Переход на личности: зачем понадобилась биометрия в популярных приложениях

В России могут ввести обязательную биометрию при идентификации пользователей популярных приложений — об этом говорится в новом законопроекте по борьбе с телефонными и интернет-мошенниками, который правительство внесло в Госдуму в минувшем феврале. Однако, как предупреждают эксперты, изменения содержат в себе целый ряд рисков, в том числе утечек личных данных. Подробности о том, чем обернется появление обязательной биометрической авторизации в сервисах, читайте в материале «Известий».

Зачем нужна биометрическая идентификация в приложениях

Необходимость внедрения биометрической авторизации в приложениях связана с увеличением числа случаев интернет-мошенничества с использованием чужих учетных данных для доступа к важным сервисам: «Госуслугам», онлайн-банкам и другим ресурсам с чувствительной информацией, говорит в беседе с «Известиями» ведущий эксперт по сетевым угрозам и web-разработчик компании «Код Безопасности» Константин Горбунов.

— В ответ на внедрение двухфакторной авторизации мошенники активно придумывают новые схемы и под разными предлогами узнают у пользователей одноразовые коды: кто-то через фишинг в мессенджерах, кто-то — через спам-звонки, кто-то — через рассылки. Однако в случае биометрии пользователь должен непосредственно сам находиться перед экраном для авторизации, — рассказывает специалист.

Руководитель департамента аудита и консалтинга компании F6 Евгений Янов дополняет, что биометрические данные невозможно забыть, как пароль или PIN, и потерять, как устройство с добавленным 2FA, что упрощает процесс взаимодействия, а также потенциально снижает административные затраты на верификацию данных пользователей.

Каков зарубежный опыт внедрения биометрии в приложениях

В мире уже есть немало примеров внедрения биометрической идентификации в приложениях, рассказывает Евгений Янов. Среди них — индийская система Aadhaar, где биометрия используется для взаимодействия с налоговой системой и банковским сектором, а также для оформления сим-карт. Или эстонская e-ID, применяемая для доступа в большинство госсервисов (здравоохранение, банки, голосование, налоги и т. д.). Похожие системы есть в ОАЭ, Бразилии и ряде других стран.

В свою очередь, эксперт по кибербезопасности Angara Security Николай Долгов указывает на то, что наиболее распространенные методы биометрической идентификации — это распознавание лиц, отпечатков пальцев и голоса. Важно отметить, что в большинстве случаев технология используется на добровольной основе, что позволяет минимизировать риски утечек данных и лучше защищать права пользователей.

В то же время опыт внедрения биометрии оказывается весьма противоречивым, отмечает руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. В частности, в Индии уже не раз взламывали местный государственный реестр биометрической информации, а в 2024 году в Сеть утекли данные полицейской службы страны со всеми отпечатками, подписями и сканами лиц. С другой стороны, в европейских государствах сегодня вовсю внедряется электронное голосование на выборах, где биометрия — основной способ подтверждения личности, подчеркивает эксперт.

Может ли биометрия эффективно защищать пользователей

Контактные данные и ФИО хранятся отдельно от зашифрованной биометрии, что снижает риск их утечки, говорит в беседе с «Известиями» руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин. Даже если данные попадут в руки злоумышленников, те не смогут ими воспользоваться.

— Физиологические и поведенческие особенности человека сложно подделать, поэтому при правильном внедрении биометрических технологий можно достичь высокого уровня защиты. Однако эффективнее сочетать этот метод с другими вариантами идентификации, чтобы обеспечить полную безопасность, — объясняет эксперт.

В то же время, как отмечает Виталий Фомин, россияне настороженно относятся к нововведениям и неохотно сдают биометрию, так как знают о мошеннических схемах с ее применением. Например, сейчас активно развиваются технологии дипфейков, из-за чего обычным пользователям сложно определить поддельное изображение или аудиосообщение при входе по лицу или голосу.

Технически биометрическая идентификация в приложениях может быть реализована разными способами: сканированием лица, дактилоскопией, аутентификацией по радужной оболочке глаза, по голосу, рассказывает Евгений Янов. Наиболее частыми из них являются распознавание лица и отпечатков пальцев. В целом использовать можно разные варианты, главное — проработать систему защиты от подделки и учитывать доступность для юзеров устройств с необходимым методом.

— Сможет ли биометрия эффективно защитить пользователей, будет напрямую зависеть от реализации и принятых мер защиты. Эстонская система, например, построена на основе блокчейна, а биометрические данные хранятся на смарт-картах. Система в Индии использует централизованное хранилище с многослойным шифрованием, — рассуждает собеседник.

Некоторые другие системы применяют SSI — модель хранения для децентрализации. Кроме того, большинство из них не содержат биометрические данные сами по себе, а используют токенизацию. Также стоит задуматься о безопасном способе передачи данных в системе и придерживаться принципа «нулевого доверия» в построении ее архитектуры.

Какие риски несет в себе внедрение биометрической идентификации

Важно взвешенно реализовать эту инициативу с учетом интересов и защиты частной жизни, личности граждан, говорит руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар» Максим Бузинов. Очевидно, что для сбора и обработки данных будут использоваться механизмы машинного обучения по распознаванию голоса и лиц. Следует предусмотреть меры обеспечения безопасности как самой базы датасетов ML-моделей, так и точности распознавания алгоритмами.

— Необходимо обеспечить регулярную актуализацию и обновление такой базы, обеспечить работу по исправлению ложных срабатываний, И, конечно же, стоит учитывать риски атак, в которых используются цифровые двойники, полностью сгенерированные искусственным интеллектом (ИИ), — рассказывает собеседник «Известий».

В то же время Евгений Янов относит к возможным рискам смещение вектора мошенничества с попытки кражи данных на принуждение человека к совершению неких действий, цель которых — незаконный сбор биометрии. И если пароль можно оперативно сменить, то биометрические данные в случае компрометации изменить не удастся.

Кроме того, современные нейронные сети позволяют весьма неплохо воссоздавать образы людей, а для отпечатков может быть применена спуфинг-атака (когда один человек или программа успешно маскируется под другого). Для защиты от нее нужно проверять не только фактическое соответствие рисунка папиллярных линий, но и достоверно определять, что прикладываемый палец настоящий, что создает дополнительные сложности для проверки.

— Требуется учитывать и ряд поведенческих факторов, информацию о сети, об устройстве, чтобы сделать более корректные выводы о подлинности источника предоставляемых данных в момент попытки аутентификации. Еще одним нюансом с применением биометрии является необходимость иметь устройство, поддерживающее эти методы — сканер лица или отпечатков пальцев, — что может создавать трудности для старшего поколения, — заключает специалист.