STAROREZHIMNAYA Telegram 2675
Выступал я вчера на Саммите Развития на тему биометрии (видео моего выступления смотреть с 57-й минуты). И хотел бы тезисно повторить свою мысль, которая прозвучала после выступлений представителей власти и бизнеса, которые ратовали за активное внедрение биометрии, которая должна защитить нас от мошенников и вообще сделать нашу жизнь более безопасной:

🔤 Биометрия - это не про безопасность. Это про удобство идентификации граждан, но ни в коем случае нельзя считать, что этот механизм поможет улучшить безопасность сам по себе. Только в совокупности с другими факторами и не как основной инструмент, и при наличии мер мониторинга и антифрода, который, кстати, существует далеко не во всех сценариях, куда хотят прикрутить биометрию.

🔤 Утекший пароль можно поменять. Скопрометированный сертификат ЭП можно перевыпустить. Даже украденный паспорт можно получить новый. А биометрию поменять невозможно!

🔤 Когда мы слышим про аттестацию ЕБС или использование самой крутой русской криптографии - это подмена понятий и попытка переложить ответственность на других. Аттестация - это бумажка с печатью, которая не гарантирует реальной безопасности (достаточно вспомнить, что все крупные взломанные ГИСы в последнее время тоже имели аттестаты). А в лоб криптографию никто не ломает. И когда кто-то называет систему невзламываемой, то сразу находятся желающие продемонстрировать обратное. Вопрос стоит не "если взломают", а "когда взломают".

🔤 Говоря про безопасность биометрии все смотрят на проблему точечно, со своих позиций (банк, ЦБТ, МФЦ, оператор связи и т.п.), а смотреть надо на весь жизненный цикл. Если кто-то придет в МФЦ с фальшивым паспортом на мое имя и сдаст за меня биометрию, то для ЕБС именно мошенник будет Алексеем Лукацким, а не я сам. И доказывать потом, что я не верблюд, будет очень сложно.

🔤Безопасность биометрии определяется не тем, насколько хорошо все работает, а тем, что произойдет, когда случится что-то плохое. Если я внезапно получу уведомление, что кто-то от моего имени и с "моей" биометрией получил кредит и приду в банк разбираться, то как я докажу, что я этого не делал? Почему меня будут футболить банк, который выполнил все регламенты и соответствует требованиям по ИБ, ЦБТ, который выполнил все регламенты и тоже соответствует требованиям по ИБ?

🔤 Кто несет ответственность за неверное принятие решений на базе биометрии? Какова процедура разбора конфликтов и куда обращаться гражданину, чтобы его не отправляли в суд или "где биометрию сдавали, туда и идите"? Почему все государственные проекты по безопасности не имеют никакой процедура разбора конфликтов и вообще плана реагирования на нештатные ситуации и на инциденты? Почему государство и его структуры не несут никакой ответственности за результат и за проекты, которые часто не носят добровольного характера?

🔤 Почему государство, утвердив различные модели угроз биометрическим персональным данным, "забыло" включить в него дипфейки? Ведь если мошенники уведут у меня деньги с помощью дипфейка, то предъявить претензии я не смогу. Формально угроза дипфейка не считается актуальной и защищаться от нее никто не обязан.

#биометрия #дипфейк
Please open Telegram to view this post
VIEW IN TELEGRAM



tgoop.com/starorezhimnaya/2675
Create:
Last Update:

Выступал я вчера на Саммите Развития на тему биометрии (видео моего выступления смотреть с 57-й минуты). И хотел бы тезисно повторить свою мысль, которая прозвучала после выступлений представителей власти и бизнеса, которые ратовали за активное внедрение биометрии, которая должна защитить нас от мошенников и вообще сделать нашу жизнь более безопасной:

🔤 Биометрия - это не про безопасность. Это про удобство идентификации граждан, но ни в коем случае нельзя считать, что этот механизм поможет улучшить безопасность сам по себе. Только в совокупности с другими факторами и не как основной инструмент, и при наличии мер мониторинга и антифрода, который, кстати, существует далеко не во всех сценариях, куда хотят прикрутить биометрию.

🔤 Утекший пароль можно поменять. Скопрометированный сертификат ЭП можно перевыпустить. Даже украденный паспорт можно получить новый. А биометрию поменять невозможно!

🔤 Когда мы слышим про аттестацию ЕБС или использование самой крутой русской криптографии - это подмена понятий и попытка переложить ответственность на других. Аттестация - это бумажка с печатью, которая не гарантирует реальной безопасности (достаточно вспомнить, что все крупные взломанные ГИСы в последнее время тоже имели аттестаты). А в лоб криптографию никто не ломает. И когда кто-то называет систему невзламываемой, то сразу находятся желающие продемонстрировать обратное. Вопрос стоит не "если взломают", а "когда взломают".

🔤 Говоря про безопасность биометрии все смотрят на проблему точечно, со своих позиций (банк, ЦБТ, МФЦ, оператор связи и т.п.), а смотреть надо на весь жизненный цикл. Если кто-то придет в МФЦ с фальшивым паспортом на мое имя и сдаст за меня биометрию, то для ЕБС именно мошенник будет Алексеем Лукацким, а не я сам. И доказывать потом, что я не верблюд, будет очень сложно.

🔤Безопасность биометрии определяется не тем, насколько хорошо все работает, а тем, что произойдет, когда случится что-то плохое. Если я внезапно получу уведомление, что кто-то от моего имени и с "моей" биометрией получил кредит и приду в банк разбираться, то как я докажу, что я этого не делал? Почему меня будут футболить банк, который выполнил все регламенты и соответствует требованиям по ИБ, ЦБТ, который выполнил все регламенты и тоже соответствует требованиям по ИБ?

🔤 Кто несет ответственность за неверное принятие решений на базе биометрии? Какова процедура разбора конфликтов и куда обращаться гражданину, чтобы его не отправляли в суд или "где биометрию сдавали, туда и идите"? Почему все государственные проекты по безопасности не имеют никакой процедура разбора конфликтов и вообще плана реагирования на нештатные ситуации и на инциденты? Почему государство и его структуры не несут никакой ответственности за результат и за проекты, которые часто не носят добровольного характера?

🔤 Почему государство, утвердив различные модели угроз биометрическим персональным данным, "забыло" включить в него дипфейки? Ведь если мошенники уведут у меня деньги с помощью дипфейка, то предъявить претензии я не смогу. Формально угроза дипфейка не считается актуальной и защищаться от нее никто не обязан.

#биометрия #дипфейк

BY Софья Дробязко | Право и этика




Share with your friend now:
tgoop.com/starorezhimnaya/2675

View MORE
Open in Telegram


Telegram News

Date: |

Joined by Telegram's representative in Brazil, Alan Campos, Perekopsky noted the platform was unable to cater to some of the TSE requests due to the company's operational setup. But Perekopsky added that these requests could be studied for future implementation. Members can post their voice notes of themselves screaming. Interestingly, the group doesn’t allow to post anything else which might lead to an instant ban. As of now, there are more than 330 members in the group. Telegram channels fall into two types: As the broader market downturn continues, yelling online has become the crypto trader’s latest coping mechanism after the rise of Goblintown Ethereum NFTs at the end of May and beginning of June, where holders made incoherent groaning sounds and role-played as urine-loving goblin creatures in late-night Twitter Spaces. Telegram Channels requirements & features
from us


Telegram Софья Дробязко | Право и этика
FROM American