Массовая утечка биометрических данных раскрывает опасности централизованной идентификации: соучредитель Human.tech Шади Эль Да...

Недавняя массовая утечка биометрических и национальных удостоверений личности в Пакистане резко высветила проблему, о которой многие технологи предупреждали на протяжении многих лет: когда личность становится централизованной, одна утечка становится системным сбоем. Миллионы людей, от тех, кто полагается на удостоверения личности для банковских операций и социальных пособий, до тех, кто находится в группе повышенного риска домогательств или слежки, внезапно сталкиваются с каскадом вреда, который начинается с мошенничества и может закончиться длительной эрозией доверия. В этом климате вопрос больше не в том, произойдет ли утечка, а в том, как общества могут разработать системы идентификации, которые смогут выжить, когда это произойдет.

Мы поговорили с Шадей Эль Дамати, соучредителем и генеральным директором human.tech, о человеческих и технических последствиях этих утечек и о том, как выглядят практические альтернативы. Эль Дамати прямо формулирует проблему: многие люди по всему миру либо не имеют надежного удостоверения личности, либо застряли в системах, где правительства и корпорации хранят огромные объемы конфиденциальных данных, которые могут и действительно утечка.

"Биометрия священна," говорит он, утверждая, что отпечатки пальцев и сканирование лиц должны храниться как можно ближе к человеку, никогда не собираясь в централизованных хранилищах, которые привлекают злоумышленников. В ходе разговора он излагает как немедленные шаги по оказанию помощи, так и более длинный план, основанный на криптографии, децентрализации и многослойном управлении.

Q1. Пожалуйста, кратко опишите вашу роль в human.tech и основную проблему, которую проект пытается решить.

Я соучредитель и генеральный директор human.tech от Holonym, и основная проблема, которую мы решаем, довольно проста: огромное количество людей в мире либо вообще не имеет удостоверений личности, либо потеряло их, потому что они были перемещены или безгражданственны. И без какого-либо способа безопасно подтвердить свою личность они не могут получить доступ к самым основным услугам или гуманитарной помощи.

В то же время мы все застряли в системах, где личность контролируется государствами или корпорациями, которые утечка данных и используют их для отслеживания людей, и эта модель быстро разрушается. С глубокими фейками и ботами, заполоняющими интернет, становится все труднее понять, кто настоящий, поэтому то, что мы строим, — это способ, сохраняющий конфиденциальность, для людей, чтобы доказать свою личность в интернете, не передавая контроль над своей личностью централизованным учреждениям, которые не имеют их лучших интересов в виду.

Вопрос 2. Недавняя утечка данных в Пакистане раскрыла миллионы биометрических и национальных записей удостоверений личности. По вашему мнению, каковы самые большие немедленные и долгосрочные риски от утечки такого масштаба?

Непосредственный риск очень человеческий; когда ваши отпечатки пальцев и национальный идентификатор плавают в темном вебе, вы внезапно становитесь более уязвимыми для целенаправленных мошенничеств, преследований, финансового мошенничества, подмены SIM-карт и, в некоторых случаях, даже физического вреда. Если злонамеренные лица свяжут эти данные с вашим местом проживания или с тем, кто ваша семья, и это не абстрактная возможность, это реальность для миллионов людей прямо сейчас.

Долгосрочный риск заключается в том, что эти утечки не просто исчезают, они накапливаются между государственными и корпоративными утечками, и все эти данные в конечном итоге попадают в модели машинного обучения, которые обучают системы, которые будут решать, можете ли вы получить кредит, стоимость вашей страховой премии по здоровью, являетесь ли вы реальным человеком или ботом..

По мере того как дипфейки становятся неотличимыми от реальности, мы рискуем войти в будущее, где люди не могут больше доказать свою собственную человечность, что звучит дистопично, но мы уже наблюдаем ранние признаки этого, и дело не только в мошенничестве в больших масштабах, это о разрушении основного фундамента доверия, на который полагается общество.

Вопрос 3. Биометрические данные часто рассматриваются как неизменные: «вы не можете изменить отпечаток пальца». С точки зрения инженерной модели угроз, как проектировщики должны по-разному относиться к биометрическим данным, чтобы снизить долгосрочные риски для пользователей?

Биометрия священна. Это приближения вашего физического воплощения и могут быть использованы неправильно, если окажутся не в тех руках. Их нельзя вращать, и они могут быть использованы для создания постоянных идентификаторов, потому что вы не можете изменить их так, как вы бы изменили пароль. Способ защитить их — это держать биометрию как можно ближе к пользователю. Их никогда не следует хранить в открытом виде на любом стороннем сервере.

Их следует хранить только в местах, которые полностью контролируются пользователем. К сожалению, текущая стандартная практика заключается в хранении биометрических данных в централизованных хранилищах отпечатков пальцев или лицевых данных, которые неизбежно утекут. Это не должно быть так сегодня. Такие достижения, как доказательства с нулевым раскрытием и многопартитные вычисления, позволяют разблокировать учетные данные без хранения или передачи биометрических данных. Упор должен быть сделан на проектирование с учетом неизбежности утечки, чтобы даже в случае компрометации инфраструктуры биометрические данные индивидуума не могли быть использованы против него.

Q4. Какие архитектурные или операционные недостатки делают централизованные национальные системы идентификации особенно уязвимыми для катастрофических нарушений?

Централизация концентрирует и мед и медведя, создавая единую точку, на которую могут нацелиться атакующие, и единственное учреждение, которое может решить, кто внутри, а кто снаружи. Это сочетание взрывоопасно, поскольку означает, что как массовые нарушения, так и массовое исключение всегда всего в одном решении или одной уязвимости.

Q5. Как нулевые доказательства или другие современные криптографические техники могут уменьшить ущерб при компрометации систем личности, объясненное просто для широкой аудитории?

Доказательства с нулевым разглашением позволяют вам доказать что-то о себе, не раскрывая исходные данные, поэтому, например, вы можете доказать, что вам больше 18 лет, не указывая свою дату рождения. Мы используем этот вид криптографии в Human Passport, чтобы вы могли доказать, что вы уникальный человек, не передавая свой скан лица или национальное удостоверение личности, и волшебство этого заключается в том, что если база данных будет взломана, не будет никакого меда для кражи биометрии, потому что ничего чувствительного изначально не хранится.

Q6. Какие меры защиты должны приоритизировать банки и платежные провайдеры для остановки мошенников, которые масштабируют атаки быстрее, чем человеческая проверка?

Им нужно прекратить притворяться, что добавление большего количества наблюдений их спасет. То, что их спасет, — это принятие методов верификации с приоритетом на конфиденциальность, которые все еще устанавливают уникальность и человечность, и это означает принятие криптографических методов, которые масштабируются так же быстро, как и мошенники. Люди никогда не смогут нажать "утвердить" так быстро, как бот может создать десять тысяч поддельных личностей, но протоколы могут.

Вопрос 7. Является ли модель децентрализованной личности практичной на национальном уровне, или вы считаете, что гибридные подходы являются единственным реалистичным путем? Как будет выглядеть управление для этих гибридов?

Децентрализованная личность абсолютно возможна на национальном и даже глобальном уровне, но это не означает, что правительства и банки не играют роли; это означает, что их роль меняется. Они должны быть участниками, валидаторами и опекунами стандартов, а не хранителями, держащими личные данные всех в одном хранилище.

Гибридная модель может выглядеть так: правительства помогают выдавать или поддерживать учетные данные, в то время как индивидуумы остаются контроллерами своей личности, а управление должно быть многосторонним, с участием гражданского общества и техников, чтобы ни одна отдельная сущность не могла захватить систему для извлечения прибыли или контроля.

Q8. human.tech создает восстановление и управление ключами с акцентом на конфиденциальность. Можете ли вы в общих чертах объяснить, как вы обеспечиваете восстановление с помощью биометрии без централизованного хранения повторно используемых биометрических шаблонов?

Да, мы используем многопартитные вычисления и другие криптографические методы, чтобы ваша биометрия никогда не существовала в виде повторно используемого шаблона, хранящегося на каком-либо сервере; вместо этого она используется как локальный фактор в распределённом процессе восстановления, чтобы система могла помочь вам вернуться в ваш аккаунт без того, чтобы кто-либо имел копию вашего отпечатка пальца или лица, которые могли бы быть позже утеряны, украдены или злоупотреблены.

Q9. Если бы вы советовали правительству, реагирующему на этот инцидент в Пакистане, какие три основных технических и политических действия вы бы рекомендовали в первые 72 часа?

Сначала остановите утечку, найдите вектор атаки и защитите систему, чтобы нарушение не продолжало расширяться. Во-вторых, немедленно уведомите граждан и дайте им инструменты для самозащиты, потому что слишком часто правительства скрывают нарушения, и люди не узнают об этом, пока не станет слишком поздно. В-третьих, сбросьте все журналы для судебно-экспертного анализа, замените все ключи, проведите полные аудиты безопасности и анализы, а также проведите тесты на проникновение для выявления уязвимостей.

После того, как пыль уляжется, начните внедрять инфраструктуру для сохранения приватности личности уже сейчас, потому что технологии существуют, нулевые доказательства существуют, децентрализованные идентификаторы существуют, и единственная причина, по которой они не внедрены, заключается в том, что учреждения движутся слишком медленно или, откровенно говоря, не заботятся достаточно о защите своих людей.

Q10. Что должны сделать обычные люди прямо сейчас, если они подозревают, что их национальный ID или биометрические данные были раскрыты? Дайте короткий приоритетный список.

Им следует немедленно обновить и укрепить все цифровые аккаунты, которые связаны с этой личностью, включить многофакторную аутентификацию, где это возможно, следить за необычной активностью, такой как попытки обмена SIM-карт, и быть очень осторожными с фишинговыми звонками или электронными письмами, которые используют части утечек данных, чтобы звучать убедительно.

Используйте сайты, такие как “haveibeenpwnd.com” или подобные, чтобы проверить свои личные данные в Даркнете. Другие службы могут удалить вашу информацию за плату. Также стоит обратиться к НПО или гражданским группам, которые могут помочь с цифровой гигиеной безопасности, потому что коллективная защита всегда сильнее, чем попытки разобраться в этом в одиночку.

Вопрос 11. Какие атаки на downstream (SIM-замена, захват аккаунта, целенаправленное наблюдение, дипфейки и т. д.) должны рассматривать НПО, банки и телекоммуникационные компании как наивысший приоритет после утечки, и как им следует координировать свои действия?

SIM-смены и захваты аккаунтов всегда являются первой волной, поэтому телекоммуникационные компании и банки должны работать рука об руку, чтобы следить за этим и быстро реагировать. Однако более глубокий долгосрочный риск заключается в целенаправленном наблюдении и использовании биометрических утечек для создания дипфейков, которые имитируют людей. Из-за этого координация должна включать не только финансовые учреждения, но и медиа-платформы, государственные органы и НПО, которые могут предоставлять быстрые уведомления и обучение тем, кто находится в наибольшем риске.

Q12. Смотрим на 5–10 лет вперед: как выглядит устойчивая, ориентированная на человека глобальная система идентичности с технической точки зрения и в управлении, и какие самые важные строительные блоки все еще отсутствуют?

Устойчивая система выглядит как такая, где личность не является оружием, которое можно использовать против вас или забрать у вас, а инструментом, который открывает вашу человечность в сети. Технически это выглядит как децентрализованные идентификаторы, доказательства с нулевым разглашением и системы восстановления, которые не требуют передачи ваших биометрических данных на центральный сервер.

С точки зрения управления, это выглядит как совместное управление с людьми в центре, а не корпорациями или государствами, и недостающим элементом сегодня действительно является политическая воля. Технология здесь, завет гуманистических технологий описывает принципы, но нам нужны лидеры, готовые принять их вместо того, чтобы удваивать усилия в отношении централизованных инфраструктур наблюдения, которые будут продолжать подводить нас.

Резюме интервью

Основной вывод с точки зрения Эль Дамати двоякий. Во-первых, немедленная практическая работа после любой крупной утечки должна быть агрессивной и прозрачной: остановить утечку, обеспечить безопасность вектора, уведомить затронутых людей, поменять ключи, передать журналы независимой судебной экспертизе и настаивать на быстром ограничении. Во-вторых, долгосрочная устойчивость требует переосмысления того, кто контролирует личность. Такие методы, как доказательства с нулевым разглашением и многопартийные вычисления, могут позволить людям доказывать факты о себе, что они уникальны, старше определенного возраста или имеют право на услугу, не передавая сырые биометрические данные или централизованные базы данных, которые могут быть собраны и повторно использованы.

Для физических лиц советы Эль Дамати просты и настойчивы: заблокируйте аккаунты, включите многофакторную аутентификацию, следите за попытками замены SIM-карт и будьте скептичны к фишингу, использующему утечку данных. Для учреждений урок структурный: верификация, сохраняющая конфиденциальность, масштабируется быстрее, чем человеческие рецензенты, и должна быть частью стратегии защиты, особенно для банков, телекоммуникационных компаний и благотворительных организаций, которые сталкиваются с наихудшими последствиями в downstream.

В конечном итоге, технологии для создания более безопасных, ориентированных на человека систем идентификации уже существуют: децентрализованные идентификаторы, нулевые доказательства и процессы восстановления с приоритетом на конфиденциальность реальны и могут быть реализованы. "Технология уже здесь", — говорит Эль Дамати; то, что отсутствует, по его словам, это политическая воля и модель управления, которая ставит людей, а не единичные хранилища данных, в центр. Пока это не изменится, каждое новое нарушение будет дорогостоящим напоминанием о том, что централизованная идентификация остается единой точкой отказа для самого доверия.