Радужные пони биометрии на самом деле вестники Апокалипсиса

Сбор биометрических данных всё сильнее навязывается не только простым людям, но и бизнесу. Банки повсеместно собирают со своих клиентов биометрию, чтобы упростить жизнь и себе, и потребителям. Однако стереотип, что биометрия безопасная, сейчас сильно впечатался в наше сознание. Хотя рисков там достаточно много.

Экспертам на пресс-конференции Positive Technologies и RBK.money «Плюсы и минусы современных технологий кредитно-финансового сектора», прошедшей в рамках киберполигона The Standoff, задали вопрос: Что нового в процессах биометрии и аутентификации в банкоматах и приложениях? Как это облегчает или усложняет жизнь всем? И вот какие ответы мы получили.

«А что может быть нового? Люди не отрастили себе второе лицо. Алгоритмы изменились, очень сильно улучшились. Есть там у одной известной фруктовой компании решение, которое при каждом успешном сканировании вашего лица улучшает эту модель, делая её всё более и более удобной. Это, естественно, будет развиваться. И тут есть проблема в том, что каждый делает своё решение, это естественно, потому что база абонентов у каждого своя. Есть централизованные решения, но к ним тоже относятся с опаской, потому что не хочется отдавать базу своих клиентов с их биометрией куда-то на аутсорсинг, обслуживание или облако», — ответил первым технический директор RBK.money Антон Куранда.

При этом он добавил, что использование биометрии как средства авторизации в банкомате, скорее, маркетинговое решение. А нужно ли это там — он не знает. «Я думаю, что это скорее будет развиваться именно в мобайле, то есть все наши Face ID приложения», — прокомментировал он.

Вместе с тем не стоит забывать и про риски. Например, примерно года полтора-два назад у спикера был флагман одного из серьёзных производителей мобильных телефонов и он отлично разблокировался фотографией его лица на другом телефоне. Так что доверять вот так сильно таким вещам — это немножко страшно. «Потому что если что случится, вы лицо не поменяете, то есть пароль вы можете сменить, а лицо с вами навсегда. И что с этим делать, если это утечёт куда-то — непонятно», — отметил Антон Куранда.

По словам эксперта, чем больше такой информации, чем больше собирается биометрии и прочего, тем легче сопоставить одного человека в разных местах: здесь он к банкомату подошёл, здесь он в магазине бесконтактным способом оплатил, когда он даже к кассе не подходит. «Это может превратиться по классическому Оруэллу в социальные рейтинги. Вот этого очень не хочется, но технологии позволяют», — выразил свои опасения спикер.

Другой эксперт, директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, сказал, что он как безопасник имеет двойственное отношение к биометрии. С одной стороны, использование биометрии в коммерческих целях — это прям очень большие риски для граждан, для обычных людей. «Почему? Мы все знаем, что биометрия — это очень надёжно, по фотографии позволяет человека идентифицировать. Это правильно, когда биометрия используется правильно. Правильное использование биометрии: это вот вы меня сфотографировали, передали фотографию на распознавание алгоритму, алгоритм по фотографии сказал, что вот эта фотография и на ней изображён Кузнецов Дмитрий. Вы уверены, что алгоритм хорошо работает с фотографией, он надёжно опознал по ней, и вы совершенно точно знаете, что фотография моя, потому что вы же эту фотографию и сделали. Всё, у вас есть уверенность, что вы общаетесь с Кузнецовым Дмитрием», — пояснил эксперт.

В то же время в финансовых технологиях биометрию предлагается использовать совершенно по-другому. В систему банк-клиент откуда-то приходит фотография, подтверждающая операцию, это фотография клиента, но нет никакого способа убедиться в том, что эту фотографию предоставил сам клиент. Это одна проблема.

Вторая проблема, по словам эксперта, заключается в том, что когда мы говорим про надёжную биометрию, обычно слово «надёжная» ассоциируется с отпечатками пальцев, рисунок радужной оболочки глаза и так далее. Они дают вероятность ошибок идентификации 10 в минус 6 степени — 10 в минус 9 степени. Это очень здорово. Но финансовая технология предлагает использовать двумерное изображение лица или голос. Способы идентификации по таким образцам менее надёжны, там порядок ошибок 10 в минус 4 степени. Такую же ошибку даёт случайный четырёх-значный пароль, который присылают банки. «И вот эти два фактора — недостаточная надёжность самого метода и возможность подкладывать изображение системе банк-клиент — порождает новые способы мошенничества. Появляются дипфейки, которые помогают сгенерировать изображение или сгенерировать голос, которые будут восприняты биометрический системой как аутентичные. И это прекрасно будет использоваться для идентификации клиента», — рассказал Дмитрий Кузнецов.

Также хакеры никогда не ломают систему в лоб. Даже если есть уязвимости биометрии, они не будут использовать эти уязвимости, они будут просто искать обходные пути. Например, как подкладывать платёжные поручения в обход биометрической идентификации.

«Стереотип, что биометрия это очень надёжно, сейчас, к сожалению, очень сильно впечатался во всех», — заметил спикер.

Вторая сторона этой истории, как безопасник Дмитрий Кузнецов очень радуется появлению биометрии. Потому что если у государства где-то появляется база данных биометрических признаков, её можно очень эффективно использовать для борьбы с преступностью. Например, человек украл картину, его движение можно проследить до его собственного дома. Причём мы абсолютно точно уверены, что этот человек не просто похожий на гражданина Иванова А. В., а что это с очень большой степенью уверенности именно он. На случаи ошибки есть оперативные способы проверки действительно ли это он, есть ли у него алиби и так далее. Для общественного порядка это очень полезно.

«Поэтому, с одной стороны, я очень опасаюсь активного внедрения биометрии, с другой стороны, она, безусловно, и плюсы обществу тоже даёт», — сказал Дмитрий Кузнецов.

«Есть очень большой соблазн как можно активнее использовать биометрию, и перегибы возможно. И дальше мы можем фантазировать как угодно, это уже вопрос доверия к власти, вопрос баланса общественных, политических интересов и так далее», — заключил эксперт.

 

BIS Journal — стратегический медиапартнёр The Standoff.

19 ноября, 2020