По лицу в метро? Лучше не надо

Дата публикации: 27.10.2021 00:18
38 556
Время прочтения: 6 минут
Автор
Антон Нехаенко, руководитель направления цифровых сервисов Банки.ру с 2021 по 2022 год
Антон Нехаенко руководитель направления цифровых сервисов Банки.ру с 2021 по 2022 год
Источник
Banki.ru

Московский метрополитен вовсю рекламирует новый удобный способ оплаты проезда — оснащенные камерами турникеты теперь способны узнавать пассажиров в лицо. У экспертов к новой системе большие вопросы.

Использованием биометрии для подтверждения оплаты в 2021 году никого в России не удивить — банки наперебой рапортуют о том, что уже более трети держателей карт добавили их в различные устройства, а значит, представляют, как подтвердить платеж отпечатком пальца или сканом лица. Не отстают и государственные органы — начиная от масштабного проекта Единой биометрической системы, куда для подтверждения личности планируют собирать все подряд, включая образцы голоса.

Свежее творчество на тему нам подарил Московский метрополитен — многолетний проект по оснащению турникетов камерами, расположенными на уровне лица, теперь к пересчету пассажиропотока и поиску сбежавших преступников добавил функцию оплаты проезда без банковских и проездных карт, просто по лицу.

Как это работает

Конечно, сами фотографии данная система не хранит, ведь они занимают слишком много места на диске, и это было бы слишком накладно. Происходит сравнение «цифровых отпечатков» — в системе задействован алгоритм так называемого компьютерного зрения, который «обучен» на огромном количестве специально размеченных фотографий различать под разными ракурсами некоторые типичные признаки: расположение носа, межглазное расстояние, кривизна надбровных дуг. Сочетание достаточного количества таких параметров уникально для каждого человека, сравнение с сохраненным «слепком» и позволяет каждый раз достоверно опознать человека.

От нас систему вызвалась протестировать заместитель главного редактора Елена Янкина: «Зайти в метро по лицу оказалось настолько просто, что это даже немного пугает. Приложение «Метро Москвы» у меня уже было установлено, а чтобы включить FacePay, потребовалось привязать в нем банковскую карту и загрузить фотографию — просто селфи при хорошем освещении, без дополнительных сложных требований, вроде однотонного фона. Единственное, что заставило меня слегка поволноваться, — фотографироваться нужно без очков, даже если проходить через турникет вы будете в них. На практике проблем из-за этого не возникло, и на всю процедуру загрузки фото и привязки карты ушло не больше пяти минут. После этого в приложении появилось обозначение, что FacePay включен.

Иллюстрации: скриншоты приложения «Метро Москвы», Елена Янкина, Банки.ру

Турникет, через который можно войти в метро по биометрии, сразу бросается в глаза — перед ним нарисован большой черный круг. Чтобы пройти, нужно приспустить маску и некоторое время смотреть в камеру. После этого автоматически приходит штраф в размере 5 000 рублей открываются створки. «Все это на самом деле происходит довольно быстро, — рассказывает Елена Янкина. Более того, процедура мне так понравилась, что я намеренно проехала свою станцию, вышла на следующей и снова зашла по лицу. В этот раз, кажется, система сработала даже еще быстрее — буквально за пару секунд».

Проблема с данными

Процесс регистрации и использования легкий и приятный, а вот попытка понять, что происходит с критически важными персональными данными и какие в системе есть риски, подобных эмоций не оставляет. Представители департамента информационных технологий Москвы, стоящие за всеми подобными системами, уже не раз выдавали успокоительные и максимально пространные комментарии по этому поводу. Внятных ответов по безопасности хранимых данных до сих пор никому добиться не удалось. Более того, возникло интересное противоречие: представители ДИТ опровергли информацию о том, что данные системы передаются в полицию, а одновременно в СМИ появилась информация о контракте на разработку передачи биометрических данных из mos.ru (столичного аналога «Госуслуг», который используется для авторизации во всех подобных системах) как раз в базу данных ГУВД. Представители ДИТ легко могут противоречить сами себе даже в рамках одного предложения: «Система не способна «связать» фотографию человека с его личностью — у нее просто нет данных для этого: в личном кабинете пассажир привязывает только банковскую карту, номер телефона и «Тройку»‎.

«Чтобы сделать выводы о безопасности биометрических данных в метро, хотелось бы услышать максимально четкие заявления о конкретном списке организаций, которые имеют и будут когда-либо иметь доступ к данным; о технических и административных мерах по контролю за сохранностью данных; о конкретных ответственных и их действиях в случае обнаружения утечки данных», — перечисляет генеральный секретарь Партии прямой демократии, технический эксперт Олег Артамонов. «Наихудший сценарий тут — либо кража данных посторонними, либо нелегальное использование системы метрополитена и других информационных систем, которым станут доступны эти данные. Пока мы не услышим ответы на эти вопросы, я бы не рекомендовал гражданам слишком сильно доверять биометрическим системам», — заключает он.

Турникеты для биометрического прохода обозначены специальной наклейкой на полу. Фото: Елена Янкина, Банки.ру

Не менее категоричен и управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры», специалист по законодательству в области персональных данных Михаил Емельянников: «На сайте mos.ru нет ни слова о том, как защищается передаваемая приложением информация, в частности о средстве платежа и биометрические данные, где она будет храниться, кто является в отношении нее оператором персональных данных и несет ответственность за возможные инциденты с персональными данными. Ничего не сообщается о величине допустимых ошибок первого и второго рода (отказать в проходе владельцу или пропустить похожее на него лицо). Я не смог найти в мобильном приложении интерфейса для использования FacePay текста согласия на обработку биометрических персональных данных (а оно должно быть дано в письменной форме и соответствовать по содержанию требованиям законодательства). Текст согласия есть на сайте метрополитена, но закону он совсем не соответствует».

«Отсутствие сведений о том, что должен делать пользователь, биометрические данные которого скомпрометированы, и как ему жить дальше, а также процедур разрешения конфликтов при оспаривании трансакций делают риски использования таких систем вообще неприемлемыми. Использование данной системы для оплаты проезда в метрополитене я считаю крайне рискованным для граждан и ни в коем случае не рекомендую ею пользоваться», — резюмирует Емельянников.

«Как бывший сотрудник могу сказать, что работе органов это сильно поможет. Сливы информации налево также обязательно случатся, поэтому ни сам никогда таким не стану пользоваться, ни другим не посоветую», — описал автору свои впечатления бывший сотрудник одной из российских силовых структур.

Лучше не надо

В конце концов, дело тут даже не в неконтролируемой передаче данных государственным органам — законопослушные граждане всегда могут возразить, что им от государства скрывать нечего. «Cтрашнее всего не государство, а то, что доступ к этим системам и/или данным окажется в руках людей, на масштабе деятельности которых ты уже вполне себе хорошая добыча — например, они смогут отследить, что ты уехал из дома, причем не на машине», — предупреждает Артамонов.

Однако те, кто еще в начале 2000-х застал на радиорынках диски с достоверными копиями государственных баз данных, тут лишь усмехнутся. До сих пор работающие сайты и телеграм-каналы с платной «пробивкой» — живое свидетельство тому, что в России барьер между критически важными персональными данными и мошенниками всех мастей пока достаточно условен.

Антон НЕХАЕНКО, Елена ЯНКИНА, Banki.ru

Читать в Telegram
telegram icon

Комментарии

0
Скрыть
Комментарии могут оставлять только зарегистрированные пользователи.

29041953
27.10.2021 08:27
все верно, разве преступность исчезла? разве метро стало барьером для криминала? разве хакеры сократили свой профоборот действий? нет и нет, это просто распил бюджета как по камерам на улицах столицы и желание местных феодалов взять всех под личный контроль.
15

омут
27.10.2021 13:30
Дешевле убрать турникеты и кассиров и сделать бесплатный проезд.
7

orcus vulgaris
27.10.2021 15:29
Турникет, через который можно войти в метро по биометрии, сразу бросается в глаза — перед ним нарисован большой черный круг. Чтобы пройти, нужно приспустить маску и некоторое время смотреть в камеру. После этого автоматически приходит штраф в размере 5 000 рублей открываются створки.

Итого, перед турникетом появилось место, где граждане обязаны стоять со спущенной маской. Концентрация ковида в воздухе по идее должна быть смертельной, но это почему-то никого не волнует. Напрашивается вывод, что московское начальство в ковид не верит.
6

Jeca
27.10.2021 18:53
orcus vulgaris пишет:
Итого, перед турникетом появилось место, где граждане обязаны стоять со спущенной маской. Концентрация ковида в воздухе по идее должна быть смертельной, но это почему-то никого не волнует. Напрашивается вывод, что московское начальство в ковид не верит.

Капитал избегает шума и брани и отличается боязливой натурой. Это правда, но это ещё не вся правда. Капитал боится отсутствия прибыли или слишком маленькой прибыли, как природа боится пустоты. Но раз имеется в наличии достаточная прибыль, капитал становится смелым. Обеспечьте 10 процентов, и капитал согласен на всякое применение, при 20 процентах он становится оживлённым, при 50 процентах положительно готов сломать себе голову, при 100 процентах он попирает все человеческие законы, при 300 процентах нет такого преступления, на которое он не рискнул бы, хотя бы под страхом виселицы.
5

Asimon
27.10.2021 18:55
в СССР автомат с пяточкАми был надежней )
3

Обучение

Материалы по теме