Чем грозит кража биометрии и как ее избежать?

ХАКЕРЫ МОГУТ СОЗДАВАТЬ С ПОМОЩЬЮ НЕЙРОСЕТЕЙ АЛГОРИТМЫ ДЛЯ ПОДДЕРЖАНИЯ ПРОСТЕЙШИХ ДИАЛОГОВ С ПОТЕНЦИАЛЬНОЙ ЖЕРТВОЙ ОТ ИМЕНИ «РОДСТВЕННИКОВ» И «ЗНАКОМЫХ»

Эксперты по информ-безопасности призывают крайне избирательно доверять компаниям свои биометрические персональные данные. Без ужесточения ответственности при обработке такой информации риски утечек «лиц», «отпечатков пальцев» и «роговиц глаз» могут быть катастрофичными для потребителей.

Если человек доверит частной или государственной экосистеме свои биоданные, а она не оправдает его ожидания, то у пользователя в цифровом будущем будет сломана жизнь. Можно поменять ПИН-код на карточке или паспорт, фамилию, но не биометрические данные. Далеко не все готовы изменять лицо. Если скомпрометирован какой-то биометрический признак, то теоретически можно использовать другие: сетчатку глаза, отпечаток пальца, голос. Но человеческая физиология ограничена в отличие от бесконечного числа новых паролей.

Еще шесть лет назад на Международном хакерском конгрессе в Германии известный интернет-взломщик Ян Крисслер показал, насколько легко можно получить доступ к чувствительной информации не только рядовых пользователей, но и крупных чиновников. Ему удалось по фотографии воссоздать отпечатки пальцев министра обороны Германии Урсулы фон дер Ляйен, а также снять на смартфон ее лицо на публичном выступлении.

Хакер нашел и другие уязвимости биоданных – например, есть способы получать пароли от гаджетов, имея доступ только к фронтальной камере устройства. Можно отслеживать движение глазных яблок владельца, когда тот вводит пароль, или разглядеть отражение телефона в зрачках набирающего. Разрешение смартфонов позволяет получить очень четкую картинку. Я.Крисслер уверен, что биометрия как способ защиты данных совершенно неактуальна.

Украденные «лица» и «голоса» в будущем могут активно использоваться хакерами для создания видео-и аудиообращений от лица «родственников» с просьбой срочно перевести деньги, чтобы выручить из беды. Если люди верили незнакомцам, звонившим от имени «службы безопасности» банков, то логично предположить, что «развод» голосом и лицом будет еще более эффективным.

ВСЕ ПОПАДУТ В БАЗУ

Движение к легализации биометрии в России началось четыре года назад. В конце 2017 года вступил в силу закон о возможности удаленной идентификации, а в течение 2018-го была создана Единая биометрическая система (ЕБС) и приняты различные нормативные документы. По сути, банки получили еще один инструмент для работы с клиентами. А в конце 2020 года вышел новый закон, регулирующий использование биометрии.

Закон закрепил два основных момента:

1. Банки с универсальной лицензией обязаны передавать данные клиентов в Единую биометрическую систему (ЕБС) и предоставлять дистанционные услуги с аутентификацией по лицу и голосу.

2. Сфера действия биометрии и доступ к ЕБС расширяется. Данные могут получать не только банки, но и госучреждения, МФЦ, нотариусы, юридические лица и ИП.

На начало 2021 года более 13 тыс. отделений кредитных организаций были оснащены этой технологией. Биометрическая идентификация также лежит в основе системы face-pay, которая недавно заработала в московском метро.

В скором времени оплата с помощью биоданных станет столь же привычной, как банковской картой или смартфоном.

СЕГОДНЯ ДЛЯ ЗАЩИТЫ ЛИЦЕВОЙ БИОМЕТРИИ ИСПОЛЬЗУЕТСЯ LIVENESS DETECTION – МЕХАНИЗМ ДЛЯ ОПРЕДЕЛЕНИЯ ПРИМЕТ ЖИВОГО ЧЕЛОВЕКА

Обхитрить систему с помощью фотографии или 3D-маски не получится. Вероятность обмануть Face ID в iPhone – одна на миллион. Каждая нейросеть распознает лица по определенному набору примет. То есть алгоритмы обучают их по разным схемам и на разных датасетах. Чтобы их обмануть, нужно точно знать, как устроена конкретная нейросеть.