Четирите риска на отдалечената идентификация

Четирите риска на отдалечената идентификация

Какви са заплахите и какво може и трябва да се направи, за да се гарантира сигурността според експертите ENISA?

Майя Бойчева-Манолчева
594 прочитания

Дигиталната революция, която се разрази с особена сила през последните години и беше катализирана от пандемията, безспорно доведе до огромни ползи за европейската икономика. По-лесна търговия и услуги, нови възможности за бизнеса и по-висока производителност са само част от плюсовете, които експертите в областта обобщават.

Паралелно с това, излязоха доста въпросителни за сигурността при отдалечения процес на идентификация на потребителите, без който дигиталните услуги няма как да продължат да се развиват с настоящия темп. Какви са заплахите и какво може и трябва да се направи, за да се гарантира сигурността, разкриват експертите от Агенцията на Европейския съюз за киберсигурност (ENISA) в новия си доклад.

Отдалечена верификация на идентичността - какво е това?

Отдалечената верификация всъщност представлява процес, при който потребителят на онлайн услугите доказва, че той е притежателят на въпросната идентичност. Вариантите да се случи това са различни - през уебкамера или мобилно устройство, където потребителят показва лицето си и предоставя официални документи, издадени от държавата, като лична карта или паспорт. Разбира се, киберпрестъпниците вече са измислили как да заобикалят създадените системи, така че е от изключително значение да се разработят варианти за противодействие. Кои обаче са най-разпространените сценарии за измами?

Топ сценарии за измами

  • Фотоатаки. Това са атаки, при които се принтират снимки и се показват на екрана по време на процеса на верификация, като така измамникът се представя за друго лице. Този тип атаки се използват срещу системи, които приемат снимки или видео като верификация. Това е доста лесен метод, при който повечето услуги, базирани на изкуствен интелект, биха могли да разпознаят измамата. Обикновено разпознаването става заради различията между снимката и заобикалящата среда, разминавания в цвета на кожата на човека, неправилно позиционирани сенки и отражения и др. За да се справят с тези проблеми, измамниците са усъвършенствали атаката, като за целта използват 2D маски. Те могат да са принтирани или да се състоят от различни части на лицето на жертвата, но създават по-достоверни изображения, с повече сенки и дълбочина. Понякога дори в маските се изрязват дупки за очите, за да се гарантира "по-живо" изображение.
  • Атаки чрез видеовъзпроизвеждане. Това е по-усъвършенстван метод от фотоатаките. При този тип измама се използва екранcj на устройството, което престъпникът поставя пред камерата и пуска видео с лицето на жертвата. Трудността тук е да се намери или направи видео на атакувания, което да отговоря на специфичните изисквания на системата и да показва необходимото поведение и лицеви движения. Всички системи, независимо дали са изцяло автоматизирани, хибридни или се управляват от оператор, могат да изискват извършване на определени действия, например потребителят да затвори очите си или да завърти главата си. Ако престъпникът не е наясно с тези моменти, атаката няма да успее.
  • Атаки чрез 3D маски. Това са най-напредналите атаки с физически обекти. При тях се използват специално създадени 3D маски, които възпроизвеждат чертите на лицето и дори имат дупки за очите, за да се виждат движенията им и така да се вдъхне повече живот на изображението. 3D маските са едни от най-трудните за разпознаване. Носенето на такава маска може да заблуди дори човек при среща "на живо". Недостатъкът им е, че те все още не могат да възпроизведат напълно достоверно структурата, еластичността, цвета и несъвършенствата на кожата. Да не говорим, че създаването на такава маска изисква специфични умения и е доста скъпа дейност. Обикновена маска, която не е създадена за конкретно лице, струва около $3000.
  • Атаки чрез софтуер за фалшификати. Тези атаки използват софтуер, за да създадат видео или снимка, които реалистично пресъздават друг човек. Високото качество на видеото, добавената реалност и машинното самообучение дават възможност да се създаде фалшиво изображение на всеки, без да е необходимо притежаването на кой знае какви умения за обработка. За да осъществят тази атака, престъпниците трябва да имат достъп до доста широк набор от данни - снимки и видео на своите жертви. Усъвършенстваният вариант на този тип атаки включва използването на 3D кукли.

Как може да се противодейства?

Според експертите от ENISA за противодействие могат да бъдат използвани няколко вида контроли, като паралелното им прилагане осигурява по-ефективна защита.

  • Контрол на заобикалящата среда. Тук акцентът е върху минималните изисквания за качество на видеото или аудиото. Видеото с ниско качество може да попречи да се анализират елементите на картината. За по-голяма защита може да се въведе и изискването за използване на конкретно приложение. Важно е да се следи и за повторни опити за измама. Често, когато престъпникът е намерил вратичка, се опитва да извърши измамата няколкократно чрез използване на едно и също изображение, но с различни идентичности. Вариант за противодействие е проверката на метаданните на сесиите на отдалечената верификация, като геолокация, IP адрес, време, използван VPN и др.
  • Контрол на документа за самоличност. Включва се проверка дали документът не е бил загубен, откраднат, или не е с изтекъл срок на годност. Според анализаторите от ENISA най-добрата защита на личните документи в днешно време се гарантира от NFC чиповете. NFC чипът съдържа данните на документа, криптирани и дигитално подписани от органа, който го е издал. Така лесно може да се проследи дали е извършена измама и подправяне на данни. NFC чипът дава възможност за достъп и до снимка на лицето с висока резолюция, което не може да се гарантира при принтираните документи.
  • Откриване на атаки при представяне (Presentation Attack Detection или PAD). Това се извършва чрез специализиран софтуер, използващ изкуствен интелект и машинно самообучение, с цел да разбере дали лицето е на реален човек. Активните контроли изискват движение от страна на човека, като например да постави предмет пред лицето си, да проследи с очи обект и т.н. Пасивните използват задълбоченото изследване на лицето, мимики, цветови разминавания, слабо показани зъби или очи, дори наситеността на цвета на кожата и пулса. Използват се и методи за доказване, че изображението е триизмерно, а не двуизмерно, както би било при използване на разпечатана снимка например.
  • Организационни контроли. Следването на определени стандарти е задължително при темпа на развитие на технологиите днес. При отдалечената верификация на идентичността е задължителна норма да бъдат внедрени ISO/IEC 30107 и ISO/IEC 27001, както и другите стандарти от ISO/IEC 27000. Европейският институт за телекомуникационни стандарти също има подходящи стандарти за електронния подпис и инфраструктурите като ETSI TR 119 460 и ETSI TS 119 461.

Няма идеален вариант, когато става дума за избор на мерки за противодействие, които да бъдат приложени. Те зависят от сектора, профила и броя на потребителите, и степента на задоволеност, която се търси. Но основната препоръка на експертите от ENISA е въпросните контроли да бъдат внедрени по време на целия процес и периодично да се правят тестове и мониторинг на цялата система за отдалечена верификация на идентичността.

Още по темата може да научите от уебинара "Цифровата самоличност - практическо приложение и рискове". Събитието може да проследите "на живо" и безплатно днес (27 януари) от 14:00 тук.

Дигиталната революция, която се разрази с особена сила през последните години и беше катализирана от пандемията, безспорно доведе до огромни ползи за европейската икономика. По-лесна търговия и услуги, нови възможности за бизнеса и по-висока производителност са само част от плюсовете, които експертите в областта обобщават.

Паралелно с това, излязоха доста въпросителни за сигурността при отдалечения процес на идентификация на потребителите, без който дигиталните услуги няма как да продължат да се развиват с настоящия темп. Какви са заплахите и какво може и трябва да се направи, за да се гарантира сигурността, разкриват експертите от Агенцията на Европейския съюз за киберсигурност (ENISA) в новия си доклад.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК