- Статьи, обзоры, аналитика

Раздел: КОНТРОЛЬ ДОСТУПА
Тема: СКУД (системы контроля и управления доступом)
Автор: Александр ГОРШКОВ, CBO компании Iris Devices

Игра на понижение

В 2015 году на экраны вышел фильм Адама Маккея «Игра на понижение» ¹. Сюжет картины посвящён событиям ипотечного финансового кризиса в США 2007 – 2008 годов. Несколько финансовых аналитиков и сотрудников хеджфондов на Уолл-стрит смогли предсказать развитие событий кризиса и сыграли на понижение курса ипотечных облигаций. Фильм раскрывает лживые гарантии американских страховых компаний и оценки рейтинговых агентств. Никто из руководителей, вложивших огромные корпоративные бюджеты в рост ипотечного рынка, не может признаться в своей ошибке и доверенные ему в управление денежные средства придётся списать как убытки.

Похожая ситуация складывается с биометрией. Развёрнутый вокруг лицевой биометрии хайп необходим для оправдания вложенных в эти разработки средств. Для прикрытия своих ошибок или иных целей ответственные руководители вынуждены искать возможность применения поддержанных ими биометрических разработок в совсем не предназначенных для этого решениях. Они не только игнорируют альтернативные продукты с другими биометрическими модальностями, но и часто препятствуют появлению и развитию новых продуктовых решений. Как и в фильме «Игра на понижение», основные игроки рынка продолжают делать ставку на рост поддерживаемых чиновниками биометрических разработок.

Другой крайностью отношения к биометрическим решениям является полный отказ от их использования, даже в тех случаях, когда требуется реализовать надёжную защиту. В этой статье рассматривается текущая ситуация вокруг использования биометрии для защиты финансовых операций и надёжной идентификации пользователей в реальных условиях.

Несколько международных производителей систем распознавания лиц указывают на ограничение ценности самой известной в мире системы тестирования точности биометрии по лицу – NIST FRVT². Компания Oosto³ утверждает, что практические проблемы, связанные с видеонаблюдением, совсем не похожи на то, что тестирует NIST. Компания FaceTec⁴ констатирует, что NIST опирается на устаревший стандарт и исключает 3D-технологии в тестах на обнаружение презентационных атак⁵.

Что это означает для мирового рынка биометрических технологий?

Программный менеджер ПРООН⁶ по юридическому удостоверению личности Найл Макканн (Niall McCann) считает, что распознавание лиц может уйти в прошлое. Распознавание лиц возможно осуществлять без согласия или ведома субъекта, в отличие от биометрии по отпечатку пальца, поэтому оно, вероятно, будет в ближайшие годы ограничено ООН для идентификации личности⁷.

«Вы не знаете, когда система камер видеонаблюдения, расположенная на углах улиц, идентифицирует вас с помощью средств распознавания лиц, – объясняет Макканн.

– И, хотя это может быть уместно в сфере государственной безопасности, государственных разведывательных служб и подразделений по борьбе с терроризмом, это кажется абсолютно неуместным для регистрации населения».

Обман систем биометрической идентификации по лицу ставится на поток. Так, в этом году на хакерской конференции DEF CON в Лас-Вегасе было объявлено о конкурсе, в котором команды соревнуются между собой, пытаясь обмануть системы распознавания лиц. Участникам соревнования был предоставлен онлайн-доступ к десяти наборам фотографий знаменитостей и уже обученные модели распознавания лиц. Соревнующимся требовалось внести незаметные изменения в исходные изображения и обмануть системы биометрической идентификации по лицу таким образом, чтобы можно было каждую знаменитость последовательно идентифицировать как каждую другую знаменитость из представленного набора⁸.

Технический директор Adversa Юджин Нилоу (Eugene Neelou) критически оценил предлагаемые решения биометрической идентификации по лицу: «Наши исследования показывают, что некоторые из лучших производителей систем распознавания лиц демонстрируют практически полное отсутствие защиты от неблагоприятных модификаций входных данных» ⁹. Конечно, организаторы конкурса беспокоятся о возможном криминальном использовании разработанных алгоритмов и заявляют, что алгоритм победителя в обмане лицевой биометрии будет размещён на общедоступном ресурсе.
Но возникают три вопроса:
1. Что будет с алгоритмами, занявшими 2-е, 3-е и другие места в конкурсе?
2. Не продолжат ли участники совершенствовать свои разработки после завершения конкурса?
3. Что будет сделано, чтобы этими наработками не смогли воспользоваться мошенники?

Естественно, в свете происходящего в ближайшее время следует ожидать мощную атаку на лицевую биометрию.

Ситуация с идентификацией личности на криптовалютном рынке

Проблемы точной идентификации личности возникают не только в системах видеонаблюдения, но и, что не менее важно, при операциях с криптовалютами. Анонимность, которая в настоящее время существует на криптовалютном рынке, способствует созданию среды, в которой изобилуют мошенники.

Одним из особо коварных источников опасности является атака на базовые механизмы криптовалютных блокчейн- алгоритмов. Для непосвящённого пользователя блокчейн – это общая неизменяемая «бухгалтерская книга», которая позволяет регистрировать транзакции и отслеживать активы с помощью криптографии. Каждый блок информации в блокчейн связан с предыдущим информационным блоком и содержит неизменяемые метку о времени и данные о транзакции.

Технология блокчейн разрабатывалась для предотвращения манипуляций с содержимым цепочек различной информации, чтобы сохранить целостность транзакций.

Проблема этой технологии заключается в том, что если информация, первоначально вставленная в цепочку операций, не является истинной или законной, то последующие транзакции в цепочке просто закрепляют ложные данные.

Именно на этом концентрируют своё внимание изощрённые мошенники.

Например, использование украденных учётных данных традиционного банка или кредитной карты для подключения счёта жертвы к своему криптовалютному счёту, а затем несанкционированный перевод с него денежных средств жертвы. Это называется захватом счёта. Дэвид Бриттон (David Britton), вице-президент по стратегии подразделения Identity & Fraud компании Experian, сформулировал основные способы атак мошенников¹⁰:
• Создание поддельного счёта для отмывания денег – в этом случае мошенники контролируют как исходный счёт, так и криптовалютные счета.
• Использование преимуществ криптовалютных бирж для атак уязвимого или плохо продуманного кода, чтобы выкачивать средства при их переводе между различными криптовалютными кошельками.
• Осуществление базовых атак, в ходе которых мошенники крадут учётные данные криптокошельков, а затем выкачивают средства.

Для оптимальной защиты пользователей криптовалют требуется несколько интегрированных линий защиты, которые работают вместе. К счастью, подобные технологии многоуровневой защиты уже сегодня существуют на традиционных рынках финансовых услуг и электронной коммерции.

Поскольку биометрические данные неизменны, то они более ценны по сравнению с персональными данными типа паспорта, ИНН или телефонного номера. В то время как сведения о документах гражданина или других его данных устаревают, рисунок радужной оболочки глаза или отпечатки пальцев остаются практически неизменными на протяжении всей жизни. Компания IriTech и южнокорейская фирма Institute of Blockchain Technology (IBCT) ¹¹, специализирующаяся на децентрализованных платформах обработки данных с применением блокчейна, создали совместное предприятие по разработке и производству автономного устройства для хранения данных, которое они называют «most secured system in blockchain/metaverse application»12. Компания IriTech разрабатывает сканеры радужной оболочки глаза и интегрирует их с аппаратным кошельком IriKey. Решение IriKey обещает решить проблему восстановления ключей и управления ими в настройках блокчейна.

Разрабатываемое решение использует биометрию по радужной оболочке глаза и обеспечивает наличие только одного кошелька для пользователя. Биометрические данные никуда не отправляются и не хранятся третьей стороной, технология не хранит секретные ключи, поэтому система обеспечивает надёжную идентификацию и при этом удовлетворяет условиям GDPR для управления личной информацией.

Там, где анонимность позволяет человеку иметь несколько кошельков, новый подход ограничивает пользователя только одним, что имеет преимущества для eKYC и AML.

Генеральный директор IriTech Дэхун Ким (Daehoon Kim) утверждает, что использование распознавания радужной оболочки глаза «имеет огромные возможности для применения в Blockchain/Metaverse, таких как финансы, цифровые активы (включая NFT13 и CBDC14), а также обмен важными данными, где идентификация, безопасность и целостность данных имеют важное значение».

VR & AR и биометрическая идентификация

Помимо разблокировки электронного кошелька, технология на основе идентификации по радужной оболочке глаза подходит для случаев, когда устройства рассчитаны на восприятие изображения, например, в дополненной виртуальной и смешанной реальности. Использовать в них идентификацию по отпечатку пальца не очень удобно и требует отвлечения пользователей от участия в событиях виртуальной реальности, а использование идентификации по лицу для VR решений просто невозможно.

Гарнитуры виртуальной и дополнительной реальности, которые становятся всё более популярны, будут полагаться на отслеживание взгляда, которое невозможно без внешних камер. IriTech утверждает, что их система распознавания радужной оболочки глаза может быть установлена на те же камеры, которые используются для отслеживания движения глаз. IriKey может быть внешне подключён к мобильному устройству, аппаратному кошельку или установлен на устройство в виде приложения. Ожидается, что самый надёжный на данный момент метод распознавания витальности15, реализованный в решениях идентификации личности по радужной оболочке глаз, будет способствовать распространению данной технологии.

____________________________________________________________________________________________________________________________________________________ ¹ https://ru.wikipedia.org/wiki/Игра_на_понижение_(фильм)
² https://www.nist.gov/programs-projects/face-recognition-vendor-test-frvt-ongoing
³ https://oosto.com/
⁴ https://www.facetec.com/
⁵ https://www.biometricupdate.com/202207/biometrics-providers-face-upto-misconceptions-reputational-harms-and-transparency-barriers
⁶ https://ru.wikipedia.org/wiki/Программа_развития_ООН
⁷ https://www.biometricupdate.com/202208/role-of-biometrics-in-legal-identity-still-evolving-undp-expert-warns-against-using-face
⁸ https://www.biometricupdate.com/202209/def-con-contest-pits-hackers-against-facial-recognition-systems
⁹ https://spectrum.ieee.org/facial-recognition
¹⁰ https://www.biometricupdate.com/202207/biometric-technology-playsincreasing-role-in-fraud-prevention-for-crypto-and-decentralized-finance
¹¹ https://www.ibct.io/
¹² https://www.biometricupdate.com/202207/korean-firms-integrate-irisbiometrics-didh-for-most-secured-data-system-for-blockchain-metaverse
¹³ https://ru.wikipedia.org/wiki/NFT
¹⁴ https://ru.wikipedia.org/wiki/Цифровая_валюта_центрального_банка
¹⁵ https://deepfakechallenge.com/liveness

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 0 (голосов: 0)
Ваша оценка:

Подписка на новости