Насколько безопасна биометрия? Отвечает спикер Онлайн-форума «Безопасность бизнеса» Александр Горшков

0
1

На вопросы СМИ «Безопасность бизнеса» отвечает Горшков Александр, директор по развитию компании Iris Devices – резидента фонда «Сколково», Член комитета РСПП по международному сотрудничеству, подкомитета по цифровой экономике и инновациям Российского союза промышленников и предпринимателей.

Добрый день, Александр! Спасибо, что согласились ответить на вопросы и принять участие в онлайн-встрече 27 мая 2020 по теме «ЦИФРОВАЯ БЕЗОПАСНОСТЬ И БИОМЕТРИЧЕСКИЕ ТЕХНОЛОГИИ».

Джин выпущен! По вашему мнению биометрия — это больше благо или зло?

Часто, для многих разработок, вопрос ставится именно так: это белое или чёрное? Это хорошо, или плохо? Но, всё зависит от того, для чего это применять. Если этот инструмент использовать для слежки за гражданами, то это очень опасный инструмент. Надеюсь, что на законодательном и технологическом уровне такое использование биометрии будет запрещено. С другой стороны, биометрия позволяет сделать окружающий нас мир более удобным. Надо отметить, что не все биометрические решения позволяют реализовать некооперативную слежку. Например, идентификация по ДНК или по рисунку радужной оболочки глаз требуют непосредственного взаимодействия человека с устройством для осуществления идентификации. Другой важный момент, что биометрические данные при любом способе идентификации могут быть скомпрометированы. Как уменьшить риск компрометации биометрических данных и что для этого надо сделать, обсудят эксперты на онлайн-встрече 27 мая. Регистрируйтесь, будет интересное и полезное обсуждение.

COVID-19 ускорил цифровизацию. По вашему мнению какие риски быстрого внедрения «сырых решений» были необоснованно приняты?

Считается, что коронавирус сильно изменит окружающий мир. На самом деле – это не совсем так. Люди на крупных предприятиях продолжали работать в условиях ограничений. Даже с введением в Москве, далеко не промышленном городе, для возможности перемещения по городу – было выданных около трёх миллионов пропусков. Ускорение цифровизации произошло в трёх направлениях. В двух – из-за принятых ограничительных мер, это дистанционное образование и удалённая работа в непроизводственном секторе, и в одном из-за пандемии – это медицина. Что касается рисков, то скажу, что «быстро – хорошо не бывает». Поспешно внедрённые решения будут дорабатываться и заменяться.

Прокомментируйте приложение «Социальный мониторинг». Оно предназначено для контроля за соблюдением домашней изоляции больными COVID-19 и ОРВИ. Какие риски вы видите?

По счастью, мне не пришлось устанавливать это приложение. Также, я не видел технического задания на его разработку. Поэтому, не могу дать объективную оценку. Но, судя по тому что публикуют не в «жёлтой» прессе: «запросы отправлялись по http без шифрования, а для распознавания лиц использовался эстонский сервис identiх.оnе, который работает с серверами в Германии» (https://www.bfm.ru/news/443804). Если это правда, то пользоваться таким приложением опасно. Подождём, какую оценку этому приложению даст ФСБ.

Биориски. Поговорим о сохранности биометрических данных в банках с учетом развития ЕБС. Банки собирают и передают в единую систему биометрические данные россиян с 1 июля 2018 года. Специалисты по безопасности данных отмечают, что есть способы похищения любой цифровой информации. Подтверждением этому является обнародованная информация о массовых утечках биометрических данных в 2019 и 2020 годах. Серьезность утечек усугубляется тем, что речь идет о биометрических данных, которые пользователи не могут изменить, в отличие от паролей и логинов. Каково Ваше мнение, есть ли риски и насколько они серьезны?

Разработчиков вопрос компрометации биометрии и биометрических данных волнует давно, ещё с прошлого века. Хищение и продажа приватной информации происходит не первый год. Однако, многие современные биометрические решения могут выявлять и исключать несанкционированное использование украденных биометрических данных. На сегодня, известны случаи использования чужой биометрии только в исследовательских целях или в сочетании с социальной инженерией.

Биометрия – широкое понятие, включающее в себя распознавание людей по одной или более физическим, или поведенческим чертам: системы распознавания лиц, голоса, подписи, радужки глаза, отпечатка пальца, геометрии ладони, рисунка вен руки, индивидуального ритма печати, запаха и т.д. По Вашему мнению, какое направление будет самым востребованным в ближайшее время и почему?

Востребованы будут те способы идентификации, которые решают задачи, недоступные для других способов. Например, идентификацию в каналах связи можно осуществить только по голосу. В остальных случаях, предпочтение будет отдаваться более бюджетным предложениям, или решениям с высокой защитой от подделок. Скомпрометировать можно то, что оставляет следы. Например, отпечаток пальца или ладони. Легко скомпрометировать то, что можно зафиксировать обычными устройствами, например, на фотографии, видео или аудио записи. Поэтому, интерес будет проявляться к мультиспектральным способам идентификации, к динамически изменяемым биометрическим признакам, когда происходит регистрируемая реакция на внешнее управляющее или раздражающее воздействие.

На сегодняшний день все биометрические технологии являются вероятностными, ни одна из них не способна гарантировать полное отсутствие ошибок, почему?

Во-первых, для идентификации используется определённое число уникальных признаков. Чем таких признаков больше – тем точнее можно выполнить идентификацию. Наибольшее число уникальных признаков имеет радужная оболочка глаз. Во-вторых, часть признаков может быть скрыта или повреждена. Например, для отпечатков пальца – это может быть порез или мозоль на подушечке, для лица – медицинская маска или никаб, для радужки – прикрытые веки, ресницы или блики от внешнего освещения. Добиться полного биометрического совпадения в реальных условиях не получится. Можно уменьшить вероятность ошибки, используя многофакторную идентификацию. Например, по лицу и радужной оболочке глаз, по отпечатку и по рисунку вен пальца.

Немного истории: в 1859 году британский колониальный служащий в Индии Уильям Гершель ввёл практику идентификацию контрагентов по договорным обязательствам из числа индийцев (поскольку для белого европейца все они выглядели на одно лицо) по отпечаткам пальцев и ладоней, которые те оставляли при заключении сделок. Современная Индия – один из центров цифровых технологий. В базе биометрических данных граждан Индии уже около 1,2 млрд записей (всего в Индии 1,33 млрд жителей). В России банки начали сбор биометрии 1 июля 2018 года, но за год в Единой биометрической системе (ЕБС) появилось лишь около 30 тысяч слепков. Почему в Индии все сдают биометрию, а у нас нет?

Существует три метода стимулирования к действию: принудительный или командный (приемлем для армии и исправительных учреждений), добровольный (применяется для социального общества) и добровольно-обязательный (даётся согласие из-за отсутствия альтернативы, например, оформление пропуска на перемещение в самоизоляции). В Индии был использован третий метод, когда биометрию можно было не сдавать, но в этом случае отказавшийся лишался возможности получения социальных пособий. Разницу между 1,33 и 1,2 млрд составляют те жители Индии, которые обходятся без биометрической идентификации.

Кстати, сейчас в ЕБС зарегистрировано уже более 133 тысяч граждан.

К 2023 году в России планируется инфраструктура для создания «Цифрового профиля» гражданина – единой базы данных, которая обеспечит обмен информацией между государством, гражданами и различными организациями (в том числе коммерческими). Проект реализуется в рамках нацпрограммы «Цифровая экономика». Как Вы к этому относитесь?

Создание цифрового профиля гражданина никак не связано с биометрией. Ни что не мешает всех нас оцифровать по номеру паспорта или ИНН. Что касается нашей биометрии по лицу, то для получения паспорта мы фотографируемся, а при получении биометрического загранпаспорта оставляем в соответствующих базах ещё и отпечатки пальцев. Если в цифровом профиле нас будут идентифицировать более точными методами, например, по ДНК или по радужке, то я не вижу в этом существенных отличий. 

Решения, основанные на технологии распознавания по лицу в 2019 г. заняли 60% общего биометрического рынка. Ожидается, что в дальнейшем интеллектуальные устройства для распознавания лиц будут востребованы еще больше. Это открывает новые сферы применения, в том числе в безопасности. Как Вы относитесь к использованию распознавания в рамках проектов «Безопасный город»?

В проекте «Безопасный город» большое внимание уделяется лицевой биометрии. В ряде стран законодательно запрещено использовать идентификацию по лицу государственным структурам. В рамках «Безопасного города» у метрополитена или аэропорта должна быть возможность выявлять среди пассажиров разыскиваемых лиц, у стадионов – контроль принадлежности предъявляемого билета его владельцу, магазин может по биометрии выявлять среди покупателей воришек. Но, контролировать соблюдение нормативных требований к сбору, обработке и хранению биометрической информации должно государство.

В последнее время было подано несколько исков в суды по поводу незаконности системы распознавания лиц в Москве, о запрете распознавания лиц на митингах. Кто и почему по Вашему мнению сжимает «пружину недовольства»?

Не важно, кто сжимает «пружину недовольства». Всегда были и будут заинтересованные в таких действиях. С ними бороться бесполезно. На смену одним придут другие. Не правильно и замалчивать такие случаи. При современных средствах коммуникаций – это сделать не получится. Необходимо выстраивать нормативно-правовое регулирование и избавляться от не компетентных сотрудников, провоцирующих деформацию этой «пружины». Тогда поводов для её сжатия «пружины недовольства» и жёсткость будут меньше.

Биометрические технологии активно начинают применяться во многих областях, связанных с обеспечением безопасности, в том числе в ритейле. Пандемия COVID-19 внесла в нашу жизнь постоянный атрибут – маску, повлияет ли это на точность распознавания лиц?

Кто отрицает уменьшение точности распознавания по лицу из-за наличия маски – тот лукавит или обманывает. В открытых зарубежных источниках информации публикуются отчёты о влиянии масок на точность распознавания по лицу. Необходимо адаптироваться к новым условиям, и уже разрабатываются мультимодальные методы биометрической идентификации, например, по лицу и радужке.

В каких сферах в ближайшее время кроме банков и ритейла биометрия будет максимально востребована?

Не стоит забывать, что первое применение биометрической идентификации было в силовых структурах. Это направление будет продолжать развиваться. Также, текущая и грозящие нам последующие пандемии будут требовать надёжной удалённой идентификации.

В заключение, каков Ваш прогноз развития биометрии в России на ближайшие 5 лет?

Сейчас скорость изменений возросла как никогда. Реализуется много разрозненных биометрических проектов на региональном и корпоративном уровне. Сложно сказать, как изменятся наши города через 2-3 года, но однозначно будет взят курс на стандартизацию и централизованную работу с биометрическими данными. В финансовом секторе такой шаг уже сделан.