Введение
В современном мире тема защиты персональных данных стоит максимально остро. Защита информации – актуальный вопрос для любого предприятия и учреждения во всем мире, в 2022 году, и в России ситуация ничем не отличается. Любое предприятие или учреждение, работающее в России, должен знать определенные основные принципы, регулирующие защиту конфиденциальной информации, в частности, при обмене конфиденциальной информацией.
В ст. 2 Федерального закона «Об информации, информатизации и защите информации» № 24-ФЗ [1] можем найти определение понятию «информация». Информация трактуется в законе, как любая информация, независимо от формы. В п. 7 ст. 2 Закона об информации мы можем найти определение «конфиденциальной информации», закон трактует, как передача информации третьим лицам без согласия собственника.
Обладателем информации является лицо, создающее информацию самостоятельно или уполномоченное разрешать, или ограничивать доступ к информации, каким-либо образом определенной на основании закона или договора.
Четко обозначим понятие конфиденциальной информации – это информация с ограниченным доступом. В узком смысле конфиденциальная информация имеет особую ценность для людей, работающих на государственной службе или работающих в организации.
Такие понятия как идентификация и аутентификация, разграничение доступа можно считать фундаментальными понятиями и рассматривать как основу программных и аппаратных средств безопасности. Идентификация и аутентификация – это первая линия защиты, «шлюз» в информационное пространство организации.
Присвоение индивидуального идентификатора субъектам и объектам доступа и сопоставление его с заданным перечнем именуется идентификацией [2]. Идентификация обеспечивает следующие функции системы защиты информации: аутентификация и определение возможностей субъекта при входе в систему, контроль возможностей, которые определяются во время рабочего сеанса; определение действий и др.
Разберем на примере понятия идентификация и аутентификация.
Допустим, субъект хочет войти в учётную запись Google.
Первый шаг. Субъект вводит логин, система распознаёт его как существующий и допускает субъекта до следующего шага – это идентификация.
Второй шаг. Субъект вводит пароль, если пароль совпадает, то система соглашается с тем, что субъект реальный владелец аккаунта – это аутентификация.
Третий шаг. Субъекту приходит письмо на привязанную к аккаунту электронную почту, в котором субъект подтверждает, что именно он сейчас вошёл в свой аккаунт.
Этот пример наглядно демонстрирует усиленную аутентификацию.
Существующие на сегодняшний день средства и методы защиты информации становятся наиболее подверженными удачным взломам и несанкционированному доступу, в результате чего актуализируется роль разработки и интеграции инновационных средств обеспечения защищенности информации.
В последнее время популярность биометрии значительно выросла. Системы биометрической аутентификации установлены буквально в каждом мобильном устройстве.
Биометрическая аутентификация – это процесс предоставления пользователем для проверки своих биометрический данных системе и предоставления пользователю доступа к системе. Сбор биометрической информации осуществляют специальные считыватели. Биометрическая аутентификация выделяется тем, что информация необходимая для получения доступа к информации, всегда находится при пользователе и ее практически невозможно утратить.
Способы распознавания, используемые в системах биометрической аутентификации:
Радужная оболочка глаза: В течение жизни оболочка глаза не изменяется, поэтому такой способ аутентификации считается довольно безопасным. Каждая оболочка, подобно отпечаткам пальцев, является уникальной, два идентичных рисунка найти не получилось. Заметным недостатком метода считается его дороговизна, что мешает его выходу в широкий рынок. Данный метод основан на считывании уникального строения радужной оболочки глаза. Биометрические считыватели выделяют на рисунке радужки порядка 250 точек. Сканирование происходит благодаря фотографии, сделанной с расстояния от 10 сантиметров до 1 метра. Это позволяет точно аутентифицировать пользователя [4]. На конференции Black Hat в Лас-Вегасе представлен доклад от группы исследователей из Испании и США, в котором речь идёт о возможности обмана сканеров радужной оболочки глаза.
Исследователи взяли коды радужных оболочек из открытых баз данных Bio Secure и университета Западной Виргинии. Затем они с помощью генетических алгоритмов рассчитали изображения, чтобы в результате сканирования конкретного пользователя получился такой же код, как от оригинального изображения. По мнению учёных, результат вполне способен обмануть даже самые точные и надёжные из современных сканеров радужной оболочки глаза, такие как VeriEye (на нём тестировали результат). Эта система сравнивает изображения по 5000 битам данных. Известно, что в результате нескольких сканирований одного глаза всегда получаются разные коды, так что для подделки личности достаточно добиться достаточно близкого, но не абсолютно одинакового результата.
В отличие от сканирования по сетчатке глаза, в этом методе не используется инфракрасное излучение, что позволяет минимизировать риски для зрения. Это позволяет уменьшить угрозы здоровью пользователя при регулярном использовании.
Сетчатка глаза: Метод используется еще с конца 50-х годов XX века, что делает его одним из самых старых способов биометрической аутентификации. Основа технологии – неповторимость рисунков кровеносных сосудов на сетчатке глаза.
Инфракрасное излучение, используемое здесь, может негативно повлиять на зрение человека. Однако невероятно большой уровень безопасности обеспечивается именно сканированием сетчатки глаза. Долгое время считалось, что сканер сетчатки глаза – один из самых надежных способов защиты информации. Оказалось, что это не так. По крайней мере, со смартфонами Samsung, в которых встроен подобный девайс.
Для того чтобы взломать сканер сетчатки глаза, хакерам понадобился сканер, принтер и контактная линза. Глаз они сфотографировали в ночном режиме, а затем распечатали полученный снимок в виде инфракрасного изображения. Затем его поместили на контактную линзу и при помощи ее разблокировали смартфон. А это значит, что разработчикам гаджетов снова нужно будет потрудиться, чтобы решить эту задачу – как обезопасить смартфон от вторжения злоумышленников.
Отпечаток пальца: Метод аутентификации с использованием сканера отпечатка пальца является самым распространенным на сегодняшний день. Принципиальной особенностью является биометрический считыватель, который сканирует рисунок папиллярных узоров на пальцах. Далее следует преобразование отпечатка в цифровой код и сравнение его с другими образцами в базе [3].
Различают три типа подобных считывателей: оптические, прокатные и емкостные. Наиболее популярный и дешевый тип – оптический, но также он и самый незащищенный. Он допускает использование поддельных отпечатков.
Отпечатки пальцев – это ключи, которые мы оставляем везде: на ручках дверей, на бокалах, на прилавках и прочих поверхностях. При хорошем качестве отпечатка можно сделать его и фото, которое можно отредактировать в фоторедакторе для достижения необходимого результата. Готовое изображение необходимо распечатать на ацетатном листе, используя лазерный принтер и создавая трехмерную модель отпечатка. Последнее усилие – нанести на отпечаток столярный клей, чтобы получить слепок.
Геометрия лица: Каждый человек обладает уникальной формой черепа и лица. Камера производит снимок и уже, потом происходит сканирование. Система выделяет до 45 особых элементов (форма и размер носа, глаз, бровей, губ и т. д.), что позволяет создать уникальный шаблон для распознавания пользователя [5].
Технология является чрезвычайно недорогой, потому стала появляться практически во всех выходящих мобильных устройствах и операционных системах. Главным недостатком можно выделить низкий уровень приспосабливаемости, из-за чего различные внешние элементы (серьги, маски, загар, очки и т. д.) не позволяют корректно аутентифицировать пользователя. В современном мире не существует эффективного способа обхода данной технологии, но уже сейчас есть работы с нейросетевыми подходами, которые умеют из «плоской» фотографии строить 3D-карту лица. Возможно, в ближайшем будущем технология, работающая с помощью алгоритмов машинного обучения, которые анализируют строение лица на фото и создают соответствующую ему 3D-модель, станет доступна широким массам, и любой человек сможет распечатать такую модель на 3D-принтере
Рукописный почерк: Рукописный почерк – это один из самых старых методов аутентификации. Подписи, как инструмент аутентификации личности используются очень долго. С появлением цифровых технологий подписи стали использоваться для получения доступа к информации [6, с. 110-111].
Часто распознавание по рукописному почерку используется в комбинации с другими методами. Такая технология, как правило, используется в банках, государственных и военных предприятиях.
Голос: Распознавание по голосу – это динамический метод аутентификации, т. к. он поддается изменчивости. Из технических устройств используются микрофон и звуковая плата. Технология изучает высоту голоса, модуляцию, интонацию, скорость речи, ее эмоциональность.
Данная система не считается очень надежной и стабильной, поэтому используется в основном в комбинации с другими системами или для защиты некрупных и неважных данных. Например, технология используется для голосовых помощников [7, с. 70-73].
Исследователи в сфере безопасности из Китая научились активировать системы речевого ввода, не произнося ни слова. Для этого используются высокочастотные звуки, которые не может услышать человек, – с их помощью можно вызвать практически всех известных «интеллектуальных помощников» без ведома владельца устройства
Форма руки: Для данной технологии используется особенность формы руки. Собираются данные: о длине, ширине кисти, длине и ширине пальцев, индивидуальных особенностях, глубине морщин и т. д. Проанализировав эту информацию, система строит ЗД-модель кисти. Уровень безопасности находится на довольно большом уровне, так как учитывается множество характеристик. Данная система довольно специфичная и довольно редкая. Для взлома не нужно ничего распечатывать на 3D-принтере, сканировать руки со всех сторон или использовать другие излишне технологичные штуки. Достаточно взять цифровой фотоаппарат, редактор фотографий типа Photoshop, лазерный принтер, воск и специальный фотофильтр для объектива. Подготовиться ко взлому довольно просто: фотографируете ладонь и настраиваете контраст готовой фотографии. Получившееся изображение распечатываете на обычном лазерном принтере. Затем из пластилина нужно сделать форму руки, куда будет залит воск: Далее на воск нужно положить распечатанный рисунок и накрыть его ещё одним тонким слоем воска.
Типы биометрической аутентификации
Статический тип – это методы аутентификации, основанные на неизменяемых биологических данных человека, например отпечаток пальца, радужная оболочка глаз, геометрия руки и т. д.
Динамический тип – это методы аутентификации, основанные на поведенческих данных человека, таких как, голос, рукописный и клавиатурный почерк.
Биометрические системы аутентификации уже много лет подтверждают свою работоспособность и эффективность в области защиты информации. Эта надежность характеризуется тем, что для получения доступа к данным не нужен пароль или ключ, которые можно забыть или взломать. Все данные нужные для аутентификации находятся при пользователе, биометрические данные на практике подделать невероятно сложно. Биометрическая аутентификация - одна из самых безопасных на сегодняшний день.
В сравнении с другими способами аутентификации, стоит отметить высокую скорость аутентификации личности.
В ходе анализа наиболее популярных методов биометрической аутентификации, было выявлено, что сами по себе методы аутентификации довольно надежны, однако наивысшую степень безопасности они демонстрируют в комбинации с другими. Это сильно понижает риск недобросовестного получения личной информации.
.png&w=640&q=75)
