Неспешно назовите пять цифр: как устроена российская биометрическая система

Представитель «Ростелекома» отвечает, почему в ней нет отпечатков пальцев и смогут ли её обмануть близнецы.

Иван Беров
директор по цифровой идентичности «Ростелекома»

Зачем нужна ещё одна биометрия, если я и так всё делаю через телефон?

Идея единой биометрической системы родилась в финансовой сфере: банки хотят стать полностью цифровыми, но осталась одна преграда — идентификация клиента. Договоры по-прежнему составляют с курьерами или в отделениях: представитель банка лично проверяет, совпадает ли фотография в паспорте с посетителем.

Это принцип «знай своего клиента», который в России закреплён законодательно. Но такая ситуация банки не устраивает: идентификация занимает по 20-30 минут, и ради этой рутины приходится содержать огромный штат. Финансисты инициировали создание системы, из которой можно взять проверенные данные без личного визита.

На этом моменте у некоторых читателей могло возникнуть недоумение: пластиковые карты всё чаще лежат дома, а представителей банка видишь раз в жизни — при открытии счёта. Непонятно, почему вместо этой однократной встречи нужно сдать биометрию.

Но логика есть: любое взаимодействие впредь становится дистанционным, и при смене банка больше не нужно будет встречаться с сотрудниками. Особенно это интересно маломобильным гражданам и жителям отдалённых регионов: им нередко приходится пользоваться банком, который поближе к дому, а не тем, что предлагает выгодные условия.

Помимо финансовой и смежных областей (вроде страхования), биометрический профиль применим, например, в ритейле. Можно прийти в магазин с пустыми руками и оплатить покупки, посмотрев в камеру на кассе.

И это не какое-то далёкое будущее: на выставках мы показали вендинговые автоматы, в которых это возможно, а первые кейсы ритейла можно будет увидеть в ближайшее время — на промышленном уровне первой биометрию внедрит сеть кофеен Coffee Bean.

Заинтересовано и государство. Исторически биометрия использовалась скорее в криминалистике и расследовании преступлений, и лишь в последние пару лет сделала крен в коммерцию.

Любопытен пример Индии, в чьей биометрической системе зарегистрировано более миллиарда пользователей: стране удалось перескочить этап физических документов, и жители получают льготы по роговой оболочке глаза, а не по бумаге с печатью.

На манер банков, упростить идентификацию можно и в государственных органах — больше не понадобятся сотрудники, у которых полдня уходит на перепечатывание данных из паспортов, а посетители смогут оставлять документы, подтверждающие личность, дома.

Ещё один фактор — никаких рассылок с SMS-кодами: снимаются вопросы по перехвату и подмене сообщений. Да и мошенники, которые выманивают коды, притворяясь представителями банков, останутся не у дел.

Таким образом, и государство, и коммерция закрывают вопросы безопасности, а клиентский путь упрощается и становится дешевле. Но юридически эти процессы протекают тяжело: сперва нужно было сформулировать требования к защищённости системы, а теперь — придумать, как с появлением новых возможностей не замучить пользователей запросами на согласие.

Какие биометрические данные нужны?

Пара из голоса и изображения лица. Для подтверждения банковской операции пользователь произносит случайный набор из пяти цифр на камеру смартфона или ноутбука — получается короткое видео. Использовать сразу два фактора — уникальное решение для национальных систем: как правило, другие государства приходят к более дорогим и сложным считывателям.

Наша комбинация позволила снизить вероятность ошибки до 10⁻⁷. Мало того, что мошеннику нужно украсть пароль от «Госуслуг», ему потребуется в среднем десять миллионов попыток, чтобы выдать себя за конкретного человека. И точность системы значительно выше, чем того требует закон: по нему система должна быть уверена «всего» на 99,99%.

Куда делись отпечатки пальцев?

Отпечаток — всё ещё один из самых популярных биометрических параметров, но по данным исследований, он растерял свою надёжность. Его легко можно обойти силиконовой накладкой — мошенники наловчились воссоздавать рисунок на подушечке пальца. Достаточно одного касания к гладкой поверхности, чтобы неосознанно допустить его попадание в чужие руки.

Технологии не стоят на месте, и уже есть считыватели отпечатков, которые проверяют ток крови и капиллярный рисунок. Проще говоря, понимают, что это палец живого человека, а не резиновая имитация. Но такие технологии идут в разрез с нашей концепцией.

С вышеназванной Индией, где помимо роговицы оставляют и отпечатки, у нас значительные расхождения в целях. Для них биометрия — возможность обеспечить госуслугами очных посетителей, поэтому они закупили и расставили сканеры в свои учреждения. А нам интересно предложить решение для дистанционных открытий счетов и вкладов.

Если бы мы остановились на отпечатках, то для создания надёжной системы каждому пользователю нужно вручить гаджет, у которого есть продвинутый считыватель отпечатка — абсолютно нереальный сценарий. Даже если они уже стоят в дорогих моделях смартфонов, просить производителей раскрыть спецификации — наивно. Мало того, что такие технологии проприетарны, они ещё и отличаются у разных производителей.

Зато камеры и микрофоны есть даже в дешёвых устройствах, и пользователю не нужно никакое другое специальное оборудование. Мы начали с самого сложного кейса и следом «накручиваем» другие сценарии — те же очные госуслуги и ритейл.

Как выглядит процесс сдачи биометрии?

Биометрию можно сдать в 11 тысячах банковских отделений по России. Вскоре к ним добавятся ещё три тысячи МФЦ — сейчас это на стадии пилота. Зайти можно в любой банк, но для сдачи биометрии придётся стать его клиентом, например, подписав какой-нибудь необременительный договор общего обслуживания. Но удобнее обратиться в банк, клиентом которого уже являешься.

Следом встать в электронную очередь, взяв талончик: многие банки уже выводят на него конкретную услугу — сбор биометрии. Операционисту нужно передать свой паспорт и СНИЛС, он проверит, есть ли подтверждённый профиль на «Госуслугах». Если нет — сразу создаст и подтвердит. Таким образом, «Госуслуги» становятся окном в мир биометрии, хотя это принципиально разные системы.

Следующий этап — фотография на камеру, которой оборудовано рабочее место операциониста. И последнее — запись голоса. К ней предъявляются наиболее высокие требования, поэтому банки вынуждены закупать качественные микрофоны. Есть и альтернатива — создать мини-студию звукозаписи прямо в отделении, хотя этим никто не пользуется.

Отношение сигнал-шум для звука не менее 15 дБ.

Глубина квантования не менее 16 бит.

Частота дискретизации не менее 16 кГц.

Не допускается использовать шумоподавление.

Приказ Минкомсвязи РФ №321

На монитор выводятся три ряда чисел, которые нужно озвучить. На произношение каждой последовательности уходит по 7-10 секунд — в зависимости от привычного темпа.

Запись голоса и фотография сразу же преобразуются в математические модели и формулы, а затем отправляются на хранение в отдельную базу, к которой у банка уже нет доступа. Вся регистрация биометрии занимает 5-10 минут.

Процедура с банками без отделений похожа, но всё это происходит не в офисе, а дома у пользователя — курьер сам приезжает с оборудованием. Банк заранее предупредит, что требуются определённые условия: если в этот день сосед штробит стену, сдачу биометрии придётся перенести.

Как проверяется качество? А если я буду вертеться перед камерой или запнусь в микрофон?

Над этим вопросом мы ломали голову в начале этого года: за небольшой промежуток в четыре раза увеличилось количество отделений, в которых можно было зарегистрировать биометрию. Банкам удалось быстро масштабироваться, но оптимизация процессов запоздала, и иногда сотрудники не понимали, что от них требуется. Пользователи же справедливо нас критиковали, когда процедура затягивалась до сорока минут.

Мы разработали ассистента для операционистов и библиотеку контроля качества. Сотрудник банка в реальном времени получает рекомендации по сбору биометрии: «попросите клиента снять очки и чуть повернуть голову вправо». Это продолжается, пока система не убедится, что всё в порядке.

Поворот головы должен быть не более 5° от фронтального положения.

Расстояние между центрами глаз должно составлять не менее 120 пикселей.

Выражение лица должно быть нейтральным, рот закрыт, оба глаза открыты нормально с учётом поведенческих факторов или медицинских заболеваний.

Приказ Минкомсвязи РФ №321

Качественный шаблон очень важен, а примерно тридцати секунд записи достаточно, чтобы сгенерировать большой набор признаков. Затем клиент сможет подтверждать операции даже в шуме московского метро — мы тестировали этот сценарий, чтобы понять, срабатывает ли система в сложных условиях.

Нужно ли сдавать биометрию периодически, как менять паспорт?

Да. Это вопрос изученности технологий: связка из голоса и изображения лица действует только в России, и ни у кого нет опыта, на который мы можем опираться. Поэтому остаётся только терпеливо ждать статистику — меняются ли лица до неузнаваемости системой за 10-20 лет.

Пока мы перестраховываемся — биометрия действительна на протяжении трёх лет, после чего нужно регистрировать её заново. С момента появления первых пользователей прошло полтора года, так что только летом 2021 года станет понятно, падает ли точность на такой дистанции. Наша цель — отодвинуть этот порог до 10-15 лет, чтобы процедура не повторялась чаще, чем смена паспорта.

Недавно единая биометрическая система отметила 100 тысяч пользователей.

Пока я приболел, лучше не регистрировать биометрию?

Да, если голос значительно осип. Если зарегистрировать вместо привычного тембра простудный хрип, то такой визит в отделение может оказаться напрасным — система просто перестанет узнавать пользователя, когда он поправится.

Операционист вряд ли поинтересуется состоянием здоровья: это не его работа, и он не в курсе медицинской истории — откуда ему знать, является ли искажённый голос последствием хронической болезни или временной простуды. Лучше пользователей никто не знает, насколько болезнь повлияла на внешний вид и тембр, и нужно отталкиваться от собственных ощущений.

Внешний вид вряд ли что-то изменит: систему не смущают макияж и борода, так что крайне маловероятно, что она не сработает из-за синяка или припухлости лица. Простая аналогия: разблокировка смартфона по лицу происходит даже при тусклом свете прикроватной лампы, когда пол-лица в подушке.

А если я украду пароль, наклею на лицо фотографию другого человека и включу его диктофонные записи с его голосом?

Каждое подтверждение операции проходит четыре этапа проверки. И таким способом можно обойти только половину из них — система может узнать лицо и голос, но этого недостаточно. Следом проверяется, живой ли человек совершает попытку — за это отвечают технологии Liveness.

Машина анализирует микродвижения мимических мышц, текстуру падающего на лицо света, появление бликов и теней. И при первых сомнениях попросит пользователя улыбнуться, отодвинуть телефон, покачать головой. Всё это время будет проверяться плавность изображения и скорость реакции — к этому моменту уже сыпятся попытки обойти защиту с помощью простых масок.

Возможно, шедевральная работа реквизитора и гримёра позволит создать точный слепок лица другого человека, который сможет динамически менять мимику. Но голос тоже проходит проверку: сперва система выясняет, не подсовывают ли ей диктофонные записи. Динамикам свойственны определённые частотные диапазоны — при близком рассмотрении записи не похожи на «тёплый, ламповый» звук человеческого голоса.

Оценивается акустическая обстановка, переходы от одной цифры к другой, артефакты, которым грешат программы синтеза речи, и ритм дыхания.

Финальное разрешение на операцию даёт модуль поиска аномалий — он всем знаком по банковскому антифроду. Странно, если спустя два часа после последнего логина в Москве вы подтверждаете в Сингапуре кредит — это операция определённо вызовет подозрения.

У меня есть нерадивый брат-близнец, которому хочется пожить за мой счёт, как быть?

Тестирование я наблюдал воочию: у нас в офисе работает девушка, у которой есть сестра-близнец. И мы пробовали вместе с ними обмануть систему — дали пароли друг друга и пробовали подтвердить операцию. В нашем случае система зажгла красный свет при сверке голоса.

Биометрия — наиболее совершенный способ различить близнецов: они бы легко обманули операциониста в банке, а вот машине легче найти различия в стиле речи или внешности. Близнецы — обязательные участники выборки, на которой мы проверяем разработки.

На пару лет эмигрировал в Сан-Франциско, нахватался произношений и стартаперских слов, вернулся делать бизнес. Повлияет ли акцент?

Скорее всего, повлияет на степень уверенности, с которой система подтвердит личность, но не на исход. То есть, в меньшую сторону изменится точность: какая-нибудь восьмая цифра после запятой.

Округление каких-нибудь гласных — лишь единичный параметр во всём многообразии свойств голоса. Но решение, выдавать ли кредит на стартап, всегда остаётся за банком — система только отправляет ему процент схожести между человеком и шаблоном.

А если я там ещё и пластику лица сделал?

Это уже вопрос к степени хирургического вмешательства: явно ничего не произойдёт, если слегка убрать горбинку на носу. Но переделанные черты лица, скорее всего, система не узнает — имеет смысл сходить за новой регистрацией биометрии.

Причём тут «Ростелеком»?

«Ростелеком» выступает оператором этой системы, а если сформулировать менее канцелярски, то лабораторией, которая задаёт стандарты. Мы не играем на стороне каких-то конкретных банков, а воплощаем биометрию под потребности отраслей: финансовой, медицинской, торговой.

В проекте «Единой биометрической системы» участвуют ведущие разработчики в области биометрии — частные компании, которые успешно участвуют в международных тестах и соревнованиях. Запросы случайным образом попадают на несколько из примерно десяти отобранных алгоритмов — мошенники не могут приспособиться, потому что не знают, какой именно модуль в работе. Такая ротация — это ещё одна степень защиты. А если одна технология начинает проваливаться или отставать, мы её отключим от системы и заменим.

1010
24 комментария

И ни слова о том, как гарантируется защита биометрических данных (спойлер: никак). Это означает, что при очередном сливе базы какого-нибудь банка все твои биометрические данные улетают в даркнет. Как их будут использовать дальше — большой вопрос...

10

Если вы не ходите постоянно в черных очках и общаетесь только записками, то узнать данные проще чем пароль

И они не хранятся в виде фоток и mp3 файлов. Невзламываемое за срок вашей жизни шифрование придумали даже не в этом столетии

Я так понял, что банки никакого отношения к хранению биометрии не имеют. Есть централизованное государственное хранилище. так что, как минимум банки слить ничего не смогут

Да -да сдавайте биометрию , так мошенникам проще получить доступ к счетам после очередного слива данных

7

да сейчас уже новый вид мошенничества появился - мошенники просто за вас сдают биометрию и становятся вами для всех систем построенных на биометрии поэтому потом проходят любые проверки, слабое звено тут сотрудники или системы, которые эту биометрию собирают изначально https://lukatsky.blogspot.com/2019/09/deepfake.html?m=1

5

Возможно, я ошибаюсь, но мне кажется, что биометрические данные хранятся в виде хэшей, цифровых слепков, по которым нельзя восстановить исходные фото/голос. 

Понятно, что это нужно для тотального контроля через систему городского видеонаблюдения. Главный вопрос: нужно ли это гражданам ? 

3