Минцифры выпускает стандарт точности биометрии
Ведомство подготовило проект приказа, регламентирующий вероятность ложного распознаванияНовый проект приказа Минцифры опубликован на портале нормативно-правовых актов. Он утверждает две методики, по которым теперь может осуществляться проверка биометрических данных.
Согласно документу подлинность предоставленных биометрических персональных данных физического лица может быть подтверждена двумя разными алгоритмами: путем сравнения «один к одному», т. е. когда биометрические данные человека сверяют с его же данными, сохраненными в системе, или при поиске «один ко многим», когда биометрию человека сверяют со множеством данных, имеющихся в базе.
При этом степень взаимного соответствия предоставленных данных человека его биометрическим персональным данным, достаточная для проведения идентификации, должна составлять не менее 0,9999, указано в документе.
В Минцифры пояснили, что приказ устанавливает требования только в отношении биометрических персональных данных, используемых для идентификации или аутентификации по Единой биометрической системе (ЕБС), или в Государственных информационных системах.
ЕБС была запущена в 2018 г., ее оператором является «Ростелеком», а в самой системе используются решения нескольких разработчиков, например VisionLabs и NTechLab. Сейчас в системе зарегистрировано 164 000 человек. Российские банки параллельно развивают собственные биометрические базы, и они сегодня, как правило, пользуются у клиентов большей популярностью и доверием, чем ЕБС. К примеру, «Сбер» уже собрал данные нескольких миллионов клиентов, ВТБ – более 130 000. Такие коммерческие биометрические системы также под действие приказа не попадают, уточнили в Минцифры.
Ранее в законе «Об информации, информационных технологиях и о защите информации» степень совпадения, достаточная для идентификации или аутентификации человека, не прописывалась и новые требования неоднозначны, так как непонятно, из чего складывается показатель 0,9999, отмечают эксперты.
Принцип работы каждого из биометрических алгоритмов имеет два параметра: как много ложных распознаваний будет на некое количество срабатываний и как много людей будут распознаны правильно, объясняет человек, близкий к одному из крупных банков: «Эти параметры по отдельности не имеют смысла. Если показатель 0,9999 означает точность, то доля ложноположительных срабатываний (когда система «узнает» человека по ошибке) оказывается равна 0,0001, или 1 ошибка на 10 000 сравнений».
Уровень точности современных систем распознавания лиц для ложноотрицательного срабатывания (когда система «не узнает» человека) достигает 0,003, а для ложноположительного срабатывания (когда «узнает» его по ошибке) – 0,000001, объясняет представитель одной из компаний – разработчиков систем распознавания лиц: «То есть вероятность того, что система «не узнает» человека, выше установленных Минцифры параметров, а вероятность того, что она «узнает» кого-то по ошибке, – ниже. Однако из проекта приказа остается непонятным, о каком из параметров идет речь и каким критериям должен соответствовать второй из них».
«Для банков критичнее факт ложноположительного срабатывания системы, – говорит директор Института исследований интернета Карен Казарян. – Подмена биометрии – это вектор хакерских атак на системы безопасности банков».
Все зависит от области применения: если искать конкретного человека в толпе, то ложноположительный результат можно отсеять вручную, отмечает гендиректор АНО «Инфокультура» Иван Бегтин: «Поэтому для государственных систем и систем безопасности намного важнее, чтобы система эффективно находила и могла распознать человека, а не нашла кого-то «по ошибке».
Представители разработчиков систем распознавания лиц для ЕБС – VisionLabs и NTechLab – отказались от комментариев.