- Введение
- «зачем тебе это?…»
- Вопрос 1. в каких сценариях биометрическая идентификация наиболее эффективна?
- Вопрос 7. какие методы биометрической идентификации сегодня наиболее распространены?
- Вопрос 8. наиболее перспективные методы биометрической идентификации
- Минцифры разработало законопроект о порядке аккредитации коммерческих биометрических систем
- Мнения экспертов
- Выводы
Введение
В последние пару лет в России тема биометрической идентификации граждан находится в фокусе общественного и политического внимания. Это связано главным образом с развитием Единой биометрической системы, для нормативно-правового обеспечения которой был принят Федеральный закон от 31 декабря 2021 г.
№ 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». В частности, Центробанк уже довольно давно прилагает усилия к тому, чтобы стимулировать банки к применению таких систем удостоверения личности. Банки стараются: например, Сбербанк разворачивал в Москве пилотную зону с банкоматами, способными опознавать клиента по лицу.
Однако совсем недавно мы видели, как ФСБ предъявила банкам требования к защите биометрических данных, которые выглядят непосильными. Контрразведка обоснованно считает, что подобные материалы должны охраняться максимально надежно, и хочет увидеть меры, аналогичные обеспечению безопасности сведений, составляющих государственную тайну.
В связи с этим логично задаться вопросами о том, как регулируется применение биометрии в России, что необходимо знать пользователю и предприятию, в каких областях сейчас актуальна биометрическая аутентификация и т. д. Мы решили составить обзор, охватывающий основные отправные точки для знакомства с особенностями национальной биометрии.
«зачем тебе это?…»
Эксперты, с которыми мы обсуждали наш обзор практики применения биометрии в России, выражали беспокойство или опасения по поводу ЕБС и активности вокруг нее. Главный вопрос, возникающий в связи с актуальными событиями и тенденциями в этой области, сводится к тому, с какой стати ЦБ вдруг взялся всеми мыслимыми способами заставлять банки пользоваться биометрической идентификацией.
Если немного упростить суть таких сомнений, то получится следующее: величина усилий не соответствует потенциальной выгоде. На первый взгляд не просматриваются никакие явно положительные сценарии, благодаря которым банковский сектор крупно выиграл бы от введения клиентской биометрии, в то время как негативные последствия (риски компрометации данных, рост нагрузки на финансовые организации, которые будут вынуждены обеспечивать этой информации крайне высокий уровень защиты и т. п.) видны невооруженным глазом.
Мы уже упоминали выше, что создание базы биометрических данных в федеральном масштабе может привести к весьма нежелательным осложнениям.
Во-первых, на любую ценную информацию есть покупатель, а следовательно, и продавец. В отечественных реалиях это иногда приобретает особо печальные формы, когда свежую выписку из Роспаспорта на любого гражданина можно (по некоторым данным) приобрести у анонимных продавцов в интернете за сумму, не превышающую тысячи рублей.
Во-вторых, соотношение FAR/FRR для лица и голоса при достаточно большом количестве субъектов может приводить к ложной идентификации. Клиенты банков, вероятнее всего, не учитывают эту угрозу, однако ее стоит иметь в виду. Об инцидентах, насколько нам известно, пока не сообщалось, но нельзя исключать, что однажды гражданин А получит доступ к счетам гражданина Б (и не устоит перед искушением взять небольшой кредит).
В-третьих, государство может получить возможность отслеживать всех и каждого благодаря неотъемлемым биометрическим идентификаторам. Этот вариант безобиден, пока используется по назначению, однако если внутренняя политика изменится, то станут возможны разнообразные злоупотребления.
Возвращаясь к вопросу о том, зачем все это понадобилось Центробанку, мы вряд ли сильно ошибемся, если скажем, что он действует по просьбе российских властей, которые таким образом тестируют возможности применения биометрии в государственном масштабе.
Банковский сектор, соответственно, выступает в роли испытательного полигона для пилотного проекта по охвату граждан биометрической идентификацией. В том случае, если все пройдет успешно, по итогам тестирования будут приниматься новые решения — например, условное слияние ЕСИА с ЕБС и разные прочие входы на «Госуслуги» по голосу и лицу.
Вопрос 1. в каких сценариях биометрическая идентификация наиболее эффективна?
Основным ответом на этот вопрос был выбран контроль доступа (рис. 1). Если посмотреть детально, то это идентификация и управление доступом на проходной (доступ на объект), контроль доступа в отдельные важные зоны объекта и управление доступом на массовые мероприятия, в сумме эти три позиции с большим отрывом составляют почти 134%.
-1.png?width=696&name=01 (2)-1.png)
Рис. 1. В каких сценариях биометрическая идентификация наиболее эффективна?
Графики здесь и далее построены на основе результатов опроса, проведенного редакцией журнала “Системы безопасности”, и отражают мнение аудитории издания.
Учет рабочего времени тесно связан с контролем доступа, но выделен в отдельный пункт и набрал 30,7%. Не сильно отстает по эффективности, по мнению респондентов, и идентификация в банковском секторе – 29,7%. При этом оплате покупок и услугам отдали предпочтение всего 7%.
В целом ответы респондентов достаточно точно отражают текущее состояние на биометрическом рынке. В секторе СКУД давно определились крепкие игроки, и биометрические решения хорошо зарекомендовали себя в этом сегменте. В случае свободного доступа и скользящего графика важным становится учет рабочего времени.
Биометрическая идентификация в финансовом секторе также закрепилась за Единой биометрической системой (ЕБС) и тройкой лидеров, а объемы внедрений в банках существенно уступают внедрению биометрии в ритейле и промышленности. Оставшиеся производители ищут свободные ниши в виде подтверждения оплаты по биометрии, но это еще формирующийся рынок, который сможет занять заметную долю биометрии только через 5–6 лет.
Из единичных ответов стоит выделить использование биометрии при обеспечении доступа к информационным ресурсам и при пересечении границы. Использование биометрии в этих направлениях становится в последнее время востребованным, и эти варианты ответов стоит включить в последующие опросы.
Вопрос 7. какие методы биометрической идентификации сегодня наиболее распространены?
Ответы на этот вопрос оказались предсказуемыми (рис. 3). В лидерах оказалась идентификация по лицу (81,2%), а на втором месте идентификация по отпечатку пальца (77,2%).
Рис. 3. Наиболее распространенные методы биометрической идентификации
В опросах, проводимых другими компаниями в зарубежных странах, результаты были противоположными. Неожиданным оказалось мнение, что на третье место по распространенности ставят идентификацию по радужной оболочке глаз (26,7%). Скорее, это соответствует ожидаемым приоритетам, сформулированным в ответах на второй вопрос – высокая точность и надежность идентификации.
Идентификация по голосу незначительно, на 2%, но уступает биометрии по рисунку вен. У идентификации по голосу существенно большие перспективы, ожидается, что этот метод скоро войдет в тройку наиболее распространенных способов биометрической идентификации.
>”>
Вопрос 8. наиболее перспективные методы биометрической идентификации
Большее число участников опроса считают наиболее перспективной биометрическую идентификацию по лицу (67,3%, рис. 4). Второе место было отдано мультимодальной биометрической идентификации (43,6%).
.png?width=695&name=04 (2).png)
Рис. 4. Наиболее перспективные методы биометрической идентификации
Биометрическая идентификация по лицу является безусловным лидером среди различных модальностей. В подавляющем большинстве решений мультимодальной идентификации одной из модальностей будет биометрия по лицу. Вторым удобным методом для мультимодальной идентификации будет идентификация по радужной оболочке глаз.
Ей отдали предпочтение 25,7% опрошенных. Перспективность идентификации по радужной оболочке глаз опережает идентификацию по ДНК, которую посчитали перспективной 24,8% респондентов. Не стоит забывать, что в требованиях ИКАО лицо и радужка определены как основной и дополнительный способ биометрической идентификации.
Примерно одинаково была оценена перспективность использования биометрической идентификации по отпечатку пальца, рисунку вен и голосу: 22,8%, 23,8% и 21,8%. Борьба между этими модальностями будет достаточно плотной, так как идентификация по отпечатку пальца также является дополнительными данными в ИКАО, сканируется при получении заграничных виз и по-прежнему широко применяется в криминалистике, а идентификация по голосу очень удобна для использования дома или в автомобиле.
Не было отдельного ответа, включающего поведенческую биометрическую идентификацию, но если сложить отданные предпочтения идентификации по рукописному и клавиатурному почерку, которые в сумме составили 5,8%, то это будет сопоставимо с идентификацией с термометрией лица (5,9%). Существенную долю голосов отдали идентификации по походке (10,9%).
Точное распределение приоритетов будет определено в следующие 2–3 года. Постоянно проводятся исследования в поисках новых методов идентификации, например по геометрии уха, смеху, кардиограмме или нёбу. Все эти методы могут найти свое место на рынке биометрических решений.
“Видеоаналитика для обеспечения безопасности спортсменов” читать >>>
Минцифры разработало законопроект о порядке аккредитации коммерческих биометрических систем
Минцифры РФ разработало законопроект, согласно которому коммерческие биометрические системы (КБС) смогут пройти аккредитацию на предоставление услуг идентификации с 1 января 2022 года, а оказывать такие услуги — с 1 сентября, соответствующий документ опубликован на портале проектов нормативных правовых актов.
Согласно документу, вступление в силу нормы, разрешающей организациям использовать биометрию для идентификации человека при выполнении соответствующих требований, переносится с 1 января 2022 года на 1 сентября 2022 года. Аккредитацию такие организации смогут проходить с начала года.
Как пояснили РИА Новости в пресс-службе Минцифры, проект закона определяет сроки прохождения аккредитации для коммерческих биометрических систем. Изменения необходимы, чтобы создать равные условия при функционировании всех этих систем.
«Предполагается, что с 1 января 2022 года все коммерческие биометрические системы смогут обратиться в Минцифры для получения аккредитации, а с 1 сентября 2022 года одновременно приступить к оказанию услуг, касающихся сбора, размещения, обработки биометрических персональных данных, а также контроля в сфере идентификации и аутентификации», — сообщили в пресс-службе.
В конце прошлого года президент РФ Владимир Путин подписал закон об использовании Единой биометрической системы (ЕБС) для удаленной идентификации при получении различных финансовых и госуслуг. Закон также позволяет осуществлять идентификацию с использованием КБС в случаях, установленных правительством по согласованию с Банком России. Аутентификация (идентификация) с использованием КБС возможна после аккредитации этих систем.
Мнения экспертов
Олег Тихонов
Директор Департамента ИСБ и автоматики компании “АРМО-Системы”
В целом подход к построению био-СКУД остается прежним: система создается в интересах пользователей, она должна обеспечить не только необходимый уровень контроля, но и быть достаточно удобной, чтобы не вызвать отторжения у пользователей. С другой стороны, мы наблюдаем смещение в сторону бесконтактной биометрической идентификации, например технология распознавания отпечатков пальцев замещается распознаванием пользователей по лицу.
Евгений Золотарев
Директор ООО “Делетрон”
Безусловно, архитектура СКУД, в том числе и биометрическая, с каждым годом подлежит оптимизации. Развитие технологий дало возможность производителям оборудования в корне поменять архитектуру СКУД. Например,стандартная модель архитектуры, которая подразумевает использование сервера для выполнения бизнес-логики системы контроля и учета доступа, на данный момент уже считается устаревшей.
Александр Дремин
Генеральный директор компании BIOSMART
мы действительно наблюдаем трансформацию подходов к созданию и инсталляции биометрических систем. Сегодня потребитель начинает понимать, какие параметры для СКУД наиболее важны, и предъявляет соответствующие требования вендору.Так, многие заказчики понимают, что ключевой фактор безопасности СКУД – качество программного обеспечения, поэтому, прежде чем приобрести систему, стремятся досконально выяснить, что за алгоритмы в ней использованы, какие программные средства антиспуфингавнедрены, как алгоритмы работают на масштабных базах данных и т.д.Второй момент, который волнует потребителей, – инсталляция биометрии на сложных распределенных объектах с различными периметрами безопасности и уровнями допуска персонала (таких, например, как завод с несколькими цехами, складами и служебными корпусами).
Важен и такой параметр, как простота интеграции биометрии в уже существующие корпоративные системы предприятия. часто заказчику важно, чтобы биометрическая СКУД могла использоваться вместе с RFID-картами. Обязательной постепенно становится интеграция с видеонаблюдением, которая дает возможность распознавать человека по лицу на всей территории объекта, а не только в точке прохода.На объектах с повышенными требованиями к безопасности (например, оборонных или правительственных комплексах) появляются двойные системы распознавания – бимодальные биометрические СКУД или СКУД с проходом по сценариям “биометрия цифровой код”, “биометрия QR-код” и т.д.В целом повысились требования к регистрации и хранению биометрических данных.Выбирая между надежностью и простотой процедуры регистрации, потребители отдают предпочтение надежности и отказываются от таких предложений, как, например, регистрация лица через мобильное приложение. много внимания уделяется и хранению зарегистрированной информации: потребителей интересует, насколько она защищена от хакерских атак и компрометации.
Александр Баранов
Руководитель развития направления СКД компании ITV Group
Построение биометрической СКУД на текущий момент не сильно отличается от построения систем контроля доступа, использующих традиционные карты. Хотя нюансы есть, например: будет ли биометрический признак использоваться в качестве единственного признака или нет, сколько биометрических шаблонов должно храниться в автономной памяти считывателя и т.д. Но говорить о некой трансформации подходов я бы не стал.
Вадим Борисов
Генеральный директор компании “ААМ Системз”
На ранних этапах развития отечественного рынка СКУД биометрия рассматривалась в основном как расширение существующих систем, строящихся на основе традиционных средств идентификации в виде RFID-считывателей. В настоящее время ситуация изменилась и можно констатировать появление широкого выбора систем, где биометрическая идентификация является основным типом, а RFID – дополнительным.
Второй важный момент: сейчас биометрические считыватели в основном объединены в одном корпусе с контроллером, что удобно для монтажа и обслуживания. Такая концентрация железа в одном устройстве часто приводила в тому, что пользователь в процессе выбора не задумывался о роли и влиянии программного обеспечения (ПО).
Любая СКУД – это прежде всего система, и ее программная составляющая имеет ключевое значение. Такие функции, как глобальный AntiPassBack, эвакуация при пожаре, построение отчетов, сложные реакции на события, работа с большими базами данных, как ранее, так и сейчас выполняются именно ПО.
Если современный биометрический считыватель/контроллер – это руки, ноги и сердце системы, то ПО – ее мозг.Сегодня заказчик мыслит прагматично. Он внимательно оценивает не только аппаратную, но и программную составляющую системы. Он понимает, что, купив качественное оборудование и не подумав о софте, получит в итоге плохое решение.
Евгений Кондратьев
Заместитель генерального директора по работе с клиентами компании “Равелин Лтд”
В сфере СКУД, чего греха таить, много нестандартных устойчивых терминов, и мы их активно используем. Поэтому неизбежны расхождения в понимании вопросов. В действующем ГОСТ Р 51241–2008 нет понятия “биометрическая СКУД”. Поэтому сложно говорить о ее “трансформации”.
Но, выключая педанта, постараюсь сформулировать свое субъективное мнение на вопрос, происходят ли сейчас на нашем рынке СКУД какие-либо изменения в подходах использования биометрической идентификации. Ответ – да, происходят. Причем это связано как с “временной” конъюнктурой (условиями жизни при пандемии), так и неизбежным поступательным техническим прогрессом.В первом случае мы наглядно видим, что биометрическая идентификация, в первую очередь бесконтактная (по ладони, лицу, радужке глаз), получила дополнительный импульс востребованности.
Более того, к этим типам идентификации все производители очень быстро добавили измерение температуры и контроль масочного режима. Во втором случае благодаря новым технологиям, подходам и электронным компонентам действительно существенно выросло качество биометрической идентификации, причем почти без повышения цены. а иногда даже больше, появились более бюджетные и эффективные решения.Но все это не касается “трансформации подходов к построению СКУД”.
Александр Горшков
Директор по развитию компании Iris Devices
Выводы
Таким образом, на данный момент в отечественной практике есть место как испытанным технологиям, так и новым инициативам. Внедрение Единой биометрической системы — масштабный и амбициозный эксперимент, в котором банки выступают в роли первопроходцев. Если удаленная идентификация по лицу и голосу продемонстрирует хорошие результаты и не вызовет масштабных проблем, то можно ожидать ее распространения и на другие задачи — в первую очередь на ресурсы «электронного правительства».
Если же озабоченность экспертов по безопасности найдет подтверждения (т. е., например, в масштабах страны точность идентификации окажется недостаточной), то, вероятно, использование биометрии в России вернется на привычный путь: паспорта, мобильные устройства и контрольно-пропускные режимы предприятий.
Впрочем, не приходится сомневаться в том, что даже при неблагоприятном исходе эксперимента интерес государства к биометрической идентификации сохранится и будет возобновлен при очередном технологическом сдвиге — например, упрощении и удешевлении сканеров отпечатков пальцев.
Можно сказать, что главной проблемой в отношении повсеместного распространения биометрии является вопрос безопасности баз данных. Пароли, к примеру, компрометируются регулярно, и нет никаких причин считать, что биометрические БД будут качественно отличаться в плане неуязвимости.
В то же время нельзя забывать и об опасениях другого рода: всеобщий сбор биометрических ПД может послужить столь же всеобщему контролю над людьми. Есть вероятность реализации негативных сценариев, где силовые структуры владеют обширными базами идентификаторов, которые граждане не могут изменить или перестать использовать, и применяют их по своему усмотрению. Баланс между стремлением государства знать все обо всех и личными свободами граждан еще не раз будет предметом обсуждения.