Оплачивать проезд в городских автобусах с помощью собственного лица предлагают жителям столицы. Об этом на конференции “Общественный транспорт: революция и пути решения”, прошедшей недавно в Нур-Султане, сообщил разработчик системы FacePay (дословно: плати лицом) Алмас АЙМЕНОВ. С точки зрения простого обывателя, система, безусловно, выглядит привлекательно. Но стоит ли овчинка выделки?
Селфи против воров
Напомним, новая система оплаты, по словам учредителя ТОО Ipay Алмаса Айменова, основана на использовании биометрических данных.
— Мы создали бот в Telegram, где вы можете зарегистрировать свой ИИН, сделать селфи, добавить свою автобусную карточку и попасть в систему, — пояснил он. — Далее даете разрешение на использование ваших данных. После, не имея при себе телефона или карты оплаты, можете заходить в автобус и приобретать билет. При входе пассажиру достаточно посмотреть в специальную камеру. Когда он войдет в автобус, у водителя на мониторе высветится его фотография.
Айменов, не вдаваясь в подробности, заверил, что система будет полностью безопасной. Кроме того, с помощью FacePay, по словам разработчика, удастся бороться с карманниками в автобусах.
— Будут черные списки: любые фотографии, которые загрузят правоохранительные органы для поиска. Если эти лица где-то засветятся, то будет уходить сигнал. ТОО “Астана LRT” определит, где и какой это сигнал, чтобы потом отработать с полицией. Нам нужны просто фотографии, без имени и ИИН. Через фото мы определим, что человек находится в этом автобусе. В департамент полиции будут передавать сообщение об автобусе, в который зашел тот или иной криминальный элемент, — объяснил он.
Платите и обрящете
В принципе, уже сегодня легко отследить каждого человека, имеющего смартфон. Фотографии и селфи снабжены геометками. Любое подключение к Wi-Fi определяет ваше местоположение с точностью до метра. Да и граждане привыкли к тому, чтобы чекиниться там, где они оказались в данный момент.
К примеру, Google ежемесячно присылает отчет о моих передвижениях за месяц: в каких местах я побывал, на каком транспорте передвигался, сколько ходил пешком и так далее.
Но! Здесь есть один важный нюанс. Если вы не хотите, чтобы кто-то знал, где вы находитесь, достаточно не пользоваться телефоном. А вот не пользоваться лицом у вас никак не получится. Конечно, можно носить очки, накладную бороду и кутаться в капюшон, если вы скрываетесь от властей. А если вы простой законопослушный гражданин, но при этом желаете сохранить хоть толику конфиденциальности?
Теперь представьте: заходите в автобус — и вас фиксируют. И для этого совсем неважно, платите вы карточкой или лицом. Система вас все равно зафиксирует. Иначе как она будет бороться с теми же ворами?
Вышли из автобуса — и опять система вас фиксирует: где вышли, на какой автобус пересели и так далее. А если к системе подключить еще и уличные камеры и камеры, установленные в магазинах и банкоматах, то все, вы под колпаком, ибо каждый шаг можно будет отследить с точностью до минуты.
Вам страшно? Мне — да!
Но это только один из страхов. Есть и другие.
Во-первых, это то, что к вашему лицу будут привязаны ИИН и карточка. Теперь представьте, что все эти данные окажутся в руках любителей поживиться за чужой счет.
Да, разработчик FacePay Алмас Айменов заверяет, что персональные данные пользователей под надежной защитой. Но так ли это на самом деле? Вспомните: даже у мировых гигантов IT-индустрии случались (и не раз) утечки данных.
Минимальное, что может произойти, на мой взгляд дилетанта, — это то, что вашим лицом могут воспользоваться для оплаты проезда другие люди. Сфотографируют вас где-то на улице, и все.
Скажете, что невозможно? Еще как возможно! К примеру, в интернете вы можете найти информацию о том, как удавалось разблокировать телефоны, на которых установлена разблокировка по лицу, с помощью фотографий на смартфонах. Видеокамеры в автобусах работают по тому же принципу.
Но самое страшное даже не в этом, а в том, что вы загружаете все данные в Telegram!
Telegram — зарубежный мессенджер, чьи серверы расположены в Германии и США. То есть это даже не стороннее программное обеспечение, которое активно продвигается в Казахстане. А между тем у Telegram количество пользователей составляет более 200 миллионов человек! Вы уверены, что среди этих 200 миллионов не найдется того, кто сможет взломать telegram-бот FacePay? Я — нет!
Кстати, на запрос, как взломать telegram-бот, Google выдает 428 тысяч результатов…
Telegram казахстанского значения
Как оказалось, telegram-ботами пользуются сегодня многие компании и госструктуры. Даже у e-gov есть свой бот. Правда, директор по развитию сектора финансовых технологий и инноваций Ассоциации финансистов Казахстана Константин ПАК считает, что Telegram гораздо безопаснее тех, кто его использует.
— Telegram, как и другие крупные сети, достаточно безопасен, — поясняет он. — А работа telegram-ботов не сильно отличается от работы браузеров. В том смысле, что особой разницы нет, через что вы закидываете данные своей карты — через бот или через браузер. Конечно, могут быть вопросы у платежных систем, поскольку формы, которые принимают онлайн-платежи в интернете, достаточно сложно сертифицируются, и наверняка для Telegram никто этого еще не делал. И если карточки “убегут”, тогда возникнет много вопросов. А “убежать” они могут на разных уровнях и необязательно в Telegram. Вопрос в том, как настроен обработчик данных и соблюдает ли он стандарты PCI DSS (стандарт безопасности данных индустрии платежных карт). И Telegram, насколько я знаю, никогда не сертифицировался на PCI DSS. Я не могу сказать: нет, давайте так не будем делать. Экспериментировать можно. Но надо делать это грамотно и ответственно. Меня очень беспокоит уровень обработки этих данных процессинговым центром Astana LRT, потому что квалификация команды Telegram, на мой взгляд, на порядок выше, чем у местных разработчиков.
Что касается персональных данных и конфиденциальности, то это глобальный вопрос. Очень много систем, которые собирают наши лица. И эта система при желании может отслеживать все наши передвижения. И, по-моему, это не очень хорошо. Другое дело, что она добровольная. Главное, чтобы каждый человек, регистрируясь в ней, понимал, на что он дает согласие.
Опасная практика
Между тем, по словам антивирусного эксперта “Лаборатории Касперского” Виктора ЧЕБЫШЕВА, в большинстве стран мира, включая Казахстан, персональные данные являются конфиденциальной информацией, а способы их сбора, передачи и обработки регулируются и должны соответствовать требованиям закона. И любые утечки, некорректная организация их хранения недопустимы.
— Я не в курсе подробностей этой конкретной реализации схемы с telegram-ботом, — поясняет он. — Но в целом передача конфиденциальных личных данных с помощью такого инструмента мне кажется опасной практикой.
При этом Чебышев поясняет, что если вся схема будет реализована правильно, то риски у пользователей будут небольшие.
— Главное, чтобы при получении биометрических данных в устройствах не было недокументированного функционала, а сотрудники организации, собирающей эту информацию, добросовестно выполняли свою работу, — отмечает эксперт.
Он также полагает, что риски получения доступа к денежным средствам пользователей при использовании биометрических данных минимальны.
— Технологии авторизации платежей при помощи биометрии существуют на рынке уже давно, — напоминает эксперт. — И мы не знаем массовых случаев хищения денежных средств при помощи обхода биометрической авторизации. Это довольно сложный вектор атаки, поэтому он малоинтересен рядовому злоумышленнику. Я считаю, что биометрические инструменты для оплаты неидеальны и у них могут обнаружиться недостатки, но в целом при правильной реализации (а это непростая комплексная задача) они достаточно надежны.
Сосед заплатит?
В свою очередь президент Казахстанской ассоциации автоматизации и робототехники Владимир ТУРЕХАНОВ говорит, что если нет сквозного шифрования и данные сначала будут передаваться в Telegram, а уже оттуда разработчику FacePay, то это небезопасно.
— При этом не стоит забывать, что серверы Telegram находятся за пределами Казахстана. Стало быть, возможно, мы имеем дело с передачей персональных данных за пределы страны, — добавляет он. — К этому тоже надо осторожно подходить и с учетом законодательства нашей страны. Для более конкретного заключения, безусловно, нужно знать в деталях алгоритмы реализации этой системы. Если мне память не изменяет, в Китае пытались реализовать систему, когда гражданину автоматически начислялся штраф за переход улицы в неположенном месте. Там тоже использовалась система распознавания лиц. И возникла курьезная ситуация, когда то ли актрисе, то ли певице пришел огромный штраф. Выяснилось, что система срабатывала на ее фотографии, размещенные на автобусах. Так что здесь тоже есть такие риски, и нужно понимать, что наши граждане могут показать в камеру, к примеру, фотографию соседа. Есть ли у них защита от этого?
Что касается соблюдения конфиденциальности, то, по мнению Туреханова, в этом нет нарушений.
— Я, конечно, не юрист, — говорит он. — Но, думаю, если гражданин заходит в общественный транспорт и пользуется им, то говорить о какой-то тайне личной жизни я не стал бы. С моей позиции технаря в этом нет никакого нарушения.
Правда, при этом Туреханов отметил, что он не стал бы пользоваться подобными системами оплаты:
— Эти системы во всем мире настолько сырые, что я не рискнул бы. Слава богу, у нас есть другие способы оплаты. В том же метро проезд можно оплатить напрямую банковской картой. Более того, не так давно в Казахстане заработала система ApplePay, позволяющая производить оплату с помощью смарт-часов или смартфонов, поэтому расплачиваться лицом я не стал бы. Ближайшие года три как минимум вообще не задумывался бы об этом.
Источник: Время