Продолжая тему Cybersecurity, сегодня мы поговорим про биометрические системы: что это такое, как они работают и чем нарушают требования GDPR и № 152-ФЗ. Также в этом материале мы собрали для вас примеры таких наиболее известных проектов на базе технологий Big Data и Machine Learning.
Что такое биометрические персональные данные и системы биометрии
В России понятие личной биометрической информации определено в федеральном законе 152-ФЗ «О персональных данных». Биометрические персональные данные (БПД) – это сведения о физиологических и биологических особенности человека, на основании которых можно установить его личность. Принято выделять физиологические (отпечатки пальцев, рисунок вен, ДНК, сетчатка глаза, лицо, голос) и поведенческие (походка, речь) биометрические данных. Считается, что эти характеристики уникальны для каждого человека. Поэтому их можно использовать в качестве идентификаторов в информационных и киберфизических системах, заменив таким образом ключи, пароли и прочие средства аутентификации, которые могут быть утеряны или подделаны. Проекты больших данных (Big Data) и интернета вещей (Internet of Things, IoT), в т.ч. индустриального (Industrial Internet of Things, IIoT), которые основаны на использовании БПД, называются системами биометрии [1].
За идентификацию личности по биометрическим характеристикам в системах биометрии отвечают алгоритмы машинного обучения (Machine Learning). В основном они основаны на нейросетевых моделях распознавания образов по визуальным изображениям (фото лица, отпечатки пальцев и т.д.), отрывкам речи (голос, манера разговора, акцент и пр.) и особенностям поведения (походка). Таким образом, типовая биометрическая система состоит из 3-х ключевых компонент [1]:
- сканер БПД в виде IoT/IIoT-сенсора;
- блок предварительной очистки первичных данных от фонового шума и помех;
- алгоритмы Machine Learning для сравнения очищенных БПД с эталоном с целью идентификации личности.
Примеры биометрических Big Data систем в России и за рубежом
На сегодняшний день самой крупной и наиболее известной биометрической системой на базе технологий Big Data и машинного обучения считается индийский проект Aadhaar, где зарегистрировано 99% взрослого населения страны. База содержит более 10 млрд отпечатков пальцев, 2-х млрд снимков радужной оболочки глаз и 1 млрд фотографий лица резидентов Индии. Эта система сэкономила правительству около 2 млрд долларов, выявив поддельные паспорта и банковские карты, а также налоговые правонарушения [2]. В этом Big Data проекте используются MapR и Apache Hadoop, чтобы обеспечить надежное хранение крупнейшей в мире биометрической базы данных, с помощью которой можно установить человеческую личность в течение 200 миллисекунд [3]. Впрочем, даже для такой масштабной системы характерны проблемы с обеспечением информационной безопасности. В частности, в 2017 году из Aadhaar в открытый доступ утекли данные более 135 млн человек. Подобные инциденты опасны возникновением массовых случаев финансового мошенничества, поскольку личные данные пострадавших можно соотнести с их кодами в биометрической системе. Таким образом, злоумышленники могут воссоздать часть правительственной базы и сконструировать поддельные личности, а также скомпрометировать невиновных людей [4]. Это показывает уязвимость биометрических систем, которые, как и другие Big Data проекты, могут пострадать от хакерских атак, инфраструктурных проблем и других угроз, о которых мы рассказывали здесь.
В России пока отсутствует аналогичная глобальная биометрия, однако, в 2018 году рамках национальной программы «Цифровая экономика» разработана единая биометрическая система (ЕБС). Она интегрирована с порталом госуслуг и создана, чтобы повысить доступность цифровых сервисов для граждан в отдаленных регионах и маломобильного населения. Удаленная идентификация граждан основана на распознавании лица и голоса в режиме онлайн с помощью камеры мобильного телефона [5]. Заявленная точность распознавания составляет 1 к 10 000 000, т.е. на 10 миллионов случаев возможна одна единственная ошибка. Пока ЕБС интегрирована только с отечественными банками, но в дальнейшем планируется расширить действие этой системы и на другие сферы деятельности, от госуслуг до медицины. Центральный банк РФ обязал все российские банки начать биометрическую регистрацию граждан до конца 2019 года [2], однако на практике до сих эта инициатива еще не полностью реализована. Тем не менее, процесс перехода на БПД в качестве основных идентификаторов личности уже запущен. В частности, Сбербанк России анонсировал внедрение биометрических технологий еще в мае 2016 года, когда Герман Греф объявил о постепенном отказе от пластиковых карт в пользу биометрии [6]. Другой пример использования БПД в финансовом секторе – Тинькофф-банк, который узнает клиентов, звонящих в колл-центр, по голосу, экономя их время и сокращая риск мошенничества [2].
Впрочем, банки – далеко не единственный кейс практического применения БПД. Например, в 2018 году сеть фитнес-клубов World Class реализовала проект распознавания лиц, дополнив ранее существовавшую систему аутентификации на базе браслетов с RFID-метками, чтобы избежать несанкционированное использование этих средств учета клиентов [7]. А в 2016 году Amazon запустил магазин без касс, где содержимое корзины покупателя анализируется автоматически, а деньги сами списываются с заранее привязанной карты клиента [2]. Также к биометрическим системам можно отнести уже ставшие привычными сканеры отпечатков пальцев в смартфонах и автомобилях, пропускных пунктах на режимных объектах, камеры уличного видеонаблюдения с функцией распознавания лиц и т.д.
Биометрический Machine Learning и Cybersecurity: что говорят GDPR и 152-ФЗ
Стоит отметить, что сбор и обработка БПД попадает под действие законов, регламентирующих порядок работы с персональными данными, т.е. №152-ФЗ и GDPR, о которых мы писали здесь. Это означает, что необходимо обязательное согласие субъектов на обработку их БПД с четким указанием целей, где используется эта информация. При отсутствии такого согласия обработка БПД противоречит действующему законодательству и, по сути, является нелегальной. На практике такие инциденты уже случались. В частности, Сбербанк собирал БПД своих клиентов без их фактического согласия, показывая лишь отрывок текста об условиях сбора информации на терминале для банковских карт [8]. Кроме того, такое осознанное согласие также не давали и миллионы людей, которые каждый день проходят по улицам российских городов мимо камер наружного видеонаблюдения с функцией распознавания лиц [9]. Таким образом, организационные меры в области cybersecurity не до конца проработаны как на уровне государства, так и в рамках отдельных бизнес-приложений. В частности, здесь мы рассказываем, как российская Госдума и Еврокомиссия собираются предупредить возможные правонарушения в области использования биометрических технологий, включая утечки такой информации.
В следующей статье мы подробнее рассмотрим методы биометрической аутентификации, уязвимости систем биометрии и способы борьбы с ними. А о том, как эффективно реализовать собственный биометрический проект и надежно защитить свои большие данные, вы узнаете на наших образовательных курсах в лицензированном учебном центре обучения и повышения квалификации ИТ-специалистов (менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data) в Москве:
Источники
- https://ru.wikipedia.org/wiki/Биометрия
- https://bankir.ru/publikacii/20181203/kak-biometriya-stanovitsya-vazhnym-elementom-tsifrovizatsii-10009642/
- https://mapr.com/customers/aadhaar/
- https://xakep.ru/2017/05/05/aadhaar-leak/
- https://bio.rt.ru/about/
- https://versia.ru/iniciirovav-sbor-bankami-biometricheskix-dannyx-rossiyan-german-gref-otkryl-yashhik-pandory
- https://rns.online/consumer-market/Fitnes-klubi-World-Class-vnedryayut-sistemu-raspoznavaniya-lits—2018-05-04/
- https://habr.com/ru/post/457686/
- https://tass.ru/obschestvo/6149649