Юридические, технические и пользовательские требования к удаленному подтверждению цифровой идентификации иногда противоречат друг другу, но поставщики услуг и другие заинтересованные стороны должны ориентироваться в них. С этой целью ENISA и ETSI провели совместный семинар по удаленному подтверждению идентификации и экосистеме, которую регулирует eIDAS.
Профессор Райнер Херперс из Института визуальных вычислений Университета Бонн-Рейн-Зиг открыл мероприятие презентацией об атаках deepfake на системы подтверждения личности.
В следующем докладе Баттисты Биггио, доктора философии, сотрудника лаборатории распознавания образов и приложений Университета Кальяри и соучредителя компании Pluribus One, рассматривалось использование атак противников на системы машинного обучения через возмущения на уровне пикселей или во время маркировки обучающих данных.
По мнению участников дискуссии, сочетание глубоких подделок и атак противника может представлять особую угрозу для систем удаленного подтверждения цифровой идентификации.
Также был кратко представлен отчет ENISA об атаках и мерах противодействия.
Джульетт Деланоэ, соучредитель и исполнительный директор Ubble.ai, сообщила, что, согласно исследованиям компании, в среднем от пяти до шести процентов попыток проверки цифровой идентификации, по которым она может вынести решение, являются мошенническими. Она также представила разбивку по частоте видов мошенничества.
Эта цифра была несколько иной для других участников дискуссии, представлявших биометрическую отрасль на первой сессии, – основателя и управляющего директора по технологиям IDnow Армина Бауэра и соучредителя и исполнительного директора Veriff Джанера Горохова.
По словам Горохова, компания Veriff выявила уровень мошенничества в шесть-восемь процентов, в зависимости от обслуживаемой отрасли, и до 10 процентов в криптовалюте. Социальная инженерия – самый распространенный вектор атак, наблюдаемый IDnow, сообщает Бауэр.
Все согласились с тем, что глубокие подделки – это надвигающийся вектор атак, но не редкий на сегодняшний день.
Отвечая на вопрос о влиянии NFC и электронных удостоверений личности на мошенничество с документами, Деланоэ заявил, что эффективные сегодня инструменты могут быть дополнены NFC, но не будут им заменены, так как всегда необходимы многочисленные средства защиты.
Обновление документов, удостоверяющих личность, которые в основном не менялись с 15 века, должно быть приоритетной задачей для правительств, заметил Горохов.
Обсуждение реальных векторов атак и методов борьбы с ними стало довольно подробным, и участники дискуссии выразили оптимизм по поводу того, что эффективные меры противодействия сложным атакам уже известны, хотя они также предостерегли от недооценки злоумышленников или неспособности предвидеть развитие их методов.
Вторая сессия дня была посвящена мнению пользователей из правительственных организаций, занимающихся кибербезопасностью, телекоммуникациями и финансовыми услугами.
Затем состоялась сессия по тестированию и аудиту.
Специалист NIST по оценке биометрии Патрик Дж. Гротер рассказал о текущем состоянии дел в области биометрии лица и снижения рисков. Последнее включает в себя разработку подсказок для пользователей, которые могут понять люди, но не могут понять автоматизированные системы, чтобы предотвратить вероятность того, что поддельные пользователи правильно интерпретируют и выполнят инструкции.
Кевин Карта из французской лаборатории биометрии CLR Labs рассмотрел угрозу атак с инъекцией биометрических данных, подготовленных или живых. Инъекции возможны, поскольку современные архитектуры не позволяют ассоциировать изображения с конкретной идентифицированной камерой.
Поэтому биометрия должна быть развернута против атак инъекций. Системы PAD, однако, не предназначены для распознавания этого типа атак. По словам Карта, необходимо разработать специальные методы обнаружения атак с использованием биометрических данных, чтобы предотвратить развитие этого вида мошенничества в ближайшем будущем.
По его словам, в настоящее время разрабатывается международный стандарт.
Клеменс Ванко из TÜV TRUST IT GmbH представил точку зрения аудиторов, в том числе рассказал о том, как проводится аудит поставщиков идентификационных услуг на соответствие международным стандартам.
По его словам, для продвижения вперед в этой области необходимы четкие эталонные значения для применения спецификаций к различным уровням гарантии. Изменения в eIDAS не помогли внести ясность.
Технический директор Certicar.es Палома Лланеза углубилась в сложности пересекающихся стандартов и нормативных актов, каждый из которых необходимо регулярно обновлять.
Был сделан обзор технической спецификации ETSI TS 119 461 для электронных подписей и инфраструктур для компонентов доверительных услуг, обеспечивающих подтверждение личности.
Хьюго Маниа из ANSSI представил обзор схемы сертификации и ее целей, а доктор Кристиан Бергхофф из немецкой компании BSI рассказал о компоненте сертификации, связанном с биометрической аутентификацией.
«Системы искусственного интеллекта имеют сложные цепочки поставок, они весьма чувствительны к небольшим изменениям, а это означает, что существуют различные возможные способы атаки на них»
Предупреждает Бергхофф
Он выступает за ручную проверку хотя бы некоторых образцов, а также за меры, препятствующие полной автоматизации атак.
Сильви Лакруа из компании Sealed объяснила, как технические стандарты, сертификации и правила сочетаются для поставщиков услуг по подтверждению цифровой идентификации, а Йон Олнес из Signicat рассказал о сфере действия стандартов и правил в областях, выходящих за рамки доверительных услуг, например, как они влияют на поставщиков финансовых услуг, которые хотят подключить пользователей в соседней стране.
Знание соответствующих правил и даже их наличие остается проблемой для многих поставщиков услуг, пытающихся осуществлять транзакции через европейские границы, по словам Ильнеса.
Более унифицированный набор требований, который по-прежнему защищает людей и предприятия от мошенничества, несомненно, возможен, если использовать инструменты и опыт, обсуждавшиеся на мероприятии. На данный момент работа в этом направлении продолжается.
По материалам Biometrics Research Group. Автор Chris Burt
