Биометрия все активнее используется в повседневной жизни — для входа в банковские сервисы, получения онлайн-услуг и подтверждения личности. Вместе с этим у пользователей возникают вопросы о безопасности технологии. О том, как на практике работает биометрическая идентификация и стоит ли бояться взлома, — в материале NEWS.ru.
В чем пользователи видят главные уязвимости биометрии
Как рассказал NEWS.ru директор по внешним коммуникациям Центра биометрических технологий Михаил Берггрен, в Сети чаще всего обсуждают четыре группы сценариев обмана. К ним он отнес статичные подделки (например, распечатанные фото или видео с экрана), объемные подделки (бумажные, латексные или силиконовые маски, грим), синтетические подделки (дипфейки, голосовые клоны, нейросетевое «оживление» фото).
«Четвертая группа — самая „человеческая“: социальная инженерия, когда мошенники не пытаются обмануть алгоритм, а заставляют самого пользователя пройти биометрическую сверку под предлогом „защиты денег“ или „подтверждения личности“», — пояснил специалист.
Можно ли пройти проверку с помощью фотографии или записи
Сценарий с фотографией или заранее записанным видео выглядит простым только в теории. На практике проверка не сводится к сравнению лица с изображением, система должна убедиться, что перед камерой реальный человек, указал Берггрен.
По его словам, для этого используется технология определения «живости» (liveness detection), которая в банковской и государственной биометрии в России стала отраслевым стандартом: «Алгоритм анализирует десятки независимых признаков: трехмерную структуру лица и микропараллакс при малейшем движении камеры, характерные блики на коже и зрачках, так называемые муаровые узоры, которые возникают при пересъемке экрана. Также в фокус внимания попадает естественная текстура кожи и пор, микродвижения мышц лица, согласованность освещения с фоном».
Дополнительную защиту создает динамический сценарий проверки: пользователю может потребоваться выполнить действие в моменте, например, посмотреть в камеру или произнести цифры с экрана. Поэтому повторить это заранее записанным видео или чужой фотографией невозможно, отметил Берггрен.
А что насчет масок, грима и изменений внешности
Объемные маски и грим — самая сложная категория атак, и именно поэтому она тестируется особенно жестко, рассказал Берггрен. По его словам, для современных алгоритмов даже силиконовая маска ручной работы не является непреодолимым препятствием.
«Скорее, наоборот: если внешний вид человека мешает корректной проверке, система может не подтвердить идентификацию. На результат могут повлиять головной убор, маска, волосы, закрывающие лицо, некоторые виды контактных линз, чрезмерный макияж или слишком активная мимика», — подчеркнул специалист. По его словам, в таких случаях пользователю обычно достаточно привести условия проверки в порядок: убрать волосы от лица, снять головной убор, обеспечить нормальное освещение и повторить попытку.
Как биометрическая система реагирует на смену имиджа
Современные алгоритмы распознавания лиц рассчитаны на то, что внешность человека может меняться. Новая прическа, макияж, очки, борода, легкий поворот головы, изменение освещения, небольшой набор либо потеря веса сами по себе не должны мешать прохождению проверки.
При этом существенные изменения внешности могут повлиять на результат. Например, если человек сдавал биометрию гладко выбритым, а затем отрастил длинную бороду, перенес пластическую операцию или сильно изменился с возрастом, система может не подтвердить идентификацию с первого раза.
«В таких случаях это не считается ошибкой или поломкой: система, скорее, попросит пользователя обновить биометрию, чем рискнет ошибочно распознать другого человека. Для этого предусмотрен срок действия данных: упрощенная и стандартная биометрия хранится около двух-трех лет, подтвержденная — до пяти лет, после чего данные автоматически удаляются. Обновить биометрию можно в приложении, банке или МФЦ», — рассказал Берггрен.
Насколько реалистичен «взлом» биометрии
Популярные сценарии «кражи лица» или обхода биометрической проверки на практике крайне маловероятны, поскольку современные системы используют сразу несколько уровней защиты, утверждает эксперт.
«Чтобы в реальности обойти сверку, злоумышленнику нужно одновременно обойти liveness-контроль, антидипфейк-логику, получить контроль над устройством с подтвержденной учетной записью ЕСИА и пройти динамический код голосом конкретного человека в режиме реального времени. Совокупная стоимость такой атаки делает ее экономически бессмысленной по сравнению с другими сценариями мошенничества», — пояснил Берггрен.
По данным МВД, в России на сегодняшний день не зафиксировано ни одного случая мошенничества по платежным операциям с использованием биометрии.
Может ли биометрия ошибаться
Ошибки и отказы реальному пользователю возможны, но чаще всего они связаны не с уязвимостью системы, а с условиями прохождения проверки. Среди распространенных причин — плохое освещение, загрязненная или поцарапанная фронтальная камера, низкое качество видеопотока или контровый свет (когда основной источник света находится позади объекта съемки и направлен в сторону камеры. — NEWS.ru).
По данным оператора ГИС ЕБС, вероятность ошибки при идентификации составляет один случай на 10 млн. Это значительно строже требований, которые обычно применяются к коммерческим биометрическим системам.
В большинстве случаев для успешного прохождения проверки достаточно посмотреть прямо во фронтальную камеру, обеспечить равномерное освещение лица, убрать волосы, закрывающие лицо, и убедиться, что в кадре нет других людей, указал Берггрен.
Чего действительно стоит опасаться пользователям
Основной риск сегодня связан не с технологическим взломом биометрии, а с социальной инженерией, утверждает Берггрен. Мошенники чаще пытаются не «украсть лицо» или «подделать голос», а психологически воздействовать на человека — например, представляются сотрудниками банка, правоохранительных органов или «Госуслуг» и убеждают его самостоятельно совершить нужные действия.
В Центре биометрических технологий подчеркивают, что сама биометрия в подобных ситуациях может работать как дополнительный уровень защиты: необходимость посмотреть в камеру и произнести цифры с экрана помогает человеку остановиться и выйти из-под давления мошенников.
Именно поэтому с 1 марта 2026 года онлайн-микрозаймы в МФК выдаются только с биометрической идентификацией. Для МКК такая норма начнет действовать с 1 марта 2027 года.
Что еще важно помнить о биометрии
Рекомендуется периодически проверять раздел «Биометрия» на портале «Госуслуги»: там можно увидеть, зарегистрирована ли биометрия и какие согласия выданы различным организациям, рассказали в Центре биометрических технологий.
«Также важно не показывать лицо в камеру и не произносить цифры или коды по просьбе незнакомцев по телефону или в мессенджерах. Настоящая биометрическая проверка проводится только в официальном приложении банка или госсервиса и только по инициативе самого пользователя», — напомнил Берггрен.
Можно ли отказаться от сдачи биометрии
На сегодняшний день основная правовая коллизия, связанная с использованием биометрии, — это параллельное существование двух федеральных законов, равнозначных в иерархии нормативных актов: закона о персональных данных и более свежего, который сокращенно называют законом об идентификации с использованием биометрии. Как рассказал NEWS.ru президент Первой цифровой коллегии адвокатов Санкт-Петербурга Дмитрий Якубовский, суть в том, что закон о персональных данных, куда входят и биометрические данные, граждане хорошо изучили и разобрались.
«Согласно этому закону биометрия — ваша персональная история, вы имеете право давать или быть категорически против новых технологий. Однако новый федеральный закон подразумевает, что есть такие сферы, где ваше согласие или отказ от использования биометрии ничего не значит, и вы можете подпадать под юридические последствия вне зависимости от своего согласия», — указал Якубовский.
Например, это видеокамеры на улицах с системой идентификации и поиска лиц, первоначально внедренной в Москве, а теперь и в регионах. Эксперт пояснил, что все правоохранительные, миграционные и оборонные системы имеют право использовать биометрию без согласия граждан, и обжаловать это невозможно.
Таким образом, по его словам, мы упираемся в законность использования биометрических данных.
«С одной стороны, использование биометрических данных без согласия граждан позволяет вышеупомянутым системам разыскивать пропавших людей, помогать в поиске потерявшихся детей, быстро устанавливать местонахождение преступников, с другой — как и любые системы, они могут давать спорные результаты. Соответственно, базировать обвинение, полагаясь только на биометрические данные, нельзя», — пояснил он
Якубовский рассказал, что недавно в одном из районных судов Москвы рассматривалось дело: гражданина обвиняли в преступлении, совершенном 20 лет назад. Поводом для привлечения к ответственности послужило срабатывание системы распознавания лиц — она идентифицировала человека как разыскиваемого за то самое преступление. По словам собеседника NEWS.ru, дело дошло до суда, где в качестве свидетелей защиты выступили многочисленные коллеги обвиняемого, геолога по профессии. Они утверждали, что в момент совершения преступления он находился в геологической экспедиции.
Читайте также:
Названы главные способы телефонного мошенничества: как защититься?
Мошенники научились воровать деньги без всяких звонков: как защититься
Приставы, Zoom и соседи: три новые схемы обмана — как защититься
