Саусақ ізін алу: Елдің дербес деректері бөтен біреудің қолына түсіп кетпей ме

- Алмас, саусақ ізі бөгде жанның қолына түспес үшін қандай қорғаныс жүйелері қолданылуы тиіс? Алдымен осыны жан-жақты түсіндіріп берсеңіз.

- Ақпараттық акивтерді қорғау үшін ұйымдар ақпараттық қауіпсіздіктің техникалық, нақты және ұйымдастырушылық іс-шараларын қолданады. Сонымен қатар белгілі бір юрисдикцияда қолданылатын заңнамалық актілер мен нормативтік құжаттарды қамтитын құқықтық іс-шараларды да ескеруі тиіс. Мұнан бөлек, қызметкерлерді ақпараттарды пайдалану және ережені бұзылу салдарын түсіну әдебіне үздіксіз оқыту сынды адамгершілік-әдеп іс-шараларына назар аударған жөн. Осы іс-шаралардың барлығы ақпараттық жүйе мен деректердің құпиялылығын, тұтастығын және қолжетімділігін қатмамасыз етуге қызмет жасауы тиіс.

Қорғаныстың қандай іс-шаралары мен жүйесінің таңдалатындығы болашақ ақпараттық жүйеге нақты бизнес пен қызметтік талаптарға байланысты болады. Дегенмен, меніңше мыналар ескерілуі тиіс:

Криптографиялау – деректер тыныштықта да, тасымалдау кезінде де шартбелгіленуі тиіс.

Қауіпсіз қойма – деректер оқшауланған мәліметтер базасында немесе кіруі шектеулі жүйелік қоймаларда сақталуы қажет.

Биометриялық қалыптар – нақты іздер емес қалыптар сақталуы керек. Биометриялық қалып – бұл биометриялық деректердің математикалық репрезентациясы.

Аудит жүйесі – қолжетімділік, түрлендіру және өшіру сынды саусақ ізіне қатысты барлық операцияларды нақты қолдау.

Нақты қауіпсіздікті – серверлерді, дата-орталықтар мен биометриялық сенсорларды қоса алғанда нақты қорғалған инфрақұрылымды, сондай-ақ мүмкіндік болатын жерлерде бейнебақылауды пайдалану.

Оқиғаларға әрекет ету жоспары – деректердің таралып кетуіне немесе деректерге рұқсатсыз кіруге қарсы әрекет ету жоспарын әзірлеу.

- Сіздің ойыңызша, қорғаныс жүйесі деректердің қауіпсіздігіне қаншалықты кепіл бола алады?

- Әлемде бірде-бір ақпарат жүйесі жалғыз өзі 100 пайыздық қауіпсіздікке кепіл бере алмайды. «Defense In Depth» деп аталатын стратегия жүзеге асырылады. Аудармасы - «терең эшалонданған қорғаныс». Бұл стратегия ұйымдардың активтерін кибершабуылдан қорғау үшін ақпаратта қорғаныстың көпқабатты іс-шараларын пайдалану дегенді білдіреді. Егер, қорғаныстың бір желісі үзілсе, онда қаскүнем ақпараттық қауіпсіздіктің келесі қабатына тап болады. Осылайша, кибершабуыл векторы тоқтатылады немесе шығын төмендетіледі.

Бұл стратегия аппараттық және бағдарламалық қамтамасыз етудегі осал тұстарды ғана емес, сонымен қатар адами факторды да жабады. Өйткені, адам немесе адами қателіктер бұзулар мен деректердің таралуының негізгі факторы саналады.

- ІІМ саусақ ізі адамның жеке деректеріне тіркеулі болмайтынын айтады. Сондықтан тіпті саусақ ізі өзгенің қолына түскенімен де оларды пайдалана алмайды екен. Бұл қаншалықты мүмкін?

- Техникалық тұрғыда ол мүмкін. Токенизация немесе саусақ ізінің бірегей сәйкестендіруі қолданылады. Бірақ, бұл ретте де мынадай сауал туындайды: аталған талаптарды ескерген кезде жүйенің өзі қалай жобаланады және әдетте ең әлсіз буын адам саналатын бизнес-процесс қандай болмақ?

- Қалай дегенде де техиканың аты техника. Сондықтан саусақ іздерінің шатасып кетуі мүмкін бе?

- Дамыған батыс елдерінде саусақ ізін алу процесі автоматтандырылған. Цифрлық құралдар қолданылады және арнайы оқған қызметкерлер қызмет көрсетеді. Саусақ ізін алу процесін жүүргізу барысында бейнебақылау және жеке бөлме қолданылады. Адам өзінің саусақ іздерін белгіленген уақытта және нақты бір ғимаратта жеке өзі тапсырады. Бағдарламалық қамтамасыз ету саусақ ізінің қаншалықты нақты түскенін және оның қалыпқа сәйкестігін сараптайды.

Саусақ ізін алған маманның сәйкестендіру нөмірі мен уақыты қосымша атрибут ретінде сақталады. Соңында адам touch screen экранында қолын қойып, аты, туған жылы сияқты қосымша деректерін ұсынуы тиіс. Көріп отырғанымыздай, қателік жібермеудің техникалық, сондай-ақ ұйымдастырушылық іс-шараларының кешені жүзеге асырылады.

Ал екі саусақ ізінің бірдей болу ықтималдығы өте төмен. 1894 жылы ағылшын зерттеушісі, географ, антрополог, психолог, сараланған психология және психометрика негізін қалаған Фрэнсис Голтан екі саусақ ізінің бірдей болуы ықтималдығы бір миллионда бірге де жетпейтіндігін мәлім етіп кеткен.

- Егер хакерлер жүйені бұзып, деректерге қол жеткізген жағдайда не болмақ? Олар саусақ ізін басқа мақсатта пайдалана ала ма?

- Ұрланған саусақ іздері биометриялық жүйелермен қорғалған құрылғыларға кіру үшін қолданылуы мүмкін. Айталық, хакер ұрланған саусақ ізін цифрлық әмиянды немесе банктік есепшот пен кредит картасын бұғаттан ажырату үшін қолдана алады. Сонымен қатар саусақ іздері даркнетте (ағылшынның DarkNet сөзі «жасырын желі», «күмәнді интернет, желі», «көлегейлі желі, веб» деген мағына білдіреді) сатылуы ықтимал. Желіде көптеген астыртын нарық бар. Онда ұрланған жеке деректерді сатуға болады. Аталған алаңдарда шетелдік арнаулы барлау қызметтерінің де сатып алушы болатындығы құпия емес. Ал биометриялық деректер ұлттық қауіпсіздік үшін аса маңызды.

- Мүмкін саусақ ізін алудың мұндай жүйесін басқа да мақсатқа қолданатын елдерді білетін шығарсыз.

- Көптеген елде биометриялық деректер сәйестендіруден бастап, дауыс беруге дейінгі түрлі мақсатта қолданылады. Мәселен, АҚШ-та иммиграциялық емес визамен елге келген барлық шетелдік азаматтан саусақ ізі алынады. Албания 2021 жылы саусақ ізімен дауыс беруді енгізді.

- Саусақ іздерінің қылмыс орнындағы қылмыскердің деректерімен шатасып кету мүмкіндігі бар ма?

- Қазақстанда қылмыс жасалған жерден алынатын саусақ іздерін дактилоскопия сарапшылары қолмен тексереді немесе құқық бұзкшылардың базасынан текссеру үшін жеке тұрған жүйеге енгізеді. Егер сіз құқық қорғау органдарындағы саусақ іздерінің қолданыстағы жүйесімен саусақ іздері деректерінің ұлттық базасының болжамды жүйесін ықпалдастыру тұрғысынан сұрап отырсаңыз, онда бизнес-процестерді дұрыс түзіп, жоғарыда мен атап өткен ақпараттық қауіпсіздік іс-шараларын ескерген жағдайда мұндай келеңсіздікті болдырмауға болады.

- Сұхбатыңызға рақмет!