Масове витік біометричних даних виявляє небезпеки централізованої ідентичності: Співзасновник Human.tech Шейді Ел Да...

Недавній масовий витік біометричних та національних ідентифікаційних записів у Пакистані яскраво продемонстрував проблему, про яку багато технологів попереджали протягом років: коли ідентичність стає централізованою, один витік стає системним збоями. Мільйони людей, від тих, хто покладається на ідентифікаційні документи для банківських послуг і соціальних виплат, до тих, хто піддається підвищеному ризику переслідування або спостереження, раптово стикаються з каскадом шкоди, який починається з шахрайства і може закінчитися тривалою ерозією довіри. У цьому кліматі питання вже не в тому, чи станеться витік, а в тому, як суспільства можуть розробити системи ідентифікації, які витримають, коли це станеться.

Ми поговорили з Шаді Ель Даматі, співзасновником і генеральним директором human.tech, про людські та технічні наслідки цих витоків і якими виглядають практичні альтернативи. Ель Даматі прямо формулює проблему: багато людей у світі або не мають жодного надійного посвідчення особи, або потрапили в системи, де уряди та корпорації володіють величезними обсягами чутливих даних, які можуть і дійсно витікають.

“Біометрія священна,” говорить він, стверджуючи, що відбитки пальців і сканування обличчя повинні зберігатися якомога ближче до особи, ніколи не накопичуючи їх у централізованих сховищах, які запрошують зловмисників. Протягом розмови він викладає як термінові кроки, так і лонгуючий план, заснований на криптографії, децентралізації та багатосторонньому управлінні.

Q1. Будь ласка, коротко опишіть вашу роль у human.tech та основну проблему, яку намагається вирішити проект.

Я співзасновник і генеральний директор human.tech від Holonym, і основна проблема, яку ми вирішуємо, досить проста: величезна кількість людей у світі або зовсім не має документів, або втратила їх через те, що вони переміщені або безгромадянські, і без певного способу безпечно підтвердити свою ідентичність вони не можуть отримати доступ до найосновніших послуг або гуманітарної допомоги.

В той же час, інші з нас застрягли в системах, де ідентичність контролюється урядами або корпораціями, які витікають дані і використовують їх для відстеження людей, і ця модель швидко зламується. З появою дипфейків і ботів, що заполоняють інтернет, стає все важче визначити, хто є реальним, тож те, що ми будуємо, – це спосіб, що зберігає конфіденційність, для людей, щоб довести свою ідентичність онлайн, не передаючи контроль над своєю ідентичністю централізованим установам, які не мають їхніх найкращих інтересів на увазі.

Q2. Недавній витік у Пакистані виявив мільйони біометричних та національних ідентифікаційних записів. На вашу думку, які є найбільшими негайними та довгостроковими ризиками від витоку такого масштабу?

Негайний ризик є дуже людяним; коли ваші відбитки пальців та національний ідентифікатор плавають на темній стороні Інтернету, ви раптово стаєте більш уразливими для цілеспрямованих шахрайств, переслідувань, фінансових злочинів, підміни SIM-карток, а в деяких випадках навіть фізичної шкоди. Якщо зловмисники пов'язують ці дані з вашим місцем проживання або з вашою сім'єю, а це не абстрактна можливість, це реальність для мільйонів людей прямо зараз.

Довгостроковий ризик полягає в тому, що ці витоки не просто зникають, вони накопичуються між витоками з уряду та корпорацій, і всі ці дані в кінцевому підсумку потрапляють у моделі машинного навчання, які навчають системи, що вирішують, чи можете ви отримати кредит, вартість вашої страхової премії, чи є ви реальною людиною чи ботом..

Оскільки дипфейки стають невідрізненними від реальності, ми ризикуємо потрапити в майбутнє, де люди не можуть більше довести свою ідентичність, що звучить дистопічно, але ми вже спостерігаємо ранні ознаки цього, і справа не лише в шахрайстві в масштабах, а й у підриві основної тканини довіри, на якій ґрунтується суспільство.

Q3. Біометричні дані часто вважаються незмінними: «ви не можете змінити відбиток пальця». З точки зору моделювання загроз у технологічному проектуванні, як дизайнерам слід інакше ставитися до біометричних даних, щоб зменшити ризик для користувачів на все життя?

Біометричні дані є священними. Вони є наближеннями вашої фізичної ідентичності і можуть бути зловживані, якщо потраплять не в ті руки. Їх не можна обертати, і їх можна використовувати для створення постійних ідентифікаторів, оскільки ви не можете змінити їх так, як це робите з паролем. Спосіб їх захисту - тримати біометричні дані якомога ближче до користувача. Їх ніколи не слід зберігати у відкритому вигляді на жодному сторонньому сервері.

Їх слід зберігати лише в місцях, які повністю контролюються користувачем. На жаль, поточна стандартна практика полягає в зберіганні біометрії в централізованих сховищах відбитків пальців або обличчя, які неминуче зливається. Це не повинно бути так сьогодні. Досягнення, такі як нульові знання та обчислення з багатьма учасниками, дозволяють вам розблокувати облікові дані без зберігання або передачі біометрії. Наголос має бути на проектуванні з урахуванням неминучості порушення, щоб навіть якщо інфраструктура буде скомпрометована, біометрія особи не могла бути використана проти них.

Q4. Які архітектурні або операційні недоліки роблять централізовані національні системи ідентифікації особливо вразливими до катастрофічних порушень?

Централізація концентрує як мед, так і ведмедя, створюючи єдину точку, на яку можуть націлюватися зловмисники, та єдину інституцію, яка може вирішувати, хто всередині, а хто зовні. Поєднання є вибухонебезпечним, оскільки це означає, що як масове порушення, так і масове виключення завжди на відстані лише одного рішення або однієї вразливості.

Q5. Як нульові докази або інші сучасні криптографічні технології можуть зменшити шкоду, коли системи ідентичності скомпрометовані, пояснено простими словами для загальної аудиторії?

Докази з нульовим розголошенням дозволяють вам довести щось про себе, не розкриваючи основні дані, тож, наприклад, ви могли б довести, що вам більше 18, не розкриваючи свою дату народження. Ми використовуємо цей вид криптографії в Human Passport, щоб ви могли довести, що ви унікальна людина, не передаючи свій скан обличчя або національний ідентифікатор, і магія цього полягає в тому, що якщо база даних буде зламано, немає жодної «медової пастки» біометричних даних, які можна вкрасти, оскільки нічого чутливого не зберігається спочатку.

Q6. Які захисти повинні пріоритизувати банки та платіжні провайдери для зупинки шахраїв, які масштабують атаки швидше, ніж людська перевірка?

Вони повинні припинити вдавати, що додавання більше спостереження врятує їх. Те, що врятує їх, - це прийняття методів верифікації з акцентом на конфіденційність, які все ще забезпечують унікальність і людяність, а це означає прийняття криптографічних технік, які масштабуються так само швидко, як і шахраї. Люди ніколи не зможуть натиснути "схвалити" так швидко, як бот може створити десять тисяч фальшивих ідентичностей, але протоколи можуть.

Q7. Чи є модель децентралізованої ідентичності практичною на національному рівні, чи вважаєте ви, що гібридні підходи є єдиним реалістичним шляхом? Як виглядатиме управління для цих гібридів?

Децентралізована ідентичність абсолютно можлива на національному та навіть глобальному рівні, але це не означає, що уряди та банки не мають ролі; це означає, що їхня роль змінюється. Вони повинні бути учасниками, валідаторами та опікунами стандартів, а не кастодіями, які зберігають особисті дані всіх у одному сховищі.

Гібридна модель може виглядати так, що уряди допомагають видавати або підтримувати креденціали, в той час як особи залишаються контролерами своєї ідентичності, а управління повинно бути багатостороннім, з участю громадянського суспільства та технологів за столом, щоб жодна окрема сутність не могла захопити систему для отримання прибутку або контролю.

Q8. human.tech створює відновлення та управління ключами з акцентом на конфіденційність. Чи можете ви коротко підсумувати, на високому рівні, як ви забезпечуєте відновлення з біометричною допомогою без централізованого зберігання повторно використовуваних біометричних шаблонів?

Так, ми використовуємо багатосторонні обчислення та інші криптографічні техніки, щоб ваша біометрія ніколи не існувала як повторно використовуваний шаблон, що зберігається на якому-небудь сервері, натомість вона використовується як локальний фактор у розподіленому процесі відновлення, щоб система могла допомогти вам повернутися до вашого облікового запису без того, щоб хтось мав копію вашого відбитка пальця або обличчя, яка могла б бути пізніше втрачена, вкрадена або зловживана.

Q9. Якщо б ви давали поради уряду, який реагує на цей витік у Пакистані, які три найголовніші термінові технічні та політичні дії ви б рекомендували протягом перших 72 годин?

По-перше, зупиніть витік, знайдіть вектор атаки та забезпечте систему, щоб витік не продовжувався. По-друге, негайно повідомте громадян і надайте їм інструменти для захисту, адже занадто часто уряди приховують витоки, і люди не знають, поки не стане занадто пізно. По-третє, скиньте всі журнали для судово-медичної експертизи, змініть всі ключі, проведіть повні аудити безпеки та аналізи, а також проведіть тестування на проникнення, щоб виявити прогалини.

Після того, як пил осідає, почніть впроваджувати інфраструктуру для збереження приватності ідентичності вже зараз, оскільки технології існують, нульові докази існують, децентралізовані ідентифікатори існують, а єдина причина, чому вони не впроваджені, полягає в тому, що установи діють занадто повільно або, відверто кажучи, не турбуються достатньо про захист своїх людей.

Q10. Що повинні робити звичайні люди прямо зараз, якщо вони підозрюють, що їхні національні ідентифікаційні дані або біометричні дані були розкриті? Дайте короткий пріоритетний список.

Вони повинні негайно оновити та зміцнити всі цифрові облікові записи, які підключені до цієї ідентичності, увімкнути багатофакторну автентифікацію, де це можливо, стежити за незвичайною активністю, такою як спроби обміну SIM-картами, і бути дуже обережними з фішинговими дзвінками або електронними листами, які використовують частини витеклих даних, щоб звучати переконливо.

Використовуйте такі сайти, як "haveibeenpwnd.com" або подібні, щоб сканувати Темну мережу на предмет ваших особистих даних. Інші сервіси можуть стерти вашу інформацію за плату. Також може бути корисно підключитися до НУО або громадських груп, які можуть допомогти з цифровою безпекою, оскільки колективна оборона завжди є сильнішою, ніж намагатися зрозуміти це самостійно.

Q11. Які атаки нижнього рівня (SIM-обмін, захоплення облікових записів, цілеспрямоване спостереження, глибокі підробки тощо.) повинні НПО, банки та телекомунікаційні компанії вважати найвищим пріоритетом після витоку, і як їм слід координувати свої дії?

Заміни SIM-карт та захоплення облікових записів завжди є першою хвилею, тому телекомунікаційні компанії та банки повинні працювати разом, щоб моніторити це та швидко реагувати, але глибший довгостроковий ризик полягає в цілеспрямованому спостереженні та використанні біометричних витоків для створення дипфейків, які імітують людей. Через це координація повинна включати не тільки фінансові установи, але й медіаплатформи, уряди та НУО, які можуть надати швидкі сповіщення та освіту тим, хто найбільше піддається ризику.

Q12. Дивлячись на 5–10 років вперед: якою буде стійка, орієнтована на людину глобальна система ідентичності, технічно та в управлінні, і які найважливіші будівельні блоки ще відсутні?

Резильентна система виглядає як така, де ідентичність не є зброєю, яка може бути використана проти вас або відібрана у вас, а інструментом, який розблоковує вашу людяність в інтернеті. Технічно це виглядає як децентралізовані ідентифікатори, докази нульового знання та системи відновлення, які не вимагають передачі вашої біометрії центральному серверу.

У контексті управління це виглядає як спільне управління, в якому в центрі уваги стоять люди, а не корпорації чи держави, і відсутнім елементом сьогодні є справжня політична воля. Технології вже є, угода гуманістичних технологій викладає принципи, але нам потрібні лідери, готові їх прийняти, замість того щоб подвоювати централізовані інфраструктури спостереження, які продовжуватимуть нас підводити.

Резюме інтерв'ю

Висновок з точки зору Ель Дамати двосторонній. По-перше, негайна практична робота після будь-якого великого витоку повинна бути агресивною та прозорою: зупинити витік, забезпечити вектор, сповістити постраждалих, змінити ключі, передати журнали незалежній судовій експертизі та домагатися швидкого обмеження. По-друге, лонгуючий опір вимагає переосмислення того, хто контролює ідентичність. Техніки, такі як нульові докази та обчислення з декількома учасниками, можуть дозволити людям доводити факти про себе, що вони є унікальними, старшими певного віку або мають право на послугу, без передачі сирих біометричних даних або централізованих баз даних, які можуть бути зібрані та повторно використані.

Для окремих осіб порада Ель Дамати проста і термінова: заблокувати рахунки, увімкнути багатофакторну аутентифікацію, стежити за спробами заміни SIM-карт та бути скептичними до фішингу, що використовує витік даних. Для установ урок є структурним: верифікація, що зберігає конфіденційність, масштабується швидше, ніж людські рецензенти, і повинна бути частиною стратегії захисту, особливо для банків, телекомунікаційних компаній та організацій допомоги, які бачать найгірші наслідки вниз за течією.

Зрештою, технології для створення більш безпечних, орієнтованих на людину систем ідентичності вже існують, децентралізовані ідентифікатори, нульові знання та відновлення з пріоритетом на конфіденційність є реальними та готовими до впровадження. "Технологія вже тут", - каже Ель Дамати; те, чого не вистачає, попереджає він, це політична воля та модель управління, яка ставить людей, а не окремі сховища даних, в центр. Поки це не зміниться, кожен новий витік буде дорогим нагадуванням про те, що централізована ідентичність залишається єдиною точкою збоїв для самої довіри.