Распространение по миру вируса COVID-19 вызвало резкое изменение паттернов потребительского поведения. В условиях роста панических настроений и предписаний соблюдать социальную дистанцию растет доля тех потребителей, которые сознательно или вынужденно отказываются от физического контакта с продавцом.
Тем самым стимулируется развитие дистанционных услуг и сервисов, таких как онлайн-заказ продуктов, бесконтактная курьерская доставка товаров повседневного спроса, оформление договоров на банковское и страховое обслуживание, открытие вкладов, получение дистанционной медицинской и юридической помощи. Более активно происходит замещение оборота наличных денег в торговле различными инструментами бесконтактных и дистанционных платежей.
Со стороны поставщика услуг и продуктов подобное изменение потребительского поведения требует перестройки собственных маркетинговых и дистрибуционных политик, которые подразумевают более активное внедрение информационных технологий и в частности систем дистанционной идентификации клиента и его верификации. Предоставление дистанционных услуг, где требуется использование чувствительной информации, относящейся к персональным данным, предъявляет к обеспечению информационной безопасности особые требования. Особенно это касается банковских услуг, услуг страхования, аренды недвижимости, медицинских услуг.
Например, в условиях вынужденного карантина при проведении дистанционных медицинских консультаций точная верификация личности пользователя представляется ключевым требованием, так как в информационный обмен могут быть включены не только данные пользовательских удостоверяющих документов, но и история болезни, результаты анализов и пр. Внедрения инструментов распознавания удостоверяющих документов здесь явно недостаточно. Требуется построение интегрированных систем, которые бы позволяли не только распознать документ пользователя за монитором компьютера в удаленном режиме, сравнить фото пользователя с фото на документе, но и выявить признаки подделки документа, а также возможную попытку обхода идентификации по лицу за счет технических средств.
Типичным примером недостаточного уровня безопасности внедренной системы удаленного распознавания документов может служить опыт финансовых организаций, выдавших мошенникам в удаленном режиме кредиты по копиям скомпрометированных документов. Причиной служит недостаточно совершенная система удаленной верификации пользователя, делающая возможным взять кредит по изображению паспорта, купленному в даркнете.
Безопасности много не бывает
Уже давно как провайдеры услуг, так и клиенты понимают, что в условиях развития информационных технологий однофакторной аутентификации пользователя на основании связки “логин-пароль” явно недостаточно. Точно так же недостаточно и аутентификации исключительно по данным удостоверяющих документов или их образов.
Утечка связки “логин-пароль” стала уже привычным кейсом в области нарушений информационной безопасности. Таким же обычным явлением становится утечка данных удостоверения личности или его образа в виде скана или фото. Именно поэтому их использование в сервисах в качестве единственного способа подтверждения личности сегодня практически не применяется, так как представляет реальную угрозу достаточно легкого несанкционированного доступа не только к персональным данным пользователя, но и получением контроля его учетной записи.
Одним из выходов в данной ситуации становится одновременное использование технологий распознавания лиц и распознавания документов с проверкой документа на наличие признаков подделки как лица, так и документа. Процесс здесь состоит из двух обязательных действий, которые пользователю системы необходимо предпринять, чтобы быть верифицированным.
Сначала при помощи технических средств происходит распознавание полей документа с необходимыми данными, определение наличия или отсутствия признаков подделки, выделение среди прочих элементов, которые машинное зрение найдет на странице, фотографии пользователя (как правило все документы, удостоверяющие личность в большинстве стран сегодня содержат фото владельца).
Вторым необходимым действием является распознавание лица пользователя по фото, благодаря чему устанавливается полное соответствие (тождественность) лица на фото в паспорте или ID карте, и фотографии, сделанной на телефон. С учетом распространения такого явления как deepfake, как к разработчикам систем распознавания документов, так и к разработчикам систем распознавания лиц предъявляются повышенные требования в части распознавания признаков подделки.
Смартфон в кармане против камеры на столбе
Обратим внимание, что мы говорим исключительно об активной технологии распознавания лиц, которая проводится на основании добровольного “предъявления” собственного лица пользователя в камеру сканирующего устройства. В нашем случае — это конечное пользовательское устройство — смартфон или вебкамера.
При использовании пассивного распознавания лиц, применяемого на улицах и в общественных местах, пользователь зачастую не знает, в какой момент его лицо было распознано и с какой целью это было сделано. Да, безусловно, декларируется, что пассивное распознавание лиц необходимо для обеспечения общественной безопасности и правопорядка. Но одновременно эта процедура в явном виде является ограничением свободы.
Для нас совершенно очевидно, что любая технология, которая разрабатывается сегодня, в условиях ускоренного технологического развития, должна применяться исключительно с согласия человека, служить для развития и поддержки его прав и свобод. Особенно, когда речь идет о сборе, накоплении, систематизации и передаче персональных данных. Решение о том, каким образом осуществлять свою идентификацию, должен принимать пользователь, причем имея возможность осознанного выбора и применения альтернативных методов.
Активное распознавание лица, как и распознавание документов, являются сугубо добровольными актами, которые в условиях ужесточения требований безопасности к удаленной идентификации и верификации, являются шагом к реализации прав и свобод. Обратите внимание, что облегчая дистанционный доступ к своим услугам в условиях изоляции, компании делают его в прямом смысле безопаснее, демонстрируя заботу о клиенте, его времени, здоровье и комфорте. При этом для конечного пользователя сохраняется свобода действия и право выбора.
Третий лишний
Обратим внимание, что в обоих случаях — и при распознавании удостоверений личности, и при распознавании лиц — мы имеем дело с чрезвычайно чувствительными данными, которые всем участникам процесса лучше бы тщательно оберегать от чужих глаз.
Со стороны клиентов обеспечить безопасность своих персональных данных достаточно просто: ключевое правило — не загружать изображения собственного документа и собственного лица при регистрации на неизвестных страницах и в неизвестных сервисах. Со стороны заказчиков эта ответственность заключается в выборе подрядчиков при разработке программ и их интеграции в собственные информационные системы, обеспечение безопасности хранения и передачи полученных пользовательских данных.
К системным интеграторам абсолютным требованием является избегать построения конструкции, при которой распознавание идет на сторонних неконтролируемых серверах, а данные передаются в незащищенном виде по неустойчивым или слабо защищенным каналам.
То же самое требование предъявляется и к разработчикам: процедура распознавания документов не должна допускать передачу на сторонние ресурсы, которые находятся вне пределов контроля стороны, получающей пользовательские данные.
Самым безопасным решением сегодня является такая схема взаимодействия, при которой распознавание документов производится абсолютно автономно на конечном устройстве пользователя без сохранения и передачи образов документов на сторонние сервисы. Такая схема минимизирует риски утечек и не дает мошенникам украсть образы документов, продать или использовать их для различных противоправных действий.
Таким образом получается, что в случае грамотного построения системы автоматизации взаимодействия с клиентами их удаленной верификации, распознавание лиц и распознавание документов выступают не как антагонисты или замещающие друг друга процессы, но как необходимое дополнение, благодаря которому функционал приложений раскрывается наиболее полно.
Шаг к свободе или цифровое рабство?
pixabay.com TheDigitalArtist
В сегодняшнем случае пандемии, когда страны переходят к вынужденному карантину, который касается до 90% активного населения, надежные и безопасные системы распознавания с одной стороны позволяют бизнесу сохранять взаимодействие с собственными клиентами и не уходить на тотальные каникулы, а с другой — не ущемляют свобод простых граждан, и так страдающих от вынужденного затворничества. Важно, что подобные системы, в отличие от систем всеобщего контроля, прототип которых был описан в известной антиутопии Джорджа Оруэлла, не следят за гражданами (как в условиях пандемии, так и вне ее), не собирают данные и не передают их без шифрования по открытым сетям.
Технологии распознавания сегодня требуют готовности общества к их использованию. Внедрение неграмотных решений и нерациональное использовании уже имеющихся возможностей распознавания угрожает настоящей цифровой диктатурой. Имеется огромный риск вместо улучшения качества жизни и формирования положительных изменений социально-экономической жизни получить совершенно обратный эффект, при котором технологии работают на процветание мошенников и держат в страхе рядовых граждан.