Пятое У, или Ужасы биометрии: почему вам опасно связываться с биометрической системой удаленной идентификации - «Финансы» » Новости Банков
bottom-shape image

Пятое У, или Ужасы биометрии: почему вам опасно связываться с биометрической системой удаленной идентификации - «Финансы»

Пятое У, или Ужасы биометрии: почему вам опасно связываться с биометрической системой удаленной идентификации - «Финансы»




В России скоро можно будет брать кредит, открывать счет, лишь показав себя камере смартфона (компьютера) и сказав несколько слов в его микрофон. Но в этих технологиях скрываются большие проблемы.


Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег.


Фигуры умолчания


Из существующих технологий создания биометрического профиля — считывание карты вен, радужки глаза, отпечатка пальца, сканирование лица, запись голоса и множество других — выбраны две: сканирование лица и запись голоса. Главная проблема всех без исключения технологий, связанных с биоидентификацией, проста: их можно обмануть. Для лица делается маска, голос синтезируют. Причем для обмана того же Face ID на iPhone не требуется делать полную копию лица, достаточно только копии областей вокруг глаз. А синтезатор голоса уже массово доступен.


Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров.


Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих.


У одного из крупнейших бюро кредитных историй в нашей стране биометрия используется для выявления загримированных мошенников или переклеенных фотографий. Система FPS. Биометрия делает это с вероятностью всего лишь около 80%, что гарантирует вычистку массы жуликов (умеренно низкая вероятность ошибки первого рода), но эта вероятность означает, что вас крайне редко (вероятность — 0,0000001) ошибочно могут принять за мошенника, поскольку последствия такой ошибки слишком велики (сдадут под белы руки в полицию). В этом примере решается специфическая задача. Но достаточно ли такой надежности (80%) для доступа к вашим счетам? Конечно, нет. Вам требуется более высокая вероятность, а значит, сложность взаимодействия с системой, при обеспечении безопасности, возрастает многократно.


По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100. Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается. Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает.


О чем они даже не задумывались


Сегодняшние системы биометрической идентификации работают совместно с традиционными «паролями» или обеспечивают доступ относительно небольшого числа людей к каким-то не столь важным функциям (разблокировке смартфона, например).


Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества

Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность. Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации. «Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем. То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества.


А вот еще сюрприз


Преступник, прежде чем совершить преступление, может сколь угодно тщательно тестировать свою «модель идентифицируемого лица» на движках распознавания лица и голоса. Эти движки широкодоступны. Именно они лягут в основу строящейся системы удаленной идентификации. Если даже будет создана специальная версия движка для государственной системы биоидентификации, то можно будет или применить похожий движок (все современные системы схожи), или использовать версию для коммерческого применения.


По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен?


Что же вам делать


Презентуемая в 2018 году система удаленной идентификации должна рассматриваться вами как еще одна «калитка» для мошенников к вашим деньгам. С простеньким замком. Сами решайте, надо ли вам это. Конечно, вы можете быть заинтересованы в простом доступе к кредитам или услугам и полагать, что терять вам нечего.


Часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам

Но как насчет использования вашего биометрического профиля для открытия счетов с целью отмывания денег или использования кредитных средств без вашего ведома? В многочисленные черные списки сегодня легко попасть, но очень сложно из них выйти.


Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный. Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД». А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных).


Спецслужбам пригодится


Объективно разработчики систем удаленной идентификации могут рассчитывать только на массово используемые идентификаторы. Скажем, кроме биопрофиля, можно использовать электронный паспорт. Или информацию из кредитной истории, как в США. В Бельгии давно стали использовать электронный паспорт. Главная его ценность в том, что, докупив буквально за несколько евро считыватель информации, подключаемый к компьютеру по USB, вы приобретаете возможность удаленной идентификации физического лица. Да, это немодно и, главное, недорого. В нашей стране чиновники выбирают биоидентификацию.


Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми». Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам. Пусть это и утешает любителей новых технологий.


В России скоро можно будет брать кредит, открывать счет, лишь показав себя камере смартфона (компьютера) и сказав несколько слов в его микрофон. Но в этих технологиях скрываются большие проблемы. Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег. Фигуры умолчания Из существующих технологий создания биометрического профиля — считывание карты вен, радужки глаза, отпечатка пальца, сканирование лица, запись голоса и множество других — выбраны две: сканирование лица и запись голоса. Главная проблема всех без исключения технологий, связанных с биоидентификацией, проста: их можно обмануть. Для лица делается маска, голос синтезируют. Причем для обмана того же Face ID на iPhone не требуется делать полную копию лица, достаточно только копии областей вокруг глаз. А синтезатор голоса уже массово доступен. Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров. Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих. У одного из крупнейших бюро кредитных историй в нашей стране биометрия используется для выявления загримированных мошенников или переклеенных фотографий. Система FPS. Биометрия делает это с вероятностью всего лишь около 80%, что гарантирует вычистку массы жуликов (умеренно низкая вероятность ошибки первого рода), но эта вероятность означает, что вас крайне редко (вероятность — 0,0000001) ошибочно могут принять за мошенника, поскольку последствия такой ошибки слишком велики (сдадут под белы руки в полицию). В этом примере решается специфическая задача. Но достаточно ли такой надежности (80%) для доступа к вашим счетам? Конечно, нет. Вам требуется более высокая вероятность, а значит, сложность взаимодействия с системой, при обеспечении безопасности, возрастает многократно. По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100. Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается. Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает. О чем они даже не задумывались Сегодняшние системы биометрической идентификации работают совместно с традиционными «паролями» или обеспечивают доступ относительно небольшого числа людей к каким-то не столь важным функциям (разблокировке смартфона, например). Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность. Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации. «Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем. То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества. А вот еще сюрприз Преступник, прежде чем совершить преступление, может сколь угодно тщательно тестировать свою «модель идентифицируемого лица» на движках распознавания лица и голоса. Эти движки широкодоступны. Именно они лягут в основу строящейся системы удаленной идентификации. Если даже будет создана специальная версия движка для государственной системы биоидентификации, то можно будет или применить похожий движок (все современные системы схожи), или использовать версию для коммерческого применения. По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен? Что же вам делать Презентуемая в 2018 году система удаленной идентификации должна рассматриваться вами как еще одна «калитка» для мошенников к вашим деньгам. С простеньким замком. Сами решайте, надо ли вам это. Конечно, вы можете быть заинтересованы в простом доступе к кредитам или услугам и полагать, что терять вам нечего. Часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам Но как насчет использования вашего биометрического профиля для открытия счетов с целью отмывания денег или использования кредитных средств без вашего ведома? В многочисленные черные списки сегодня легко попасть, но очень сложно из них выйти. Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный. Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД». А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных). Спецслужбам пригодится Объективно разработчики систем удаленной идентификации могут рассчитывать только на массово используемые идентификаторы. Скажем, кроме биопрофиля, можно использовать электронный паспорт. Или информацию из кредитной истории, как в США. В Бельгии давно стали использовать электронный паспорт. Главная его ценность в том, что, докупив буквально за несколько евро считыватель информации, подключаемый к компьютеру по USB, вы приобретаете возможность удаленной идентификации физического лица. Да, это немодно и, главное, недорого. В нашей стране чиновники выбирают биоидентификацию. Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми». Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам. Пусть это и утешает любителей новых технологий.

Лучшие новости сегодня

Вы искали сегодня

Комментарии (0)


Другие новости сегодня

Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

КС принял решение, согласно которому обязанность использовать участки пока что законом не установлена. В этих целях не следует "притягивать за уши" некоторые нормы, которые вообще про другое (как поступили земконтроль...

В России число индивидуальных предпринимателей выросло до 4,2 млн - «Финансы»

Количество индивидуальных предпринимателей в России увеличилось с начала года на 4,7% и составляет по итогам девяти месяцев 4,2 млн. Об этом 7 ноября сообщил «Известиям» генеральный директор Корпорации МСП Александр...

В России программа в тестовом режиме выявила 116 тыс. нарушений земельного права - «Финансы»

Нейросетевой "земельный инспектор", разработанный учеными Самарского университета имени Королева, в ходе пробного сканирования выявил более 116 тыс. нарушений землепользования, за которые можно взыскать...

Halyk в полном объеме вернул госпомощь, полученную Казкоммерцбанком в 2015 году - «Финансы»

Фото: Zakon.kz Системообразующий банк Казахстана – Halyk Bank – досрочно и полностью возвратил государственную поддержку в размере 250 млрд тенге, полученную Казкоммерцбанком в 2015 году, сообщает Zakon.kz. Девять...

Индекс деловой активности в Казахстане снижается второй месяц подряд - «Финансы»

Фото: pixabay Национальный банк РК опубликовал Индекс деловой активности за октябрь 2024 года, касающийся изменений экономических показателей предприятий страны и их ожиданий на ближайший год, сообщает Zakon.kz. Согласно...

В Минфине пояснили насчет выплаты премий государственным служащим - «Финансы»

Фото: Zakon.kz В Министерстве финансов ответили на обращения СМИ, касающиеся премий государственным служащим, сообщает Zakon.kz. В ведомстве сообщили, что на основании постановления правительства от 29 августа...


Новости

Последнее из блога

«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.

Проект освоения водных ресурсов профинансирует Исламский банк развития - «Экономика»

Проект освоения водных ресурсов профинансирует Исламский банк развития - «Экономика»

Проект освоения водных ресурсов профинансирует Исламский банк развития. Такое

Подробнее
От приватизации в госбюджет поступило 578,8 млрд тенге - «Экономика»

От приватизации в госбюджет поступило 578,8 млрд тенге - «Экономика»

Анализ результатов Комплексного плана приватизации на 2016-2020 годы провели в

Подробнее
Что покупали казахстанцы на Wildberries в дни распродаж - «Экономика»

Что покупали казахстанцы на Wildberries в дни распродаж - «Экономика»

На Wildberries во время акции Всемирного дня шопинга с 28 октября по 11 ноября

Подробнее
Сейчас Irwin Casino также отличается высоким качеством обслуживания

Сейчас Irwin Casino также отличается высоким качеством обслуживания

Среди русскоязычных игроков прекрасно известен один из самых ярких игровых

Подробнее
Экономика сегодня

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

​ Модульбанк расширил список маркетплейсов, партнеры которых имеют возможность подключить специальные условия обслуживания и выводить выручку без комиссии и лимитов. Теперь в этом списке значатся Wildberries, Ozon,...

Подробнее
«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

​ Девальвация рубля в октябре оказалась значительнее, чем ожидалось: российская валюта ослабла к доллару еще на 4%, а к юаню — на 3%. По мнению аналитиков инвестиционного Банка Синара, к началу 2025 года ожидается...

Подробнее
Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

​ Российский рубль опустился к доллару США и укрепился к евро. Официальный курс доллара, установленный Центробанком на 8 ноября 2024 года, составляет 98,0726 рубля (прежнее значение — 98,2236 рубля), официальный...

Подробнее
Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 29 октября 2024 года, составляет 97,2300 рубля (прежнее значение — 96,6657 рубля), официальный курс евро — 105,2229 рубля (предыдущий показатель — 104,8094 рубля). Прекращение торгов валютами

Подробнее
Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

​ ЦБ установил официальные курсы валют на 30 октября. Рубль продолжает дешеветь к американской и европейской валютам. Курс доллара вырос на 0,0961 рубля, составив 97,3261 рубля (97,2300 рубля на 29 октября). Курс...

Подробнее
Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 30 октября 2024 года, составляет 97,3261 рубля (прежнее значение — 97,2300 рубля), официальный курс евро — 105,4375 рубля (предыдущий показатель — 105,2229 рубля). Прекращение торгов валютами

Подробнее

Разделы

Информация


Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

КС принял решение, согласно которому обязанность использовать участки пока что законом не установлена. В этих целях не следует "притягивать за уши" некоторые нормы, которые вообще про другое (как поступили земконтроль...

Подробнее

      
Курс валют сегодня