Заработавшая в московском метро система оплаты с помощью распознавания лица Face Pay вызвала новую волну обсуждений о целесообразности широкого использования биометрических данных. При массовом применении биометрических технологий в коммерческих сервисах негативный эффект от утечек подобного рода персональной информации серьезно возрастает.
35 тыс. пассажиров зарегистрировались в новом сервисе оплаты с помощью распознавания лица Face Pay в московском метро только за первую неделю его работы. Теперь для прохода в столичную подземку не надо доставать платежную карточку, достаточно просто посмотреть в камеру и система автоматически спишет нужную сумму за проезд с привязанного к веб-аккаунту банковского счета. Пока нововведение работает без сбоев, исправно распознавая лица даже в санитарных масках, очках, шарфах и головных уборах. Предполагается, что в ближайшее время на московском транспорте расплачиваться лицом ежедневно будет более полумиллиона человек. Столичные власти, не на шутку увлекшиеся информационными технологиями, как всегда объясняют введение новшества заботой о москвичах, желанием сделать их жизнь еще более комфортной. Но так ли безопасно для людей столь широкое использование технологий распознавания по лицу и другим биометрическим данным?
Товар — лицом
Оплата с помощью распознавания лица — один из ключевых типов технологий биометрической идентификации, которые в последние годы бурно развиваются. Впрочем, человечество столетиями разрабатывало методы, используя которые можно было бы надежно отличать людей друг от друга. Основоположником метода идентификации человека по биометрическим данным принято считать работавшего в середине XIX века в Индии британца Уильяма Гершеля: для европейца индийцы все на одно лицо, и колониальный чиновник придумал использовать отпечатки пальцев рук и ладоней для учета заокеанских подданных Британской империи. Позже идею использовать отпечатки пальцев, а также другие уникальные характеристики тела начали широко применять в криминалистике, а компьютерные технологии позволили вывести применение данных о неповторяющихся параметрах человеческого организма на принципиально новый уровень.
У человеческого тела множество уникальных параметров. Например, первые французские криминалисты в XIX веке отличали преступников в том числе по длине локтя. Современные информационные технологии используют пять наиболее удобных для получения и цифрового анализа типов биометрии: отпечаток пальца, рисунок на ладони, изображение лица, а также радужная оболочка глаза и голос. В будущем разработчики обещают внедрять идентификацию и по другим уникальным данным — например, существуют пилотные разработки, позволяющие использовать с этой целью сердечный ритм.
Области применения решений на основе биометрии динамично расширяются: самыми перспективными направлениями считаются государственный сектор (электронные документы с биометрическими данными, иммиграционный контроль, криминалистика и пр.), путешествия и передвижения (решения для объектов транспортной инфраструктуры), финансовый сектор (банки, платежные системы, страхование), здравоохранение, ретейл (например, системы мониторинга покупателей) и, наконец, корпоративное использование (безопасность, в том числе контроль доступа, учет рабочего времени и пр.).
По данным J'son & Partners Consulting, в 2021 г. мировой рынок биометрических систем достигнет 33,8 млрд долларов. Мировым локомотивом применения биометрии в государственной сфере являются США: еще в 2002 г. Конгресс США принял закон о защите государственных границ, в соответствии с которым с 2004 г. все прибывающие в страну иностранцы должны в обязательном порядке сдавать отпечатки пальцев. Позже в разных странах мира начинает широко распространяться выдача электронных паспортов (eCard), в которых содержатся биометрические данные: в настоящее время электронные паспорта с биометрией введены в 80 странах мира. Крупнейшая государственная биометрическая система Aadhaar находится в Индии, в ней зарегистрировано почти 1,2 млрд человек или 99% всех граждан страны в возрасте от 18 лет: власти в обязательном порядке снимают отпечатки пальцев, изображение лица, данные радужной оболочки глаз, на основе которых каждому гражданину страны выдается уникальный двенадцатизначный идентификационный номер.
«В качестве удачного кейса внедрения биометрии за рубежом можно считать ее применение в международном аэропорту города Орландо, который на сто процентов оснащен всевозможными сканерами биометрических данных, — говорит Алекс Концов, основатель международной ИТ-компании Involta. — Система ускоряет и упрощает посадку пассажиров, а также включает в себя биометрические проверки на выходе. Пассажирам просто нужно смотреть в камеру, система избавляет их от необходимости предъявлять посадочные талоны или паспорта при выходе на посадку. После разрушительного землетрясения в Японии в 2011 г. множество людей столкнулись с проблемой восстановления документов и были вынуждены проходить длительные процедуры идентификации личности. Правительство приняло меры по созданию единой биометрической системы, которая поможет сократить временные издержки на подтверждение личности и минимизировать проблемы с получением необходимых документов».
Вслед за государственными структурами технологии биометрической идентификации все шире применяют и коммерческие структуры. Главным потребителем технологий биометрии в бизнесе сегодня является финансовый сектор: отпечатки пальцев и другие биометрические показатели для осуществления платежей мировые банки начали активно использовать с начала 2010-х. При этом распространенный подход здесь — методы так называемой многофакторной идентификации: двухфакторная включает в себя применение ПИН-кода или пароля в сочетании, скажем, с отпечатком пальца, трехфакторная подразумевает применение уже двух биометрических параметров, а некоторые банки, например в Швейцарии, в особо важных случаях (скажем, доступ к банковским ячейкам) практикуют четырех и пятифакторную аутентификацию с несколькими видами биометрического распознавания (флеш-ключ, лицо, отпечатки пальцев, радужная оболочка глаз, голос).
Постепенно проникает биометрия и в другие сектора услуг. Первые мобильные компьютеры от IBM, Fujitsu и других брендов со встроенным сканером отпечатка пальца начали появляться еще в начале 2000-х, но по-настоящему массовой биометрическая идентификация по отпечатку пальца стала в 2013 г., когда Apple представил в своих смартфонах функцию распознания отпечатков пальцев Touch ID. А четыре года спустя наступила эра массового определения пользователей мобильных гаджетов по лицу, когда в 2017 г. iPhone Х получил функцию Face ID, и вскоре подобная опция распознавания появилась в большинстве смартфонов.
В последние годы набор сервисов, основанных на распознавании лица, стремительно растет: только в базе Face++ китайского разработчика программного обеспечения Baidu содержатся данные о лицах более 1,3 млрд граждан КНР. С помощью лица зарегистрированные здесь пользователи могут расплачиваться в супермаркетах, предприятиях общепита, на транспорте, проходить на концерты, спортивные соревнования, другие массовые мероприятия. Ширятся коммерческие сервисы «по отпечатку» в других странах: например, в США Amazon развивает сеть магазинов Just Walk Out, где камера распознает не только человека, но и товар, который он взял с полки, и производит автоматическое списание за покупку со счета клиента.
Покажи личико
Что касается московского метро, то новая услуга оплаты с помощью распознавания лица здесь основана на работе так называемой интеллектуальной системы видеонаблюдения (ИСВН), которая начала создаваться в столичной подземке еще в 2015 г. Ее основная задача — обеспечение безопасности пассажиров. К системе видеонаблюдения в метро сейчас подключено более 13 тыс. видеокамер (а всего на улицах Москвы работает порядка 200 тыс. камер), с помощью которых можно наблюдать, что происходит на станциях и в вагонах, и распознавать при этом лица пассажиров, выявляя среди них нарушителей закона. По официальным заявлениям властей, только за последний год работы системы с помощью камер было задержано две с половиной тысячи находящихся в федеральном розыске преступников, с начала года с помощью камер было найдено 200 считавшихся пропавшими без вести человек, среди которых 50 детей.
Создатели Face Pay обращают внимание, что для ее работы дополнительные камеры не устанавливались, оплата с помощью распознавания лица происходит на основе камер ИСВН. Для того чтобы воспользоваться сервисом, нужно зарегистрироваться в приложении «Метро Москвы», оставить там свою фотографию и привязать свой аккаунт к банковской карте. Дальше зарегистрированный пользователь подходит к специальным образом маркированному турникету и смотрит в камеру. Система считывает лицо, сравнивает данные с имеющимися в системе и при совпадении открывает проход. Разработчики решения говорят, что ее принцип построен на работе так называемых векторных ключей: нейросеть разбивает изображение лица на миллион точек и строит математическую модель, биометрический вектор — совокупность точек, из которых составляется уникальный код для каждого пользователя. Эти коды хранятся на серверах метрополитена, причем, по словам официальных представителей, здесь решили использовать подход периферийных вычислений, когда база данных хранится не в одном удаленном месте, а распределена на серверах на каждой станции метро. Это сделано для того, чтобы не тратить время на отправку и получение сигнала из удаленной точки хранения.
Когда пользователь подходит к турникету, камера делает несколько его снимков, лучший кадр (по освещенности, положению головы и пр.) переводится в биометрический вектор и сравнивается с кодом в базе. Для распознавания нужно совпадение в 95% точек. Как рассказала журналистам Жанна Ермолина, начальник службы платежных сервисов Московского метрополитена, все коды хранятся в обезличенном виде, и даже если векторные коды будут похищены, по ним нельзя будет восстановить лицо человека. Но специалисты подвергают сомнению это заявление, говоря, что Департамент транспорта Москвы лукавит и исходное изображение лиц людей сервиса Face Pay все же должно где-то храниться для обеспечения бесперебойной работы системы (см. интервью с Натальей Касперской «Поспешная цифровизация — гигантский риск», стр. 31).
Представители столичной подземки говорят, что основное преимущество нового платежного сервиса — удобство: человеку теперь не надо носить с собой и доставать из кармана платежную карту, распознание в Face Pay происходит в среднем за 0,8-1,5 секунды, что в некоторых случаях быстрее, чем оплата картой (принимая во внимание время, когда человек должен ее достать и приложить), что способствует увеличению пропускной способности пассажиропотока. В московском метро рассчитывают, что на Face Pay в ближайшие год-два перейдет 5-10% пассажиров, то есть порядка 250-500 тыс. человек в день (в среднем в 2020 г. московским метро ежедневно пользовались 5,17 млн человек), и уже сейчас столичный сервис является самой массовой системой оплаты с помощью распознавания лица на транспорте в мире. В московской мэрии обещают в ближайшее время рассмотреть возможность запуска сервиса Face Pay на МЦК, МЦД, в автобусах и трамваях. А на днях министр транспорта Виталий Савельев заявил, что к 2024 г. рассчитывает ввести биометрическую систему идентификации пассажиров на авиационном, железнодорожном и общественном транспорте в России.
Биометрия в России
В России использование биометрических данных государственными органами широко практикуется уже более двадцати лет: в частности, с 1998 г. правоохранительные органы РФ используют систему государственной дактилоскопической регистрации, когда в обязательном порядке отпечатки пальцев и ладоней должны сдавать преступники, военнослужащие, сотрудники МВД, налоговых служб и других государственных органов. С 2015 г. в России выдается паспорт нового образца с биометрией (3D-фотография и отпечатки пальцев двух рук), с конца 2017 г. — водительское удостоверение с отпечатками пальцев, а с декабря текущего года российские граждане по желанию могли начать получать новые паспорта в виде смарт-карт с занесенной туда биометрией — отпечатками пальцев и изображением лица. Но неделю назад представители Минцифры вдруг заявили, что эта процедура отодвигается на год, до конца 2022-го.
В коммерческой сфере технологии биометрической идентификации в России начали точечно применяться четыре года назад. Например, в декабре 2017-го банк «Открытие» в экспериментальном порядке предлагал своим клиентам услуги денежных переводов по фотографии. В 2018 г. оплачивать покупки с помощью распознавания лица в России предлагала сеть пиццерий Papa John's. С прошлого года клиенты Сбера имеют возможность заплатить с помощью распознавания лица в сети кофеен Prime. А в этом году такая же опция предлагается в сети супермаркетов «Перекресток». Но пока широкого применения методов биометрической идентификации в коммерческих сервисах в России нет. Участники рынка считают, что постепенно эта ситуация будет меняться: по прогнозу Центробанка, в течение ближайшего года в России технологии биометрии будут больше всего востребованы на транспорте и в городских системах безопасности (27,3%), финансовой сфере (19,5%), на спортивных объектах (14,6%), в рознице (10,3%), в сфере гостиничного дела и общественного питания (8,3%).
«Флагманом использования биометрических данных в России является банковский сектор, который начинает применять биометрию для таких удаленных сервисов, как открытие счета или вклада, оформление кредита, цифровой ипотеки, — комментирует Александр Рожков, директор по продуктам и технологиям Группы Т1. — Интерес к биометрическим технологиям проявляют также другие сферы — телеком (дистанционная покупка сим-карт), госорганы (идентификация на государственных веб-ресурсах, цифровые госуслуги, контроль нарушения режима самоизоляции), транспорт (предполетные проверки пассажиров в аэропортах), сегмент HoReCa (отели, рестораны, кафе), безопасность и охрана (идентификация людей на стадионах, биометрические системы контроля и управления доступом)».
В последнее время процедура сбора и хранения биометрических данных для коммерческого пользования все активнее регулируется государством: собирать и обрабатывать биометрию клиентов представителям бизнеса можно, но по все более жестким правилам, которые прежде всего подразумевают обязательное письменное согласие на это клиента. А в середине октября текущего года премьер Михаил Мишустин подписал постановление о государственном контроле биометрических данных, которые получили специальную классификацию.
Ранее было решено, что биометрические данные в России должны храниться в Единой биометрической системе (ЕБС), оператором которой назначена компания «Ростелеком». Отпечатки пальцев, изображение лица, глаз и прочую биометрическую информацию в ЕБС имеют право собирать имеющие лицензию банки, государственные структуры, а также ее могут добровольно сдавать сами граждане, которые в обмен могут получать расширенный набор услуг как в государственном, так и в коммерческом секторе. Например, предполагается, что по своей биометрии люди смогут не только оформлять счета и вклады, подавать заявки на кредит, но и пользоваться услугами в области здравоохранения, проходить на спортивные объекты и на массовые мероприятия или, скажем, сдавать онлайн экзамены в учебных заведениях.
Пока в ЕБС зарегистрированы данные только около 170 тыс. российских граждан. Однако регулятор ставит перед собой амбициозные цели: в планах Минцифры за ближайшие два года увеличить это число до 70 млн — столько подтвержденных профилей сейчас насчитывается на портале Госуслуг. «Почему ЕБС на данный момент содержит ничтожно малое количество образцов биометрических данных россиян? Проблема в том, что при ее реализации не была серьезно продумана мотивационная составляющая, — говорит Юрий Ледаков, руководитель направления развития голосовых продуктов и интеллектуальных сервисов компании BSS (разработка решений для дистанционного банковского обслуживания). — Мотивация развития ЕБС не ясна ни гражданам, ни банкам, которым непонятно, с одной стороны, зачем сдавать туда данные, а с другой — зачем тратиться на их сбор. Поэтому пока и эффект от внедрения слабый. А вот, например, в свое время хорошая мотивационная составляющая была заложена при введении биометрических загранпаспортов, которые выдавались на десять лет, в отличие от обычных на пять лет, что очень хорошо сработало».
Подмена личности
Но мотивация — это не самое главное.
Основной угрозой использования биометрических данных является риск их утечки. «К сожалению, утечки биометрических персональных данных происходят регулярно по всему миру по вине либо злоумышленников, либо недобросовестных работников операторов данных, — констатирует Анастасия Федорова, эксперт по информационной безопасности ИТ-компании "КРОК". — Например, одна из самых громких утечек биометрических данных была в индийском проекте Aadhaar: в ходе атаки была скомпрометирована информация о миллиарде резидентов Индии. Регулярно случаются утечки биометрических данных, используемых в ходе избирательных кампаний, — например, в Гане в ходе выборов были похищены четыре компьютера с данными биометрической регистрации голосующих, на Филиппинах из избирательной комиссии был украден сервер, на котором хранились отпечатки пальцев 55 миллионов граждан, в Зимбабве злоумышленники похитили информацию об избирателях путем взлома сетевого хранилища. В России известно об утечке архива аудиозаписей обращений клиентов Сбера в техническую поддержку».
В России уже отмечены случаи мошенничества с биометрическими данными, преступники пользуются тем, что относительно подделок биометрии отдельных статей в российском Уголовном кодексе пока не существует. «Наиболее частым случаем так называемой кражи биометрических данных является инцидент, когда злоумышленник звонит, представляясь сотрудником банка, и просит утвердительно ответить на какой-либо опрос "да" либо "нет". Полученных голосовых данных может быть достаточно для дистанционного списания средств со счета или оформления кредита с последующим списанием заемных средств, — рассказывает Мария Рулькова, ведущий юрист МКА "Князев и партнеры". — Действия таких телефонных мошенников в России квалифицируются по статье 159 Уголовного кодекса как мошенничество, то есть умышленные действия, направленные на хищение чужого имущества путем обмана или злоупотребления доверием. Самостоятельной нормы в Уголовном кодексе РФ, предусматривающей ответственность именно за похищение персональных данных, в том числе биометрических, не предусмотрено. Кража персональных данных наказывается в рамках административного и уголовного права».
Стремительно развиваются в России и технологии так называемых дипфейков, когда злоумышленники с помощью технологий искусственного интеллекта на основе имеющегося фото и видеоматериала могут создать почти неотличимую копию изображения любого человека (поддельные видео с дипфейками известных актеров и других публичных фигур сейчас заполонили интернет). Далее злоумышленники, используя дипфейк, могут в онлайне брать кредиты, совершать покупки с помощью карты, привязанной к этому «лицу». «Яркой иллюстрацией проблем с биометрией является волна дипфейков, накрывшая мир в 2021 г., — говорит Алекс Концов из компании Involta. — А если представить, что реальные данные были украдены? Биометрические данные любого человека являются универсальным доступом ко всем сервисам и финансовым операциям. И украденная биометрия может быть использована в широком спектре преступных действий, которые будут иметь катастрофические последствия как для предприятий и организаций, так и для их сотрудников или клиентов. Поэтому для предотвращения несанкционированных операций держатели личных данных должны обеспечивать полную сохранность биометрии, неся законодательную ответственность за их утечку».
«Риск здесь похож на эпизод из фильма про гангстеров, когда хороший полицейский переводит на скотч отпечаток пальца преступника и потом прикладывает этот скотч ко всем дверям и проникает так в самое секретное помещение, — продолжает Илья Аникин, основатель инвестиционной компании SH Capital. — Увы, здесь будет точно так же. И я думаю, что от этого нельзя защититься, наша биометрия рано или поздно будет доступна мошенникам, и единственный способ здесь защититься — не полагаться в авторизации только на нее, а, например, для важных операций иметь двухфакторную идентификацию, когда вместе с биометрическими данными применяются, например, еще пароли или ПИН-коды».
Все чаще происходят резонансные инциденты, связанные с ошибочным определением машинным зрением лица человека. Неделю назад в подмосковном Одинцове камеры приняли за вора преподавателя Федора Ермошина, которого полицейские грубо задержали с применением силы. Ранее похожий случай произошел с оперным певцом Мариинского театра Виктором Коротичем, которого компьютерная система опознала как находящегося в розыске преступника. Юристы говорят, что жаловаться на сбои систем видеонаблюдения сейчас, к сожалению, невозможно, т. к. у граждан нет нормативных оснований.
«Согласно действующим статьям (абзац 3 пункта 44 постановления Пленума Верховного суда РФ от 23 июня 2015 года № 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации"), в России не требуется согласия на обнародование и использование изображения гражданина, если оно необходимо в целях защиты правопорядка и государственной безопасности, — комментирует Ирина Каплун, адвокат юридической фирмы "Интеллектуальный капитал". — Названной норме следуют суды при разрешении исков об обжаловании действий органов власти по применению городской системы видеонаблюдения и технологии распознавания лиц. Так, суды ссылаются на части 1 и 3 статьи 11 закона "О полиции", указывая, что она в своей деятельности обязана использовать достижения науки и техники, информационные системы, сети связи, а также современную информационно-телекоммуникационную инфраструктуру.
А департамент информационных технологий получает и обрабатывает изображения в Едином центре хранения данных, руководствуясь статьей 152.1 ГК, устанавливающей, что согласие гражданина на обнародование и дальнейшее использование его изображения не требуется в случаях, когда использование изображения осуществляется в государственных, общественных или иных публичных интересах».
Таким образом, очевидно, что развитие систем биометрической идентификации в России, особенно в массовых коммерческих сервисах, требует серьезной доработки, прежде чем начать их широко применять. Необходимо создание правовой базы (любопытно, что российские депутаты уже много лет уклоняются от этого), введение серьезной уголовной ответственности за хищение и использование персональных данных, в том числе биометрических. А с технической точки зрения необходима разработка надежных методов защиты такой информации от кибератак преступников. Только когда эти проблемы будут решены, можно будет говорить о безопасном внедрении и использовании технологий биометрии для развития удобных и комфортных для пользователей сервисов.