Казанцы не спешат «оплачивать улыбкой»

По данным Сбербанка, в феврале 2024 года Татарстан вошел в тройку лидеров по внедрению биометрии в Волго-Вятском банке (наряду с Нижегородской областью и Пермским краем). Сейчас в республике действуют 6472 терминала «оплаты улыбкой» — в основном в розничной торговле. По данным банка, чаще всего сервисом пользуются в супермаркетах. Для оплаты требуется подключить в мобильном приложении сервис «биометрия» и предоставить банку изображение лица и голоса. Однако наш небольшой опрос показал, что в Казани пользователей системы пока все же немного. Продавцы отмечают единичные случаи, а встречается и те, кто думает, что оплата улыбкой – некий бонус и платить деньги за товар не надо.

Автор фото: Павел Хацаюк/«Вечерняя Казань»

Пока в республике повсеместно устанавливают новые терминалы оплаты, Роскомнадзор продолжает фиксировать увеличение числа утечек персональных данных россиян (пока не биометрических). Так, в 2023 году в открытый доступ попало более 300 миллионов записей, а общее число утечек за год составило 168 (в 2022 году — 140). Среди них данные клиентов «Буквоеда», «Леруа Мерлен», «Твое» и «Едим Дома», данные сотни тысяч детей из «Артека» и их родителей, данные миллионов клиентов туроператора «Интурист», «Лукойла», страховых компаний АСКО и «Астро-Волга», а также интернет-магазина косметики и парфюмерии «Подружка», лаборатории «СИТИЛАБ» и сервиса по продаже билетов kassy.ru.

Развитие новой технологии Face Pay (оплата лицом) может сделать 2024 год переломным с точки зрения увеличения числа атак теперь еще на системы биометрической идентификации и аутентификации.

– Биометрические данные могут использоваться для ускорения различных процессов и в тех случаях, когда от пользователя не будут требовать введения длинного пароля или прохождения многофакторной аутентификации. Биометрия в этом плане облегчает оказание услуг, особенно в дистанционном режиме, – говорит бизнес-консультант по информационной безопасности официального партнера по кибербезопасности «Игр будущего» Positive Technologies Алексей Лукацкий. – В то же время населению надо быть более осмотрительным, а бизнесу четко понимать риски и модели угроз перед внедрением биометрии в свои бизнес-процессы либо процессы государственного управления.

Утечки биометрии страшнее всех остальных

Случаи недобросовестного использования биометрических данных, безусловно, есть. Классическая история — дипфейки, сделанные ради шутки или для мошеннических целей. Они могут использоваться для кражи денежных средств, введения людей в заблуждение, рекламы недобросовестных услуг, когда пользователя от имени того или иного известного лица заманивают в разные мошеннические схемы и крадут у него деньги. Многие сталкивались с подделкой нейросетью голоса родных или знакомых.

Автор фото: Павел Хацаюк/«Вечерняя Казань»

– Мы должны понимать, что биометрия в этом плане делится на два больших направления. Первое — когда используются фотографии, голос, видео какого-то лица, полученные из интернета. В этом случае на базе такого изображения или голоса можно сделать дипфейк и заманить ничего не подозревающих граждан в ту или иную мошенническую схему. А государственная биометрия — это, как правило, базы, которые не хранят в чистом виде ни фото, ни голос, ни видеоизображение, ни другие биометрические факторы. В них хранится некая свертка в виде математической модели того или иного биометрического фактора. Кража или утечка этих сверток пока ни к чему не приводит. По крайней мере, о таком неизвестно. А вот если хранятся биометрические данные в сыром виде (фотография, голос и так далее), тогда эту информацию можно использовать в различных мошеннических действиях. В России таких случаев пока не было, но за рубежом, например в Индии, такие истории уже бывали, – говорит Лукацкий.

Автор фото: Павел Хацаюк/«Вечерняя Казань»

В Сбербанке пояснили, что при подключении оплаты по биометрии уникальные черты лица клиента банка сохраняются не в виде статического изображения, а в виде цифрового кода. Система распознавания сканирует уникальные черты лица человека и сравнивает их с загруженными в неё биометрическими данными. В банке уверены, что таким образом невозможно случайно списать деньги или не распознать владельца карты, если тот надел очки, шапку или отрастил бороду. И все же практика показывает, что от неправильного распознавания никто не застрахован. Так было в случае с умными домофонами и даже той же «оплатой улыбкой» близнецами.

– Недавно был случай: пришла клиентка и решила оплатить лицом, но оказалось, что на карте нет денег. Она думала, мошенники, а когда стали разбираться, оказалось, нет, так получилось оттого, что ее сестра оплачивала покупки, а почему-то списали с ее карты. Может, не все еще хорошо настроено? – говорит продавец магазина «Ткани» Альбина.

В Санкт-Петербурге был аналогичный случай: 47-летний мужчина в «Пятерочке», случайно нажав «оплатить улыбкой», с удивлением увидел подтверждение, что оплата прошла. Ни к какому сервису биометрии он подключен не был. Как оказалось, покупку невольно оплатил брат-близнец мужчины, проживающий в Анапе, который как раз был подключен к сервису. Безусловно, подобные случаи единичны, и куда страшнее целенаправленная атака на базы биометрических данных.

Ранее заместитель министра финансов России Алексей Моисеев называл утечки биометрических данных «самыми страшными». Он пояснил, что относится к «консерваторам» в этом вопросе, и хоть и понимает желание банков сделать систему проще и дешевле, но все же важнее думать о безопасности.

– Последствия могут быть катастрофическими. Мы знаем примеры целого ряда государств — не хочется никого называть, но вы сами знаете — многонаселенных государств, которые к юго-востоку от нас расположены, где были утечки десятков миллионов данных. И все, и непонятно, что делать. Допустить этого ни в коем случае нельзя. Если человек доверил экосистеме — неважно, частной или государственной — свои биометрические данные и эта система не оправдала его доверия, то у человека в цифровом будущем сломана жизнь. Можно поменять ПИН-код на карточке, можно поменять паспорт, все что угодно, можно поменять фамилию, но поменять биометрические данные нет, — говорил Моисеев.

Еще и ЕБС...

С 2023 года все образцы биометрии должны храниться в Единой биометрической системе (ЕБС). Как пояснили «Вечерней Казани» в Минцифры России, цель внедрения ЕБС — сделать более доступными услуги, для которых требуется подтверждение личности. С ней станет легче получать государственные и другие услуги дистанционно или очно.

– Существует три уровня биометрии: упрощенная, по ней будут доступны самые простые операции — например, проход в организации, оплата проезда в транспорте; стандартная, тут перечень услуг шире – например, еще и удаленное оформление сим-карты; и подтвержденная – с ней можно в том числе дистанционно открыть счет в банке или оформить электронную подпись, – объяснили в пресс-службе министерства.

В ведомстве уверили, что никто не может заставить человека сдавать биометрию. Для передачи данных в ЕБС нужно дать письменное согласие – это закреплено законом.

Автор фото: Павел Хацаюк/«Вечерняя Казань»

– Так как сдача биометрии исключительно добровольная, не может быть и ограничения в предоставлении услуг в случае нежелания передавать свои персональные данные в ЕБС, – сообщили в пресс-службе. – Биометрию можно зарегистрировать в ЕБС самостоятельно в приложении «Госуслуги биометрия» или при личном визите в банк. Удалить свои данные из ЕБС можно в любой момент, в том числе через личный кабинет «Госуслуг».

В Минцифры России ответили, что централизованное хранение биометрии помогает защитить данные и избежать утечек. ЕБС аттестована по высоким требованиям, предъявляемым к государственным системам. Биометрия в ней хранится в зашифрованной цифровой форме — векторах. Данные передаются также в зашифрованном виде.

– ЕБС построена по принципу раздельного хранения данных. Это значит, что данные не сложены «в одну кубышку», а хранятся в «разных корзинах». В самой ЕБС есть только биометрические данные. А персональных данных, таких как Ф.И.О., паспорт, адрес и так далее, в ней нет. То есть ту биометрию, что хранится и обрабатывается в ЕБС, нельзя связать с конкретным человеком, – ответили в ведомстве.

Взаимодействовать с системой могут только аккредитованные компании в рамках векторной модели. Все операции с биометрией проходят в ЕБС. Это позволяет обеспечить контроль целостности биометрических образцов и их шифрование при хранении.

Татарстанцы не спешат платить лицом

Несмотря на уверения Сбербанка в лидерстве региона по внедрению биометрии, желающих пользоваться новым сервисом мало. Во-первых, оказалось, что подключенных терминалов пока не так много или продавцы не знают о возможности оплаты лицом. Во-вторых, среди частых отговорок: опасения недобросовестного использования, утечек данных и даже что это «унизительная» технология.

Автор фото: Павел Хацаюк/«Вечерняя Казань»

– При мне никто еще не платил. Более того, крайне негативно высказываются, и дело даже не в опасениях утечки данных, а просто называют технологию рабской, – поделилась с журналистом «Вечерней Казани» продавец кафетерия.

В других заведениях ответы были примерно те же, иногда продавцы отмечали редкое использование новой формы оплаты.

– Нет и не надо, непонятно, как все это могут использовать потом. Оплачивают, конечно, иногда, но больше на интересе, а кто-то пока и не знает, – сказала продавец в пекарне «Жар-свежар» Анастасия.

Директор института информационных технологии и интеллектуальных систем КФУ Михаил Абрамский считает, что в любом случае за биометрической идентификацией будущее.

– Как у любого способа идентификации, у биометрии есть свои плюсы и минусы. Обратите внимание, мы с каждым годом избавляемся от того, чтобы носить с собой что-то громоздкое: вначале носили монеты в мешках, потом появились банкноты, стало удобнее. Потом появились безналичные платежи, карты, с телефоном можем оплачивать по стикеру. Сейчас вот дошли до того, чтобы ничего с собой не носить. Так что да, технологии будут развиваться, – говорит спикер.

Что касается мошенничества, Абрамский вспоминает случаи, когда только появился Face ID у компании Apple, применяли технологию к спящему человеку или тот же парадокс близнецов.

– Получается, с одной стороны, такие параметры вроде как можно украсть, но другой стороны – биометрия хранит не фотографию, а цифровую модель. И если из одной системы эту цифровую модель украсть, то в другой системе она не подойдет. А вот если вас в каком -то приложении попросили улыбнуться в камеру, то стоит задуматься, что данные куда-то могут попасть, – говорит эксперт.

В целом развитие технологии идет, но крайне важно понимать и оценивать риски.