Биометрическая аутентификация – обзор и сравнение методов проверки

Биометрические персональные данные: что к ним относится

Что такое биометрия на практике? Это физические сведения человека (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.) и иные его физиологические и биологические характеристики (в том числе изображение – фотография и видеозапись). Такие сведения классифицируют как биометрические, когда их обработка направлена на установление личности конкретного лица и производится с этой целью (абз. 2 «Разъяснений по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» от 30.08.2013 (Роспотребнадзор), далее – Разъяснения).

Только тогда мы имеем дело с данными, для обработки и распространения которых нужно получать согласия, уведомлять Роскомнадзор о работе с ними и исполнять иные требования закона (абз. 4 Разъяснений).

Обратите внимание! Закон по общему правилу запрещает обрабатывать ПД, включая биометрические данные, из общедоступных источников получения информации без согласия их субъекта (Федеральный закон от 30.12.2020 № 519-ФЗ). Исключения – в части 2 статьи 11 Закона № 152-ФЗ. Правила использования изображения человека – в статье 152.1 ГК РФ.

Обработка биометрии без согласия на биометрические персональные данные

Такая обработка разрешена в случаях (ч. 2 ст. 11 Закона № 152-ФЗ ):

реализации международных договоров о реадмиссии;
осуществления правосудия и исполнением судебных актов;
проведения обязательной государственной дактилоскопической регистрации;
исполнения закона о: безопасности, обороне, противодействии терроризму и коррупции, транспортной безопасности, оперативно-разыскной деятельности, государственной службе, порядке выезда и въезда, гражданстве нотариате и уголовно-исполнительной системе.

Персональные данные – любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту ПД) (п. 1 ч. 1 ст. 3 Закона № 152-ФЗ).Следовательно, субъект персональных данных — физическое лицо, которого можно прямо или косвенно определить с помощью персональных данных.

Оператор персональных данных – это государственный или муниципальный орган, юридическое либо физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, а также определяют ее цели; состав персданных, подлежащих обработке; а также действия (операции), совершаемые с ними (п. 2 ч. 1 ст. 3 Закона № 152-ФЗ).

Обработка биометрических персональных данных – любое действие (операция) или совокупность действий (операций), которые совершают с биометрическими персональными данными с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных(ст. ст. 3 и 11 Закона № 152-ФЗ).

Важно! Правила размещения и обновления биометрических персональных данных в Единой биометрической системе (ЕБС) и в других информсистемах, которые обеспечивают идентификацию (аутентификацию) с использованием биометрии физлиц, устанавливает Приказ Минцифры России от 10.09.2021 № 930. Порядок сбора параметров биометрии уполномоченными сотрудниками в целях идентификации гражданина определен в Приказе Минцифры России от 25.06.2018 № 321.

Сегодня тема биометрической аутентификации в корпоративной среде обсуждается весьма часто, но при этом её всё равно называют новой, поскольку она только начинает брать разгон. Как следствие, для тех организаций, которые собираются использовать такую систему аутентификации, возникает множество непонятных нюансов, к которым добавляются ещё и различные мифы. Внести ясность в столь важный вопрос решил проект AM Live, пригласивший экспертов разобраться в биометрической аутентификации.

Ранее мы касались темы правового регулирования и практики применения биометрии в России, а также обозревали российский рынок биометрической идентификации и аутентификации. Кроме того, вас может заинтересовать наш недавний разбор систем биометрической идентификации.

Зачем нужна биометрия

Для начала модератор предложил экспертам определить термины, а также обсудить преимущества и недостатки биометрической аутентификации в корпоративной среде. Первым слово взял представитель компании «Актив» Владимир Иванов, после чего Алексей Кузьмин из «Инфосистем Джет» высказал несколько отличное мнение по ряду вопросов.

Владимир Иванов:

— Для меня биометрия — прежде всего технология идентификации, которая к аутентификации имеет достаточно опосредованное отношение. При этом стоит учитывать, что это — достаточно сложные и дорогие технологии, если они реализованы качественно, поэтому и применять их следует лишь в тех случаях, когда без них тяжело обойтись или когда существуют достаточно высокие риски. Например, в том случае, если нам нужна непрерывная идентификация пользователя: положим, такой пользователь прошёл аутентификацию, а потом поменялся местами с кем-то, кто уже продолжает работу как лицо наделённое соответствующими правами.

Алексей Кузьмин:

— Позволю себе поспорить с тем, что биометрия не может использоваться как фактор аутентификации. Вообще, аутентификация связана не только с компьютерными системами: человек на протяжении всей своей истории должен подтверждать, кто он и что он имеет право на выполнение какой-либо операции. Каждый раз мы используем три фактора: что я знаю, что я имею и чем я являюсь на самом деле. В этом ключе биометрия часто использовалась как единственный фактор аутентификации. Тем не менее сегодня биометрия действительно редко используется в качестве единственного фактора аутентификации, но ей при этом ничто не мешает выступать именно в такой роли.

Ярослав Голеусов:

— С коллегами в целом согласен, но я бы всё-таки использовал термин «верификация», а не «аутентификация». Ведь речь идёт о подтверждении подлинности, а не о сравнении «один ко многим». Также отмечу, что в ближайшее время будут использоваться несколько биометрических факторов, поскольку отдельно ни один из факторов не даёт стопроцентной гарантии распознавания.

Владимир Иванов, дополняя эксперта компании «Индид», указал на ещё один интересный термин: мультимодальная биометрия. Его используют как раз в том случае, когда речь идёт о нескольких биометрических характеристиках. Мультимодальная биометрия направлена на снижение частотности ложного опознавания и т. п.

— Когда мы применяем любые факторы, мы идентифицируем непонятно что: физическую оболочку человека или психическую личность. Последняя отличается наличием разума, памяти, поэтому ограничиваться физическими факторами не совсем правильно: надо идентифицировать психическую личность.

Какие существуют проблемы с биометрией?

В то же время способ имеет свои изъяны. Так, заметной теоретической проблемой является требование уникальности, которое, согласно некоторым измерениям, не может быть полностью выполнено. В связи с этим вводят два понятия: частота ложного одобрения (false acceptance rate, FAR) и частота ложного отказа (false rejection rate, FRR).

Первый параметр отражает вероятность того, что по данным пользователя А будет идентифицирован / аутентифицирован пользователь В — например, в результате совпадения их показателей.

Второй параметр — это, наоборот, вероятность того, что система не узнает пользователя, посчитав его посторонним лицом. По некоторым данным, если для отпечатков пальцев средний FAR составляет 0,01%, то для лица и голоса (тех самых параметров, которые будут использовать отечественные банки) он может достигать 1-2%. Именно поэтому существует мнение, что биометрия не подходит для массового внедрения: если одна попытка аутентификации из ста будет заканчиваться несанкционированным доступом, то в масштабах страны это даст миллионы инцидентов.

Сравнительная оценка биометрических технологий

При реализации технологий применяются алгоритмы на основе математики, а также дополнительные механизмы защиты от подмены. Оценка на рынке технологии биометрической аутентификации показала несколько критериев сравнения, используя безопасность технологии, удобство использования, а также доступность цен (Таблица 1).

Таблица 1 – Сравнительная оценка технологий биометрической аутентификации:

Критерия	Отпечатка пальца	Рисунок вен ладони	Голос	Радужная оболочка глаза	Лицо 2D	Лицо 3D
Безопасность	+-	+	–	+	–	+-
Удобство	+-	+-	–	+	+-	+
Ценовая доступность	+-	–	+	–	+	–

+ = высокий
+- = средний
– = низкий

Отпечатки пальцев

Сейчас все, кто оформляет паспорт со встроенным микрочипом, обязаны сдавать отпечатки пальцев. Такие паспорта нового образца выдаются гражданам на 10 лет, они позволяют узнать (считать) всю информацию о человеке: его фамилию, имя, отчество, дату рождения и т. д.

Процедура снятия отпечатков пальцев называется дактилоскопия. Она позволяет снять отпечатки с пальцев двух рук. Сама процедура не должна вызывать каких-то неудобств, проходит достаточно быстро. Чаще всего для дактилоскопии выбирают указательные пальцы рук. Но если имеются какие-либо порезы, шрамы, травмы, то сотрудник может выбрать другие пальцы.

Отпечатки, сданные на шенгенскую визу или на заграничный паспорт, позволяют идентифицировать личность. Процедура не только контролирует передвижения, но и подтверждает личность человека. Интересы владельца паспорта такая процедура защищает. Она позволяет доказать, что паспорт не фальшивый и принадлежит конкретному человеку.

Если вы хотите получить заграничный паспорт нового образца, то отпечатки пальцев сдавать придётся в любом случае. Если же вы не хотите проходить процедуру дактилоскопии, то возможно будет получить паспорт только старого образца, который выдаётся на 5 лет.

А вот с получением шенгенской визы ситуация другая. Все граждане, возраст которых более 12 лет, обязательно должны пройти процедуру дактилоскопии, если они хотят получить шенгенскую визу.

Почему отпечатки пальцев для шенгенской визы обязательны? Это сделано для того, чтобы предотвратить большой поток людей, которые хотя пересечь границу на нелегальных условиях. Наиболее важную информацию позволяет собрать дактилоскопия. Ели произошло задержание, то виза позволит определить, с какой целью были оформлены документы, где происходило оформление и т. д.

Есть такая категория граждан, которая не подвергается процедуре дактилоскопии. Если говорить о простых гражданах, то это дети до 12 лет. Также отпечатки не берут у президентов и членов их семей. Особенные случаи представляют собой люди, не имеющие рук или имеющие повреждённые пальцы и кисти.

Если на момент подачи документов у гражданина есть какие-либо травмы, требующие длительного заживления, то провести процедуру можно будет позже. Но визу получить на данный момент не удастся. В связи с этим специалисты всегда рекомендуют готовить визу заранее, чтобы ваша поездка не оказалась под угрозой срыва.

Скан сетчатки глаза

Сам метод аутентификации был придуман ещё в 59-х годах. Именно в то время была определена уникальность кровеносных сосудов глаза. Сама надёжность метода сканирования сетчатки глаза более высокая, чем дактилоскопия. Но и прибор, который может провести сканирование, по габаритам отличается от прибора для отпечатков пальцев. Понятно, что и стоимость такого оборудования более высокая.

Рисунок кровеносных сосудов глаза индивидуален для каждого человека, при этом даже у близнецов он повториться не может. Отсюда и дороговизна метода, и его надёжность. Обмануть прибор практически невозможно. Если и происходит сбой при проведении процедуры, то это один случай на миллион. Сканирование сетчатки глаза может использоваться для доступа к различным ячейкам и хранилищам. Но делать это можно в том случае, если нет серьёзных заболеваний глаз.

В чём состоит суть проведения процедуры сканирования? Используется инфракрасное низкоинтенсивное излучение, которое и сканирует сетчатку. Сигнал, который посылают лучи, идёт от нескольких сотен точек глаза. Нынешние сканеры, более современные, могут направлять лазер мягкого действия. Чтобы процедура прошла успешно, необходимо сесть максимально близко к прибору и не двигаться. Взгляд направляют на определённую фиксированную точку и сидят в таком положении около минуты. Потом проходит фиксирование и обработка результатов.

Идентификация по изображению лица

Идентификация человека по лицу происходит на расстоянии.

При идентификации по лицу учитывается его форма, цвет и цвет волос. К важным признакам относятся также координаты точек лица в местах, которые соответствуют смене контраста (нос, глаза, брови, рот, уши и овал).

Замечание 2

На данном этапе развития информационных технологий экспериментируют выдачу новых загранпаспортов, микросхема которых хранит цифровую фотографию владельца.

Идентификация по характеристикам речи

Одним из традиционных способов идентификации является распознание человека по голосу. Интерес к данному методу поддерживается внедрением голосовых интерфейсов в операционные системы.

«Биометрические системы защиты»
Готовые курсовые работы и рефераты
Купить от 250 ₽
Консультации эксперта по предмету
Найти эксперта
Помощь в написании учебной работы
Узнать стоимость

Голосовая идентификация является бесконтактной и разработаны системы ограничения доступа к информации на основе частотного анализа речи.

Зачем и кому на самом деле нужно массовое внедрение биометрии?

Вопрос с массовым внедрением биометрических систем решен уже давно — это удобно, а значит, дело только в доступности. Несмотря на распространенные байки и стереотипы о биометрии, когда люди смогут оценить удобство использования таких систем, никакие мифы и страшилки не будут препятствием. Как бы ни ругали фастфуд, никто от него отказываться не планирует — это быстро и удобно. И даже массовые исследования о вреде подобной пищи не останавливают поклонников “сочных куриных крылышек”.

Что изменит массовое внедрение биометрии в каждой из сфер нашей жизни:

Путешествия

Экономия времени на таможне, быстрое заселение в отель, упрощенная система покупки билетов – все это способно облегчить ваш отпуск, сделать его более комфортным и, конечно же, расслабиться. Вы не забудете дома “золотые” билеты в La Scala, всегда сможете предъявить документы и не потеряете пропуск в номер.

Электронные системы доступа в номер использует большинство отелей, а биометрические – единицы.

Биометрия для дома

Повседневные задачи хочется решать быстро и на автомате – чтобы оставались время и силы на более важные вещи. Сколько вещей нужно взять с собой из дома, чтобы день прошел относительно хорошо? Карту, паспорт, пропуск, ключ, проездной – этот список может быть и более внушительным. Но даже одна забытая вещь может испортить день.

Биометрический пропуск на производственные предприятия, оплата по биометрии, биометрическая идентификация личности – все это упростит нашу жизнь. Например, установка биометрических замков позволит не носить с собой механические ключи, а также облегчит предоставление доступа для родственников или друзей – сделать дополнительный ключ для входа можно добавив отпечаток пальца в базу, не обращаясь в мастерские по изготовлению ключей. Такие системы уже можно приобрести, но не в масс-сегменте.

Государственное регулирование

Биометрия в государственном секторе будет выполнять 2 основных функции – обеспечение безопасности и повышение скорости проверок и подготовок документов. И, в первую очередь, это нужно не государству, а тем, кто с ним взаимодействует: не говорите, что не устали от бюрократии и бесконечного сбора документов – мы вам все равно не поверим.

Биометрия позволит проводить проверки и предоставлять документы максимально оперативно. Представьте: не нужно собирать тонны документов, посмотрели строго в камеру – и вот уже бывший муж по закону выплачивает вам алименты. Мечта.

Как выглядит стандартный пакет справок для получения льгот.

Медицина

Помните длинные очереди в поликлинике за талоном? А мы предпочли бы забыть.

Биометрия позволит оперативно предоставлять информацию и оформлять мед.услуги, а также отслеживать показатели здоровья больных. Больше не потребуется часами изучать записи врача, чтобы узнать название лекарств – пришли в аптеку, приложили палец, получили лекарство. Никаких проблем с талонами, карточками пациента и т.д. Вся история болезни – оцифрована на кончике пальца, а местный Доктор Хаус ставит диагноз на основе полнейших данных о твоей болезни, а не сортируя стопки карточек с 70-х годов.

Биометрия позволит оперативно предоставлять и корректировать историю болезни, что улучшит качество обследования и лечения.

Но не будем строить иллюзии и рассчитывать, что светлое будущее наступит завтра. До массового внедрения ещё далеко, но оно ближе, чем вы думаете.

Кража биометрических данных

Никакие данные не могут быть полностью защищены от утечек. Этого мнения придерживается и Александр Горшков, директор по развитию бизнеса компании Iris Devices, которая занимается разработкой и производством систем безопасности на базе ИИ. Он подтвердил Plus-one.ru, что способы хранения биометрических и других персональных данных, например паспортных, не различаются. Последние, по словам эксперта, могут быть скомпрометированы при разных обстоятельствах, в частности во время оформления билетов на поезд, заселения в гостиницу, получения гостевого пропуска в бизнес-центр.

«Точно так же могут быть похищены и биометрические данные, которые собираются в разных местах, — говорит Александр Горшков. — Например, голос может быть записан во время разговора с сотрудником организации, которая таким образом контролирует качество своей работы. При этом в компрометации персональных и биометрических данных не нужно винить только IT-специалистов: получить к ним доступ могут и рядовые сотрудники с гораздо меньшей зарплатой».

Александр Горшков добавляет, что необходимо разграничивать хищение хранящихся в базах биометрических шаблонов (набор данных, который создается системой на основе анализируемой характеристики, аналог зашифрованного пароля. — Прим. Plus-one.ru) и хищение изображений лиц или записей голосов. Эксперт признал, что наибольшую опасность представляет собой кража первичной информации — и особенно часто это происходит в социальных сетях. «Похищенные из соцсетей данные использовались для создания обучающих наборов, на которых тренировали и тестировали биометрические алгоритмы, — комментирует специалист. — Сейчас законодательство ограничивает доступ к персональной информации из социальных сетей, но собранная ранее информация не уничтожена, она продолжает использоваться».

Защита биометрических данных

Специалисты в области биометрии разрабатывают методы так называемого антиспуфинга (защита биометрических данных от подделки, от. англ. spoofing — «обман», «подмена». — Прим. Plus-one.ru). Они нужны для того, чтобы злоумышленники не могли воспользоваться подложными биометрическими образцами — реальными или синтезированными записями голоса, фотографиями или видео — для прохода через систему биометрической защиты. Как рассказал Plus-one.ru профессор факультета информационных технологий и программирования, руководитель международной лаборатории «Многобьььььмодальные биометрические и речевые системы» Университета ИТМО Юрий Матвеев, эти методы стали активно разрабатываться с середины 2010-х годов, сразу после первых внедрений биометрических технологий.

В возможности защиты биометрических данных с помощью методов антиспуфинга уверен и генеральный директор группы компаний ЦРТ, разрабатывающей биометрические системы, Дмитрий Дырмовский. По словам специалиста, риски утечек могут возникнуть в том случае, если биометрические данные хранятся вместе с персональными. «Но такие вопросы относятся к регулированию и защите персональных данных и не должны дискредитировать саму технологию, — говорит эксперт. — Даже если сотрудник IТ-подразделения получит доступ к биометрическим данным, при корректном хранении он не сможет ими воспользоваться». Кроме того, степень защиты данных можно повысить за счет использования сразу двух биометрических характеристик, например изображения лица и голоса, утверждает Дырмовский.

Источники

https://profkadrovik.ru/articles/working-conditions/biometricheskie-personalnye-dannye-ponyatie-i-pravila-obrabotki-22-m10/
https://www.anti-malware.ru/analytics/Technology_Analysis/Corporate-Biometric-Authentication
https://hightech.fm/2020/10/13/biometrics-russia
https://cloudnetworks.ru/analitika/biometricheskaya-autentifikatsiya-obzor-i-sravnenie-metodov-proverki/
https://migrator.ru/how/visa/otpechati-paltsev-dlya-shengenskoj-vizy
https://spravochnick.ru/informacionnaya_bezopasnost/biometricheskie_sistemy_zaschity/
https://vc.ru/future/596586-kak-biometriya-izmenit-nashu-zhizn-i-pochemu-my-eshche-ne-izbavilis-ot-kart-dokumentov-i-klyuchey
https://plus-one.rbc.ru/society/biometricheskaya-identifikaciya-udobstvo-i-riski

[свернуть]

Как вам?

Другие статьи: