Алексей Кузьмин («Инфосистемы Джет»): «В лице интегратора, занимающегося и биометрией, и ИБ, вы получаете надежного защитника вашей биометрической системы»

Сила интегратора в том, что он может выполнять комплексные проекты с применением биометрических технологий. Показательным может служить проект, где «Инфосистемы Джет» реализовали функции прохода на территорию заказчика, регистрации посетителей и аутентификации на рабочие станции при помощи распознавания изображения лица. О биометрии в проектах системного интегратора рассказывает начальник отдела биометрических технологий и систем аутентификации центра прикладных систем безопасности «Инфосистемы Джет» Алексей Кузьмин.

– Алексей, какие технологии биометрии сейчас наиболее распространены, у каких заказчиков прежде всего? Происходит ли импортозамещение в этой области, какие зарубежные решения заменяются отечественными, насколько успешно?

– Наиболее распространенными биометрическими методами являются распознавание по изображению лица, отпечатку пальца, рисунку вен ладони и голосу. Биометрические системы состоят из аппаратного (считывателей) и программного обеспечения. С импортозамещением аппаратного обеспечения пока возникают трудности в части электронных комплектующих, которые практически полностью идут из-за рубежа. На рынке есть отечественные организации, которые осуществляют проектирование биометрического оборудования и его сборку на собственных мощностях, используя иностранные и отечественные комплектующие. Например, они делают решения для распознавания изображений лица и рисунка вен ладони.

С программной частью проблем в импортозамещении нет. Отечественные алгоритмы биометрического распознавания находятся в числе лидеров, что подтверждено различными международными тестами.

 

Начальник отдела биометрических технологий и систем аутентификации центра прикладных систем безопасности «Инфосистемы Джет» Алексей Кузьмин

 

В каких случаях применение технологий биометрии в проводимых интеграторами проектах особенно важно? Приведите примеры, где биометрия помогает решить действительно важные задачи, и без нее не обойтись.

В октябре на московском SOC-Форуме 2022 специалисты компании «Инфосистемы Джет» рассказали о том, как повысить эффективность SOC и прокачать навыки его команды с помощью подхода Purple Teaming. Это прогрессивный формат оценки кибербезопасности ИТ-инфраструктуры в процессе киберучений (пентестов), предполагающий скоординированную совместную работу атакующих (Red Team) и защищающихся (Blue Team). Спикеры указали на типовые проблемы SOC и недостаток применяющихся способов проверки, продемонстрировали работу Purple Team в теории и на практике (см. ИТ-класс раздела «Инфосистемы Джет» от 21 декабря 2023 г.).

– Применение биометрии следует рассматривать как с точки зрения удобства пользователя, так и безопасности. Биометрия обеспечивает удобный метод идентификации и аутентификации: не надо запоминать пароль или носить с собой смарт-карту. Все уже при вас. В свою очередь безопасность обеспечивается неотчуждаемостью биометрических данных от человека.

Можно выделить несколько ситуаций, где без биометрии практически не обойтись. Например, для обеспечения физической безопасности интеграция систем распознавания лиц и видеонаблюдения позволяет контролировать доступ к зонам, которые по тем или иным причинам не могут быть ограничены другими механизмами – дверьми с замками, турникетами и т.д.

Для информационной безопасности это задачи подтверждения значимых операций в информационных системах (например, подтверждение перевода на большую сумму в банковской системе), а также постоянного контроля, что за компьютером находится ранее авторизированный пользователь.

Какие средства защиты данных биометрии используются? Приведите примеры, где риск потери биометрических данных действительно существенный и от сдачи биометрии есть смысл воздержаться. Какими способами интегратор может снизить эти риски?

– Меры защиты информации должны применяться в соответствии с актуальными угрозами безопасности этой информации. Если говорить о биометрических данных, то основные угрозы находятся на уровне хранения данных и на уровне их передачи между компонентами биометрической системы. Для надежного хранения биометрических данных должно применяться его шифрование. При этом стоит отметить, что биометрические данные хранятся в виде биометрического шаблона, по которому невозможно восстановление исходного изображения биометрической характеристики. Для безопасной передачи биометрических данных взаимодействие между компонентами системы должно осуществляться с использованием алгоритмов шифрования и контроля целостности траффика.

Алмазэргиэнбанк модернизировал свою сетевую инфраструктуру. В рамках проекта реализована бесшовная миграция на новую отказоустойчивую сеть. Проект выполнила ИТ-компания «Инфосистемы Джет». Специалисты ИТ-компании обновили сетевое оборудование во всех филиалах банка и перевели работу сети передачи данных на протокол маршрутизации BGP (см. новость раздела «Инфосистемы Джет» от 12 декабря 2022 г.).

Защита биометрических данных, впрочем, как и любой другой информации, - это комплексная задача. Необходимо обеспечение физической безопасности при доступе к биометрическим считывателям и серверам системы, разграничение доступа к функциям администраторов, антивирусная защита и прочее.

Интегратор, который специализируется на построении биометрических систем, может подобрать для заказчика биометрические продукты, в которых соблюдаются меры по защите информации. Интеграторы, специализирующиеся на информационной безопасности, могут решить комплексные задачи по защите информации. В лице интегратора, занимающегося и биометрией, и ИБ, вы получаете надежного защитника вашей биометрической системы.

Регулирование в части биометрии - как изменения в законодательстве отражаются на ходе проектов, какие законы обязаны учитывать в своей работе интеграторы, а исполнение каких находится в зоне ответственности компании-заказчика?

– Список законов довольно обширен. Из основных стоит отметить нормативно-правовые документы в области обработки и защиты ПДн (ФЗ-152, приказ ФСТЭК №21 и др.), документы, определяющие порядок обработки биометрических персональных данных, требования к аккредитации организаций, осуществляющих идентификацию и аутентификацию биометрическими методами и прочее.

Из свежего это Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных».

 

 

Опыт вашей компании в этом направлении, наиболее интересные и показательные проекты.

Компания «Инфосистемы Джет» помогает заказчикам успешно решать задачи, связанные с ИТ-мониторингом. В частности, вместе с компанией «ВымпелКом» специалисты «Инфосистемы Джет» модернизировали существующую систему мониторинга ИТ-инфраструктуры. Еще один показательный проект был реализован в Алмазэргиэнбанке, для которого была создана централизованная система мониторинга ИТ-инфраструктуры. Об этом рассказывает руководитель направления мониторинга компании «Инфосистемы Джет» Алексей Акопян (см. интервью раздела «Инфосистемы Джет» от 7 декабря 2022 г.).

– Сила интегратора в том, что он может выполнять комплексные проекты с применением биометрических технологий. Под комплексными в данном случае подразумеваем такие проекты, где реализуется не одна функция безопасности, например, проход на территорию, а несколько. Или для того, чтобы реализовать требования к системе, необходимо использование и интеграция продуктов нескольких вендоров.

Показательным в данном случае может служить проект, где мы реализовали функции прохода на территорию заказчика, регистрации посетителей и аутентификации на рабочие станции при помощи распознавания изображения лица. При этом сотрудник или посетитель регистрирует биометрию единожды, в первый день работы или при первом посещении. Биометрические данные сохраняется в единой базе и затем используются при выполнении всех перечисленных выше функций системы.

По вашему мнению, как пойдет распространение биометрических технологий в ближайшем будущем, в более отдаленном?

– Я считаю, что применение биометрических технологий будет расширяться. Вся история развития технологий говорит о том, что большее распространение получает та, которая удобнее. Далее уже вокруг этой технологии выстраиваются смежные процессы, обеспечивающие ее использование, прежде всего -- процессы безопасности. Удобство биометрии для целей идентификации и аутентификации очевидно. Человеку не надо что-то запоминать, как пароль, или носить с собой, как смарт-карту. Ваш идентификатор всегда с вами.

Большое спасибо за беседу!

Автор: Анна Тумакова.

Тематики: Интеграция, Безопасность

Ключевые слова: Инфосистемы Джет, биометрические системы