За красивые глазки: с 1 декабря платим лицом
Технологии распознавания лиц для оплаты в России стали применять больше 5 лет назад, сегодня так называемый Face Pay (оплата лицом) становится мейнстримом – государство создало цифровую платформу, которая позволяет подтвердить личность человека по его биометрическим характеристикам – Единую биометрическую систему (ЕБС). Недавно «Ведомости» опубликовали утвержденный Правительством график внедрения биометрии в сервисы, доступные всем гражданам. С 1 декабря кошелек с собой можно не носить. Стоит ли доверять таким сервисам, изменится ли что-то для пользователей биоэквайринга, какие риски несет новый способ оплаты и насколько критична утечка данных из ЕБС? Вместе с экспертами группы компаний «Гарда», заместителем генерального директора Рустэмом Хайретдиновым и руководителем продукта Ареном Торосяном (Гарда Технологии), мы постарались развеять возможные опасения потенциальных пользователей.
Еще в 2018 году в некоторых заведениях Москвы можно было платить лицом. Сказать, что с 1 декабря случится что-то принципиально новое, сложно, просто практика применения приобретет более массовый характер. По сути, проект по внедрению ЕБС от пилотной и инициативной стадии переходит к тиражированию, что означает, что таких точек оплаты будет больше и работать они будут стабильнее. Так же было с оплатой картами, с оплатой бесконтактными картам, оплатой смартфонами, QR-кодами и т.п. Поскольку держателем Единой биометрической системы является государство, для граждан это можно считать свидетельством того, что сервисы протестированы и технология готова к использованию широким кругом пользователей.
Кому? Зачем? Когда?
Если на первых порах технологию оплаты лицом «побаивались» – граждане опасались передавать данные бизнесу – то сегодня, по данным Центра биометрических технологий, более 70 млн жителей РФ уже зарегистрировали биометрические данные, а это большая часть экономически активного населения страны. При такой численности людей, которым будут доступны различные возможности оплаты и использования услуг удобным, интерес к использованию технологии будет постепенно расти. Вероятнее всего, с большей востребованностью и применяемостью в крупных агломерациях: Москве, Санкт-Петербурге и городах-миллионниках.
Наши гаджеты уже приучили нас к разблокировке с помощью FaceID, в том числе для использования банковских приложений, так почему бы не оплачивать покупки оффлайн, не шевеля и пальцем. Правда, практика показала, что россияне чувствительно относятся к биометрии, вспомним месячной давности ажиотаж в МФЦ с написанием отказов. Поэтому адаптация технологии будет более долгой, чем в случае с появлением альтернативных способов оплаты ранее. Можно предположить, что обыденным такой способ оплаты станет года через два.
В чем подвох?
Сами технологии распознавания лиц имеют недостатки. Многие помнят, как после запуска FaceID на IPhone, воспользоваться устройством смог брат-близнец владельца, а вьетнамская фирма Bkav взломала гаджет с помощью маски стоимостью $200.
Сервисы, предлагающие в качестве способа идентификации и распознавания биометрию, нуждаются в постоянном повышении надежности программного обеспечения, наращивании серверных мощностей и способов шифрования данных. Кроме того, внедрение этих сервисов предполагает приобретение датчиков и камер, создание штата специалистов поддержки, которые будут решать проблемы с ошибками идентификации. Но именно подключение к технологии большого количества участников быстрее сделает её точной и стабильной. Более того, стоит признать, что абсолютно безопасных систем не бывает, но, если решение принято и прошло согласование у экспертов, то это означает, что риски нарушения безопасности оценены и признаны приемлемыми.
А каковы риски?
Атаки на подобного рода системы происходят регулярно и с каждым разом все более изощренно. Любая система такого уровня и хранящиеся в ней данные – всегда желанная добыча для злоумышленников. Выведение ее из строя с помощью DDoS, либо утечка/хищение данных – для владельцев большая репутационная потеря, которую с удовольствием будут тиражировать все СМИ. Держатель ЕБС это понимает и строит проактивную систему защиты.
Отдельно про утечки
С учетом принципов раздельного хранения и того факта, что данные, попавшие в ЕБС, не передаются в другие системы, можно говорить о ее достаточной защищенности. Утечки данных маловероятны, поскольку биометрию невозможно поменять. Это учитывалось при проектировании системы безопасности. Кроме того, утекшую биометрию довольно тяжело использовать против её обладателя – искусственные отпечатки, маски и другие имитации – плод фантазии сценаристов и режиссёров блокбастеров.