С чего всё началось
Замминистра финансов Алексей Моисеев заявил на конференции «Технологии и доверие: защита подлинности и идентификация», что подделка биометрии в будущем представляет угрозу, и пока нет механизмов, позволяющих защитить граждан от возможного риска подделки. Об этом сообщается на сайте Царьград. На конференции мне были сформулированы риски обмана биометрии, но через неделю эту тему стали обсуждать политики, регуляторы и разработчики ИТ систем.
Использование видеосвязи для удаленного открытия счетов новым банковским клиентам влечет существенные риски. Об этом говорится в отзыве Центрального банка на законопроект Ассоциации банков России. В числе рисков при удаленном открытии счета названы:
- риски мошенничества, связанного с полной или частичной подделкой документа (например, подмена фотографии), удостоверяющего личность гражданина, и отсутствием механизма проверки паспорта;
- риски мошенничества из-за невозможности проверить, принадлежит ли использующийся номер телефона клиенту, а не злоумышленнику, который себя за него выдает;
- высокие риски в сфере информационной безопасности и противодействия отмыванию доходов, полученных преступным путем, а также в сфере финансирования терроризма;
- риск подмены изображения во время сеанса видеосвязи (технологии DeepFake, FaceSwap);
- риск подмены личности клиента «с использованием технологичной маски лица» (2D- и 3D-маски, профессиональный грим, фотографии).
Аналогичные риски ошибок при удалённой идентификации при помощи видеосвязи озвучены директором центра противодействия мошенничеству компании «Информзащита» Игорь Шульга.
Опасность deepfake признана официально
Опасность дипфейков отметил Дмитрий Песков. На просветительском марафоне «Новое знание» пресс-секретарь президента РФ Владимира Путина заявил о более опасной технологии, чем фейкньюс. По мнению Дмитрия Пескова, Deepfake в руках и головах плохих ребят может принести вред в межгосударственных отношениях, так как сложно отличить подделку цифровой информации от реальной съёмки. Для этого у Кремля «есть целый арсенал служб, ведомств и агентств, которые занимаются анализом информации». Именно они обнаруживают фейки и вычисляют целевые информационные кампании, сообщил Дмитрий Песков.
На манипулирование интересами пользователей при помощи «подмешивания информации» и технологии дипфейков сообщил первый заместитель руководителя администрации президента РФ Сергей Кириенко на закрытом мероприятии «IT-суббота без галстуков» в рамках 25-го Российского интернет-форума (РИФ).
Стоит отметить ещё одно выступление на этом форуме «Новое знание», а именно на видеосвязь с Илон Маск. Говоря об опасности дипфейков, подозрительным казалось его изображение во время видео-трансляции: низкое качество в области лица, хотя изображение интерьера на заднем плане было чётким. Согласитесь, что это странно для форума такого масштаба. Возможно, это связано с использованием виртуального фона, а может и нет.
Для оперативного выявления deepfake, МВД объявило тендер на разработку специализированного решения. Контракт был заключен в начале марта. Победителем тендера стало АО «Научно-промышленная компания «Высокие технологии и стратегические системы». Решение должно быть готово к ноябрю 2022 года.
В компании «Ростелеком», операторе единой биометрической системы (ЕБС), согласны с высоким риском ошибки идентификации во время проверки подлинности документа по видеосвязи. В компании считают, что удалённую проверку документов осуществить значительно сложнее, чем при очном общении с клиентом. Проверяющий сотрудник не может взять в руки демонстрируемый документ и не может его проверить с помощью специального оборудования на отсутствие подделок.
Разработчики биометрических решений готовятся к новым угрозам
В случае биометрической идентификации с помощью ЕБС, за идентификацию клиента отвечает нейросеть, что исключает возможность ошибки, связанной с «человеческим фактором». Мультивендорные алгоритмы ЕБС не ограничиваются распознанием человека. Входящие в её состав модули Liveness detection позволяют отличить реального человека от его имитации: грима, фотографии, записанного заранее видео или DeepFake.
По словам гендиректора ЦРТ, «С развитием технологий взлома нам нужно доказать, что «мои характеристики предъявляю я сам», или, проще, «я живой». Для этого используются механизмы детектирования живого пользователя — liveness detection»
Некооперативный сценарий [идентификации] зачастую предпочтительнее — так мы не раздражаем пользователя «лишними» заданиями, биометрическая система использует пассивные методы проверки: анализирует текстуры, перемещение бликов в кадре, муаровый эффект и цветовую палитру, микродвижения и мимику. Кроме того, алгоритмы следят за тем, что лицо соответствует шаблону на всем протяжении сессии, в статике и в движении — это помогает обнаружить, например, атаку с помощью разного вида масок
Сообщил Дмитрий Дырмовский
Почему «не взлетел» пилот
Риски идентификации во время видеозвонка сформулированные регулятором и подтверждённые разработчиками ИТ систем реальны. Они стали препятствием для положительной оценки результатов пилотирования.
Проблема биометрической идентификации в том, что смартфоны и веб-камеры в нормальных условиях (помещение со слабой освещенностью, фоновые шумы) не позволяют проводить надежную биометрическую идентификацию человека. Это и создает возможности для использования дипфейков. «Банк в действительности не знает, общается ли он со своим клиентом или со сгенерированным цифровым двойником клиента», считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Генеральный директор компании «Код безопасности» Андрей Голов предупреждает, что «Мошенники смогут заменять видеоизображение на желаемое и получать доступ к банковским операциям как авторизованные клиенты». Однако риск такого способа идентификации можно минимизировать если использовать дополнительные факторы авторизации.
Официальное признание опасности технологий deepfake даёт мощный импульс для опережающих темпов разработки алгоритмов по выявлению аудио, фото и видео подделок.