Осторожно! Биометрия в России!
Содержание:
- Европа и США против биометрии
- Зрелищные мероприятия без скандалов
- Аэропорт без границ
- Где сейчас используется биометрия
- Лицом к банку
- Почему возникла такая идея?
- Миф 1. Биометрия позволяет следить за каждым
- Сбор биометрических данных
- Сравнительная оценка биометрических технологий
- Что такое биометрическая аутентификация?
- Законодательная база
- Отказ или согласие на сдачу биометрических данных
- Защита биометрических данных
- Инструкция
- Аутентификация по венам ладони
- Кража биометрических данных
- Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях
- Защита средств идентификации
- Как обманывают людей? Реальные истории
- Продолжение следует
- Офисная жизнь по-новому
- Просканировать всех
Европа и США против биометрии
«Создаются все условия, чтобы биометрию можно было использовать для операций в банке, для получения госуслуг, соответственно, открывается простор для мошенников. Проблема в том числе в том, что биометрические данные обычному человеку не поменять», — заявила эксперт юридической фирмы Digital Rights Center, автор телеграмм-канала «Цифровое право» Анастасия Крымская.
Она отметила, что при утечке можно сменить пароль, можно поменять номер телефона или почту, если мошенники завладели этими данными. Но поменять отпечатки пальцев, сетчатку глаза и лицо будет практически невозможно. И прекратить мошенничество с использованием биометрии будет намного сложнее. Но есть и те, кто выступают против биометрии.
«В целом сейчас риск применения биометрии очень большой, поэтому её применение и ограничивается в развитых странах, повсеместное её внедрение в России может повлечь большие правовые риски», — добавила Крымская.
В начале сентября МВД России заявило, что готово выдавать россиянам электронные паспорта, сообщили в министерстве. Первыми их смогут получить москвичи — с 1 декабря 2021 года. В регионах новые документы должны начать выдавать в течение ближайших полутора лет. На карточке планируется размещать в том числе биометрические данные граждан: изображение лица, папиллярных узоров двух пальцев рук владельца и т. д.
Зрелищные мероприятия без скандалов
В преддверии Чемпионата мира по футболу 2018 вопрос безопасности зарубежных гостей и отечественных болельщиков встает особенно остро. Даже простейшая биометрия позволяет безошибочно идентифицировать нежелательных посетителей.
Чтобы ускорить процесс прохода зрителей на стадион, лучше использовать видеосистемы, способные обрабатывать изображения лиц сразу десятков человек. И это не фантастика — подобные системы уже внедряются на российских стадионах. Прошедший весной в Великобритании финальный матч Лиги чемпионов уже контролировался установленной полицией Кардиффа системой распознавания лиц. В скором будущем, собираясь на концерт или матч любимой команды, вы больше не будете беспокоиться за безопасность мероприятия.
Аэропорт без границ
Безопасность — не единственное предназначение биометрических систем. Для законопослушных граждан такой способ идентификации открывает все двери — в прямом смысле.
Любой авиаперелет начинается с многочисленных контролей и досмотров. В аэропорту вам больше не придется два-три раза показывать паспорт, посадочный талон и билет, проходить несколько контуров контроля. Зайдя в терминал и миновав рамки металлодетектора, вы сразу сможете пройти к нужному гейту. Подобные сервисы уже тестируются в Финляндии авиакомпаниями Finnair и Finavia, в США аналогичный эксперимент проводится сразу в нескольких аэропортах.
Биометрическая идентификация избавит вас от необходимости получать посадочный талон на стойке с длинной очередью. Вместо проверки билета и паспортного контроля вы просто проходите в поле обзора камеры или смотрите в линзы сканеров лица и глаза. Идентифицировав пассажира, система указывает вам путь к гейту, сообщает текущий статус рейса, информирует о погоде в месте назначения. Никаких очередей на посадку и отрыва посадочного талона — вы проходите из зоны ожидания прямо на борт лайнера.
Нет испытующих взглядов пограничников, многократной демонстрации паспорта. В бывших зонах погранконтроля вы будете подтверждать свою личность двухмодальной верификацией лица и радужной оболочки глаза. Такой сценарий ждет нас не в самые ближайшие годы, но в среднесрочной перспективе — наверняка.
Где сейчас используется биометрия
Точность и скорость современных биометрических систем настолько высока, что на них уже делают серьезную ставку как бизнес, так и государственный сектор. Крупные зарубежные банки идентифицируют своих клиентов по отпечатку пальца и сосудистому рисунку ладони, по сочетанию голоса и лица, по радужной оболочке и голосу. Биометрия используется как для осуществления операций через смартфон, так и непосредственно в отделениях и банкоматах. Банкоматы Diebold — одного из крупнейших поставщиков ATM в мире, — отныне в обязательном порядке оснащаются сканером отпечатков пальцев. Для проведения операции банкам лишь остается задействовать соответствующую функцию. Массовой установки подобных устройств в России можно ждать в течение двух-трех лет.
Самым крупным и известным опытом использования биометрической идентификации в мире стали биометрические паспорта. Это лишь самое базовое использование уникальностей человеческих черт — в таких паспортах в зашифрованном виде хранится фотография владельца, отпечатки пальцев и текстовая информация. С развитием технологий к набору добавятся снимки радужки глаза и другие факторы. Учитывая шифрование, подделать подобные чипы и информацию на них практически невозможно.
Лицом к банку
От идентификации людей по отпечаткам пальцев решили отказаться. «Данные, которые мы передаем с помощью технологии TouchID, отправляются в Apple и закрыты для внешних разработчиков. Именно Apple подтверждает банку, что палец, который человек приложил к сканеру в телефоне, совпал с тем отпечатком, который пользователь туда изначально записал. Банк вынужден доверять зарубежной частной компании», — объясняет Иван Беров, директор по цифровой идентичности «Ростелекома». К тому же не все модели телефонов и компьютеров оснащены хорошими сканерами, в то время как микрофон и камера приличного качества есть практически у всех.
Почему возникла такая идея?
Сдача биометрических данных остается исключительно добровольной для клиентов банков – и это сильно замедляет темпы ее развития. Так, ЕБС и возможность сдать туда свои данные работают уже 3 года, но за это время возможностью воспользовались всего около 200 тысяч человек (при планах едва ли не на половину населения России).
Несмотря на то, что с помощью биометрической аутентификации в перспективе можно будет вообще отказаться от бумажных паспортов и других документов, россияне не спешат пользоваться этой возможностью. И причин здесь несколько:
- многие вообще не знают о такой возможности – несколько лет назад таких россиян было 70-80%;
- даже тем, кто об этом знает, это не нужно – ведь пользоваться услугами банка и оплачивать проезд без проблем можно и обычными способами;
- кто-то не против сдать данные, но не хочет тратить на это время;
- люди не верят, что это безопасно. Кстати, не так давно президент InfoWatch Наталья Касперская прямо посоветовала россиянам не сдавать биометрию – эти данные, по ее мнению, практически не защищены.
Другими словами, баланс преимуществ и рисков пока не на стороне проекта ЕБС – россияне просто не понимают, зачем сдавать свои биометрические данные, какие реальные преимущества это принесет и какие риски может нести в себе.
Например, по сети гуляют «страшилки» о том, как мошенники пытаются по телефону получить запись слова «да» от клиента – якобы это может открыть доступ к банковским операциям клиента. В теории это, конечно, возможно – но не при ситуации, когда в системе хранятся данные всего 200 тысяч человек.
Предложением сдавать биометрические данные через смартфон власти намерены упростить процедуру и привлечь тех, кто пока сомневается в этом. Узнав, что использование биометрических данных может быть удобным, клиенты могут все-таки дойти до банка и сдать свои данные уже в обычном формате.
Миф 1. Биометрия позволяет следить за каждым
Распознавание лиц (Face ID, биометрия) — это результат работы видеоаналитики, которая определяет соответствие лица в кадре имеющемуся изображению в базе данных. Вопреки распространенному мнению, биометрия не может идентифицировать людей, которые не являются их целью.
«Поясню на примере системы «Безопасный город» в Москве. Камеры видеонаблюдения, которые установлены в общественных местах и на улице, не могут следить за всеми и каждым человеком в отдельности. Это и не нужно. Она лишь «перебирает» лица в кадре и сверяется с базой данных. Например, это могут быть базы правоохранительных органов».
Иными словами, Face ID используется только для распознавания «интересующих» ее лиц. Остальные данные для системы излишни.
Экономика инноваций Б — биометрия: оплата покупок сканом лица и отпечатком пальца
Сбор биометрических данных
По прогнозам исследовательской компании MarketsandMarkets, стоимость мирового рынка биометрических систем вырастет с $36,6 млрд в 2020 году до $68,6 млрд в 2025 году. Среднегодовой темп роста составит 13,4%.
По мнению Александра Горшкова, скорость внедрения биометрических технологий будет зависеть от людей и их менталитета. Например, в России каждый восьмой житель получал предложения о сдаче биометрических данных от различных организаций, преимущественно банков (без учета ситуации с загранпаспортами и визами). На это указывают результаты опроса сервиса для поиска работы SuperJob с участием 2,5 тыс. человек. Каждый третий респондент согласился их предоставить: многие объясняли это удобством. Чуть меньше половины (44%) опрошенных не захотели сдавать свои данные, в том числе потому, что не доверяли организации, опасались утечек и недобросовестного использования информации. Еще одна причина отказа — использование биометрических данных там, где без них можно обойтись.
Настороженно к сбору биометрических данных относятся и в Европе. Недавно депутаты Европарламента приняли резолюцию, которая запрещает использовать системы автоматического распознавания лиц в общественных местах. По мнению чиновников, наблюдение за людьми можно осуществлять только в том случае, если они подозреваются в совершении преступления.
Однако полностью отказаться от биометрии, как считает Александр Горшков, невозможно. «Для обеспечения безопасности во всех странах применяется идентификация по отпечаткам пальцев, а на многих пограничных пунктах, например в Объединенных Арабских Эмиратах и США, идентифицируют людей по радужной оболочке глаз», — отмечает эксперт. Александр Горшков подчеркнул, что именно последний способ подтверждения личности является одним из самых надежных и удобных, в том числе за счет того, что он бесконтактный. К тому же он не позволяет государству организовать тотальную слежку за гражданами.
Дмитрий Дырмовский предполагает, что биометрические решения будут активно внедряться по всему миру. Поэтому, как объясняет эксперт, нужно фокусироваться на том, чтобы разъяснять принципы работы технологии, рассказывать о зарубежном опыте и продолжать совершенствовать технологии, сообща решая возникающие вопросы. «Такие же вопросы глобальные лидеры решали, когда появлялись сотовые телефоны, банковские карты и другие технологии», — заключает специалист.
В будущем биометрия будет использоваться повсеместно. В этом уверен и ведущий специалист блока консалтинга компании Infosecurity, оказывающей услуги в сфере информационной безопасности, IT и консалтинга, Анатолий Сазонов. По его словам, к защите такого рода информации необходимо подходить системно, и заниматься этим должно в том числе государство.
Сравнительная оценка биометрических технологий
При реализации технологий применяются алгоритмы на основе математики, а также дополнительные механизмы защиты от подмены. Оценка на рынке технологии биометрической аутентификации показала несколько критериев сравнения, используя безопасность технологии, удобство использования, а также доступность цен (Таблица 1).
Таблица 1 – Сравнительная оценка технологий биометрической аутентификации:
Критерия |
Отпечатка пальца |
Рисунок вен ладони |
Голос |
Радужная оболочка глаза |
Лицо 2D |
Лицо 3D |
Безопасность |
+- |
+ |
– |
+ |
– |
+- |
Удобство |
+- |
+- |
– |
+ |
+- |
+ |
Ценовая доступность |
+- |
– |
+ |
– |
+ |
– |
+ = высокий+- = средний– = низкий
Что такое биометрическая аутентификация?
Использование паролей сопряжено с рисками информационной безопасности и неэффективной работой сотрудников. Технология аутентификации решает эти проблемы. В крупных и малых предприятиях, в банковской сфере, магазинах и на секретных объектах используется биометрическая аутентификация.
Биометрическая аутентификация включает:
- сканирование отпечатков пальцев,
- сканирование вен ладони,
- сканирование радужной оболочки глаза,
- сканирование сетчатки глаза,
- сканирование геометрии лица,
- аутентификацию по голосу.
Как работает биометрическая аутентификация:
- На этапе регистрации биометрического аутентификатора происходит запись образца соответствующей биометрической характеристики пользователя с помощью специального считывающего устройства.
- Программный алгоритм обрабатывает полученный образец, и система сохраняет егов качестве шаблона в базе данных.
- Когда пользователь предъявляет биометрический идентификатор, система сравнивает предоставленный образец с имеющимся шаблоном с помощью алгоритма сопоставления.
- Пользователь признается легитимным и получает доступ только в том случае, если степень схожести предоставленного идентификатора с сохраненным в базе данных шаблоном удовлетворяет установленному пороговому значению.
Главным преимуществом такой системы является неотделимость идентификатора от его владельца, поскольку все биометрические характеристики физически связаны с пользователем. Эти данные не могут быть переданы другим лицам, что обеспечивает жесткое исполнение регламентов доступа.
Невозможность отказа от факта выполнения действий в ИТ-системе – уникальное преимущество биометрических систем.
Законодательная база
Внедрение биометрии как средства контроля состояния водителя в каршеринге и такси — дело будущего. Однако можно предположить, что уже вскоре Европа станет пионером в этом отношении. В ЕС согласованы новые правила, согласно которым все автомобили, построенные после мая 2022 года и проданные в странах региона, уже будут иметь ряд встроенных устройств, включая сенсоры состояния водителя и его здоровья.
Один из стоп-факторов более масштабного внедрения биометрии в отрасли — несовершенство законодательства в части регулирования сбора биометрических данных и их использования в каршеринге и такси. Они в основном нацелены на регламентацию характеристик устройств (например, определенной производительности и точности работы) и соответствуют потребностям полномочных служб. Что касается интересов пассажиров, то их, с одной стороны, защищает федеральное регулирование работы с персональными данными (152-ФЗ и некоторые смежные НПА).
Однако эти же документы ставят большие бюрократические барьеры на пути к тому, чтобы бизнес мог развивать сервис на основе биометрии. Возможно, они исчезнут, если Россия адаптирует ряд успешных европейских практик в рамках GDPR, суть которых сводится к разрешению использовать биометрию, если пользователь не возражает, и строгому наказанию за непрозрачность, любые риски для пользователя и несоответствие действующему регулированию. В этом случае рынки каршеринга и такси в России могут стать одними из самых активных потребителей биометрических систем, особенно при условии быстрого развития импортозамещающих решений.
Отказ или согласие на сдачу биометрических данных
При этом Анатолий Сазонов убежден, что у людей должен быть выбор — сдавать или не сдавать свои биометрические данные, ведь риски их несанкционированного использования по-прежнему остаются высокими. С этой идеей соглашается и Александр Горшков. «Водители автомобилей периодически выборочно тестируются на алкогольное и наркотическое опьянение. Если нет желания проходить такую проверку, то можно пользоваться услугами такси. Спрос определяет предложение: если люди будут больше использовать идентификацию по биометрии, то ее станут чаще предлагать», — подчеркивает специалист.
«Хотелось бы, чтобы возможность отказаться от сдачи биометрических данных была, — заключает Юрий Матвеев из ИТМО. — Но с повсеместным распространением видеокамер на улице, в метро и других местах человеку сложно будет предотвратить захват и хранение подобной информации о себе в различных базах».
Защита биометрических данных
Специалисты в области биометрии разрабатывают методы так называемого антиспуфинга (защита биометрических данных от подделки, от. англ. spoofing — «обман», «подмена». — Прим. Plus-one.ru). Они нужны для того, чтобы злоумышленники не могли воспользоваться подложными биометрическими образцами — реальными или синтезированными записями голоса, фотографиями или видео — для прохода через систему биометрической защиты. Как рассказал Plus-one.ru профессор факультета информационных технологий и программирования, руководитель международной лаборатории «Многомодальные биометрические и речевые системы» Университета ИТМО Юрий Матвеев, эти методы стали активно разрабатываться с середины 2010-х годов, сразу после первых внедрений биометрических технологий.
В возможности защиты биометрических данных с помощью методов антиспуфинга уверен и генеральный директор группы компаний ЦРТ, разрабатывающей биометрические системы, Дмитрий Дырмовский. По словам специалиста, риски утечек могут возникнуть в том случае, если биометрические данные хранятся вместе с персональными. «Но такие вопросы относятся к регулированию и защите персональных данных и не должны дискредитировать саму технологию, — говорит эксперт. — Даже если сотрудник IТ-подразделения получит доступ к биометрическим данным, при корректном хранении он не сможет ими воспользоваться». Кроме того, степень защиты данных можно повысить за счет использования сразу двух биометрических характеристик, например изображения лица и голоса, утверждает Дырмовский.
Инструкция
Прохождение дактилоскопии не потребует много времени.
Где можно пройти
Отпечатки пальцев берут в центрах Миграционной службы РФ или в передвижных мобильных пунктах.
В центрах
Проще всего пройти дактилоскопию в центре ГУВМ МВД – подразделениях российской миграционной службы, ответственной за выдачу загранпаспортов.
Также оборудованием для снятия отпечатков пальцев и выполнения биометрических фотографий снабжены Многофункциональные центры в городах, население которых превышает 100 000 человек. Это позволило избежать больших очередей в подразделениях миграционной службы.
Мобильно
На территории России действуют мобильные пункты по проведению дактилоскопии. Эти услуги предоставляют коммерческие посредники за отдельную плату. Представителей таких организаций можно вызвать по адресу проживания заявителя, но данный способ доступен не для всех ввиду высокой стоимости процедуры.
В какой момент оформления
Дактилоскопию проводят после подачи документов на загранпаспорт. Для сдачи отпечатков пальцев ребенка в возрасте от 12 до 14 лет требуется согласие и обязательное присутствие родителей.
Как записаться
Записаться на получение загранпаспорта нового поколения и дактилоскопию можно через портал Госуслуги или лично явившись на прием в территориальное подразделение ГУВМ МВД.
Для подачи заявки через Госуслуги необходимо создать личный кабинет, авторизовавшись на сайте.
Для записи на получение биометрического загранпаспорта потребуется:
- войти в личный кабинет;
- выбрать услугу получения загранпаспорта из предлагаемых на сервисе в разделе ФМС;
- отметить выдачу документа нового образца;
- выбрать возрастную категорию заявителя;
- отметить, что требуется электронная услуга;
- правильно заполнить и отправить бланк заявления;
- оплатить госпошлину (это можно сделать удаленно путем перечисления суммы с банковской карты).
Сервис назначит дату для посещения подразделения ФМС, куда нужно подойти для сдачи отпечатков пальцев и необходимых документов.
Стоимость
Дактилоскопию, проводимую в подразделении миграционной службы, оформляющей загранпаспорт, отдельно оплачивать не нужно. Стоимость данной процедуры входит в пошлину, уплачиваемую за оформление документа и составляющую для взрослых заявителей 5 000 р., для детей младше 14 лет – 2 500 р.
Сдача отпечатков пальцев через мобильную организацию стоит от 10 000 р.
Что иметь с собой
При посещении подразделения миграционной службы для дактилоскопии понадобятся следующие документы:
- два экземпляра заполненных анкет;
- гражданский паспорт;
- загранпаспорт (при наличии, если срок действия не истек и необходима замена);
- военный билет (мужчинам в возрасте от 18 до 27 лет, постоянно проживающим в России);
- квитанция об уплате госпошлины;
- три цветные фотографии 35 × 45 мм.
Бланк анкеты можно получить непосредственно в подразделении миграционной службы или скачать в интернете.
При оформлении загранпаспорта на ребенка потребуется подача еще некоторых документов: свидетельства о рождении, согласия на биометрию от родителей (при возрасте несовершеннолетнего младше 14 лет).
Как проходит
Процедура оформления займет не более получаса. При посещении сдаются нужные документы, проводится цифровое сканирование отпечатков пальцев, делается биометрическое фото. Сведения о заявителе внесут в электронную базу данных и назначат дату, когда он должен явиться для получения оформленного документа.
Срок изготовления биометрического загранпаспорта – 30 дней, если обращаться в подразделение миграционной службы по месту, где зарегистрирован гражданин. При обращении не по адресу прописки ожидать придется от 2 до 4 месяцев.
Аутентификация по венам ладони
Любой человек уникален. Неповторимо и расположение кровеносных сосудов в его ладонях. Каким образом прибор может «видеть» вены, расположенные под поверхностью кожи?
Источник постоянного инфракрасного излучения посылает к ладони волны длиной 760 нм, что соответствует инфракрасному спектру. Кожа и другие ткани не являются препятствием для таких лучей. И благодаря своим биологическим свойствам, излучение имеет разное отражение и поглощение различными тканями организма.
Восстановленный гемоглобин, который является составной частью крови, поглощает излучение больше, чем соседние ткани. Таким образом, в местах расположения венозного тока ИК лучи отражаются от ладони в меньшем количестве. Это отличие и фиксируется прибором.
Важно, что регистрируется именно движение кровяной жидкости, значит, прибор может отличить «живую» руку от «мертвой» и от макета или искусственной копии. Преимущества аутентификации по венам:
Преимущества аутентификации по венам:
- нет контакта с прибором, следовательно снижается риск распространения инфекций,
- нет влияния на результаты исследования состояния внешнего кожного покрова ладони и факторов окружающей среды, что гарантирует высокую точность,
- полностью исключается возможность «подделки» ладони.
Недостатки:
некоторые источники освещения (например, галогеновые) могут мешать работе прибора.
Кража биометрических данных
Никакие данные не могут быть полностью защищены от утечек. Этого мнения придерживается и Александр Горшков, директор по развитию бизнеса компании Iris Devices, которая занимается разработкой и производством систем безопасности на базе ИИ. Он подтвердил Plus-one.ru, что способы хранения биометрических и других персональных данных, например паспортных, не различаются. Последние, по словам эксперта, могут быть скомпрометированы при разных обстоятельствах, в частности во время оформления билетов на поезд, заселения в гостиницу, получения гостевого пропуска в бизнес-центр.
«Точно так же могут быть похищены и биометрические данные, которые собираются в разных местах, — говорит Александр Горшков. — Например, голос может быть записан во время разговора с сотрудником организации, которая таким образом контролирует качество своей работы. При этом в компрометации персональных и биометрических данных не нужно винить только IT-специалистов: получить к ним доступ могут и рядовые сотрудники с гораздо меньшей зарплатой».
Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях
Мы констатируем повышенный риск для любых информационных систем со стороны хакерских атак. Это факт сегодняшнего дня. Биометрические данные, причисленные к персональным, всегда требуют повышенного внимания со стороны информационной безопасности.
Индустрия 4.0 Биометрия и диджитал-копии: как защитить себя и бизнес от кибермошенников
Для защиты таких данных сейчас используется распределенное хранение. Зашифрованный биометрический шаблон хранится на защищенных серверах в обезличенной форме отдельно от персональных данных. Выглядит он как некая математическая модель биометрических данных (лицо, отпечаток пальца, голос и так далее). Для обычного человека это представляет собой условно набор цифр. Восстановить из таких шаблонов образец голоса, изображение, отпечаток пальца без системы нельзя. А обезличенные сведения, даже с точки зрения внесенных в базу фотографий, не особенно интересны хакерам, поскольку для совершения каких-то мошеннических действий одного лишь изображения будет недостаточно.
«Для противодействия атакам биометрического спруфинга сегодня в банках используются такие механизмы подтверждения личности как liveness detection (дословно «проверка живости»). Это способность системы определять, является ли отпечаток пальца, лицо или другие биометрические данные реальным или поддельным. В качестве такой активной проверки биометрических данных, в частности, видеоизображения, человека могут попросить улыбнуться или повернуть голову. Система следит за естественностью движений пользователя, их соответствием полученному заданию и непрерывностью действий. При этом алгоритмы контролируют статику и динамику, что позволяет обнаружить взлом с использованием маски».
Как показывает практика, в большинстве случаев злоумышленники выбирают другие способы. Алгоритмы аутентификации пользователя мошенники стараются обходить с помощью социальной инженерии или уязвимостей в платежных приложениях.
Индустрия 4.0 Как защититься от кибермошенников — шесть основных схем обмана
Но нельзя исключать интерес злоумышленников к таким базам в части вывода системы из строя, что может стать элементом шантажа или вымогательства. Для защиты систем разработчики используют трансформацию биометрических параметров и криптографию. То есть в системе хранится только часть информации — защищенный эскиз.
«К примеру, при защите Единой биометрической системы в России, используется не один, а множество алгоритмов. Взлом даже одного займет у хакера много времени, сил и средств. А таких там десятки. К тому же они постоянно совершенствуются».
Защита средств идентификации
Мы все знаем, что пароль нельзя никому передавать и следует хранить в тайне, обязательным является периодическая смена паролей. Спрятать лицо или голос не получится, человека нельзя запереть в сейф, чтобы никто не мог скопировать его биометрические данные.
С учетом современного развития Интернета и социальных сетей, телефонии и мессенджеров получить фотографию человека и образец голоса не представляет никакой сложности. И регулярно менять лицо и голос не получится. Наоборот, биометрическая идентификация тем и привлекательна, что идентификатор не меняется или слабо меняется в течение жизни человека. Это одна из серьезных проблем систем биометрической идентификации. Какой бы способ биометрической идентификации ни был выбран, всегда надо исходить из того, что идентификатор может быть получен и использован злоумышленниками. Определенной защитой является проверка на «лайфность» предъявляемого идентификатора. Но более перспективным видится одновременное использование статических и динамических методов биометрической идентификации.
Статические методы идентифицируют по тому, чем человек обладает: отпечатку пальца, лицу, радужной оболочке глаза и т. д. Динамические методы идентифицируют человека по тому, как он что-то делает: по почерку, по работе на клавиатуре компьютера, по походке и т.д.
Например, если система биометрической аутентификации не просто анализирует лицо и голос, а еще и мимику лица при произнесении человеком конкретных выражений, такую систему обмануть будет значительно сложнее.
Следует отметить, что технологии динамической биометрической идентификации сложнее использовать, потому что эти биометрические параметры могут существенно меняться на протяжении жизни человека. Кроме того, при их использовании требуется больше времени для проведения идентификации, т.к. необходимо набрать достаточный объем данных для проведения идентификации.
С учетом того, что постоянно совершенствующиеся современные технологии позволяют провести атаку на любую технологию биометрической аутентификации, наиболее перспективным видится применение биометрической аутентификации одновременно по нескольким параметрам (технологиям) либо многофакторных систем аутентификации, одним из факторов в которых является биометрия.
На данный момент использование биометрии ограничивается отсутствием у пользователя устройств, позволяющих снять биометрические данные. Биометрические сканеры в виде отдельных устройств на данный момент достаточно дороги для большинства технологий биометрической идентификации.
Следует также отметить, что во многих странах биометрические данные человека относятся к особо охраняемой категории персональных данных, что требует применения серьезных средств защиты при их сборе, передаче и хранении.
Давайте подведем итоги: какие же плюсы и минусы есть у существующих систем биометрической идентификации?
Плюсы
- Идентификатор неотделим от человека, его нельзя забыть, потерять, передать. Проверив идентификатор, можно с высокой долей уверенности говорить о том, что был идентифицирован именно этот человек.
- Воссоздать (подделать) идентификатор достаточно сложно.
- Биометрическая идентификация удобна в использовании.
- Идентификация может проводиться прозрачно (незаметно) для человека.
Минусы
- Доступность биометрических идентификаторов для копирования и проведения атаки в большинстве систем биометрической идентификации.
- Необходимость наличия определенных окружающих условий для проведения биометрической идентификации.
- Могут возникать ситуации, когда биометрические идентификаторы повреждены или недоступны для считывания.
- Наличие ошибок первого и второго рода.
- Для многих систем биометрической идентификации биометрические сканеры достаточно дорогие.
- Необходимо обеспечивать требования регуляторов по защите биометрических персональных данных.
Как обманывают людей? Реальные истории
Сбербанк собирает согласие клиентов на биометрию, не оповещая об этом граждан напрямую. Как это происходит, рассказывает россиянин.
Приложение Онлайн Сбербанк стало предлагать биометрию. Мужчина нажимал в личном кабинете на «не сейчас». Далее он пришел в офис, чтобы снять наличку с карты. Девушка-кассир попросила вставить пластик для подтверждения операции. Он взглянул на экран и увидел информацию о биометрии, написанную мелким шрифтом и ничего не смог прочитать и понять что это. На слова работника банка «вставьте карточку» он ответил согласием. Действие клиента и стало согласием с обработкой данных.
Сведения, напечатанные мелкими буквами, прочесть полностью не оказалось возможным. Да и можно ли заранее предугадать обман? Делайте выводы сами. А они таковы:
- Сбербанк собирает ваше согласие на биометрию путем вставления карты в терминал и ввода кода. При этом ничего не объясняет, вводя вас в заблуждение.
- Кассир, конечно, никогда не сообщит о проходящем сборе согласий. Именно таким способом Сбербанк считается лидером по количеству биометрических данных своих клиентов.
Семь лет назад в Индии похитили биометрические данные почти на всех жителей страны. Это произошло из-за системной ошибки службы безопасности, которой быстро воспользовались хакеры для получения своей выгоды. Представьте, каковы масштабы проблемы?
Продолжение следует
Десять лет назад никто не мог и подумать, что рядовые смартфоны будут идентифицировать своего владельца по отпечатку пальца и снимку лица, причем делать это быстро и безошибочно. Пять лет назад не было и мысли о том, что можно оплатить телефоном покупку в любом магазине, приложив палец к кнопке. А еще через пять-десять лет странной покажется сама мысль о том, что при себе надо иметь какие-то документы. Повысится безопасность, откроется столько новых возможностей и сервисов, что это навсегда изменит и государство, и бизнес, и само общество.
Прогресс стремителен, технологии рождаются и проникают в массы в течение считанных лет. Первые из описанных в статье сценариев станут реальностью в ближайшие два-три года. Остальные — вопрос пяти-семи лет.
Материалы по теме:
Офисная жизнь по-новому
Такие способы идентификации сотрудника, как пароли, PIN-коды и магнитные карты должны уйти в прошлое. Они попросту небезопасны. Пароль и код нетрудно украсть или подобрать, электронный ключ можно передать, и лишь биометрические данные всегда будут принадлежать конкретному человеку.
Подкрепив офисные системы безопасности и учета рабочего времени биометрическим распознаванием, можно избавить компанию от воровства, несанкционированного проникновения, прогулов. К примеру, «Почта Банк» уже внедрил систему распознавания лиц сотрудников фронт-линии, и это лишь один из множества подобных проектов.
Представьте, что ваши подчиненные смогут пройти в важные помещения только по отпечатку пальца и распознаванию лица. Видеонаблюдение с идентификацией лица всегда поможет обнаружить постороннего, даже если его провели сотрудники. Это полностью обезопасит офис от банальных краж техники, промышленного шпионажа и множества других негативных сценариев. И в отличие от обычного видеонаблюдения, камеры с биометрическим распознаванием избавят компании и учреждения от необходимости хранить огромные объемы данных, фиксируя в архиве лишь нужные кадры с нужными людьми.
Просканировать всех
У приложения для распознавания лица и голоса есть пока только версия для десктопа, но скоро должно появиться и приложение для телефонов и планшетов. Сейчас это единый для всех банков сервис от «Ростелекома», но со временем они смогут встроить функции распознавания лица и голоса в свои приложения для мобильного банкинга. Сдача биометрии добровольна, но уже сейчас есть клиенты, которые с ее помощью открыли счета.
Иван Беров считает, что вскоре биометрические данные будут использоваться и в других сферах — от телемедицины до дистанционного обучения. В прошлом году «Ростелеком» даже обсуждал с московским правительством возможность замены проездных на биометрическую идентификацию. При входе на станцию или в салон автобуса система просканирует лицо, и деньги автоматически спишутся со счета. В своем выступлении на конференции «Взгляд в цифровое будущее» президент «Ростелекома» Михаил Осеевский рассказывал, что подобная система уже запущена в Китае и экономит время пассажиров.