Биометрическая идентификация: удобство и риски
Российские IT-эксперты рассуждают, должны ли люди иметь возможность отказаться от сдачи своих данных
Биометрические технологии помогают решать такие проблемы, как международный терроризм, организованная преступность и нелегальная миграция. Однако их активному внедрению среди прочего мешают высокая стоимость и опасения людей об утечках данных. Plus-one.ru спросил российских экспертов, какие риски есть у биометрической идентификации, как скорость внедрения подобных технологий зависит от менталитета и должны ли люди иметь возможность отказаться от сдачи своих данных.
Биометрические данные — это уникальные биологические и поведенческие характеристики людей: отпечатки пальцев, изображение лица, голос, радужная оболочка глаза и рисунок вен ладони и пальца. Они используются для подтверждения личности во многих сферах. Создатели российской Единой биометрической системы (ЕБС) подчеркивают, что биометрия является «уникальным „ключом“, который нельзя потерять и крайне сложно подделать». «Все другие способы идентификации недостаточно надежны — всегда остается возможность потери или взлома пароля или token’а», — говорится на сайте системы.
ЕБС создается по инициативе Минцифры и Центробанка, в ней используются два типа данных: голос и лицо, причем не по отдельности, а вместе, что позволяет отличить живого человека от его имитации. Сейчас с помощью ЕБС россияне могут дистанционно взаимодействовать с банками — например, открывать счета и вклады, подавать заявки на кредиты. Ожидается, что в будущем через систему можно будет пользоваться государственными услугами, а также услугами в сфере здравоохранения, образования, онлайн- и офлайн-ритейла. По данным на февраль 2021 года, в системе было зарегистрировано около 164 тыс. россиян. В планах Минцифры за ближайшие два года увеличить это число до 70 млн.
Между тем президент группы компаний InfoWatch, разрабатывающей решения для обеспечения информационной безопасности организаций, Наталья Касперская сомневается в существовании надежных способов защиты биометрических данных. Эти данные, по словам эксперта, хранятся в обычных базах, с которыми работают обычные системные администраторы и IT-специалисты. Они получают не очень высокие зарплаты и могут назначить себе доступ любого уровня. Украденную информацию, как предупреждает Наталья Касперская, можно использовать для заключения сделок с недвижимостью, управления банковскими счетами, прохода на закрытые объекты.
«Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на „удобство“. Их практически с гарантией украдут, продадут, „сольют“. Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников», — заявила эксперт.
Кража биометрических данных
Никакие данные не могут быть полностью защищены от утечек. Этого мнения придерживается и Александр Горшков, директор по развитию бизнеса компании Iris Devices, которая занимается разработкой и производством систем безопасности на базе ИИ. Он подтвердил Plus-one.ru, что способы хранения биометрических и других персональных данных, например паспортных, не различаются. Последние, по словам эксперта, могут быть скомпрометированы при разных обстоятельствах, в частности во время оформления билетов на поезд, заселения в гостиницу, получения гостевого пропуска в бизнес-центр.
«Точно так же могут быть похищены и биометрические данные, которые собираются в разных местах, — говорит Александр Горшков. — Например, голос может быть записан во время разговора с сотрудником организации, которая таким образом контролирует качество своей работы. При этом в компрометации персональных и биометрических данных не нужно винить только IT-специалистов: получить к ним доступ могут и рядовые сотрудники с гораздо меньшей зарплатой».
Александр Горшков добавляет, что необходимо разграничивать хищение хранящихся в базах биометрических шаблонов (набор данных, который создается системой на основе анализируемой характеристики, аналог зашифрованного пароля. — Прим. Plus-one.ru) и хищение изображений лиц или записей голосов. Эксперт признал, что наибольшую опасность представляет собой кража первичной информации — и особенно часто это происходит в социальных сетях. «Похищенные из соцсетей данные использовались для создания обучающих наборов, на которых тренировали и тестировали биометрические алгоритмы, — комментирует специалист. — Сейчас законодательство ограничивает доступ к персональной информации из социальных сетей, но собранная ранее информация не уничтожена, она продолжает использоваться».
Защита биометрических данных
Специалисты в области биометрии разрабатывают методы так называемого антиспуфинга (защита биометрических данных от подделки, от. англ. spoofing — «обман», «подмена». — Прим. Plus-one.ru). Они нужны для того, чтобы злоумышленники не могли воспользоваться подложными биометрическими образцами — реальными или синтезированными записями голоса, фотографиями или видео — для прохода через систему биометрической защиты. Как рассказал Plus-one.ru профессор факультета информационных технологий и программирования, руководитель международной лаборатории «Многомодальные биометрические и речевые системы» Университета ИТМО Юрий Матвеев, эти методы стали активно разрабатываться с середины 2010-х годов, сразу после первых внедрений биометрических технологий.
В возможности защиты биометрических данных с помощью методов антиспуфинга уверен и генеральный директор группы компаний ЦРТ, разрабатывающей биометрические системы, Дмитрий Дырмовский. По словам специалиста, риски утечек могут возникнуть в том случае, если биометрические данные хранятся вместе с персональными. «Но такие вопросы относятся к регулированию и защите персональных данных и не должны дискредитировать саму технологию, — говорит эксперт. — Даже если сотрудник IТ-подразделения получит доступ к биометрическим данным, при корректном хранении он не сможет ими воспользоваться». Кроме того, степень защиты данных можно повысить за счет использования сразу двух биометрических характеристик, например изображения лица и голоса, утверждает Дырмовский.
Сбор биометрических данных
По прогнозам исследовательской компании MarketsandMarkets, стоимость мирового рынка биометрических систем вырастет с $36,6 млрд в 2020 году до $68,6 млрд в 2025 году. Среднегодовой темп роста составит 13,4%.
По мнению Александра Горшкова, скорость внедрения биометрических технологий будет зависеть от людей и их менталитета. Например, в России каждый восьмой житель получал предложения о сдаче биометрических данных от различных организаций, преимущественно банков (без учета ситуации с загранпаспортами и визами). На это указывают результаты опроса сервиса для поиска работы SuperJob с участием 2,5 тыс. человек. Каждый третий респондент согласился их предоставить: многие объясняли это удобством. Чуть меньше половины (44%) опрошенных не захотели сдавать свои данные, в том числе потому, что не доверяли организации, опасались утечек и недобросовестного использования информации. Еще одна причина отказа — использование биометрических данных там, где без них можно обойтись.
Настороженно к сбору биометрических данных относятся и в Европе. Недавно депутаты Европарламента приняли резолюцию, которая запрещает использовать системы автоматического распознавания лиц в общественных местах. По мнению чиновников, наблюдение за людьми можно осуществлять только в том случае, если они подозреваются в совершении преступления.
Однако полностью отказаться от биометрии, как считает Александр Горшков, невозможно. «Для обеспечения безопасности во всех странах применяется идентификация по отпечаткам пальцев, а на многих пограничных пунктах, например в Объединенных Арабских Эмиратах и США, идентифицируют людей по радужной оболочке глаз», — отмечает эксперт. Александр Горшков подчеркнул, что именно последний способ подтверждения личности является одним из самых надежных и удобных, в том числе за счет того, что он бесконтактный. К тому же он не позволяет государству организовать тотальную слежку за гражданами.
Дмитрий Дырмовский предполагает, что биометрические решения будут активно внедряться по всему миру. Поэтому, как объясняет эксперт, нужно фокусироваться на том, чтобы разъяснять принципы работы технологии, рассказывать о зарубежном опыте и продолжать совершенствовать технологии, сообща решая возникающие вопросы. «Такие же вопросы глобальные лидеры решали, когда появлялись сотовые телефоны, банковские карты и другие технологии», — заключает специалист.
В будущем биометрия будет использоваться повсеместно. В этом уверен и ведущий специалист блока консалтинга компании Infosecurity, оказывающей услуги в сфере информационной безопасности, IT и консалтинга, Анатолий Сазонов. По его словам, к защите такого рода информации необходимо подходить системно, и заниматься этим должно в том числе государство.
Отказ или согласие на сдачу биометрических данных
При этом Анатолий Сазонов убежден, что у людей должен быть выбор — сдавать или не сдавать свои биометрические данные, ведь риски их несанкционированного использования по-прежнему остаются высокими. С этой идеей соглашается и Александр Горшков. «Водители автомобилей периодически выборочно тестируются на алкогольное и наркотическое опьянение. Если нет желания проходить такую проверку, то можно пользоваться услугами такси. Спрос определяет предложение: если люди будут больше использовать идентификацию по биометрии, то ее станут чаще предлагать», — подчеркивает специалист.
«Хотелось бы, чтобы возможность отказаться от сдачи биометрических данных была, — заключает Юрий Матвеев из ИТМО. — Но с повсеместным распространением видеокамер на улице, в метро и других местах человеку сложно будет предотвратить захват и хранение подобной информации о себе в различных базах».
Автор
Евгения Чернышёва