Қазақстанда көптеген компания биометрияны жаңа талапты орындаудың формалды құралы ретінде қабылдап отыр. Яғни бет-әлпетті тану жүйесін тез арада енгізіп, талапты орындадық деп есептейді. Алайда ақпараттық қауіпсіздік саласының сарапшысы, Target Information Security компаниясының жетекшісі Лаура Тілепинаның айтуынша, негізгі қателік дәл осы тұстан басталады.
Оның сөзінше, биометрия қауіпсіздікті автоматты түрде күшейтетін әмбебап шешім емес. Ол әлсіз цифрлық архитектураны түземейді, артық қолжетімділікті жоймайды, ішкі теріс пайдаланудың алдын алмайды және рұқсат беру логикасы дұрыс құрылмаса, жүйені қорғай алмайды. Егер компанияның ішкі тәртібі әлсіз болса, биометрия оны түземейді, керісінше, қосымша қорғауды қажет ететін тағы бір сезімтал деректер қабатын қалыптастырады.
Жаңа талаптарды кезекті міндет ретінде емес, мемлекеттің бизнеске жолдап отырған нақты сигналы ретінде қабылдау қажет. Яғни ірі көлемдегі дербес деректерге қолжетімділікті енді тек логин мен пароль арқылы қорғау жеткіліксіз, – дейді сарапшы.
ҚР Киберқауіпсіздік комитеті мәліметінше, 2025 жылғы 22 желтоқсанда дербес деректерді қорғау шараларын жүзеге асыру қағидалары жаңартылды. Соған сәйкес, 100 мыңнан астам шектеулі қолжетімді дербес деректер жазбасы бар дерекқорлармен жұмыс кезінде көпфакторлы аутентификация қолданылса, оның бір тәсілі міндетті түрде биометриялық аутентификация болуы тиіс. Бұл өзгеріс ірі деректер массивіне рұқсатсыз қол жеткізу қаупін азайтуға бағытталған.
Технология бар, тәртіп жоқ
Мәселе биометрияның енгізілгенінде емес, оның компанияның жалпы қауіпсіздік жүйесіне қалай кіріктірілгенінде. Көптеген ұйымдар оны тек жүйеге кіру кезеңінде ғана пайдаланады: қолданушы камераға қарайды, жүйе таниды, содан кейін оған кең құқықтар беріледі. Қосымша тексеру жүргізілмейді, маңызды әрекеттерге бөлек растау сұралмайды. Сырттай қарағанда заманауи шешім көрінгенімен, шын мәнінде бұл ескі әлсіз модельдің үстіне жаңа технология жапсыра салумен тең, – деді Лаура Тлепина.
Сарапшы биометриялық деректерге қарапайым пароль секілді қарау да үлкен қателік екенін атап өтті. Егер пароль ұрланса, оны ауыстыруға болады. Ал адамның бет-бейнесін өзгерту мүмкін емес. Сондықтан биометриялық жобаларда деректердің қалай сақталатыны, кімнің қол жеткізе алатыны, қалай қорғалатыны және қандай көлемде жиналатыны басты мәселе болуы тиіс.
Биометрияның өзін асыра бағалауға да болмайды. Қауіпсіздік камераға қарап, жүйеге кірумен аяқталмайды. Ең маңыздысы – нақты кім кірді, қашан кірді, қай құрылғыдан кірді, қандай әрекет жасады, осының бәрі тіркелді ме, қажет жағдайда дәлелдеуге бола ма деген сұрақтар, – дейді.
Бизнеске биометрияны тек тәуекелі жоғары аймақтарда қолдануға кеңес береді. Атап айтқанда, ірі дербес деректер базасына қолжетімділікте, сыни операцияларды растауда, қашықтан сәйкестендіруде және пайдаланушының кім екенін нақты анықтау қажет жағдайларда. Ал басқа жерлерде оны сән үшін емес, нақты тәуекелге сай пайдалану керек. Әйтпесе биометрия әлсіз жүйеге тағылған қымбат аксессуар болып қала береді.
Лаура Тілепина жаңа талаптардың мәні жай ғана камераға қарау емес екенін айтады. Бұл – сезімтал деректерге қолжетімділікті бұрынғы ескі тәсілдермен қорғау енді жеткіліксіз деген белгі. Егер компания биометрияны тек есеп үшін енгізсе, өзіне қосымша осалдық жасап алуы мүмкін. Ал егер оны сенім архитектурасының, қолжетімділікті басқарудың және дербес деректерді қорғаудың толыққанды бөлігі ретінде қарастырса, сонда ғана биометрия шын мәнінде қауіпсіздікке қызмет етеді.
