Что такое биометрические данные

Что такое биометрические данные

Сегодня по образцу ДНК можно вычислить преступника, приложив палец к телефону получить доступ в приложение, а направив свой взор в глазок камеры секретного объекта получить доступ к тайным знаниям. Почти все как в фильмах. Куда нас приведет сбор биометрических данных, что к ним относится, насколько это безопасно и законно, кто их использует и можно ли от них отказаться? Читайте в этой статье.

Биометрия — это метод идентификации личности по уникальным физиологическим параметрам. В основе биометрии лежит использование индивидуальных особенностей нашего организма в качестве персонального идентификатора. К таким особенностям относятся отпечатки пальцев, строение лица, радужная оболочка глаза, геометрия кисти руки, голос, ДНК, походка, речевые паттерны и многое другое.

Историческая справка

Идея использовать биометрические характеристики для идентификации личности не нова. Еще в древнем Китае использовали печати с оттиском ладони или пальцев. Однако современная биометрия как наука начала складываться лишь в XIX веке. Ее основоположником считают британского колониального чиновника в Индии Уильяма Гершеля. В 1858 году он впервые применил сканирование отпечатков пальцев для регистрации контрактов с местными рабочими.

Позднее французский криминолог Альфонс Бертильон разработал целую систему антропометрической идентификации преступников, куда вошли измерения различных частей тела, описания примет и отпечатки пальцев. Его методика позволяла надежно опознавать рецидивистов. С тех пор биометрия активно применяется в криминалистике и судебной экспертизе.

C развитием IT-технологий во второй половине XX века произошел настоящий прорыв в области биометрической идентификации. Появились механизмы распознавания лица человека, радужной оболочки и сетчатки глаза, динамики подписи и многое другое. Сегодня биометрия широко используется для контроля доступа, в банковской сфере, мобильных устройствах. Перспективы развития этого направления поистине безграничны.

Биометрические данные: определение

Биометрические данные — это индивидуальные физиологические или поведенческие параметры, которые можно использовать для идентификации человека. Биометрическим признаком считают такой параметр, который присущ всем людям и обладает вариациями у разных индивидуумов.

Все многообразие биометрических данных можно разделить на две большие группы:

  • Статистические характеристики. К ним относят анатомические характеристики человека, которые не меняются всю жизнь. Наиболее распространенным примером являются отпечатки пальцев. Также к статическим маркерам принадлежат радужная оболочка глаз, сетчатка, лицо, венозный рисунок, строение кисти.
  • Динамические характеристики. В эту группу входят параметры, которые могут меняться с возрастом, а также под влиянием внешних факторов. К ним относят почерк, особенности походки и речи, ритм набора текста, динамику подписи.

Как работает биометрия и чем она связана с IT

Современные биометрические технологии основаны на использовании искусственного интеллекта, в частности нейросетей. Их задача — распознавать индивидуальные характеристики человека и отличать его от всевозможных подделок.

Процесс идентификации включает несколько этапов. Например, человек пришел в банк, чтобы снять со своего счета деньги, но он забыл дома паспорт. Что делать? Если он предварительно предоставил банку свои биометрические данные, процедура может выглядеть так:

  1. Камера делает снимок его лица и преобразует изображение в цифровой код — биометрический шаблон, отражающий индивидуальные особенности черт лица
  2. Шаблон отправляется в Единую биометрическую систему, где происходит его сравнение с ранее сохраненными данными
  3. Система принимает решение о наличии совпадений или их отсутствии, а затем посылает ответ в банк для идентификации клиента.

Вся процедура занимает считанные секунды. Современные алгоритмы распознавания настолько точны, что могут отличить даже близнецов. Они анализируют тысячи параметров лица и находят различия, которые незаметны даже для невооруженного глаза.

Однако иногда возможны ошибки. Например, из-за плохого освещения или некачественной камеры. Поэтому многие системы используют сразу несколько биометрических факторов — отпечатки пальцев, радужку глаза, динамику подписи. Это позволяет минимизировать вероятность ошибки практически до нуля.

Что будет, если показать в камеру фото вместо лица

Современные биометрические технологии оснащены специальными алгоритмами, которые позволяют распознавать живого человека, это позволяет избежать мошенничества. Они называются системами проверки «живого присутствия» (liveness detection). Такие системы проверяют изображение или звукозапись на предмет того, что перед камерой находится реальный человек, а не его фото, видео или голосовая имитация. Например, они могут улавливать микродвижения лица, глубину мимических морщин, движение зрачков и радужной оболочки глаза.

Что произойдет, если поменялось лицо или голос

При изменении биометрических характеристик человека, например после пластической операции или травмы, старые шаблоны перестают работать. Поэтому возникает необходимость повторно сдать свои данные в систему для создания нового цифрового профиля.

Кем собирается и где используется биометрия?

Изначально биометрию использовали в криминалистике для идентификации преступников по отпечаткам и биологическим следам с мест происшествий. Сегодня, для выявления преступников в общественных местах, полиция масштабно использует технологии видеонаблюдения и распознавания лиц.

Одно из первых и самых массовых внедрений произошло в банковской отрасли. С помощью систем распознавания клиенты могут открывать счета и совершать операции дистанционно, без личного присутствия. Это существенно увеличило удобство и скорость обслуживания.

Биометрические данные интегрированы и в современные заграничные паспорта многих стран. Это упрощает и ускоряет процедуры идентификации лиц при пересечении границ по сравнению с визуальной проверкой документов.

Ну и конечно, биометрические данные активно используются в смартфонах и различных мобильных приложениях для защиты доступа и аутентификации пользователей с помощью FaceID, TouchID и других технологий.

Как банки используют биометрические данные

Центральный банк России обязал все российские банки начать биометрическую регистрацию граждан до конца 2019 года, однако на практике данная инициатива выполнена не в полном объеме. Некоторые финансовые учреждения, например, Сбербанк России и Тинькофф-банк, уже внедрили биометрические технологии для распознавания клиентов. Сбербанк России объявил о своем намерении отказаться от пластиковых карт и о намерениях перейти к использованию биометрии еще в 2016 году, а Тинькофф-банк для идентификации клиентов, обращающихся в колл-центр по телефону, использует систему распознавания голоса.

Российские банки подключаются к государственной Единой биометрической системе (ЕБС). ЕБС позволяет проводить удаленную идентификацию личности без визита в банк. На данный момент такую возможность предоставляют ВТБ, Тинькофф, Совкомбанк, Промсвязьбанк. Передача персональных данных происходит только по желанию клиента и не является обязательной.

* Ряд банков, в том числе Сбербанк и Альфа-Банк, развивают и собственные системы распознавания клиентов, интегрированные в мобильные приложения.

Плюсы использования биометрических данных в банковской сфере

  • Мобильность. Использование ЕБС существенно упрощает доступ к финансовым услугам для жителей отдаленных регионов и маломобильных граждан.
  • Повышение безопасности. Выявление случаев мошенничества и несанкционированного доступа к счетам в режиме реального времени. А в сочетании с технологиями видеонаблюдения биометрия сводит к минимуму риски краж и злоупотреблений внутри самих банков.
  • Расширение клиентуры. Банки тоже выигрывают, расширяя охват клиентской базы за пределами своего физического присутствия.
  • Повышение скорости обслуживания. Биометрия активно применяется для оперативной идентификации клиентов при посещении отделений, call-центров и использовании цифровых сервисов. Также активно развивается бесконтактная оплата по лицу и другим биометрическим данным. Это быстрее и удобнее, чем использование банковских карт и мобильных приложений.

Где в России хранятся данные и кому передаются?

Для надежного сохранения биометрических данных в России создана специализированная Единая биометрическая система (ЕБС). Она интегрирована с порталом государственных услуг и создана для обеспечения доступности цифровых сервисов гражданам, проживающим в отдаленных регионах и имеющим ограниченные возможности передвижения. ЕБС представляет собой высокозащищенную базу данных, куда в кодированном виде поступает информация о голосе, лице, отпечатках пальцев и других биометрических характеристиках граждан. Система позволяет удаленно идентифицировать граждан при помощи мобильных устройств. Заявленная точность распознавания составляет 1 к 10 000 000, что означает, что на 10 миллионов случаев может быть только одна ошибка.

В отличие от персональных данных, которые содержатся в Единой системе идентификации и аутентификации (ЕСИА), биометрические профили не связаны напрямую с конкретными людьми. Это сделано для повышения конфиденциальности и безопасности. Даже в случае утечки злоумышленники не смогут использовать полученную информацию в преступных целях.

Коммерческие организации, подключенные к ЕБС, работают не с самими биоданными, а с их векторным представлением — уникальным цифровым кодом каждого человека. Сопоставление «векторов» с реальными людьми происходит уже на стороне системы при осуществлении идентификации.

Пример биометрической системы Big Data за рубежом

Наиболее известным и крупным проектом отрасли является индийская система Aadhaar, основанная на технологиях Big Data и машинного обучения. Она включает в себя более 10 миллиардов отпечатков пальцев, 2 миллиарда снимков радужной оболочки глаз и 1 миллиард фотографий лиц жителей Индии. Aadhaar успешно выявляет поддельные паспорта, банковские карты и налоговые правонарушения, что позволило правительству сэкономить около 2 миллиардов долларов. В рамках этого проекта используются MapR и Apache Hadoop для обеспечения надежного хранения биометрической базы данных, а время идентификации человеческой личности составляет всего 200 миллисекунд.

Однако даже такая масштабная система, как Aadhaar, сталкивается с проблемами информационной безопасности. В 2017 году был зафиксирован инцидент, в результате которого данные более 135 миллионов человек оказались доступными для третьих лиц.

Биометрический Machine Learning

Распознаванием Биометрических персональных данных занимаются специальные алгоритмы машинного обучения на основе нейросетей. Они сравнивают полученную от датчиков информацию с эталонными образцами. Так работают, например, сканеры отпечатков в смартфонах или системы видеонаблюдения с функцией идентификации лиц. Помимо датчиков, современная биометрическая система включает модули предобработки данных и непосредственно алгоритмы распознавания на базе нейросетей или других технологий машинного обучения. Интеграция биометрии с системами интернета вещей и промышленного интернета вещей открывает широкие возможности для разработки «умных» решений.

Главные уязвимости биометрических Big Data систем на базе Machine Learning

Необходимо отметить, что биометрические системы сталкиваются с теми же рисками, что и любой другой проект Big Data. В основном, причины возникновения утечек данных включают действия хакеров или внутренних пользователей, проблемы в инфраструктуре, уязвимости ПО или сторонние сервисы.

Также существуют естественные ограничения биометрических методов идентификации — специфические проблемы, связанные непосредственно с алгоритмами распознавания личности, основанными на методах машинного обучения. В рамках этих методов могут возникать ошибки первого и второго рода в матрице ошибок (матрица несоответствий):

  • Ошибки первого рода, или ложноположительные решения (False Positive, FP), могут возникать из-за атаки злоумышленника, который обманывает алгоритмы машинного обучения и выдает себя за другого пользователя.
Например, это может быть искусственный палец с отпечатками или трехмерная маска лица. Такие методы позволяют обмануть простые биометрические системы идентификации в смартфонах с менее сложными алгоритмами машинного обучения и/или менее чувствительными датчиками.
  • Ошибки второго рода, или ложноотрицательные решения (False Negative, FN), возникают, когда модель машинного обучения не распознает легитимного пользователя, поскольку не находит подходящий цифровой шаблон в базе данных для представленных биометрических данных.

* Ложноположительные решения (FP) могут привести к неправомерным действиям с информацией, в то время как ложноотрицательные решения (FN) вызывают недовольство у пользователей. Это может стать причиной репутационных потерь и увеличить вероятность оттока клиентов (Churn Rate).

Кража биометрических данных

Вопреки ожиданиям, ни одна база данных не может быть полностью неприступной от возможных утечек. Данные могут быть скомпрометированы в простых бытовых ситуациях, например, при оформлении железнодорожных билетов, заселении в отель или получении гостевого пропуска в деловой центр. Точно так же могут быть похищены биометрические данные, которые собираются в разных местах. Например, голос может быть записан во время обычного разговора. При этом винить исключительно IT-специалистов в компрометации персональных и биометрических данных не стоит: доступ к ним может быть получен даже обычными сотрудниками с более низким уровнем зарплаты.

Эксперты подчеркивают необходимость разграничения между кражей хранимых в базах данных биометрических шаблонов и кражей изображений лиц или голосовых записей.

Защита биометрических данных

Исследователи в области биометрии активно работают над разработкой методов антиспуфинга, которые направлены на защиту биометрических данных от подделки. Цель таких методов заключается в том, чтобы предотвратить намерения злоумышленников использовать поддельные биометрические образцы, будь то реальные или синтезированные голосовые записи, фотографии или видео материалы для обхода системы биометрической защиты.

Специалисты утверждают, что риски утечки данных могут возникнуть только в том случае, если биометрические данные хранятся вместе с персональными. Однако такие проблемы относятся к вопросам регулирования и защиты персональных данных и не должны подрывать доверие к самой технологии. Даже если сотрудник ИТ-подразделения получит доступ к биометрическим данным, при их корректном хранении он не сможет воспользоваться ими. Более того, степень защиты данных можно повысить путем использования двух биометрических характеристик одновременно, например, изображения лица и голоса.

Законность

Важно отметить, что сбор и обработка биометрических персональных данных (БПД) подпадает под действие законодательных актов, регулирующих порядок работы с персональными данными, таких как 152-ФЗ и GDPR. Это означает, что необходимо получить согласия субъектов на обработку их БПД с четким указанием целей, для которых эта информация будет использоваться.

Что говорят GDPR и 152-Ф3

В случае отсутствия такого согласия, обработка БПД противоречит действующему законодательству и, фактически, является незаконной. Такие инциденты уже имели место на практике. Например, Сбербанк собирал БПД своих клиентов без их фактического согласия, предоставляя только небольшой фрагмент текста об условиях сбора информации на банковских терминалах. Кроме того, миллионы людей, ежедневно проходящих по улицам российских городов мимо камер наружного видеонаблюдения с функцией распознавания лиц, также не давали такого осознанного согласия. Таким образом, организационные меры в области кибербезопасности не полностью разработаны как на уровне государства, так и в рамках отдельных бизнес-приложений.

* Кстати, в Европе и США законодательно ограничено использование некоторых видов биометрии, например систем идентификации лиц в общественных местах. Считается, что подобные технологии нарушают гражданские права и свободы.

Отказ или согласие на сдачу биометрических данных

Поскольку риски несанкционированного использования данных все еще остаются высокими, то люди должна иметь право выбора — предоставлять или не предоставлять свои биометрические данные.

Так, водители автомобилей периодически проходят выборочные проверки на алкогольное и наркотическое опьянение. Если человек не желает проходить такую проверку, то он может воспользоваться услугами такси.

Люди должны иметь возможность отказаться от предоставления своих биометрических данных. Однако с учетом широкого распространения видеокамер на улицах, в метро и других местах, человеку будет сложно предотвратить захват и сохранение подобной информации о себе в различных базах данных.

Софья Пирогова

Софья Пирогова

автор статей / копирайтер
Георгий Бабаян

Георгий Бабаян

Основатель и CEO Эльбрус Буткемп