Чем опасна биометрия лица
Чем опасна утечка биометрических данных?
Содержание
Как стало известно накануне, мэрия Москвы разрешит оплачивать проезд в автобусах при помощи системы распознавания лиц Face Pay. Функцию биометрического распознавания для оплаты проезда добавит в приложение «Московский транспорт» Центр организации дорожного движения Правительства Москвы.
Биометрическая идентификация – подтверждение личности пользователя через сличение его отпечатка пальца/сканирования лица/сетчатки глаза с образцом, хранящимся либо в памяти конкретного устройства – для его активации, либо в единой биометрической базе – для социальных услуг. Предполагается, что такая идентификация не только более быстрая и удобная для пользователя, но и более безопасная по сравнению с паролями и документами, так как подделать чье-либо тело гораздо сложнее. Экcперты Роскачества предупреждают – никто не может брать у вас эти данные без вашего письменного согласия.
Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Эти сведения могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, установленных в законе – например, для правосудия.
С развитием технологий биометрия становится все более распространенной. Если раньше для этого требовались особые ситуации и сложное оборудование, то сегодня просканировать лицо, отпечаток пальца или глаз может любой телефон – ради удобства использования и безопасности, конечно же.
Вместе с тем в биометрических данных очень заинтересовано и государство: недавно предельный срок их хранения в РФ увеличили до 100-летнего возраста носителя. Закон № 479-ФЗ от 29.12.2020 значительно расширил сферы применения биометрии. И еще один новый законопроект: иностранным (хотя бы наполовину) компаниям, которые обладают капиталом менее 500 млн долларов, предлагают запретить взаимодействовать с биометрическими данными. С января 2022 года все IT-сервисы западного происхождения с аудиторией более 500 тысяч россиян в день должны будут открыть офис на территории РФ и подчиняться всем местным законам, в том числе и о биометрических данных.
В настоящее время в России для сбора биометрии и ее использования для идентификации пользователей финансовых услуг работает Единая биометрическая система (ЕБС). Большой популярностью она не пользуется: в феврале 2021 года в ней было зарегистрировано около 164 тысяч россиян (чуть более 0,1% населения страны). Партнерами ЕБС в основном являются банки и страховые компании.
Половина россиян, опрошенных НАФИ в декабре 2020 года, не доверяют ЕБС и вообще сбору биометрических данных. Вместе с тем уже сейчас в тестовом режиме есть оплата «по лицу» в некоторых продуктовых магазинах и транспортных хабах. Насколько безопасно сегодня соглашаться предоставить свои данные (отпечаток пальца, образец голоса, рисунок сетчатки глаза) третьим лицам?
– В случае компрометации любого пароля его можно поменять. В случае же, если мошенники завладеют биометрией, сделать это сложнее. Поэтому рекомендуем с осторожностью относиться к сдаче ваших биометрических данных. В будущем все больше услуг будет возможным получить по биометрии, так что если вашими данными завладеют недобросовестные третьи лица, риск их неправомерного использования будет лишь нарастать.
В целом же, по словам Куканова, избежать попадания своей биометрии в систему, ту или иную, вряд ли удастся, если не изолировать себя от прогресса. Вопрос лишь в том, будут ли они в защищенной системе или в неконтролируемой.
Чип вместо паспорта: чем опасна массовая биометрия
Слишком хорошо, чтобы быть правдой
На первый взгляд биометрическая идентификация человека идеальна. По сути, это неотъемлемая часть человека как биологической системы, набор черт, который дается нам от рождения. В отличие от паспорта, водительских прав, кредитной карты и билетов биометрия всегда с нами. Вы никогда не забудете дома ваше лицо, глаза, голос, зрачки и отпечатки пальцев.
Имплантированный чип также всегда находится вместе с его владельцем, но, в отличие от биометрии, на него может быть записана дополнительная информация. Перспектива пройти за несколько секунд паспортный контроль в аэропорту, моментально получить посадочный талон или деньги в банкомате, пройти на концерт или спортивное мероприятие лишь «предъявив» свое лицо выглядит безусловно привлекательно.
Мы и сами протестировали несколько работающих публичных биометрических решений: биометрический проход на прошедший в Барселоне Mobile World Congress, биометрические аппараты U.S. Customs and Border Protection в нью-йоркском аэропорту, автоматы cдачи багажа авиакомпании Delta. Во всех названных случаях эти решения заметно экономят время пассажиров и посетителей.
Эксперты также отмечают, что биометрическая аутентификация — единственный способ увеличить пропускную способность объектов с большим человеческим трафиком.
Владимир Максимов, руководитель департамента развития новых направлений бизнеса «Тошиба Рус», говорит, что по прогнозам SITA к 2036 году количество авиапассажиров удвоится и достигнет 7,6 млрд.
«Это колоссальная нагрузка на инфраструктуру. Уже давно узким местом индустрии авиаперевозок стала проверка документов в аэропортах. Авторизация пассажиров в единой биометрической базе значительно ускорит прохождение паспортного контроля и посадку в самолет», — говорит эксперт.
Биометрия прочно вошла и в банковский бизнес. По данным Visa Europe, в мобильном банкинге 75% молодых людей пользуются биометрией для подтверждения платежей.
Лицо поменять не получится
Возникает вопрос, почему же тотальное внедрение публичной биометрической аутентификации и уж тем более чипизация так пугает людей? Страхи эти, вполне обоснованные, подпитывает много причин. Важно тут и то, кто активнее всего продвигает эти технологии, кто стал движущими силами массового внедрения биометрии.
С одной стороны, это та часть государственных институтов, которая называется, правоохранительными органами и спецслужбами. С другой, это банки, страховые и транспортные компании. Взаимодействие со всеми этими институтами очень чувствительно для обычного человека, так как речь идет об областях, касающихся его финансов, здоровья, безопасности и взаимоотношений с государством. То есть, тех областей нашей жизни, где цена технической ошибки или последствий злонамеренной активности третьих лиц очень велика.
Что касается имплантации чипов, то формально эта технология не нова и уже давно используется, например, для маркировки крупного домашнего скота. Но даже при самом беглом взгляде на эту технологию в применении к человеку возникает много вопросов.
Безопасно ли имплантировать чипы, физически и ментально? Кому юридически будут принадлежат данные на чипе? У кого будет доступ к этим данным? Можно ли их взломать?
Ответов на эти вопросы нет, как и нет правовой базы, на которую можно было бы опереться для выработки единых правил использования имплантированных чипов.
Биометрия и чипизация документов выглядит мене эпатажно, вводится поэтапно и менее болезненно. Так, например, современные биометрические загранпаспорта мало у кого вызывают негативные эмоции, однако биометрия как средство доступа и допуска тоже вызывает немало вопросов.
Эксперты компании IDX, занимающейся удаленной идентификации личности, в комментарии для «Газеты.Ru» выделили несколько узких мест этой технологии. Прежде всего, биометрические атрибуты хранятся в цифровом формате. Если ваши биометрические данные скомпрометированы, то поменять вы их не можете, в отличие от логина и пароля.
Возможно, будет придумана какая-то процедура «реабилитации» скомпрометированной биометрии, но явно это будет сложнее, чем смена секретных комбинаций.
Аналогичные доводы приводит аналитик MForum Analitics Алексей Бойко: «Сейчас, если кто-то взломал ваш аккаунт, вам достаточно поменять пароль к нему на более надежный. Но если кто-то взломает вашу биометрию, он, по сути, становится вами. Представьте, что кто-то одел на себя маску, напечатанную на 3D-принтере, и получил доступ к вашим деньгам, конфиденциальной информации или критически важной городской инфраструктуре. Маску, дизайн которой полностью соответствует вашему лицу, которое для этого сфотографировали с нескольких ракурсов или «собрали» из набора ваших селфи в соцсетях».
По мнению Бойко подделать при желании и по мере развития техники можно многие, если не все биометрические показатели.
«Боюсь, что это будет постоянным соревнованием — биометрические системы будут все более изощренными, как и методы имитации биометрических данных. И как бы ни были удобны биометрические подходы, для отдельных случаев очень хочется оставить старые, добрые пароли», — считает эксперт.
Все опрошенные «Газетой.Ru» эксперты отмечают, что последствия хакинга биометрической информации будут более серьезными, чем просто краденный логин/пароль.
Многие компании, презентуя свои биометрические технологии, рассказывают только «истории успеха», а статистика по неудачным проектам и их последствия не афишируется.
Владимир Максимов отметил несколько провалов в реализации городских программ ССTV: «Широко известен негативный пример Лондона, где была внедрена система автоматического распознавания лиц, но за весь 2018 год система выдала 98% ложных срабатываний. Есть неудачный нью-йоркский эксперимент с распознаванием лиц автомобилистов, который с треском провалился. Городские власти хотели таким образом искать террористов, но слишком высокая скорость потока не позволила «поймать» лица водителей».
При этом он также, как другие эксперты, отметил, что одну из главных уязвимостей биометрических технологий аутентификации – обеспечение безопасности данных, которые хранятся на серверах или локально, и уязвимы для кибератак.
В 2015 году Департамент по управлению персоналом в США «потерял» данные о 5,6 миллионах отпечатков. В 2016 году на Филиппинах хакеры взломали базу данных местной Комиссии по выборам — тогда на сторону утекли персональные данные 55 млн зарегистрированных избирателей, в том числе паспортные данные и отпечатки пальцев.
Эксперты отмечают, что при должном шифровании риски взлома и потери данных будут ниже, но нулю они не будут равны никогда.
Важен и вопрос злоупотребления возможностями, которые предоставляет биометрия.
При наблюдающемся во многих странах кризисе доверия к государственным институтам, возможности, которые представляют подобные системы в руках некомпетентных или злонамеренных действий со стороны государства пугает людей.
Та же система наружного наблюдения в Китае, более масштабная и продвинутая, чем в США и Европе, заставляет вспомнить антиутопии об обществах тотального контроля. Особенно тревожит европейских и американских наблюдателей привязка биометрии к системе «социального рейтинга» с последующим разделением прав и обязанностей граждан в зависимости от их статуса. Пока такой эксперимент проводится только в некоторых провинциях Китая, но уже привлек к себе внимание всего мира.
Так, например, в 2018 году обладатели низкого социального рейтинга не смогли купить около 23 млн билетов на самолеты и поезда. Такие данные приводятся в февральском отчете Национального центра публичной кредитной информации (National Public Credit Information Center, NPCIC). В 2018 общее количество «черных списков» в Китае достигло 51 и в них было добавлено 3,59 млн человек.
Кстати, «черные списки» — вовсе не китайское ноу-хау. Американские и европейские банки, страховые и авиакомпании ввели их много лет назад.
Одна из ключевых мыслей экспертов, занимающихся влиянием биометрии и чипизации на повседневную жизнь, заключается в том, что эти технологии выступают в роли катализатора. То есть, с их помощью можно как максимально облегчить, так и максимально осложнить жизнь человека. Появление такого мощного инструмента в руках крупных компаний и государства и сопутствующее этому процессу риски вызывают вполне обоснованные страхи даже у самых здравомыслящих людей.
Биометрия в банках: что это, зачем и к чему приведет
Что такое биометрические данные
Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности. К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.
Зачем банки собирают биометрию
Российские банки собирают биометрические данные клиентов в двух направлениях: для собственных целей, чтобы повысить безопасность, удобство и скорость обслуживания клиентов, а также для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков без посещения офиса за счет удаленной идентификации. В двух этих случаях сдача биометрии для клиентов является добровольной.
Собирать данные в ЕБС (изображение лица и цифровой слепок голоса) по закону должны все банки, однако услуги через ЕБС (открытие счета, выдача кредита и проведение платежей) пока оказывают только несколько кредитных организаций:
Скоро к этому списку должны добавится Росбанк, «Русский Стандарт» и РНКБ. Собственные биометрические проекты реализуют не все участники рынка: из крупнейших игроков это делают Сбербанк, ВТБ, Альфа-банк, Почта Банк и «Хоум Кредит».
Способы использования биометрии кредитными организациями
Как происходит сбор биометрии
Для регистрации в ЕБС необходимо один раз посетить отделение банка с паспортом и СНИЛС, а также иметь подтвержденный аккаунт на сайте госуслуг. Если человек еще не является клиентом банка, ему надо открыть счет. Для сдачи своих данных клиент подписывает согласие на их обработку, после чего сотрудники производят запись образца голоса и делают фотографию. Для записи необходимо прочитать три последовательности цифр. Процедура длится не больше десяти минут. В перспективе сдать данные для ЕБС можно будет в МФЦ или в специальном мобильном приложении, рассказал представитель «Ростелекома».
Процедура сдачи биометрии для собственных систем в каждой кредитной организации может отличаться. Например, ВТБ записывает образцы голоса при общении с оператором. Во время записи разговор может вестись на любую комфортную для пользователя тему, чтобы система могла зафиксировать и записать корректный слепок.
Какими законами регулируется сбор биометрии
В настоящее время работа Единой биометрической системы регулируется двумя законами: «Об информации, информационных технологиях и о защите информации», а также «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Согласно им, использование ЕБС в новых сферах может определяться только отдельными законодательными актами.
На рассмотрении в Госдуме сейчас находится законопроект о расширении сферы деятельности ЕБС, его принятие позволит использовать систему без необходимости внесения изменений в отраслевое законодательство, а также приведет к появлению внебанковских сервисов, предоставляющих услуги через ЕБС.
Почему немногие хотят сдавать биометрию в банке
Россияне пока с настороженностью относятся к ЕБС: по последним данным «Ростелекома», на август 2020 года в ЕБС было зарегистрировано около 150 тыс. пользователей. Внутрибанковским проектам клиенты передают свои данные охотнее. Так, Сбербанк собрал около 1 млн данных клиентов (точную цифру банк не раскрывает, но всего у него насчитывается 94 млн клиентов), ВТБ — более 130 тыс. У Почта Банка внутреннюю биометрическую идентификацию по изображению лица прошли все клиенты. Несмотря на то, что сдача биометрии является добровольной, отказавшемуся фотографироваться клиенту будет доступен ограниченный перечень услуг, поскольку банк иначе не сможет гарантировать безопасность всех операций, объяснил 100%-ную сдачу биометрии представитель Почта Банка.
Небольшое число клиентов, готовых воспользоваться услугами ЕБС, связано с недостаточной информированностью граждан о такой возможности, считает представитель «Хоум Кредит». По мнению Емельянова из Почта Банка, чтобы применение биометрических шаблонов стало массовым, нужно, чтобы технология вышла широко за пределы банковской индустрии. Как пояснил представитель «Ростелекома», после принятия законопроекта о сферах применения биометрии появятся новые массовые сервисы: оплата по биометрии, дистанционная сдача экзаменов в образовательных учреждениях, сервисы для нотариусов, судопроизводства, а также другие продукты, которые сейчас находятся на стадии проработки — технической и нормативной.
Еще одна причина — сильно преувеличенные страхи, связанные с возможными утечками биометрических данных, добавляет Емельянов. С точки зрения безопасности ЕБС хорошо продумана, говорит руководитель проектов департамента технологического развития СКБ-банка Альберт Усенко. Записанные фото и голос хранятся в виде математической модели, поэтому ее попадание в руки злоумышленников ничего им не даст, объясняет он: «Ценность представляет связка биометрического контрольного шаблона и набор персональных данных пользователей. Поэтому биометрический контрольный шаблон хранится в ЕБС, а набор персональных данных храниться в Единой системе идентификации и аутентификации (ЕСИА). Они обе расположены в разных местах и никак напрямую между собой не связаны».
Биометрические системы — это надежный и апробированный механизм повышения защищенности дистанционного взаимодействия клиентов с организациями, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Однако, по его мнению, биометрия должна быть дополнительным, а не единственным фактором проверки или подтверждения личности клиента, поскольку фото, видео и голос человека не являются «секретами», как пароли и кодовые слова, а значит, в теории могут быть собраны и использованы без ведома клиентов.
Партнер технологической практики KPMG в России и СНГ Оксана Борисова также видит эффективность применения биометрии в защите от мошенников и считает, что несмотря на риски, ее лучше сдавать для обеспечения безопасности операций и настраивать многофакторное подтверждение проведения операции.
«Наиболее частым сценарием хищения денежных средств является получение данных клиента, необходимых для идентификации и проведения операций в удаленных каналах обслуживания. На сегодняшний день клиент может выбрать различные способы идентификации: обычный PIN-код или пароль, отпечаток пальца, распознавание голоса, проверка с помощью видео и т.д. Ни один из способов не обеспечивает 100%-ную защиту от действий злоумышленников, биометрия — не исключение. Однако использование биометрии в качестве второго или третьего фактора аутентификации может значительно повысить безопасность данных и улучшить клиентский опыт, потому что клиенту не требуется запоминать сложные пароли», — считает Борисова.
Что касается ЕБС, то, по мнению руководителя группы по оказанию услуг компаниям финансового сектора Deloitte Максима Налютина, сдача биометрии важна только в том случае, если клиент собирается активно открывать счета и новые продукты в банках, где он ранее не обслуживался, особенно в условиях эпидемиологических ограничений.
Влияние пандемии на будущее биометрии
Под влиянием пандемии COVID-19 технология начала развиваться быстрее. «За последние полгода по биометрии было предоставлено столько же услуг, сколько за предыдущие полтора года», — пояснил представитель «Ростелекома». Он объяснил это тем, что пандемия сформировала тренд на бесконтактные и дистанционные технологии.
«В сложном 2020 году, когда возникла необходимость перевода всех видов банковских и прочих услуг в дистанционный формат, биометрия стала особенно востребованной. Например, мы наблюдали спрос на использование удаленной идентификации, чтобы стать клиентами банка через мобильное приложение, воспользоваться рядом финансовых услуг, зарегистрироваться и подтвердить учетную запись на портале госуслуг с помощью биометрии», — рассказал директор по инновациям банка «Ак Барс» Дамир Галиев.
ВТБ с помощью голосовой биометрии в контакт-центре уже планирует предоставлять сервисы и услуги, которые ранее были доступны только в офисе, например, разблокировка карт, говорит старший вице-президент банка Чугунов.
Согласно Глобальному исследованию KPMG по банковскому мошенничеству за 2019 год, 67% банковских лидеров инвестируют в инструменты с использованием физической биометрии — голос, отпечатки пальцев, распознавание лиц. Наиболее передовые организации уже вкладываются в развитие более сложной поведенческой биометрии, которая представляет собой сбор уникальных для каждого пользователя набора характеристик, позволяющих составить профиль пользователя и отсеивать мошенников.
Если смотреть на мировой опыт применения биометрии, прежде всего она используется для услуг регистрации новых клиентов в банках и верификации существующих, рассказал руководитель аналитического отдела «Ассоциации ФинТех» Никита Ломов: «Несмотря на то, что пользователи с осторожностью соглашаются на предоставление биометрических данных, мировой опыт показывает, что их использование значительно упрощает процесс взаимодействия клиентов с банками».
Самые известные мировые примеры, по его словам, это:
По аналогии со странами Азии, в России могут начать развиваться сервисы мгновенной оплаты покупок или услуг по индивидуальным чертам лица, считает Ломов:
«Также в ряде европейских стран активно выпускаются биометрические банковские карты, позволяющие пользователям совершать безлимитные операции, для подтверждения которых нужно приложить палец к специальному чипу на карте. Правда, адаптацию данного решения российскими банками предсказать сложно в силу высокого проникновения в России более удобного способа бесконтактной оплаты смартфоном Apple Pay, Android Pay, Samsung Pay и прочих».
Что такое ЕБС и нужно ли начинать бояться биометрии в России
Насколько защищены биометрические данные и стоит ли переживать, что с помощью биометрии государство сможет контролировать каждого?
В 1983 году на экраны вышла очередная серия бондианы «Никогда не говори никогда». В этом фильме актёр Шон Коннери в роли агента 007 проникает в секретную комнату после прохождения биометрии: идентификации глаз, ладони и голоса.
Прошло 38 лет, и вход в офис по отпечатку пальца или перевод денег голосом уже не кажется такой фантастикой. Биоэквайринг работает в России с 2017 года, благодаря чему можно с помощью пальца оплатить покупки в магазине или рассчитаться ладошкой за школьный обед в столовой. Кроме того, к концу 2021 года в столичном метро должна появиться возможность оплаты проезда по лицу.
Обозреватель Skillbox Media. Пишет про бизнес, интернет-маркетинг и управление.
Что такое Единая биометрическая система?
Новый закон регламентирует объединение уже имеющихся и будущих биометрических данных в общую систему. С помощью ЕБС россияне могут взять кредит, открыть банковский счёт, снять наличные в банкомате или дистанционно подписать документы. За два года правительство рассчитывает увеличить число записей в ЕБС со 164 тысяч до 70 млн.
Чтобы сдать биометрические данные, нужно пойти в банк и завести учётную запись. Компьютер получит снимок лица человека и запомнит всё до мельчайших подробностей: форму носа, цвет глаз и другие параметры. При этом доступа к системе сами кредитные организации иметь не будут. Они смогут лишь узнавать о соответствии предоставленных данных шаблону, который хранится в ЕБС. Если процент соответствия окажется выше 99,99%, банк сможет предоставить услугу дистанционно.
Как рассказал Skillbox Media директор по цифровой идентичности ПАО «Ростелеком» Иван Беров, регуляторы предъявляют к ЕБС наиболее строгие правила. Биометрические данные передаются по защищённым каналам связи и хранятся в виде математически обработанных моделей.
«Восстановить фотографию или голос по модели просто невозможно. Кроме того, биометрические данные хранятся в обезличенной форме отдельно от персональных. Биометрия — в ЕБС, а персональные данные — на „Госуслугах“», — пояснил он.
Беров добавил, что, даже если злоумышленники выкрадут такие «слепки» у оператора, они не смогут увидеть фото или прослушать запись голоса.
По мнению директора технического департамента RTM Group Фёдора Музалевского, опасаться стоит не утечек биометрических данных, а обычных мошенников.
«Утечка образца голоса через ЕБС — не самое страшное. Обычные телефонные мошенники могут вывести вас на разговор и записать его, получив образец вашего голоса», — подчеркнул эксперт в разговоре со Skillbox Media.
Уже известны случаи, когда злоумышленники подделывали голоса, чтобы выманить деньги у своих жертв. Если в перспективе для подтверждения платёжной операции достаточно будет голосовой команды, то любые сведения о голосе гражданина могут стать материалом для фальсификации, считает Музалевский. Однако, как правило, банки используют двухфакторную аутентификацию — изображение лица и запись голоса.
Отпечаток пальца вместо банковской карты
Сканирование отпечатков пальцев в настоящее время чаще всего используется для аутентификации на смартфонах. Впервые таким сенсором оснастили телефон Pantech GI100 в 2004 году. Однако широкое распространение дактилоскопические сканеры получили только в 2013 году, когда Apple выпустила на рынок iPhone 5S.
Отпечаток пальца можно использовать не только в качестве ключа к защите информации, но и вместо банковской карты. Так, ещё в 2014 году Сбербанк опробовал в образовательных учреждениях Чувашии технологию безналичной оплаты питания с использованием отпечатков пальцев. Сейчас система, получившая название «Ладошки», запущена во многих российских школах.
Покупатели «Азбуки Вкуса» тоже могут расплатиться за покупки отпечатком пальца. Для этого необходимо зарегистрироваться на кассе магазина и привязать банковскую карту к своим биометрическим данным. После этого будет достаточно просто приложить палец к специальному терминалу — нужная сумма автоматически спишется со счёта клиента.
По словам руководителя направления анализа защищённости исходных кодов ПАО «Ростелеком» Вячеслава Герасименко, цифровой отпечаток пальца сам по себе нигде не хранится. Тот же дактилоскопический сканер для разблокировки смартфона просто генерирует математическую модель пальца и не требует для работы его снимок. Воспроизвести эти данные невозможно, отметил Герасименко в разговоре со Skillbox Media.
Однако надёжность такого метода аутентификации не раз подвергалась сомнению. Так, в 2014 году хакер Ян Крисслер, известный под псевдонимом Starbug, сумел подделать отпечаток пальца тогдашнего министра обороны Германии, а ныне главы Еврокомиссии, Урсулы фон дер Ляйен. Для этого Крисслер использовал программу Verifinger и несколько фотографий чиновницы, снятых обычным фотоаппаратом под разными углами.
Также Starbug демонстрировал способ обхода Apple Touch ID на iPhone 5S. Хакер взял отпечаток с поверхности экрана смартфона и распечатал его на кусочке латекса. Затем он намазал узор столярным клеем и покрыл графитом. С помощью этого «слепка» Крисслер смог разблокировать чужое устройство.
Как хакеры обманывают системы распознавания лиц
В 2020 году сеть московских кафе Prime запустила функцию оплаты счёта по лицу. Чтобы воспользоваться этой услугой, необходимо предварительно сдать биометрические данные в банке, который выпустил карту. Также оплату по лицу тестируют сети магазинов «Лента», «Перекрёсток» и «Пятёрочка».
Но иногда нейросети дают сбой. В 2020 году система распознавания лиц в столичном метро приняла москвича за преступника. В итоге его задержали — и не сняли с него все подозрения, пока не нашли реального подозреваемого.
В 2021 году двое похожих мужчин из Екатеринбурга случайно взломали Face ID на iPad. Даниил взял у своего друга Никиты планшет и хотел спросить пароль, но экран разблокировался сам. При этом они не приходятся друг другу родственниками, а лицо Даниила не было внесено в память устройства.
Это не единственный случай, когда Face ID не сумела защитить гаджет Apple от несанкционированной авторизации. В 2019 году на конференции Black Hat USA исследователи продемонстрировали способ обхода аутентификации, позволяющий получить доступ к iPhone жертвы за 120 секунд. Для этого потребовалось три вещи: очки, скотч и спящий владелец смартфона.
Исследователи обнаружили, что система биометрической аутентификации не извлекает полные 3D-данные из области вокруг глаз, если распознаёт, что владелец носит очки. Вместо этого Face ID ищет чёрную область с белой точкой посередине, которая является радужной оболочкой глаза.
Исследователи решили воспользоваться этим. Они взяли обычные очки, наклеили на линзы чёрный скотч, проделали в нём дырочку и надели аксессуар на спящего владельца смартфона. Этого оказалось достаточно, чтобы обмануть FaceID и получить доступ к смартфону.
Китайские хакеры пошли ещё дальше. Чтобы обойти государственную систему распознавания лиц, они использовали технологию deepfake, позволяющую «примерить» на себя чужую внешность. Злоумышленники подавали налоговые декларации за якобы трудоустроенные «мёртвые души» и присваивали себе деньги из фонда заработной платы. За три года они «заработали» более 76 млн долларов.
Борьба с дипфейками
Нейросети могут подделывать не только лица, но и голос. В 2016 году компания Adobe представила систему VoCo. Она позволяет редактировать запись речи, изменяя слова и целые фразы — как в текстовом редакторе. Приложение также может синтезировать любой голос путём анализа исходного аудиофайла. В основе системы лежат технологии рекуррентных и свёрточных нейронных сетей.
В 2019 году компания Тимура Бекмамбетова Screenlife Technologies и команда «Робот Вера» заявили о работе над проектом на основе искусственного интеллекта Vera Voice. Искусственный голос сможет озвучивать сериалы, игры, рекламу или даже отправлять поздравления с днём рождения с голосами знаменитостей.
Пока что для создания качественного дипфейка требуются немалые ресурсы, вычислительные мощности и время на тренировку моделей. Но тем не менее высококлассные подделки становятся всё более доступными благодаря решениям с открытым кодом. Распространение технологии вынуждает исследователей и власти искать способы противодействия новой угрозе.
Над технологиями распознавания дипфейков работают крупнейшие лаборатории Стэнфордского, Бингемтонского и Калифорнийского университетов, а также многие IT-гиганты, включая Facebook, Microsoft, Intel и Twitter. В 2019 году в Калифорнии приняли первый в истории закон по работе с дипфейками, который запрещает любую попытку манипуляции человеческим вниманием с помощью искусственного интеллекта.
Кроме того, в мае 2021 года МВД России объявило о запуске разработки решения для распознавания дипфейков. Система, получившая название «Зеркало», должна быть готова к ноябрю 2022 года. Однако эксперты скептически оценивают шансы правоохранителей на успех.
«На отечественные исследования в этой области выделено около 4 млн рублей, что ставит под сомнение создание действительно эффективного решения», — рассказала Skillbox Media Мария Чмир, глава стартапа Deepcake, специализирующегося на применении технологий замены лиц в рекламных роликах.
Переживать пока рано?
Директор технического департамента RTM Group Фёдор Музалевский считает, что сегодня не следует переживать из-за активного сбора биометрических данных и внедрения систем распознавания лиц. По словам специалиста, такие данные пока не предназначены для взаимодействия с произвольными камерами.
«Камеры ЕБС изначально созданы для идентификации граждан, в том числе для подтверждения финансовых операций. А вот камеры безопасности не позволяют достоверно и автоматизированно идентифицировать человека, поэтому на данный момент они не связаны с ЕБС», — пояснил Музалевский.
При этом он не исключил, что в отдельных случаях, например при раскрытии преступлений, данные из ЕБС могут сравниваться с данными камер наблюдения. Однако это не планируется делать систематически, так как сейчас точность идентификации оставляет желать лучшего.
Вместе с тем эксперт отметил, что любому государству удобнее управлять гражданами, если они находятся «на карандаше».
«ЕБС — один из способов учёта финансово активных граждан, что становится особенно актуальным в условиях санкций. Создание удобного механизма перевода безналичных денежных средств, очевидно, позволит усилить контроль за денежными потоками и сократить теневой сектор экономики», — резюмировал Музалевский в разговоре со Skillbox Media.