Гигантскую базу биометрии могут украсть, как персональные данные. Интервью
17 февраля 2021 года стало известно о желании Министерства транспорта внедрить биометрические системы распознавания лиц в российские аэропорты. В опубликованной министерством программе цифровой трансформации говорится о планах пилотного внедрении системы распознавания лиц на проходном контроле в 6% аэропортов.
Читайте также: В Минтрансе планируют до конца года «цифровизировать» два аэропорта
Системы распознавания биометрических параметров человека не только создают удобство, но и содержат много потенциальных рисков. Одной из самых больших угроз на этом направлении является угроза утечки биометрических данных, тем более что классические персональные данные в больших объемах каждый год попадают в открытый доступ, рассказал корреспонденту ИА Красная Весна генеральный директор компании Интемс Алексей Титов.
ИА Красная Весна: Расскажите, как именно будет происходить процесс внедрения биометрии в аэропортах?
— Насколько я помню новость, про которую вы говорите, речь идет в первую очередь о системах распознавания лиц. Идея не нова, об этом достаточно много говорится. В контексте пандемии коронавируса, передающегося контактным способом, бесконтактные технологии сейчас задают тренд. В том числе и в пассажирских перевозках, которые, наверное, наиболее сильно пострадали от пандемии.
В целом в этой идее ничего странного нет. Судя по новости, они хотят использовать биометрию из Единой биометрической системы (ЕБС), которую создал Ростелеком. ЕБС в первую очередь создавали для банковской системы, но она пока особой популярностью не пользуется. Планируется, что люди, которые прошли идентификацию в ЕБС, смогут воспользоваться бесконтактными вариантами регистрации на рейс или что-то в этом роде.
ИА Красная Весна: Какие риски потенциально несет для граждан массовое внедрение биометрии Ростелекомом, как главным оператором?
— Основная история в том, что внедрение биометрии во все сферы нашей жизни — это хорошая идея, она мне максимально нравится. Вопрос только в том, как внедрять. Вы правильно говорите про риски. Действительно, Ростелеком использует централизованную базу хранения всех биометрических идентификаторов, на данный момент — это лицо, голос и, по-моему, еще что-то, но лицо и голос в первую очередь. Естественно, когда вы их храните где-то в одном месте, есть неплохая такая вероятность, что это место взломают, и эти данные окажутся где-то на черном рынке. И дальше вообще непредсказуемые риски, потому что каких-то гигантских утечек биометрических баз данных еще не было, но вообще что угодно из этого может произойти.
Например, очень интересная была история. Эта история скорее научно-исследовательская. В одном из университетов ребята собрали базу данных отпечатков пальцев, пропустили их через нейросеть и сделали такой универсальный отпечаток-отмычку для большинства систем. Просто, как вариант, какие вообще риски могут быть. Мы не знаем, что может быть, потому что больших биометрических баз данных пока не утекало. Но когда у вас что-то хранится в одном месте, конечно, есть шанс, что это утечет.
Самое главное, риск начался с того, что в отличие от других данных — паспорта того же самого или паролей каких-то ваших, вообще любых ваших данных, фактически все вы их можете поменять, а вот биометрические персональные данные сменить невозможно. Вы не можете изменить лицо в пределах разумного, вы не можете изменить свой голос, нельзя изменить отпечатки пальцев. Это может быть достаточно серьезной проблемой.
ИА Красная Весна: Достаточно крупные утечки персональных данных происходят чуть ли не каждый год. С утечками баз данных биометрии можно ожидать того же самого?
— Конечно, хотелось бы надеяться, что к биометрическим персональным данным предъявят более серьезные требования для их сохранности и больше будут думать о кибербезопасности. Но конечно да. А в чем разница? База данных есть база данных, в ней что-то хранится. Эту базу данных кто-то ворует, сливает или что-то похожее. В смысле действий, которые совершает хакер, — это в общем очень похожий инструментарий.
Я кстати вас поправлю: утечки персональных данных происходят не чуть ли каждый год, а по много раз каждый год эти утечки происходят. Их реально очень много. И естественно, очень много утекает данных именно из государственных баз данных. Например, московская система распознавания лиц. Журналисты проводили расследование и без всяких проблем покупали к ней доступ на теневых форумах. Конечно да, это проблема, с которой страшно столкнуться.
ИА Красная Весна: Какие проблемы могут возникнуть для самих аэропортов в связи с внедрением биометрии? Может ли биометрия в будущем целиком заменить традиционные средства проверки личности?
— Один из основных идентификаторов — это человеческое лицо, которое планируется использовать в аэропортах. Надо, во-первых, отметить, что лицо — плохой идентификатор. Мы с вами знаем, что у людей рождаются однояйцевые близнецы. И эти люди внешне не отличаются друг от друга. У них одинаковое лицо. Соответственно, для них это не подходит. По-моему, около 7 человек на 1000 рождается близнецов сейчас. А с ними как быть, мне интересно?
А еще есть много интересных проектов. Я как человек, интересующийся системами распознавания лиц, активно слежу за этим и знаю множество сообществ по всему миру, где люди ищут своих двойников. Знаете эту идею, такая теория заговора, что у тебя где-то есть обязательно двойник. Люди ищут двойников и находят. Когда вы следите за этим, вы видите: вот эти люди не родственники, они живут в разных странах, в разных городах и они до пугающего похожи.
Соответственно это проблема, с которой обязательно столкнемся на больших объемах. Когда вы ставите биометрию в офис, у вас работает пять человек и ни одного близнеца, вам сложно с этой проблемой столкнуться. А когда у вас сотни миллионов будут проходить, то даже 7 человек из 1000 создадут проблему. А есть разъединенные близнецы в детстве, есть люди, которые не знают о том, что у них есть близнецы. Да, их мало, но на больших цифрах это много людей и это проблема. Это проблема, которая будет подвешивать эту систему, и эту проблему должен будет кто-то решать. Поэтому лицо как идентификатор для меня вообще достаточно странная идея, когда речь идет о каких-то больших цифрах. Совершенно точно проблемы будут.