Новость середины ноября - возможность оплаты проезда по биометрии - запустили в метрополитене Екатеринбурга. Для оплаты проезда по биометрии необходимо предварительно зарегистрироваться в Единой биометрической системе (ЕБС) - для этого достаточно сделать фото самого себя в приложении "Госуслуги Биометрия". Записывать голос и сканировать загранпаспорт необязательно. После этого в приложении "Сбербанк Онлайн" нужно привязать платежное средство к биометрии, следуя инструкциям виртуального ассистента. Сейчас оплата проезда в метро по биометрии также работает в Москве и Казани. До конца года сервис планируется запустить в Самаре и Нижнем Новгороде.
При этом существуют распространенные опасения, касающиеся рисков, связанных с биометрией. Так, автор материала провел опрос пользователей своего Telegram-канала, касающийся их отношения к биометрическим сервисам. Результаты показательные: 50% относятся к технологии отрицательно, 27% используют, еще 23% планируют начать использовать. Причину опасений половины профессионально цифровой аудитории ярче всего неоднократно озвучивала глава компании InfoWatch Наталья Касперская. По ее мнению, главным риском является недостаточная защищенность хранимых в ЕБС данных.
"Я очень плохо отношусь к биометрии. Потому что на текущий момент не существует систем защиты биометрической информации. И внедрять какие-либо биометрические системы до того, как придумали способы адекватной их защиты, совершенно нельзя. Более того, вы должны понимать, что в отличие от любой другой информации, скажем, логина и пароля, которые можно поменять, биометрическую информацию невозможно поменять. Вы не можете изменить лицо. Вы не можете поменять отпечатки пальцев. Если они будут украдены, будут скомпрометированы, то вы потом замучаетесь доказывать, что это не вы", - говорила Касперская.
С этой аргументацией согласны в Positive Technologies. "В первую очередь, важно понимать, что биометрические данные уникальные и не подлежат замене. В отличие от тех же самых паролей, в случае компрометации биометрические данные нельзя будет заменить на новые. Однако стоит понимать, что если биометрические данные хранятся в зашифрованном виде (например, как в ЕБС), то технической возможности для их расшифровки и сопоставления с конкретным человеком нет", - говорит Ирина Зиновкина, руководитель направления аналитических исследований Positive Technologies. Кроме того, она отмечает, что внедрение биометрии как фактора идентификации может стать дополнительной нагрузкой на бизнес.
"Чтобы обрабатывать и использовать биометрию, необходимо специализированное аппаратное и программное обеспечение и интеграция с существующими системами, что может вызывать дополнительные затраты у организаций", - говорит Зиновкина.
В ЦБТ отмечают ошибочность базовых предпосылок скептиков, в первую очередь в том, что касается "неизменности" биометрических данных. "Например, черты лица динамично меняются в течение жизни. Именно поэтому биометрия, зарегистрированная в ЕБС, имеет свой "срок годности". От двух до пяти лет - в зависимости от уровня зарегистрированных данных", - пояснили в организации. Кроме того, добавляют в ЦБТ, биометрия - это идентификатор, от использования которого можно отказаться.
"У каждого, кто ранее регистрировал данные, есть возможность управлять ими на портале "Госуслуги". Отозвать согласие, удалить образец или зарегистрировать заново - каждый сам решает, как ему распоряжаться своей биометрией. А вот от паспорта (и многих других традиционных идентификаторов) вы отказаться не можете. Он в том или ином виде всегда будет удостоверять вашу личность. Не существует "панели управления", которая позволяет вам удалить паспортные данные. В случае с биометрией такая "панель управления" есть", - заявили там.
Риски же утечек биометрических данных, уверены в операторе Единой биометрической системы, исключены тем, как организовано хранение такой информации. "На уровне закона определено, что биометрия должна храниться отдельно от других персональных данных. Сделано это для того, чтобы любая попытка "взлома" или "слива" просто не имела практического смысла. Ценность неразмеченных данных - ноль. По факту, система - это большой фотоальбом, но фотографии в нем не подписаны и особым образом закодированы", - сообщили в ЦБТ.
Эксперты отмечают, что сегодня пользователи и без ЕБС активно используют биометрию, например при распознавании владельца смартфона: распознавание лица или сканирование отпечатка пальца - это та самая биометрия. А еще фото и видео в соцсетях, аватарки в мессенджерах, голосовые сообщения...
Однако переиспользовать эти данные и обмануть с их помощью систему не получится. "Если вы попробуете использовать фото или видео из соцсетей для доступа к сервисам, вы получите отказ. Благодаря технологиям определения витальности, или "лайвнесс", система абсолютно четко понимает, кто находится перед камерой - живой человек или его имитация. Лайвнесс включает в себя специальные алгоритмы, выявляющие "подозрительные" элементы в видеопотоке, анализирующие мимику, глубину изображения, а также различные аппаратные средства, например инфракрасные датчики или лидары. Кроме этого, в ряде операций предусмотрено использование нескольких типов биометрии, применение пин-кода, аутентификация на ЕПГУ в качестве дополнительного фактора защиты", - уверены в ЦБТ.
Замглавы Комитета Госдумы по информполитике, информтехнологиям и связи, председатель правления РОЦИТ Антон Горелкин отмечает, что необходима более активная работа по объяснению того, как защищены биометрические данные и как они могут быть использованы.
"Я уже не раз говорил о необходимости системной информационной работы: нужно рассказывать людям о том, для чего сдавать биометрию, какие преимущества это дает, где хранятся и как защищены чувствительные данные. Иначе анонимы продолжат эксплуатировать страхи и заниматься манипуляциями, используя каждый подходящий инфоповод", - заявлял Горелкин. Он убежден в необходимости открытого диалога между государством, бизнесом и обществом по вопросу внедрения биометрии.
В 2022 году в Сети открылась очень необычная выставка. В экспозиции представили сто копий одной и той же картины - "Мона Лиза" Леонардо да Винчи. На самом деле все картины выставки имели незаметные различия. То, что человеческому глазу кажется сотней одинаковых изображений, система распознавания лиц определяет как портреты ста разных знаменитостей. Организатором выставки выступил стартап Adversa, специализирующийся на обнаружении и устранении уязвимостей в технологиях искусственного интеллекта. А целью данного проекта является наглядная демонстрация слабых мест в системе распознавания лиц.
Итак, что же пошло не так? Искусственный интеллект видит в ста, по сути, одинаковых изображениях сто разных из-за предубеждений и уязвимостей в состязательных примерах. Этими недочетами потенциально могут воспользоваться киберпреступники для взлома систем распознавания лиц, автономных автомобилей, медицинских систем сканирования, финансовых алгоритмов и пр.
Ни одно из представленных на выставке изображений не является реальной копией "Моны Лизы". Все они были модифицированы особым образом, чтобы алгоритм распознал их как портреты разных знаменитостей, хотя для человеческого глаза это вся та же "Мона Лиза".
"Для того чтобы классификатор распознал незнакомца, к фотографии человека следует добавить состязательный патч. Такой патч генерируется особым алгоритмом, считывающим пиксельные значения в фотографии, чтобы классификатор выдал желаемое значение. В нашем случае фотография заставляет модель распознавания лиц вместо Моны Лизы видеть знаменитость", - пояснили в Adversa.
Чтобы обмануть системы распознавания лиц в реальном мире, злоумышленнику необходимо поместить свой поддельный образ в базу данных распознавания лиц. Подделку можно внедрить путем взлома базы или с помощью социальной инженерии во время принятия фотографий.
Например, стажер, находящийся на важном объекте, с помощью подобной техники может обмануть систему распознавания лиц, заставить алгоритм воспринимать себя как генерального директора и получить доступ туда, где стажеру быть не положено.