Баку 12°C
Крупнейший в мире банк данных взломали за $8 и 10 минут
Взлом крупнейшего в мире банка биометрических данных Индии всего за $8 и 10 минут показал обоснованность требований российских госорганов к безопасности персональных данных. Об этом ФБА «Экономика сегодня» рассказал завкафедрой информационной безопасности НИУ ВШЭ Александр Баранов.
«Взлом крупнейшей базы биометрических данных в Индии показал, что там безобразно относятся к информационной безопасности. С имеющегося рисунка отпечатка пальца злоумышленник может изготовить слепок, чтобы нанести его на предмет и использовать его в преступных целях. Но и это не самое страшное. Наилучший вариант - хакеры просто сотрут чьи-то данные с базы UIDAI, но ведь они могут и изменить их!
К примеру, вы обращаетесь в банк за кредитом, а в базе указана искаженная информация – вы крупный неплательщик и судимы за финансовые махинации. Естественно, вам откажут. Измененные данные могут навести подозрения полиции на невиновного человека или вовсе подменить личность – сделать биографию матерого преступника «чистой». Все это отнюдь не шутки, и требования России к биометрии всегда были оправданы, несмотря на критику», - отмечает специалист.
Накануне стали известны результаты эксперимента журналистов The Tribune в Индии – заказав у анонимного дилера в WhatsApp услугу, они сумели получить за 10 минут доступ в крупнейший банк биометрических данных в мире - системе UIDAI (Агентства Индии по уникальной идентификации). База содержит уникальные двенадцатизначные номера (Aadhaar), к которым привязаны имена людей, их адреса, телефонные номера и банковские данные, а также отпечатки пальцев и сканы радужной оболочки глаза. Всего в базе более миллиарда человек. «Помощник» запросил за услугу лишь 500 рупий (8 долларов), еще за 300 рупий предложил специальную программу, которая по полученным данным изготовит ID-карты пользователя UIDAI.
«В России закон о сохранении персональных данных реализуется очень жестко, требования на этот счет выпустили два регулятора – ФСБ и ФСТЭК. Третий регулятор – Роскомнадзор – проверяет выполнение этих требований. Если система аттестована этими ведомствами, то бояться нечего – личные данные граждан никуда не «уйдут».
В России уровень конфиденциальности данных достаточно высок, такие же должны быть у индийцев. Но прецедент показал, что они не исполняются. А значит, собиравшую данные компанию сейчас ждет вал судебных исков от граждан из-за морального ущерба и по ряду других поводов. И это правильно – любые прецеденты такого уровня должны стать примером миру, как нужно действовать и какие ошибки недопустимы», - считает эксперт.
Проект «Ладошки» и другие «опасные истории»
Обеспокоенность сбора биометрических данных россиян в сети, особенно детей, неоднократно выражал глава Роскомнадзора Александр Жаров – еще в ноябре 2017 года он говорил, что эти данные могут использовать мошенники. Чтобы оградить россиян от преступников, глава РКН выступил за обязательное информированное согласие на сбор таких данных граждан, а биометрическую идентификацию детей и подростков призвал «полностью исключить».
Отдельной критике со стороны надзорного органа подвергся проект Сбербанка «Ладошки», где предусмотрена идентификация несовершеннолетних. Предусматривалось, что по идентификации рисунка вен ребенка можно будет оплачивать питание в образовательных учреждениях, снимая денежные средства с банковских карт родителей, а также контролировать передвижение несовершеннолетнего. Жаров прокомментировал: подобные идеи - это «опасная история».
«Сбор биометрии у детей – в принципе плохая идея, и нынешняя разблокировка телефона отпечатком пальца крайне рискованная технология. Отпечаток можно использовать по-разному – злоумышленники в этом плане давно доказали свою изобретательность. Дети же намного менее устойчивы к воздействию, чем взрослые – из легко ввести в заблуждение, обмануть, запугать. Последствия могут быть самыми непредсказуемыми и печальными.
Сегодня мы не знаем, как наши операторы связи могут использовать биометрические данные, а отпечатки пальцев несовершеннолетних и вовсе попадают в западные компании. А ведь в России есть прямое требование на хранение данных россиян на территории РФ! Кто знает, как иностранные компании хранят ваши данные и копу их могут передавать? А ведь даже по смартфону можно составить о человеке подробнейший портрет – от фото и отпечатка до банковских счетов и привычек.
Проект Сбербанка «Ладошки» вполне объясним – программисты банка стремятся к повышению функционала, дабы привлечь больше клиента. Но информационная безопасность здесь отставляется на второй план. А ведь золотое правило гласит: самая безопасная система – та, что не работает, то есть просто выключена из электросети. Логично и обратное – наиболее уязвимы самые универсальные системы.
Вся работа по обеспечению безопасности состоит в поиске компромисса: что позволить программе, телефону или компьютеру, чтобы его пользователь был максимально защищен. Пока в России с этой задачей большей частью справляются. И Роскомнадзор перестраховывается в этих вопросах вполне оправданно – индийский прецедент это наглядно продемонстрировал», - заключает Александр Баранов....
«Взлом крупнейшей базы биометрических данных в Индии показал, что там безобразно относятся к информационной безопасности. С имеющегося рисунка отпечатка пальца злоумышленник может изготовить слепок, чтобы нанести его на предмет и использовать его в преступных целях. Но и это не самое страшное. Наилучший вариант - хакеры просто сотрут чьи-то данные с базы UIDAI, но ведь они могут и изменить их!
К примеру, вы обращаетесь в банк за кредитом, а в базе указана искаженная информация – вы крупный неплательщик и судимы за финансовые махинации. Естественно, вам откажут. Измененные данные могут навести подозрения полиции на невиновного человека или вовсе подменить личность – сделать биографию матерого преступника «чистой». Все это отнюдь не шутки, и требования России к биометрии всегда были оправданы, несмотря на критику», - отмечает специалист.
Накануне стали известны результаты эксперимента журналистов The Tribune в Индии – заказав у анонимного дилера в WhatsApp услугу, они сумели получить за 10 минут доступ в крупнейший банк биометрических данных в мире - системе UIDAI (Агентства Индии по уникальной идентификации). База содержит уникальные двенадцатизначные номера (Aadhaar), к которым привязаны имена людей, их адреса, телефонные номера и банковские данные, а также отпечатки пальцев и сканы радужной оболочки глаза. Всего в базе более миллиарда человек. «Помощник» запросил за услугу лишь 500 рупий (8 долларов), еще за 300 рупий предложил специальную программу, которая по полученным данным изготовит ID-карты пользователя UIDAI.
«В России закон о сохранении персональных данных реализуется очень жестко, требования на этот счет выпустили два регулятора – ФСБ и ФСТЭК. Третий регулятор – Роскомнадзор – проверяет выполнение этих требований. Если система аттестована этими ведомствами, то бояться нечего – личные данные граждан никуда не «уйдут».
В России уровень конфиденциальности данных достаточно высок, такие же должны быть у индийцев. Но прецедент показал, что они не исполняются. А значит, собиравшую данные компанию сейчас ждет вал судебных исков от граждан из-за морального ущерба и по ряду других поводов. И это правильно – любые прецеденты такого уровня должны стать примером миру, как нужно действовать и какие ошибки недопустимы», - считает эксперт.
Проект «Ладошки» и другие «опасные истории»
Обеспокоенность сбора биометрических данных россиян в сети, особенно детей, неоднократно выражал глава Роскомнадзора Александр Жаров – еще в ноябре 2017 года он говорил, что эти данные могут использовать мошенники. Чтобы оградить россиян от преступников, глава РКН выступил за обязательное информированное согласие на сбор таких данных граждан, а биометрическую идентификацию детей и подростков призвал «полностью исключить».
Отдельной критике со стороны надзорного органа подвергся проект Сбербанка «Ладошки», где предусмотрена идентификация несовершеннолетних. Предусматривалось, что по идентификации рисунка вен ребенка можно будет оплачивать питание в образовательных учреждениях, снимая денежные средства с банковских карт родителей, а также контролировать передвижение несовершеннолетнего. Жаров прокомментировал: подобные идеи - это «опасная история».
«Сбор биометрии у детей – в принципе плохая идея, и нынешняя разблокировка телефона отпечатком пальца крайне рискованная технология. Отпечаток можно использовать по-разному – злоумышленники в этом плане давно доказали свою изобретательность. Дети же намного менее устойчивы к воздействию, чем взрослые – из легко ввести в заблуждение, обмануть, запугать. Последствия могут быть самыми непредсказуемыми и печальными.
Сегодня мы не знаем, как наши операторы связи могут использовать биометрические данные, а отпечатки пальцев несовершеннолетних и вовсе попадают в западные компании. А ведь в России есть прямое требование на хранение данных россиян на территории РФ! Кто знает, как иностранные компании хранят ваши данные и копу их могут передавать? А ведь даже по смартфону можно составить о человеке подробнейший портрет – от фото и отпечатка до банковских счетов и привычек.
Проект Сбербанка «Ладошки» вполне объясним – программисты банка стремятся к повышению функционала, дабы привлечь больше клиента. Но информационная безопасность здесь отставляется на второй план. А ведь золотое правило гласит: самая безопасная система – та, что не работает, то есть просто выключена из электросети. Логично и обратное – наиболее уязвимы самые универсальные системы.
Вся работа по обеспечению безопасности состоит в поиске компромисса: что позволить программе, телефону или компьютеру, чтобы его пользователь был максимально защищен. Пока в России с этой задачей большей частью справляются. И Роскомнадзор перестраховывается в этих вопросах вполне оправданно – индийский прецедент это наглядно продемонстрировал», - заключает Александр Баранов....
