Получая данные от органов чувств, мозг автоматически отбрасывает незначимые атрибуты (освещение, ракурс, окружение) и оценивает значимые — пропорции лица и тела, походку, голос и даже запах. Результаты соотносятся с хранящимися в памяти данными, и вот уже человек восклицает: «Привет, старик! Сколько лет, сколько зим!» Параллельно мозг фиксирует изменения, которые появились в облике приятеля с последней встречи. Все это делается очень быстро и, как правило, безотчетно — сознание подключается лишь при существенных затруднениях: «А это вообще он? Не мог же человек так измениться... или мог?»
Подобный процесс установления сходства между нынешними и прошлыми атрибутами человека называется идентификацией. Без нее не обходится практически ни один аспект общественной и личной жизни, ведь это единственный способ обеспечить преемственность любых отношений. Последствия, к которым приводят нарушения этой важнейшей функции, лежат в основе множества сюжетов в литературе и кино — от комедий с переодеванием до фантастического обмена разумами.

Для идентификации могут служить самые разные атрибуты, сходство которых с различной степенью надежности указывает на то, что мы имеем дело с одним и тем же субъектом. Но желательно найти или создать специальный атрибут, который бы оставался неизменным продолжительное время (в идеале всегда) и при этом легко измерялся и однозначно определял, с кем мы имеем дело. Эту роль может играть, например, номер паспорта.

Буквы и цифры легко сравнивать, поскольку все люди со школы учатся уверенно распознавать их независимо от особенностей начертания. Еще легче такое сравнение дается компьютерам, для которых внешних различий символов не существует — одна и та же буква всегда представлена заранее оговоренным кодом. Однако связь паспорта с конкретными телом и душой человека опирается лишь на сходство фотографии, сделанной иногда много лет назад. Очевидно, это слабое звено всей системы паспортной идентификации. Можно ли надежнее связать идентификатор с личностью?

Это далеко не новая проблема. В древности рабов клеймили, в концлагерях Второй мировой войны заключенным наносили татуировку с номером. Современное общество отвергает подобные методы, но потребность в надежной идентификации от этого не исчезает. Поэтому теперь используют более естественные атрибуты, которые есть у каждого человека с рождения: отпечатки пальцев, уникальные рисунки радужной оболочки глаза, особо отобранные сегменты ДНК и другие признаки. Дисциплина, занимающаяся методами измерения атрибутов живых организмов (как правило, человеческих), называется биометрией, а результаты этих измерений, применяемые для установления тождественности биологических объектов, — биометрическими идентификаторами.
Пальцы и кисти

Анализ расположения папиллярных линий на подушечках пальцев по праву считается одним из самых старых биометрических методов. Тот факт, что папиллярные узоры у людей никогда не повторяются, был известен в Китае и Японии еще в VII веке. Там отпечатки пальцев ставились под брачными контрактами, а также использовались для идентификации преступников. Европа опоздала с применением этого нехитрого биометрического метода на 12 веков, что, впрочем, не помешало ему широко распространиться за считанные годы, а во второй половине XX века выйти за рамки криминалистики. Сегодня достаточно одного прикосновения к сканеру (оптическому, полупроводниковому или ультразвуковому), чтобы получить доступ к собственному компьютеру или локальной сети, отметиться, что вы пришли на работу, снять деньги с банковского счета и даже проголосовать на выборах.

Главный недостаток этого относительно простого и дешевого метода биометрической идентификации заключается в том, что загрязнения или повреждения, например порезы на подушечках пальцев, препятствуют правильному распознаванию папиллярного узора. Кроме того, практика показывает, что для изготовления слепка с отпечатка пальца, оставленного, к примеру, на стекле или другой гладкой поверхности, достаточно лишь немного желатина и формовочного пластика. А еще этот метод идентификации многие недолюбливают из-за устойчивой ассоциации с криминалистикой. Однако, несмотря на все недостатки, он стал самой распространенной биометрической технологией. Все больше ноутбуков, клавиатур, мышей и внешних жестких дисков выпускается со встроенным дактилоскопическим сенсором.

Еще одна похожая по принципу действия технология — идентификация по форме кисти руки. Сканер HandKey компании Honeywell оценивает геометрию кисти и особенности строения пальцев, которые ничуть не менее уникальны, чем папиллярный узор. Порезы и загрязнения на результат опознавания почти не влияют, так что обмануть такое устройство несколько сложнее, хотя тоже возможно. Выпускаются и системы, идентифицирующие человека по рисунку кровеносных сосудов руки. Например, над сканером PalmSecure от компании Fujitsu достаточно просто подержать ладонь — прикосновения не требуется. Важное преимущество подобных устройств в сравнении с дактилоскопическими сенсорами — заметно меньшая вероятность утечки биометрических данных: люди имеют привычку оставлять свои отпечатки пальцев в самых неожиданных местах, чего не скажешь про сведения о геометрии сосудов.

Соперничать с отпечатками пальцев по длительности «карьеры» идентификатора может разве что подпись. На сегодня детально разработан анализ динамичности подписи, основанный на измерении скорости, нажима и направления наклона в момент, когда человек расписывается на специальном сенсорном планшете вроде тех, что выпускает лондонская компания KeCrypt. В силу традиции этот способ идентификации наиболее популярен в банковской сфере. Основной и очень серьезный его недостаток — крайняя нестабильность большинства анализируемых параметров у одного и того же человека, особенно на больших интервалах времени. А при некоторых заболеваниях, таких как болезнь Паркинсона, человек вообще теряет способность повторять один и тот же росчерк.
Мифы биометрии
1. В сканерах радужной оболочки или сетчатки глаза применяются лазеры. На самом деле для идентификации используется обычная фотокамера.
2. Биометрическую систему можно обмануть, как показывают в голливудских фильмах, отрезав у субъекта подлежащую сканированию часть тела и предъявив ее для идентификации. На самом деле отрезанный палец уже 10—15 минут спустя не пройдет биометрический контроль. Извлеченный глаз деградирует еще быстрее.
3. Ваши отпечатки пальцев хранятся в каждой системе дактилоскопической идентификации. На самом деле в системе хранятся только некоторые параметры изображения, восстановить по которым собственно отпечаток невозможно.
Глаза и лица

Все большую популярность приобретает идентификация по рисунку радужной оболочки глаза, а также по уникальному сосудистому узору глазного дна. Ни очки, ни линзы сканированию не мешают. Оба метода весьма надежны и потому в последнее время все чаще применяются на объектах с повышенным уровнем секретности. Но и тут не все идет гладко. Лет десять назад в Германии, Японии и США тестировались банкоматы со сканерами радужной оболочки. Такому устройству в буквальном смысле слова хватало одного взгляда в глаза клиента, чтобы определить, с кем оно имеет дело. Однако в момент идентификации сканер должен был находиться так близко к глазу, что многих пользователей это пугало и процедура была для них весьма тягостной. К тому же метод не работал при некоторых заболеваниях глаз (катаракте, иридоциклите). Эти недостатки вкупе с высокой стоимостью и громоздкостью оборудования не позволили широко внедрить данный способ идентификации. Впрочем, технологии не стоят на месте, и сейчас отчетливую фотографию радужной оболочки можно получить с расстояния более полуметра.

Особый интерес представляет идентификация по совокупности черт лица. Фактически человек пытается научить компьютер тому, что сам проделывает с легкостью, почти того не осознавая. Как бы ни менял человек прическу, бороду, усы, как бы ни вертелся перед камерой, компьютер способен распознать его среди миллионов других, оценивая от 12 до 40 параметров строения его лица. Сегодня такие идентификационные системы распространяются со скоростью лесного пожара. Вас попросят взглянуть в объектив на паспортном контроле при пересечении границы, камера изучит ваши черты в банке у окошка для обналичивания чеков или даже просто на улице мегаполиса. А началось все с английского городка Ньюхем — первого в истории места, где каждый метр общественного пространства контролируется камерами (кстати, с полного согласия и одобрения жителей). И не просто контролируется: каждое лицо, попавшее в объектив любой из камер в Ньюхеме, немедленно сравнивается с базой данных полиции, и если обнаруживается сходство, система посылает сигнал диспетчеру.

И вот, наконец, мы дошли до ДНК-идентификации. Этот метод отличается высокой надежностью и основывается на том, что в геноме каждого человека есть особые участки, так называемые микросателлиты, настолько изменчивые, что различаются даже у близких родственников, однако — и в этом их уникальность — не настолько, чтобы невозможно было установить наличие родственной связи. ДНК — это один из немногих объектов биометрии, который позволяет идентифицировать человека после смерти, причем даже давно наступившей. Но есть у этого идентификатора и серьезный недостаток: анализ ДНК не проведешь на коленке, одним глазом поглядывая в паспорт, другим — на вас. Это трудоемкий процесс, требующий лабораторного оборудования, реактивов и, главное, времени. Поэтому он пока редко применяется за пределами медицины и криминалистики.
Три рода ошибок

Какой из методов идентификации применять в той или иной ситуации? Это зависит от требований к простоте его использования, стоимости и надежности. Причем надежность складывается из трех составляющих: вероятности обознаться («узнать незнакомого»), вероятности не узнать знакомого и вероятности того, что система вообще не сможет принять никакого решения. Это соответственно ошибки первого, второго и третьего рода.

Устойчивость к ошибкам первого рода — самый, пожалуй, важный параметр. Он характеризует способность идентифицировать данного конкретного человека и не путать его ни с кем другим. Высокий уровень таких ошибок был одной из главных проблем на заре развития электронных средств, умеющих распознавать отпечатки пальцев. Да и сейчас в дешевых устройствах сканируется лишь небольшой участок подушечки пальца, на котором может оказаться мало характерных деталей. Из-за этого даже в одном небольшом офисе порой находятся люди, которых сканер не может различить. Серьезные биометрические системы, используемые для ограничения доступа в помещения или к информации, весьма надежны и могут по ошибке пропустить чужака не чаще раза на миллион попыток.

Ошибками второго рода (или ложнонегативными срабатываниями) называют ситуации, когда система отказывает в доступе зарегистрированному в ней пользователю. В лучшем случае затруднение преодолевается повторным прохождением проверки, что лишь немного замедляет процесс, а в худшем требует вмешательства обслуживающего персонала, что отнимает много времени и повышает издержки. И все же критичность ошибок второго рода ниже, чем первого (когда система впускает постороннего), поэтому нормальным уровнем ошибочных отказов в доступе считается 1 раз на 50—100 попыток. Больше других эти ошибки заставили поволноваться специалистов, работавших с первыми аппаратами идентификации по подписи. Из-за большого числа сравниваемых параметров и значительных вариаций почерка аппараты в двух случаях из трех не распознавали подпись одного и того же лица.

Обычно в биометрической системе есть определенный баланс между ошибками первого и второго рода: при снижении числа ложноположительных срабатываний растет вероятность ложноотрицательных и наоборот. Это и понятно — ведь чем придирчивее мы смотрим на данные, тем выше шансы усомниться в знакомых атрибутах. Повысить оба показателя надежности можно только принципиальным усовершенствованием биометрической методики.

Об ошибках третьего рода в популярных статьях о биометрии часто даже не упоминают, поскольку внешне они очень похожи на ошибки второго рода — пользователю отказывают в доступе, так как система не смогла его узнать. Однако природа этих ошибок иная и связана не с недостатками алгоритмов распознавания, а с внешними причинами. Так бывает, когда проходящий проверку человек утратил или по каким-то иным причинам не смог предъявить необходимые для идентификации атрибуты. К примеру, химический ожог от работы с суперклеем может на несколько дней испортить отпечаток пальца, бельмо на глазу помешает идентификации по радужной оболочке, а насморк — по голосу. Возможно, лично у вас подобные обстоятельства редкость, но есть люди, для которых это постоянная проблема, они-то и поднимают статистику ошибок третьего рода до уровня около 1%.
Никуда не годный ключ

На первый взгляд повсеместное применение биометрической идентификации выглядит весьма соблазнительно. Не нужно запоминать никаких паролей, нет риска потерять смарт-карту или иное средство доступа, идентификация обычно проходит быстро и просто. Увы, все эти достоинства нивелируются фундаментальным недостатком биометрической информации — будучи хорошим идентификатором, она является никуда не годным ключом.

Проблема коренится в том, что любая биометрическая система сравнивает между собой не объекты реального мира, а результаты измерений. Отсюда целый ряд отличных возможностей для введения ее в заблуждение. Скажем, раздобыв чужие результаты измерений, можно заранее сохранить их в уже готовом для обработки виде и, получив доступ к аппаратуре, ввести в систему в обход биометрических сенсоров. Доступ к программному обеспечению позволит подменить хранящиеся в системе данные другого пользователя своими. Но и без всякого доступа можно легко обмануть биометрическую проверку, предъявив сенсорам муляж, например, чужого пальца.

Принципиальное отличие скопированного отпечатка пальца от украденной смарт-карты или подсмотренного пароля заключается в том, что последние легко заменить, а пальцев у человека всего 10. И поскольку люди не слишком часто работают в перчатках, заполучить чей-либо отпечаток пальца без его ведома — дело нехитрое. Довольно убедительно это продемонстрировала известная немецкая хакерская группа CCC, «украв» отпечаток пальца министра внутренних дел Германии Вольфганга Шойбле, который активно выступал за внесение отпечатков пальцев в электронные паспорта. Во время публичного выступления в университете он имел неосторожность прикоснуться к стакану с водой, и теперь рисунок его собственного пальца стал публичным достоянием и широко растиражирован в Интернете. Несложно заполучить и рисунок радужной оболочки — достаточно обычной фотографии глаза в хорошем качестве. А уж образцы своей ДНК люди оставляют просто повсюду — для их получения достаточно невымытой кофейной чашки или выпавшего волоса. Другими словами, биометрические данные ни в коем случае нельзя считать секретными, они легкодоступны, и относиться к ним надо так, как если бы они были представлены для всеобщего обозрения.

Конечно, с муляжами и другими подделками пытаются бороться. Так называемая «проверка на живость» (liveness check) позволяет биометрическому устройству определить, имеет оно дело с живым человеком или ему подсовывают фальшивку. К сожалению, обойти эти проверки часто не сложнее, чем украсть сами данные. Например, в сканерах отпечатков пальцев есть температурные сенсоры и емкостные датчики. Первые легко обмануть полиэтиленовым пакетом с теплой водой или подогретым воском, вторые — специальным щупом или просто другим пальцем.

Книги и фильмы, в которых биометрические системы с удовольствием применяют банки и военные организации, создают впечатление, что это окончательное решение вопроса о безопасном доступе к данным. На практике же часто оказывается, что результатам их работы можно доверять не более чем подписи под документом, отправленным по факсу.
Крупные утечки персональных данных в 2008 году
23 марта в Интернете опубликована база данных по большинству граждан России, Украины и ряда стран СНГ. Она включает паспортные данные, адреса, телефоны, данные ГАИ, приводы в милицию и судимости, владение недвижимостью, участие в юридических лицах. Сайт, зарегистрированный на гражданина Панамы, продолжает работать, доступ к свежей информации платный. Поэтому на территории бывшего СССР защиты персональных данных на сегодня не существует. В развитых странах утечки персональных данных считаются серьезным ЧП, но все равно регулярно происходят. Вот самые крупные события всего за несколько месяцев 2008 года, по данным сайта InfoWatch.ru.
24 июня, Германия. Обнаружено, что базы данных 15 госучреждений с информацией по 500 000 граждан (имена, семейное положение, вероисповедание) три месяца находились в открытом доступе: служащие не сменили пароль, использованный в документации как пример.
19 августа, США. Холдинг Dominion Enterprises обнаружил, что в начале года из-за хакерской атаки произошла утечка кредитных анкет 92 000 клиентов.
27 августа, Великобритания. На интернет-аукционе продан подержанный компьютер компании Graphics Data с финансовыми данными (номера счетов, подписи, телефоны) около миллиона человек.
29 августа, США. Bank of New York признал, что в мае потерял при транспортировке 10 магнитных лент с незашифрованными именами, адресами, датами рождения и номерами социального страхования 12,5 миллиона клиентов.
8 сентября, Южная Корея. Украдена база данных по 11 миллионам клиентов интернет-провайдеров с персональными номерами (аналог паспорта), телефонами, адресами. В числе пострадавших — министр внутренних дел, спикер парламента, руководитель секретной службы.
18 сентября, Норвегия. Государственное налоговое управление по ошибке разослало журналистам диски с данными налоговых деклараций 4 миллионов граждан за 2006 год.
13 октября, Великобритания. В Министерстве обороны пропал жесткий диск с данными 600 000 военнообязанных, включая адреса, банковские реквизиты, номера паспортов, водительских прав и телефонов.
Проверено электроникой

Идентификаторам доверяют. Да и как не поверить официальной бумаге с подписью должностного лица и печатью соответствующего органа? Но именно поэтому идентификаторы подделывают, когда стремятся выдать себя за другого человека. В английском языке такие преступления называют identity theft — «кража идентичности». Это, кстати, не очень удачный термин, поскольку идентичность-то как раз украсть нельзя, можно лишь примерить на себя чужой идентификатор. В России подобные деяния попадают в обширную категорию мошенничества.

Самый универсальный международно признаваемый идентификатор человека — это номер его паспорта. А, как мы помним, в схеме паспортной идентификации самое слабое звено — связь документа с физическим телом его владельца. После событий 11 сентября 2001 года правительства многих стран решили в числе прочего заделать и эту брешь в безопасности, внеся в документы своих граждан биометрическую информацию. Соответствующие стандарты и технологии были согласованы через Международную ассоциацию гражданской авиации ICAO, поскольку вне собственной страны человек чаще всего предъявляет документы именно в аэропортах.

Теперь в новые паспорта, отмеченные специальным символом, впечатан электронный чип, несущий стандартизованные персональные и биометрические данные. Из последних, правда, широко используют пока только и так имеющуюся внутри документа фотографию, но некоторые страны уже готовы записывать на чип отпечатки пальцев и сканы радужной оболочки. Если на контрольном пункте обнаружится, что их рисунки не соответствуют вашим, это будет все равно что подать пограничнику паспорт с явно чужой фотографией. Подделать такой рисунок куда труднее фотографии: даже если научиться подменять впечатанную микросхему, записанные данные должны быть заверены электронной цифровой подписью, которая есть только у органов, выдающих биометрические паспорта. Прочитать подписанные данные можно свободно, а вот сгенерировать их без секретного ключа цифровой подписи не получится.

Это весьма надежная привязка. Пытаясь продемонстрировать уязвимость биометрических паспортов, хакерская группа The Hacker’s Choice изготовила в 2006 году поддельный документ на имя Элвиса Аарона Пресли. Оказалось, что в терминале аэропорта Амстердама данные из паспорта были без помех прочитаны и показаны на экране. Однако это не обеспокоило официальные органы. В отличие от сканеров пограничного контроля использованный хакерами терминал был лишь справочным устройством, он считывал данные из паспорта, но не проверял их цифровую подпись. Так что для создания полноценного поддельного биопаспорта злоумышленникам по надобится украсть секретный ключ, которым МВД той или иной страны подписывает данные в чипах паспортов, а это уже шпионаж высокого полета. Но рано или поздно и такое должно случиться, поэтому в будущем ключи планируется периодически менять, и тогда добропорядочным гражданам придется обновлять свои паспорта.
Прощай, приватность

Каждая проверка идентификатора может порождать след — запись в базе данных об обстоятельствах этого события. Предъявляя паспорт в аэропорту, гостинице или полицейскому, составляющему протокол о ДТП, будьте готовы к тому, что ваши данные останутся в электронном документальном отчете. И если органы власти проявят к вам интерес, эта информация будет извлечена на поверхность. Но так было и раньше, до введения в обиход биометрических документов. Что же изменилось?

Пока почти ничего — эпоха биометрии еще только начинается. Раньше человек оставлял информационный след лишь в немногих местах, как правило в государственных учреждениях. Процедура эта была достаточно трудоемкой и выполнялась вручную. Сейчас люди, сами того не замечая, порождают множество записей в базах данных. Эти базы разрозненны, поскольку принадлежат разным организациям, и для каждой используется свой идентификатор: для государства — паспортные данные, в банке — номер кредитки, в супермаркете — скидочная карта, на работе — электронный пропуск, у сотового оператора — номер, у интернет-провайдера и на разных сайтах — многочисленные логины с паролями. В случае серьезного расследования почти все эти идентификаторы можно связать с одним человеком, но для этого нужны специальные оперативно-розыскные мероприятия.Биометрическая идентификация избавит нас от вороха карточек. Достаточно махнуть биопаспортом перед считывающим устройством, провести пальцем по сканеру и получить все, что причитается. Но платой за удобство станет единый биометрически привязанный к вам идентификатор для самых разных баз данных. При наличии доступа к ним можно будет быстро и просто получить массу информации о вашей частной жизни: с кем общаетесь, что покупаете, где отдыхаете, часто ли задерживаетесь на работе. Добавьте к этому данные из вашего блога — и перед мошенником открывается огромный простор для деятельности. А главное, имея такие базы с миллионами записей, преступник может оптимальным образом подбирать себе жертву. И не думайте, что базы персональных данных так уж труднодоступны. В мире постоянно обнаруживаются крупные утечки, и это, вероятно, лишь малая часть от числа реально происходящих. Если раньше составить на человека исчерпывающее досье могли лишь некоторые государственные органы, то сейчас это рутинная работа служб безопасности коммерческих компаний. Приватность стремительно вымывается из нашей жизни.

Но даже если информация не выйдет за стены уполномоченных государственных органов, можно ли полагаться на то, что правительства будут использовать информацию о своих гражданах только в благих целях, например, для ловли террористов и прочих преступников? Возможность легко узнать подноготную любого человека открывает широкий простор для злоупотреблений. Информационный след может быть использован для устранения конкурентов или для расправы над политическими противниками. Поскольку доступ к такой базе данных будет нужен очень многим правительственным структурам, какая-нибудь непременно окажется слабым звеном.

И наконец, правительства не только не идеальны, но и не вечны. Демократия может смениться авторитарным или тоталитарным режимом, как это не раз бывало на протяжении предыдущего столетия. И тогда гигантские базы данных помогут государству искать и преследовать неугодных ему граждан — во имя великой цели, разумеется. Тут уже от тотального контроля будет не уклониться — отпечатки пальцев и другие биометрические атрибуты даются человеку с рождения, и изменить их непросто даже квалифицированному пластическому хирургу. Оправдан ли риск подобного развития событий теми бытовыми удобствами и некоторым приростом эффективности правоохранительных органов, которые сулит нам эпоха биометрии?

Как бы то ни было, тщетно пытаться остановить технический прогресс. Биометрические технологии и большие базы персональных данных уже вошли в нашу жизнь и ведут к неизбежному размыванию приватности. Для сохранения хотя бы ее остатков нужны законы, защищающие персональную информацию от посягательств. Во многих странах такие законы уже есть. Но и они бессильны компенсировать ущерб от случающихся утечек данных и служат лишь для их профилактики и наказания виновных.

Часто можно услышать мнение: «Пусть следят, честному человеку скрывать нечего». Но говорящие так не учитывают, что сами следящие вовсе не обязательно окажутся такими же честными людьми. Получив возможность наблюдать за частной жизнью граждан, они могут в собственных интересах вмешиваться в коммерческую деятельность или преследовать за убеждения. Конечно, в спорных ситуациях открытость и документированность частной жизни помогут государству и некоторым другим организациям гораздо быстрее ответить на вопрос: «Кто виноват?» Вот только совпадет ли их представление о вине с вашим?

Источник: http://"Вокруг Света" Елена Павлова, Александр Темерев