Вены вместо отпечатков: почему биометрия оказалась небезопасной и как это можно изменить
В современном мире самым распространенным способом идентификации личности является биометрии. Естественно, что и сами способы идентификации, и методы их обработки постоянно совершенствуются.
Архитектор и исследователь систем кибербезопасности Айдар Имашев, исследуя современные технологии в области кибербезопасности, биометрии и нейросетей, разработал систему определения человека по рисунку вен, которая может работать без подключения к интернету, за что получил награду международной бизнес-премии Cases & Faces 2025. Автор серии научных работ для международных журналов, он также оценивал проекты в сфере ИИ и ИТ-безопасности на технологическом конкурсе во Франции и участвует в развитии глобального сообщества разработчиков Hackathon Raptors.
Эксперт рассказал о том, как меняется рынок биометрии, почему привычные методы аутентификации не гарантируют полной безопасности и как на защиту данных влияет ИИ.
– Айдар, проблемам безопасности обращения с данными вы посвятили три года работы, результатом которой стали как десяток статей, опубликованных в рецензируемых изданиях, например Sciences of Europe, так и практическое решение. Какие главные уязвимости традиционной биометрии вы стремились решить?
– Главная проблема современной биометрии заключается в том, что она оказалась довольно поверхностной. И развитие ИИ делает технологию идентификации человека по отпечаткам пальцев или радужке более уязвимой к атакам, так как нейросети быстро могут придумывать пути обхода защиты.
Другая проблема – это централизованное хранение биометрических данных. Если такая база данных утечет, проблема станет необратимой: если обычный пароль можно заменить новым, более сложным, изменить лицо человека уже не получится, а значит, этот вид защиты после утечки становится для человека уже невозможным.
И третья проблема – статичность. Большинство систем проверяют личность один раз в момент входа, но не отслеживают поведение или контекст дальше, что тоже открывает окно для злоупотреблений.
– Ваш проект международная премия назвала технологической инновацией в области кибербезопасности. В его основе лежит идентификация человека по рисунку вен. Технология считается одной из самых перспективных в мире. Почему?
– Уникальный рисунок вен сложнее подделать. Улыбку или радужку можно сфотографировать, отпечаток пальца – снять с поверхности или сделать с него слепок. Такая биометрия больше подвержена утечкам. Поэтому сейчас и растет интерес к более защищенным подходам, включая локальную обработку и более сложные биометрические признаки, которые труднее подделать. Вены же – живая система, которая формируется не только анатомией, но еще и кровотоком, и находятся под кожей – их не сфотографируешь.
– Но это считается одной из главных сложностей, которая препятствует массовому распространению технологий. Как вы предлагаете их считывать и анализировать?
– Вены может считать только инфракрасный диапазон, так как его поглощает кровь. На изображении вены выглядят темным узором. Дальше его анализирует ИИ и создает шаблон. В следующую попытку входа система сравнит шаблон с теми, что хранятся в базе. Если будет совпадение выше заданного порога, то доступ подтвержден. На деле это все происходит довольно быстро.
– Такие системы часто требуют сложного и дорогого оборудования, что тоже препятствует массовости применения. Как вам удалось сохранить уровень защиты, не усложняя систему?
– Раньше такие системы работали благодаря дорогим сканерам, а теперь эту задачу можно решить во многом за счет программного обеспечения. Простые и доступные сенсоры компенсируют в точности алгоритмы обработки. Плюс сами устройства можно сделать менее нагруженными: часть вычислений при необходимости переносят на сторонние серверы, поэтому на месте не нужно ставить мощное и дорогое оборудование. Это снижает и цену закупки, и расходы на обслуживание.
– Ваше решение, в отличие от большинства других подобных, предполагает идентификацию человека без подключения к интернету. С точки зрения безопасности это снижает риски, но где тогда хранится массив данных?
– Данные преобразуются в зашифрованный биометрический шаблон. Он может храниться локально, например, на самом устройстве или в защищенном модуле. База может располагаться и вне интернета, данные изолированы, зашифрованы и защищены на уровне устройства. Это помогает снижать риск утечек и несанкционированного доступа.
– Помимо безопасности и биометрии, вы исследуете ИИ. В одной из научных работ вы анализируете поведенческую биометрию – распознавание человека с помощью нейросетей по характерным жестам и даже манере водить авто. Как вы оцениваете точность такого подхода в сравнении с привычными методами и какие перспективы технологии видите?
– По точности такие системы уже могут быть сопоставимы с традиционной биометрией. Ее сложно подделать, можно адаптировать под разные устройства, но у нее возможны ложные срабатывания из-за изменений в поведении, например, когда человек устал или волнуется.
Вряд ли поведенческая биометрия вытеснит физиологическую, скорее будет использоваться в качестве дополнительного слоя защиты.
Например, первичная аутентификация может быть по биометрии, а дальше поведенческая модель будет непрерывно подтверждать, что это действительно тот же пользователь. Что касается повсеместного использования, то к этому все постепенно и придет. Особенно в кибербезопасности и финтехе, где важна не только идентификация в момент входа, а постоянная проверка личности и выявление подозрительных действий в реальном времени.
– Если говорить про роль ИИ в биометрии, то возникает вопрос о безопасности таких решений, и именно с этой точки зрения вы оценивали проекты в жюри международного конкурса NextGen Hackathon 2025. Насколько, по вашему наблюдению, передовые решения в биометрии действительно учитывают вопросы защиты данных и устойчивости к атакам?
– Многие проекты делают упор на точность распознавания, но недооценивают вопросы архитектуры безопасности. Это то, как хранятся данные, как они передаются и что происходит в случае атаки. При этом я вижу и позитивный тренд: все больше проектов начинают закладывать защиту на уровне системы. Но в целом эта сфера все еще в процессе взросления, потому что понимание того, что биометрические данные больше про повышенную ответственность за их хранение и обработку, чем про удобство и скорость, только формируется.
– Сейчас вы как избранный член международного объединения разработчиков участвуете в формировании трендов и оценке кандидатов на вступление в Hackathon Raptors. В каком направлении, на ваш взгляд, сообществу нужно развивать биометрию?
– Биометрию нужно развивать в сторону более сложных признаков, которые сложнее подделать – например, те же вены, сердечные ритмы или поведенческие признаки. Это первое.
Второе – децентрализация данных. Такая чувствительная информация не должна храниться в одном месте, поскольку это в разы повышает риски потери или кражи.
Я вижу перспективу за распределенными решениями, которые позволяют данным либо не покидать устройство, либо храниться в зашифрованном или фрагментированном виде. Биометрия сейчас проходит этап переосмысления после первых шагов массового применения, и параллельное развитие смежных ИТ-технологий, я уверен, позволит найти безопасные решения, о которых мы сейчас можем даже не догадываться.
Айгуль Саматова.
