В этом году появлялось много информационных сообщений о законе по биометрии 572-ФЗ
и об оплате по биометрии. Надо отметить, что закон в спешке принимался в конце 2022 года,
а оплату по биометрии лица продвигали разработчики биометрических решений. В этой статье обсудим риски, к чему мы можем прийти, если не учтём важные нюансы, и как избежать
негатива.
Начнём обзор с оплаты по биометрии, которая внедрялась по частной
инициативе задолго до принятия 572-ФЗ. Учитывая, что пользователей
такого способа оплаты было мало, то сбоев и ошибок тоже особенно не
наблюдалось. Разработчики и журналисты расписывали преимущества
такого нововведения, стараясь популяризовать это решение.
Через некоторое время было решено реализовать амбициозный проект –
оплата проезда на всех станциях московского метрополитена по биометрии
лица. Это поистине решение наивысшего мирового уровня, как в технологическом, так и в организационном плане. Сервис стал доступен два года
назад. На данный момент москвичи воспользовались этим сервисом уже
более 80 миллионов раз. В среднем в будний день с помощью такого способа совершается около 140 тысяч поездок1. Согласитесь, цифры внушают
уверенность и уважение. Так как стоимость проезда не запредельна для
банка в случае возникновения ошибки, негативных отзывов мы особо и не
наблюдаем. Но они были! Как минимум, при оплате в магазинах, где установлено это же решение. Петербуржец Алексей случайно нажал на терминале
самообслуживания оплатить улыбкой, и такая оплата прошла. Но незадача в
том, что он не подключал такой услуги, а это не просто нажать одну кнопку,
надо выполнить целый ряд действий. Но такую оплату подключил его брат
Александр, который живет в Анапе. И деньги за покупку Алексея списались
с «братской» карты2. В аналогичные ситуации попадают и совершенно незнакомые люди. Именно поэтому многие любители оплачивать по улыбке не
держат на карте деньги, а зачисляют их туда только перед моментом оплаты.
Удобно это? Скорее нет, но таким сервисом пользуются, так как для него
предоставляются дополнительные льготы. Например, оплата проезда в метро
по биометрии на 20% дешевле с привязанной в этому сервису
платежной картой МИР3. Аналитик Mobile Research Group
Эльдар Муртазин считает, что «украсть лицо человека, чтобы
сэкономить 50 рублей на поездке» не имеет практического
смысла4. Мы с этим согласны, но покупки в магазинах – это
уже не 50 рублей (максимальная зарегестрированная сумма – 200 тысяч рублей), и, как видим, не надо ничего красть, в
системе оплаты по биометрии лица ошибки возможны и
периодически возникают. Согласно последнему прогнозу
Goode Intelligence, в 2029 году будет использоваться 4,9
миллиарда цифровых удостоверений личности, почти треть
из них будет храниться в кошельках цифровых удостоверений5. Отмечается возобновление роста инвестиций в оплату
по биометрии6 и в первую очередь, в повышение точности
идентификации по лицу и уменьшение ошибок данных алгоритмов, связанных с сильной национальной, возрастной
и гендерной предвзятостью. При этом, например, у метода
биометрической идентификации по радужной оболочке глаз
данных предвзятостей не зафиксировано, но в нашей стране
этот метод идентификации для осуществления оплаты пока не
получил должного распространения. Ошибки идентификации
по лицу характерны не только для отечественных алгоритмов.
Недавно на сайте BBC была опубликована статья, в которой
говорится, что в Израиле в одном из попавших на видеозапись
террористов система по биометрическому распознаванию
лиц ошибочно опознала палестинского полицейского7. В случае оплаты защититься от таких ошибок можно несколькими
способами, например, подтвердить оплату дополнительным
вводом ПИН-кода или использовать второй биометрический
фактор. А как быть в случае идентификации нарушителя?
Тем более на улице и в режиме реального времени?
Для повышения точности идентификации по лицу можно
дорабатывать алгоритмы и увеличивать обучающие базы,
но тут мы сталкивается с другой проблемой: 572-ФЗ запрещает собирать биометрические данные, минуя ЕБС (Единая
Биометрическая Система). Ожидалось, что появление так
называемых дипфейк алгоритмов, которые позволяют генерировать несуществующие лица, поможет в создании баз
изображений лиц для обучения нейросетевых алгоритмов8
без нарушения законодательства. Однако, кто сказал, что
это решит задачу повышения точности биометрической
идентификации? Напомним, что ещё в 2018 году на конкурсе, организованном отечественной компанией VisionLabs9,
сразу несколько компаний смогли внести в реальную фотографию некоторые, незаметные обычному глазу, артефакты,
в результате чего изображённая на фотографии женщина
воспринималась биометрической системой как мужчина. Кто
может гарантировать, что в искусственно созданных изображениях лица не присутствуют какие-то артефакты, которые
в тестах повысят точность идентификации нейросетевыми
алгоритмами. А такие артефакты имеются, и исследователи
из Ростова-на-Дону их используют для выявления дипфейк
изображений10. Обученные на таких изображениях нейросетевые алгоритмы в реальных условиях могут показать
более низкие результаты. И следующий шаг по улучшению
генерации изображений лица только усложнит его отличие
от реального, что приведёт к увеличению числа ошибок и,
как следствие, случаев мошенничества с использованием
такой биометрии. Китайское правительство уже озаботилось
вопросом регулирования – какие биометрические данные
можно использовать для обучения генеративных алгоритмов
искусственного интеллекта11.
Каждый разработчик самостоятельно решает, использовать или нет искусственно сгенерированные изображения
для обучения и тестирования своих алгоритмов, а мы
рассмотрим другие способы повышения точности идентификации. Обычно оплата или предоставление доступа
осуществляются по нескольким факторам посредством
идентификации и верификации. Например, идентификация
по номеру карты и верификация по ПИН-коду, или идентификация по логину и верификация по паролю. Как было
указано выше, можно использовать биометрию лица как
идентификатор и ПИН-код для верификации. Это будет
надёжно, но потребуется немного больше времени на процесс, и такой
способ будет менее удобен пользователю. Можно использовать два
биометрических фактора, например, лицо и отпечаток пальца. Но вот незадача: искусственно генерировать стали и отпечатки пальцев. Более того,
смогли создать мастер-отпечаток пальца, который позволяет подтвердить
личность сразу нескольких людей12.
Для решения задачи повышения точности и надёжности идентификации
по лицу можно использовать второй фактор – радужную оболочку глаз.
Пользователь совершает одно действие – взгляд в камеру, что удобнее
и не приводит к увеличению времени выполнением дополнительного
действия. При этом данный вид идентификации является бесконтактным
и не способствует распространению различных заболеваний. Биометрические данные радужной оболочки глаз значительно сложнее украсть из
социальных сетей по сравнению с биометрией лица или голоса, а значит
это и безопасней, а подделать рисунок радужки значительно сложнее и
дороже. Из-за ещё недавно высокой стоимости такого метода идентификации мошенники не создавали его подделки, а некогда сложные алгоритмы идентификации по радужной оболочке глаз теперь могут работать
на обычных смартфонах. Значит, и применять такой мультимодальный
метод идентификации можно не только для online и offline оплаты, но и
для мобильной идентификации личности нарушителя сотрудниками полиции. Надо отметить, что международные требования ИКАО к проездным
документам, содержащим биометрическую информацию, допускают
использование биометрии лица и радужной оболочки глаз. Соблюдение
стандартов является залогом надёжной биометрической идентификации.
Понимая это, германские законодатели ставят задачу, чтобы к 2025 году
идентификационные документы соответствовали биометрическим стандартам ИКАО13. При этом идентификация по радужке уже используется
на пограничном контроле в ряде стран. В нашей стране также приступили
к тестированию мультимодальной биометрии по радужной оболочке глаз
и лицу. Результаты показывают, что такая синергия позволяет надёжно
различать даже близнецов. Осталось только законодательно разрешить
использование биометрии радужной оболочки глаз, и можно будет приступать к внедрению этого решения.
Выбирая только один вариант решения задачи, можно зайти в тупик.
А стоимость и сложность исправления ошибок, допущенных на начальных стадиях любого проекта, многократно возрастают по мере их более
позднего обнаружения. Китайская мудрость гласит: «Посеешь ветер –
пожнёшь ураган». Нельзя допустить, чтобы возник шквал ошибочных
платежей или сервис оплаты по биометрии постигла учесть ЕБС, когда
этим сервисом, несмотря на огромные вложения, пользуется менее 1%
населения. Также нельзя допустить возможность незаконным мигрантам
или депортированным за правонарушения лицам вернуться в нашу страну
по поддельным или просто новым документам, когда изменяют пару букв
в имени и фамилии и это уже «другой» человек. При этом система идентификации по лицам из-за наличия предвзятости алгоритмов для разных
этнических групп не позволяет преградить незаконное проникновение
таких нарушителей.
______________________________________________________________________________________________________________________________________
11 https://www.mos.ru/news/item/130922073/
2 https://www.fontanka.ru/2023/09/06/72677231/
3https://www.m24.ru/news/transport/01092023/613805
4 https://www.rbc.ru/rbcfreenews/65291b059a7947210d253fe4
5 https://www.biometricupdate.com/202310/biometrics-convergence-with-digital-identity-wallets-sparks-resurgence-of-investment
6 https://www.biometricupdate.com/202310/biometrics-convergence-with-digital-identity-wallets-sparks-resurgence-of-investment
7 https://www.biometricupdate.com/202310/bbc-uses-facial-recognition-to-identify-terrorist-as-police-officer
8 https://www.biometricupdate.com/202310/texas-university-launching-large-synthetic-face-biometrics-training-dataset
9https://rb.ru/news/visionlabs-konkurs/
10https://www.biometricupdate.com/202310/digital-identity-wallets-to-reach-1-5b-by-2029-goode-intelligence-report
11https://www.biometricupdate.com/202310/chinese-govt-limits-what-biometrics-and-data-can-be-used-to-train-generative-ai
12 https://d-russia.ru/eksperty-obmanuli-biometricheskie-sistemy-identifikatsii-s-pomoshhyu-falshivyh-otpechatkov-paltsev.html
13 https://www.biometricupdate.com/202310/germany-introducing-biometric-photo-standard-requirement-for-id-documents•
|