Биометрическая идентификация: сущность и риски применения технологии в платёжной индустрии

По одной из версий отцом биометрии считают французского криминалиста Альфонса Бертильона. В 1880 годах он придумал как можно проще идентифицировать и вести учёт по поиску и опознаванию преступников. Альфонс создал новую систему взяв за основу уже имеющуюся в полиции систему учёта преступников.

Существовавшая система идентификации преступников использовала данные словесных описаний внешности. Бертиль-он добавил же к этим данным ещё точные данные высоты и ширины головы, длины среднего пальца, длины локтевой кости и др. Дополнительно в картотеку (систему) также были добавлены фотопортреты преступников в профиль и анфас для идентификации злоумышленников свидетелями. Система Бертильона позволяла практически безошибочно установить личность мошенников, подозреваемых и пр. лиц, которые могли присвоить себе другое имя или подделать документы [4].

Таким образом, можно заключить, что технология идентификации человека -достаточно старая технология, а в сегодняшних реалиях она просто усовершенствовалась благодаря развитию техноло- гий, машинного обучения и применения искусственного интеллекта.

Сегодня под биометрической идентификацией понимают процедуру распознавания неизвестного субъекта или объекта установив соответствие его признаков признакам известного субъекта или объекта.

Например, чтобы банк смог установить подлинность клиента с тем клиентом, который приходил до этого открыть счёт, требуется паспорт. Банковский служащий сверяет данные указанные в паспорте с физиологическими признаками клиента. Затем, если идентификация прошла успешно, банк может предоставлять услуги клиенту. Таким образом, в данном случае проверялось соответствие по физиологическим признакам человека (пол, черты лица, возраст). Такая идентификация относится к категории биометрической идентификации.

Биометрическая идентификация сегодня проводиться по двум категориям признаков: физиологическим и поведенческим. Помимо идентификации с помощью паспорта, физиологическую идентификацию проводят по особенностям папиллярных линий ногтевых фаланг пальцев или по особенностям радужной оболочки гла- за. Идентификация по поведенческим признакам определяется, например, по походке или по речевым характеристикам опознаваемого объекта [3].

Развитие технологий биометрической идентификации постепенно вытесняют человека. Если раньше чтобы получить, например, денежные средства с банковского счета нужно было идти в банк с паспортом. В банке сотрудник бы сличал фотографию паспорта с вашим лицом. Сегодня люди, у которых уже есть карта и сданы биометрические данные, могут получить деньги в банкомате банка без использования карты, только показав своё лицо в камеру банкомата.

Несмотря на удобства и быстроту предоставления услуг, которые достигаются технологиями биометрической идентификации, нельзя забывать и про риски, которые несёт в себе такие технологии. Пока она только начала своё развитие поэтому рисков и проблем выявляется большое количество.

Все риски и проблемы можно скомпоновать в пять крупных категорий: подмена данных, фальсификация, низкое качество данных, утечка и кража, многократный сбор. Рассмотрим каждую из проблем в отдельности [5].

Весной 2020 г. многие кредитные организации в России заявили о рисках мошенничества при самостоятельной сдаче биометрии гражданами. Дело в том, что в Государственную Думу был раннее внесён законопроект, который позволяет физическим лицам самостоятельно регистрировать данные биометрии в ЕБС. Поэтому банки предупреждают – в систему могут быть намерено внесены ложные данные о клиенте, чтобы затем использовать их в мошеннических целях для получения банковских услуг. Последствия влекут за собой риск подмены биометрических данных [6, 7].

Громкий случай опубликовала газета Wall Street Journal летом 2019 г. Тогда у преступников получилось выманить у одной британской фирмы 243 тыс. долларов. Обмануть получилось генерального директора, через телефонный звонок. Гендиректор по голосу и немецкому акценту уз- нал своего начальника, руководителя материнской компании. Он попросил перевести 234 тыс. долларов на ложный счёт поставщика. По данным головной компании выяснилось, мошенники использовали программное обеспечение на основе ИИ. Оно позволило им сымитировать голос немецкого топ-менеджера [8].

Таких примеров сейчас появляется всё больше и больше. Например, уже сейчас сумели обмануть идентификацию по лицу при разблокировке iPhone X (Face ID). В Apple пытаются бороться с такими проблемами.

Компания придумала технологию liveness detection – многоступенчатая система проверки, что перед камерой находиться живой человек, а не фото или его маска. Но и к таким технологиям уже нашли ключ. Способ заключается в применении специально сконструированных очков с белыми точками по середине линз или просто солнцезащитных очков. Камера при анализе параметров лица не может построить качественную 3D-модель, из-за того, что количества света вокруг глаз за счёт очков уменьшается. Таким образом, система воспринимает будто смартфон разблокирует владелец [5].

Представленные примеры показывают нам, что мошенники научились обходить технологии биометрической идентификации. ИИ и машинное обучение позволяют по фотографиям и записям сымитировать голос человека или, например, подделать отпечаток пальца министра обороны Германии.

От точности и качества сбора данных зависит, насколько правильно и быстро система сможет сверить идентифицируемое лицо с имеющимися данными в базе. В противном случае система ложно идентифицирует человека и не допустит, например, к собственным же денежным средствам на банковском счете.

Для того, чтобы обеспечить качество изначально регистрируемых данных в базе, нужно высокоточное оборудование. Оно сумеет, например, правильно считать биометрические данные в шумном и не очень ярком помещении отделения банка. Те дешевые китайские микрофоны и каме- ры, которые используются сегодня, не позволяют сделать это должным образом. Это влечёт за собой риск перепутать одного человека с другим. Поэтому важно не только количество собранных данных, но и их качество.

Ещё одна проблема – это возможные утечки и кража данных из базы. Стоит сказать, что такая проблема с каждым годом теряет свою актуальность из-за сложности и самого вида в котором хранятся данные, например, в единой биометрической сис- теме.

С одной стороны, может показаться, что собранные данные биометрии хранятся в базе в том виде, в котором их собрали, но нет. Биометрическая система хранит данные не в виде фотографий и записи голоса, а в виде набора цифр, которые собираются воедино и составляют биометрическую модель.

Например, для построения модели, камера считывает так называемые антропометрические точки на лице. Их расположение и расстояние между ними у каждого человека индивидуально. То количество точек, которые сканируются, различается между разными биометрическими системами. Для одной системы нужно 68 точек, для другой 200 и более. По этим точкам составляется уникальный набор характеристик. Он не зависит ни от причёски или возраста, макияжа и пр. Полученная модель храниться в таком виде в базе, при этом восстановить исходное лицо по таким данным практически невозможно [5].

Некоторые     банки,     например,

ПАО «Сбербанк» начал сбор биометриче- ских данных раньше, чем начала функционировать ЕБС. Когда клиент банка сдал биометрию, он думает, что может воспользоваться ею для идентификации и в другом банке. Тут то и кроется ещё один риск – многократный сбор данных. Человек приходит в другой банк, а ему говорят, что данных нет, и требуют их сдать. Происходит задвоение. Получается информация храниться параллельно в двух биометри- ческих системах.

Риск состоит в том, что в будущем, ко- гда клиента попросят сдать повторно данные, он может стать жертвой мошенников. Они воспользуются этим для получения доступа, например, к счету в другом банке. Так часто будут происходить утечки или злоупотребления, из-за большого числа каналов доступа.

На представленных выше примерах мы убедились, что риски и проблемы технологий биометрической идентификации существуют. Системы считывания, обработки и хранения данных с использованием биометрических технологий только начали своё развитие, но пока не совершены. При использовании таких технологий следует учитывать риски. А именно: обращать внимание не только на количество собранных данных, но и на их качество; учитывать возможность подделки биометрических данных; периодическая проверка имеющихся в базе данных, их актуальность, отсутствие дубликатов; государст- венным органам при принятии решении консультироваться с кредитными организация (например, в формате «Доклада для общественных консультаций» ЦБ РФ).