишается всякого смысла опрос о том, передается ли биометрия банку. Удаленный биометрический доступ в данном контексте создавал бы обязательства по более строгому обеспечению безопасности процесса обмена данными, но как можно видеть, передавать данные банковскому приложению и не требуется. Таким образом, удаленным образом осуществляется именно однофакторная аутентификация при доступе к сведениям о банковских счетах, но по какому именно фактору - неизвестно. Можно предположить, что финансовые операторы в своих приложениях таким образом реализовали проверку фактора владения мобильным телефоном, и по каналам связи именно аутентификационная информация устройства.

Существует и второе обстоятельство в пользу предположения, что биометрия на самом деле не используется сегодня для удаленного доступа. Он состоит в том, что почти все российские банки сегодня входят в Единую Биометрическую Систему. Это означает, что сдача биометрических данных человека для создания его шаблонной аутентификационной информации производится только в офисах финансовых операторов и носит строго регламентированный характер.

Заключение

В данной работе были рассмотрены по отдельности все составляющие понятия темы особенностей удаленного доступа с применением биометрии. Дано подробное объяснение основ управления доступом, приведены предпосылки возникновения более сложного процесса - удаленного доступа. Рассмотрена существующая на этот счет нормативно-правовая база, проведено исследование возможных рисков удаленных идентификации и аутентификации. Проведено исследование особенностей биометрических методов идентификации и аутентификации: рассмотрены стандарты, описывающие эти процессы и осуществлено сравнение различных методов. В заключение были освещены проблемы удаленного доступа с применением биометрии и поднят актуальный вопрос о процессе управления доступом при работе банковских приложений.

Библиографический список

1.ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» от 10 апреля 2020. URL: https://docs.cntd.ru/document/1200172576#7D20K3

2.ГОСТ Р 59383-2021 «Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления доступом» от 20 мая 2021. https://docs.cntd.ru/document/1200179662

3.Методический документ «Меры защиты информации в государственных информационных системах», утвержденный приказом ФСТЭК России 11 февраля 2014 года. https://fstec.ru/component/attachments/download/675

4.ГОСТ Р 7.0.94-2015 Система стандартов по информации, библиотечному и издательскому делу. Комплектование библиотеки документами. Термины и определения (Переиздание) от 09 декабря 2015. https://docs.cntd.ru/document/1200127747

5.ГОСТ Р 7. 0.103—2018 Библиотечно-информационное обслуживание. Термины и определения. https://ngonb.ru/docs/GOST bib-informational-service.pdf

6.ГОСТ 20886-85 Организация данных в системах обработки данных. Термины и определения (с Изменениями N 1, 2) от 31 января 1985. https://docs.cntd.ru/document/1200015708

7.ГОСТ Р 50304-92 Системы для сопряжения радиоэлектронных средств интерфейсные. Термины и определения от 25 сентября 1992. https://docs.cntd.ru/document/1200025621

8.ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер (Издание с Поправкой) от 08 августа 2017. https://docs.cntd.ru/document/1200146534

9.ГОСТ Р 51241-2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний от 17 декабря 2008. https://docs.cntd.ru/document/1200071688

10.Г0СТ ISO/IEC 17788-2016 Информационные технологии (ИТ). Облачные вычисления. Общие положения и терминология от 10 ноября 2016. ГОСТ ISO/IEC 17788-2016 Информационные технологии (ИТ). Облачные вычисления. Общие положения и терминология от 10 ноября 2016 - docs.cntd.ru

11.ГОСТ ISO/IEC 19794-1-2015 Информационные технологии (ИТ). Биометрия. Форматы обмена биометрическими данными. Часть 1. Структура от 20 ноября 2015. https://docs.cntd.ru/document/1200129505

12.ГОСТ Р ИСО/МЭК 19794-5-2013 Информационные технологии (ИТ). Биометрия. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица (с Изменениями N 1, 2) от 06 сентября 2013. https://docs.cntd.ru/document/1200108287

13.ГОСТ ISO/IEC 2382-37-2016 Информационные технологии (ИТ). Словарь. Часть 37. Биометрия от 27 февраля 2017. https://docs.cntd.ru/document/1200144206#7D20K3

14.ГОСТ Р 54412-2019 (ISO/IEC TR 24741:2018) Информационные технологии (ИТ). Биометрия. Общие положения и примеры применения от 19 ноября 2019. https://docs.cntd.ru/document/1200169607

15.ГОСТ 25868-91 Оборудование периферийное систем обработки информации. Термины и определения от 28 декабря 1991. https://docs.cntd.ru/document/1200015782

16.ПНСТ 379-2019 (ISO/IEC TR 30125:2016) Информационные технологии (ИТ). Биометрия. Применение биометрии в мобильных устройствах от 19 декабря 2019. https://docs.cntd.ru/document/1200170441

17. Федеральный закон от 31 декабря 2017 г. N 482-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации". https://www. garant. ru/hotlaw/federal/1158557/

18.ФЗ № 395-1 «О банках и банковской деятельности» от 02.12.1990, статья 26. http://www.consultant.ru/document/cons doc LAW 5842/5583e2cafb06542e33c725aa32666e8ab89b1cdc/

19.Предоставление доступа к информационным ресурсам, Блог компании Ростелеком. https://rt-solar.ru/products/solar inrights/blog/2297/

20. Аутентификация в распределенных информационных системах, Сабанов А., 15.09.2008. https://www. aladdin-rd.ru/company/pressroom/articles/autentifikacia v raspredelennyh informacionnyh sistemah

21.Информационная безопасность: ISSP \ Домен 02. Управление доступом. Часть 5. http://dorlov.blogspot.com/2009/09/issp-02-5.html

22.Уровни доверия к аутентификаторам, Сабанов А., 21.05.2019. https://www.aladdin-rd.ru/company/pressroom/articles/urovni-doveria-k-autentifikatoram

23.Удаленная идентификация, Банк России. https://cbr.ru/fintech/digital biometric id/

24.КИИ: Удаленный доступ к значимым объектам КИИ, Александр Кузнецов, 22.11.2018. URL: https://www.securitylab.ru/blog/personal/eNotepad/345188.php

25.Об оценке рисков удалённой аутентификации как процесса, Сабанов А., 24.04.2013. https://www.aladdin-rd.ru/company/pressroom/articles/ob ocenke riskov udalennoj autentifikacii kak processa

26.Предварительная оценка рисков удалённой аутентификации. Часть 1, Сабанов А., 07.06.2013. https://www.aladdin-rd.ru/company/pressroom/articles/predvaritelnaa ocenka riskov udalennoj autentifikacii cast 1

27.Защищенный удаленный доступ для разных платформ, специфика и особенности, Куликов Андрей Валерьевич из «Новые технологии безопасности», Рускрипто 25-28 марта 2014 года. https://www.ruscrypto .ru/resource/archive/rc2014/files/09 kulikov.pdf

28.Об управлении рисками идентификации и аутентификации при удаленном электронном взаимодействии, Сабанов А., Уральский форум, 31.05.2017, https://31may.ib-bank.ru/files/files/2017/11 sabanov.pdf

29.Место биометрии в иерархии доверия в идентификации и аутентификации, Сабанов А., Уральский форум, 16.02.2017, https://ib9.ib-bank.ru/files/files/2017/44 sabanov.pdf

30.Об управлении рисками идентификации и аутентификации при удаленном электронном взаимодействии, Сабанов А., Уральский форум, 15.02.2018. https://ural.ib-bank.ru/files/files/materials2018/38%20Sabanov.pdf

31.Об управлении рисками идентификации и аутентификации при удаленном электронном взаимодействии. Материалы в Круглому столу, Сабанов А., 20.02.2019. https://ural.ib-

bank.ru/files/files/materials2019/Large/33%20Sabanov.pdf

32.Об аутентификации при организации доступа к "облачным" сервисам в информационных системах общего пользования, Сабанов А., 2012.

https://vk.com/doc134640545 638170386?hash=zYjOEs6ZK6ABBQOUDVaxS5kmENy6H2TZVcSKGKa4WGc&dl=jzzrY ktcpDR1 k4aJLiF gZyhv763aF7bI9P7J4hsOfKz

33.Особенности аутентификации при доступе к облачным сервисам, Сабанов А., 2013. Особенности аутентификации при доступе к облачным сервисам (cvberleninka.ru)

34. Методика идентификации рисков процессов аутентификации, Сабанов А. https://cyberleninka.ru/article/n/metodika-identifikatsii-riskov-protsessov-autentifikatsii/viewer

35. Сравнительный анализ методов биометрической идентификации личности, А.Г. Сабанов, С. Г. Смолина. http://www.isa.ru/proceedings/images/documents/2016-66-3/t-16-3 11 -20.pdf

36.COMPARISON OF VARIOUS BIOMETRIC METHODS, Alina Klokova, University of Southampton, 2014. https://docplayer.net/45134412-Comparison-of-various-biometric-methods.html

37.Iris recognition as a biometric method after cataract surgery, Roberto Roizenblatt, Paulo Schor, Fabio Dante, Jaime Roizenblatt and Rubens Belfort Jr , Federal University of Sao Paulo-Vision Institute, 2004. https://biomedical-engineering-online.biomedcentral.com/track/pdf/10.1186/1475-925X-3-2.pdf

38.Удаленная идентификация/аутентификация с использованием биометрии, Валерий Конявский, зав. кафедрой "Защита информации" МФТИ, д.т.н., журнал "Information Security/ Информационная безопасность" #4, 2019. https://lib.itsec.ru/articles2/biometric/udalennaya-identifikatsiya-autentifikatsiya-s-ispolzovaniem-biometrii

39.Изменение в законодательстве по сбору и использованию биометрических данных, 2021. https://arb.ru/site/docs/20210521PODFT/2021-05-21 EBS.pdf

40.Единая биометрическая система | Часто задаваемые вопросы. https://bio.rt.ru/faq/security/

41.В сети кафе Prime появилась возможность оплаты «лицом» - Новости ритейла и розничной торговли, 2020. https://www.retail.ru/news/v-seti-kafe-prime-poyavilas-vozmozhnost-oplaty-litsom-17-dekabrya-2020-200607/

42.Банковская тайна. Разглашение сведений. https://assistentus.ru/vedenie-biznesa/bankovskaya-tajna/

ЗАХИР БОРИС МАКСИМОВИЧ - студент, Московский государственный университет им. Н. Э. Баумана, Россия.

ЧАРКИНА ЕЛЕНА КОНСТАНТИНОВНА - студент, Московский государственный университет им. Н. Э. Баумана, Россия.