Деньги в опасности? Почему банкоматы с Face ID могут стать проблемой

"Известия", ссылаясь на компанию VisionLabs, утверждают, что несколько российских кредитных организаций купили более десяти тысяч терминалов (АТМ) с системой распознавания лиц. Предполагается, что в будущем эти и аналогичные им устройства полностью вытеснят из обихода пластиковые карты. Поскольку авторизация станет автоматической.

Ноу-хау уже заинтересовало Сбербанк, "МТС-банк", "Зенит" и "Русский стандарт". VisionLabs — компания, которая участвует в создании умных терминалов, — сообщила, что на сегодня главным заказчиком оборудования является Сбербанк. Именно он купил более десяти тысяч терминалов. Также подрядчик утверждает, что организация начнёт использовать новые АТМ до конца этого года.

Первое, что интересует людей, когда речь идёт о хранении их денег, — надёжность защиты. В данном случае — системы распознавания лиц. И здесь ситуация неоднозначная. Те, кто лоббирует внедрение технологии, разумеется, тянут одеяло на себя и заявляют о чуть ли не о стопроцентной безопасности. Скептики же, наоборот, указывают на случаи, когда машинное зрение всё же удавалось скомпрометировать. На наш взгляд, для лучшего понимания эффективности новой системы надо посмотреть на рынок смартфонов. Именно в этой отрасли распознавание лиц как защита применяется массово.

Наибольший вклад в популяризацию этой технологии сделала компания Apple, когда выпустила iPhone X. В нём, напомним, не было привычного сканера отпечатков пальцев, но зато присутствовала мудрёная система распознавания лиц Face ID. Собственно, следом за Apple разрабатывать аналоги принялись остальные вендоры. По данным аналитической фирмы Counterpoint, в 2020 году будет продано более миллиарда смартфонов с биометрической разблокировкой.

Apple использует одну из лучших систем в мире. Face ID сканирует не только плоское изображение лица, но и его 3D-модель. Но и она несовершенна. Сама Apple, например, настаивает, что их система сбоит в одном случае на миллион. Но также отмечает, что баг может возникнуть и в случае с близнецами или близкими родственниками. Что, согласитесь, уже как-то не очень, если речь идёт о доступе к банковскому счёту.

Но на самом деле у Face ID больше проблем, чем говорит Apple. Вьетнамским безопасникам из компании Bhav потребовалась всего пара месяцев, чтобы научиться создавать маски за 150 долларов, которые обманывают купертиновский сканер. А в Китае, если верить СМИ, и без всяких масок люди сводят iPhone и его продвинутые датчики с ума. Просто потому, что у азиатов в принципе некоторые черты лица сильно похожи. В январе и вовсе выяснилось, что специалисты по киберзащите научились обманывать iPhone X с помощью распечатанных чёрно-белых фотографий. Впрочем, ни один из способов пока не обрёл массовый характер.

Но это Apple с её безупречной репутацией и бесконечным бюджетом на сложные разработки. Другие же вендоры, особенно китайские, вынуждены на всём экономить. Дабы сохранить ценник привлекательным. Поэтому они используют примитивные технологии распознавания лиц, которые работают кое-как.

Примерно половина всех Android-смартфонов отдаются злоумышленнику, просто завидев фото своего владельца. В январе этого года голландская компания Consumentenbond опубликовала результаты исследования, в ходе которого специалисты испытали разные модели Android-девайсов с обсуждаемым типом биометрической аутентификации. Вердикт неутешительный: 42 модели из 110 разблокировались фотографией. В числе проваливших тест оказались телефоны LG, Samsung, Xiaomi и не только.

Собственно, именно поэтому все производители Android-смартфонов предупреждают своих пользователей о том, что их распознавание лиц — ненадёжно. А Apple, к слову, на всякий случай каждые 48 часов просит пользователей вводить именно PIN-код, а не делать невидимое селфи. Банкиры же о таких нюансах пока не говорят.

Банки вообще пока предпочитают не вдаваться в подробности работы системы. Так, например, компания VisionLabs к моменту публикации статьи не ответила на просьбу Лайфа уточнить, как именно работает их распознавание лиц. Специалисты из отрасли тоже, судя по всему, не избалованы подробностями. Впрочем, они не считают, что стоит сильно переживать из-за нового тренда.

— Хотя практика показывает, что камеры обманываются трёхмерными муляжами, едва ли этот приём будет в ходу у злоумышленников. Себестоимость такой подделки выше себестоимости традиционных методов взлома вроде того же "белого пластика". Злоумышленнику выгоднее и быстрее купить номер вашей карты в Сети, а потом выпустить на её основе дубликат, — рассуждает Рустэм Хайретдинов, гендиректор компании InfoWatch. Также он считает, что человек, который тычет в банкомат чьей-то головой, будет выглядеть подозрительно даже на записях камер наблюдения.

Однако могут быть неудобства. Ошибки в работе алгоритмов машинного зрения делятся, условно говоря, на две большие группы. К одной относятся сбои, когда нейросеть признаёт за истинного пользователя ложный объект. К другой — баги, которые не позволяют нейросети признать истинного пользователя. Алгоритмы распознавания лиц склонны ко второму варианту.

— Но вероятность такой ошибки сравнима с вероятностью размагничивания карты или другой причиной, по которой терминал не примет "пластик", — успокаивает Хайретдинов.

С другой стороны, не можем не отметить, что даже Apple предупреждает, что, если пользователь укутался в шарф, надел очки и отрастил бороду, его Face ID может и не признать. Если у системы возникнут сомнения, она на всякий случай попросит ввести пароль.

Самой же большой проблемой банковской биометрии, по словам эксперта, может стать взлом базы данных, в которой хранятся фотографии пользователей. Поскольку она незаменима.

— Если кто-то украдёт у банка цифровые "слепки" клиентов или сотрёт их, то это будет перманентной компрометацией. Ведь новые лица клиентам никто не выдаст, — отметил безопасник.

Похожей позиции придерживается и Сергей Ложкин, один из старших экспертов Лаборатории Касперского. Саму по себе систему распознавания лиц он считает безопасной технологией. Но при этом делает акцент на том, что организации, которые полагаются на аналоги Face ID, должны осторожно работать с информацией клиентов.

— Нужен очень высокий уровень требований к безопасному сбору, передаче и хранению пользовательских данных. Более того, необходимо исключить возможность недобросовестного поведения со стороны сотрудников банка, — объяснил Ложкин. Именно поэтому, по его мнению, помимо лица банкоматы должны использовать хотя бы ещё один фактор, позволяющий убедиться в подлинности клиента. Например, старый код-пароль.

Внедрение распознавания лиц в банковскую сферу не значит, что наши деньги резко окажутся в опасности. Они, как подметил Хайретдинов, и сейчас-то не на 100% защищены. Просто злоумышленники, как и любые другие приспособленцы, со временем найдут, чем подковырнуть и биометрию. Но сейчас прогноз скорее позитивный.

— В теории биометрия является сегодня самым надёжным способом идентификации человека. Подобрать двойника, неотличимо похожего на конкретного пользователя, невозможно: самая продвинутая биометрия уверенно различает даже однояйцевых близнецов, — говорит Дмитрий Кузнецов, директор Positive Technologies по методологии и стандартизации.

— Банки — это организации, которые больше всех на свете не любят терять деньги. Они, вероятно, знают, на что идут. Мне кажется, что аналитики кредитных организаций уже видят, что риски при использовании карт превышают риски использования биометрии. Поэтому в банковской сфере и наклёвывается обсуждаемый тренд, — заключил Рустэм Хайретдинов.