Saugumo ekspertas apie biometrinės apsaugos galimybes

Vis daugiau skaitmeninių įrenginių aprūpinami biometrinėmis saugumo priemonėmis. Jos pakeičia įprastus slaptažodžius ar PIN kodus bei leidžia patogiau atrakinti išmanųjį telefoną ar kompiuterį. Šiuo atveju slaptažodį atstoja mūsų piršto atspaudas, veidas ar akies rainelė. Šios priemonės tinka asmeniniams įrenginiams apsaugoti. Apie jų privalumus ir trūkumus pasakoja saugumo ekspertas ir įmonės „NRD Cyber Security“, kuri specializuojasi saugumo operacijų centrų kūrime, reagavimo į kibernetinius incidentus gebėjimų stiprinime bei IT saugumo automatizacijoje, vadovas Vilius Benetis.

Nuo filmų prie realybės

Prieš gerą dešimtmetį biometrines apsaugos priemones dažniausiai buvo galima išvysti TV ekrane – fantastinio ar šnipų žanro filmuose. Šiandien tai tapę kasdienybe – jos naudojamos nešiojamuosiuose kompiuteriuose ir aukštesnės klasės išmaniuosiuose telefonuose. Tie, kas kartą jas išbando, dažniausiai nenori grįžti prie anksčiau naudotų įrenginių apsaugos būdų. Biometriniai apsaugos sprendimai veikia greitai ir yra patogūs vartotojui, jų, skirtingai nei įprastų slaptažodžių, neįmanoma pamiršti.

Pasak saugumo eksperto V. Benečio, patogumo aspektas – vienas iš pagrindinių tokių apsaugos priemonių pranašumų. „Sritys, kur biometrinius duomenis patogu naudoti ir mažai rizikinga yra tos, kuriose jie nėra saugomi centralizuotose duomenų bazėse, t. y. kur juos galima apsaugoti užšifruojant techninėje įrangoje, pavyzdžiui, vartotojo telefone“, – sako ekspertas.

Dėl to biometrinius duomenis galima panaudoti ne tik įrenginiams atrakinti, bet ir prie įvairių programėlių, įskaitant ir „Swedbank“ išmaniąją programėlę, prisijungimo. Tiesa, banko programėlė turi papildomas saugumo priemones ir, pavyzdžiui, norint per ją atlikti didesnės vertės pavedimus, juos reikės patvirtinti su „Smart-ID“ ar PIN kodų generatoriumi.

Dėmesys pačių duomenų apsaugai

Šių, kaip ir bet kurių kitų saugumo sprendimų veiksmingumas priklauso ir nuo to, kur ir kaip juos naudoja pats vartotojas. Priešingai nei vaizduojama anksčiau minėtuose filmuose, biometrinė apsauga neturėtų būti naudojama kiekvienoms durims, praėjimams ar mažaverčiams dalykams apsaugoti. 

Nors biometriniai duomenys užtikrina pakankamai aukšto lygio apsaugą, jie patys turi būti naudojami itin atsakingai. Pasak V. Benečio, savo biometrinių duomenų asmuo negali pasikeisti, todėl jei kibernetiniams nusikaltėliams kartą juos pasigviešus, toliau jais naudotis gali būti nesaugu ir tuomet teks pasirinkti kitas alternatyvas.

Todėl norintiems naudoti biometrinę apsaugą pravartu įvertinti ir pačių įrenginių, kuriuose ji naudojama, saugumą. Turime būti tikri, kad biometriniai duomenys naudojami atpažinimui yra užšifruoti ir saugomi pačiame įrenginyje saugiai. Šį metodą naudoja daugelis žinomų geros reputacijos telefonų gamintojų. 

Taip pat reikia atkreipti dėmesį į tai, kokioms programėlėms savo telefone suteikiame prieigą prie biometrinių duomenų, naudojamų identifikavimui. Galime jaustis užtikrintai suteikdami leidimą šiuos duomenis naudoti, pavyzdžiui, savo bankui ar pasaulinei IT bendrovei.

Pagrindinis taikinys – slaptažodžiai

Žiniasklaidoje kartais pasirodo pranešimų, kad mokslininkams pavyko rasti metodą, kaip suklastoti vartotojo piršto atspaudą ar jo veidą ir atrakinti įrenginį. Pasak V. Benečio, tokie tyrimai parodo biometrinių apsaugos priemonių silpnąsias vietas ir leidžia geriau įvertinti įsilaužimo tikimybę. Apskritai, šiuolaikiniuose įrenginiuose naudojamos biometrinės apsaugos priemonės, pasak saugumo eksperto, dažnu atveju tai patikimesnė apsauga nei PIN kodas ar slaptažodžiai.

Kaip rodo dabartinės sukčiavimo elektroninėje erdvėje tendencijos, asmeninė informacija dažniausiai išgaunama atspėjant prisijungimo slaptažodį prie vienos ar kitos vartotojų paskyros ar naudojant tą patį kur nors nutekintą slaptažodį, mat žmonės dažnai daro klaidą ir daug kur naudoja tą patį slaptažodį. 

Kibernetiniai sukčiai taip pat dažnai pasitelkia įvairius apgavystės metodus, kuriais priverčia ar paskatina patį vartotoją atlikti tam tikrus veiksmus, dėl kurių gali nukentėti jis ar jo atstovaujama organizacija.

„Šiuo metu vagystėse biometrinės autentifikacijos spragomis nėra plačiai naudojamasi, ypač palyginus su slaptažodžių panaudojimu. Pastaruoju atveju skaitmeniniai nusikaltėliai atakas gali vykdyti nuotoliniu būdu. Tuo metu biometrinė autentifikacija reikalauja turėti įrenginį, su kuriuo susietas vartotojo piršto antspaudas ar veido atvaizdas“, – pastebi V. Benetis.

Anot eksperto, biometrinės apsaugos priemonės tobulėja ir galima tikėtis, kad per ateinančius keletą metų bus sukurti tikslesni algoritmai, kurie geriau atpažins konkretų asmenį ir bus atsparesni bandymams juos apgauti. Dar vienas aspektas – biometriniai duomenys taps geriau apsaugoti ir pačiuose fiziniuose įrenginiuose, kuriuose jie laikomi.

Kodėl reikia turėti alternatyvą

Biometrinių apsaugos sprendimų apribojimai, su kuriais dažniausiai tenka susidurti paprastiems naudotojams, susiję su įvairiais kasdieniais nesklandumais. Pavyzdžiui, jei ant piršto patenka purvo, tai gali sutrukdyti sklandžiai nuskaityti jo atspaudą. Kitas šiuo metu pasitaikantis atvejis – jei dėvime kaukę, telefono veido atpažinimas nesuveiks, kol jos nenusiimsime.

Pasak V. Benečio, dėl šių priežasčių verta visada pagalvoti ir turėti alternatyvų prisijungimo būdą, kuris nesuveikus vienam sprendimui, leistų patogiau naudotis kitu. Galiausiai, įvairių scenarijų apsvarstymas ir alternatyvų numatymas padidina ir bendrą atsparumo lygį bet kokioms netikėtoms situacijoms.

„Prieš pradedant naudoti įvairius saugumą užtikrinančius sprendimus, reikėtų apsvarstyti susijusias rizikas ir kaip jų nepadidint dėl savo elgsenos. Be to, pravartu pagalvoti, ką galima padaryti, kad taip nenutiktų bei kaip elgsimės, jei vis dėlto atsidursime nelinkėtinoje situacijoje. Vis daugiau savo turto valdome per elektronines priemones, todėl privalome rūpintis ir savo skaitmeniniu raštingumu“, – pataria ekspertas.