Prvním z důvodů pro výše uvedené tvrzení je přesnost rozpoznávání biometrických dat autentifikačními systémy. I když bývá relativně vysoká, může být pro spoustu aplikací stále nedostatečná. Rozpoznávání biometrických dat není, na rozdíl od ověřování založeného na hesle, závislé jen na porovnávání dvou stejných údajů. Biometrické systémy také mívají obvykle větší než nulovou pravděpodobnost falešně-negativních a falešně-pozitivních výsledků.

Za druhé řada výzkumů dokázala, že mnoho lidských biometrických dat může být podvodníky zfalšováno. Kopírování digitalizovaných biometrických údajů navíc může být ještě snazší než kopírování fyzických biometrických údajů.

Třetí závažnou překážkou je skutečnost, že dojde-li ke zpronevěření biometrických dat, jsou tyto údaje ztracené navždy. Uživatelé si nemohou vyměnit otisk prstu, když se jich zmocní zločinci. Biometrická data navíc mohou být ukradena pro všechny aplikace současně.

Vzhledem k výše zmíněnému je tedy alarmující, jakou péči věnují vývojáři biometrických autentifikačních systémů jejich zabezpečení. V řadě analýz se ukázalo, že jsou tato data ukládána ve formátu, který je útočníkům snadno dostupný. Příkladem toho je velký únik v systému BioStar 2 – webová platforma pro biometrické zabezpečení inteligentních zámků. Bezpečnostní analýza odhalila, že tato služba měla své databáze veřejně přístupné – kdokoliv se mohl dostat k více než 27,8 milionu záznamů, celkem 23 gigabajtům dat o zaměstnancích více než 5 700 organizací z 83 států. Databáze kromě jiných dat obsahovala záznamy otisků prstů a rozpoznávání obličeje. V závěrečné zprávě analýzy je uvedeno, že namísto ukládání otisků prstů ve formě hash kódu (které nelze zpětně upravovat), byly ukládány skutečné otisky prstů lidí, které lze zkopírovat pro škodlivé účely.

Existuje ale celá řada dalších případů, kdy došlo ke krádeži biometrických dat. Příkladem může být útok z roku 2015, kdy se kyberzločinci zmocnili bezmála šesti milionů otisků prstů osob spojených s americkou vládou. S rostoucím počtem potenciálních aplikací pro systémy biometrické autentizace lze navíc předpokládat, že biometrická data budou zajímavá pro stále větší počet služeb a zároveň útočníků.

Analýza systémů zpracovávajících a ukládajících biometrická data

S ohledem na výše popsaná rizika jsme se rozhodli vyhodnotit, do jaké míry jsou systémy zpracovávající biometrická data náchylné k útokům malwarem. Proto jsme podrobili analýze hrozby, které byly v takovýchto systémech zablokovány produkty Kaspersky. K analýze dat pocházejících z počítačů a serverů využívaných ke sběru, zpracování a ukládání biometrických dat došlo v průběhu třetího čtvrtletí minulého roku. Z dat sítě Kaspersky Security Network (KSN) vyplývá, že k zablokování škodlivých programů došlo na 37 % počítačů, které mají co do činění s biometrickými daty. V předchozích kvartálech bylo zastoupení infikovaných počítačů ještě vyšší.

Analýza také odhalila, že stejně jako u dalších systémů vyžadujících vyšší úroveň zabezpečení (jako jsou průmyslové automatizační systémy, systémy řízení budov apod.), je internet hlavním zdrojem ohrožení. Byl odpovědný za 14,4 % infekcí všech systémů zpracovávajících biometrická data a patří sem hrozby zablokované na škodlivých phishingových stránkách nebo webových e-mailových službách. Přenosná zařízení infikovala 8 % systémů. Nejčastěji obsahovaly počítačové červy. Ty po infikování počítače stahují spyware, ransomwary nebo trojské koně, umožňující vzdálený přístup do počítače. K nákaze prostřednictvím e-mailu došlo v 6,1 % případů a skrz síťové složky v 1,6 %.

Největší hrozby pro biometrická data

Mezi hrozbami zablokovanými na systémech pro zpracování biometrických dat se nejčastěji objevovaly spyware, malware používaný ve phishingových útocích (především spyware downloadery a droppery), ransomware a bankovní trojani.

Obr.: Některé ze škodlivých programů zablokovaných na systémech zpracovávajících a ukládajících biometrická data.

Za zmínku stojí škodlivé programy navržené ke krádežím bankovních dat, u kterých není pravděpodobné, že mají v první řadě krást biometrická data. Můžeme ale očekávat, že v blízké budoucnosti se objeví masově distribuovaný malware určený k odcizení biometrických dat z bankovních a finančních systémů.

Ačkoliv malware zablokovaný na těchto systémech není speciálně zaměřený na biometrická data, může stále představovat značné riziko. Je totiž schopný krást důvěryhodné informace, načítat a spouštět libovolné softwary a útočníkům dává možnost na dálku ovládat napadený počítač. Jejich vedlejší účinky navíc mohou významně ovlivnit dostupnost autentizačních systémů a integritu biometrických dat.

Proto jsme přesvědčeni, že vystavení biometrických systémů jakýmkoliv kybernetickým útokům je riskantní jak pro poskytovatele služeb, tak pro uživatele, kteří jim svěřili svá jedinečná osobní data.

Závěrem je nutné poznamenat, že databáze biometrických systémů jsou často umístěny na aplikačních serverech sdílených s jinými systémy, nikoliv na vyhrazených počítačích. Tím pádem, pokud útočníci napadnou například mailový server nebo databázi používanou webovou stránkou organizace, která má biometrický ověřovací systém, mohou se tato data a databáze dostat do nesprávných rukou.

Miroslav Kořen Autor článku je generálním ředitelem společnosti Kaspersky pro východní Evropu.