Технология Liveness: как банки отличают лицо от маски
За 2022–2024 годы количество deepfake-атак на банковские системы биометрической идентификации выросло на порядки. Скомпрометировать facial recognition без физического доступа к лицу жертвы ещё недавно можно было банальной печатью фотографии на принтере.

Механика защиты от атак на презентацию: PAD и стандарты ISO/IEC 30107
Liveness и PAD — смежные, но не тождественные понятия. Liveness — частный случай более широкой категории Presentation Attack Detection: механизма выявления атак на сенсор биометрической системы во время захвата образца. Стандарт ISO/IEC 30107 фиксирует терминологию и методику тестирования. Его структура:
- Часть 1 (ISO/IEC 30107-1, опубликована в 2016 году) — определяет понятия атаки на презентацию, классификацию по типу носителя (фото, видео, маска, муляж) и по уровню сложности.
- Часть 2 (ISO/IEC 30107-2) — описывает формат данных и требования к отчётности.
- Часть 3 (ISO/IEC 30107-3) — определяет методологию тестирования алгоритмов PAD и формат испытательных отчётов.
В банковском контексте стандарт применяется как методическая рамка. Без соответствия 30107 сертификация в рамках российской ЕБС и международных платёжных экосистем затруднена.
Основные классы атак на презентацию по ISO/IEC 30107-1:
- Photo attack — предъявление распечатанной фотографии на бумаге или экране.
- Replay attack — предъявление записанного видео, в том числе с экрана другого устройства.
- Mask attack — 3D-маска, силиконовый муляж, макияж с проецируемой текстурой.
- Deepfake attack — синтезированное видео или видеопоток в реальном времени через генеративные модели.
- Injection attack — подмена кадров в потоке камеры на уровне ОС или драйвера устройства.
Технология Liveness работает как фильтр перед этапом сопоставления с эталоном. Образец считается валидным только после прохождения проверки на принадлежность к живому субъекту. Это архитектурно критично: любая ошибка на этом этапе множит риск компрометации всей цепочки KYC. На практике PAD делится на программный и аппаратный контуры. Программный опирается исключительно на алгоритмы анализа изображения. Аппаратный задействует дополнительные сенсоры — инфракрасную подсветку, ToF-камеру, датчики глубины. Чем больше независимых сигналов доступно системе, тем выше порог входа для атакующего и тем дороже атака.
Активная против пассивной верификации: архитектурные различия
Подходы к Liveness-детекции делятся на два класса. Различие между ними — не пользовательский опыт, а архитектура модели и требования к вычислительным ресурсам.
| Параметр | Активная | Пассивная |
|---|---|---|
| Время сессии | 10–20 сек | 2–5 сек |
| Конверсия завершения | ниже на 5–15 п.п. | близка к 100% |
| Требования к модели | средние | высокие |
| Контроль сценария | полный | ограниченный |
| Устойчивость к обучению атакующего | низкая | высокая |
| Стоимость сертификации | ниже | выше |
Активная верификация предполагает явное действие пользователя: поворот головы, моргание по запросу, произнесение фразы, улыбка. Сервер получает заранее известный набор кадров с предсказуемой динамикой, что упрощает алгоритм детекции. Цена — рост friction, рост отказов на этапе регистрации, возможность подготовки синхронизированного ответа атакующим. Действия пользователя предсказуемы, а значит предсказуемы и для атакующего: зная сценарий, можно заранее подготовить видеоролик или синхронизированную 3D-маску.
Пассивная верификация анализирует стандартный видеопоток без явных команд: микродвижения лицевых мышц, естественное моргание, реакцию зрачка на изменение освещения, микротекстуру кожи. Преимущество — нулевое вмешательство в пользовательский сценарий. Недостаток — модель должна быть робастной к широкому диапазону условий: освещению, ракурсам, аксессуарам, скинтону. Пассивный режим сложнее в разработке и сертификации, но его сложнее атаковать именно потому, что сценарий не фиксирован.
Гибридная архитектура — основной путь внедрения в банках. Активный блок отрабатывает низкоуровневые атаки (фото на экране, простая маска), пассивный ловит дипфейки и инъекции кадров.
Нейросетевой анализ: как модели вычисляют дипфейки и артефакты
Современные Liveness-системы опираются на свёрточные нейронные сети и их гибриды с трансформерами. Набор детектируемых признаков включает несколько независимых слоёв.
Микротекстура кожи. Натуральная кожа содержит поры, микрорельеф, неоднородности пигментации. Фото и видео проходят через кодеки, которые подавляют высокочастотные компоненты. Сеть обучается на этой разнице. На распечатанных фотографиях дополнительно появляется характерный паттерн точечной растровой печати.
Блики и отражения. Точечные источники света отражаются от роговицы характерным образом. Генеративные модели часто теряют физическую корректность отражений, особенно на периферии лица и при смене ракурса. Это один из самых устойчивых признаков для детекции.
Динамика моргания. Средняя частота моргания — 15–20 раз в минуту, длительность одного моргания — 100–400 мс. Ранние генеративные модели выдавали аномально редкое или синхронное моргание. Современные дипфейки частично закрыли этот признак, но следы остаются в паттерне движения век.
Граничные артефакты. Face swap и маски оставляют характерные следы на границе лица с фоном, в зоне волос, ушей, шеи — там, где генерация требует дополнительной интерполяции. Сеть обучается на этих переходных зонах.
Глубина сцены. Устройства с ToF-датчиком или структурированной подсветкой (iPhone с Face ID, флагманские Android-модели) дают трёхмерную карту лица. 2D-атака не проходит такую проверку физически: у плоского изображения нет глубины.
Отдельный контур — детекция инъекции кадров в видеопоток на уровне ОС. Здесь работают не нейросети, а проверка целостности потока: согласованность временных меток, поведение драйвера, корректность EXIF-метаданных, частотные характеристики шума сенсора. Атака через виртуальную камеру технически проще deepfake и требует отдельной защиты. Игнорирование этого контура — типичная ошибка интеграторов, фокусирующихся только на визуальном анализе.
Алгоритмы конкретных вендоров — коммерческая тайна. Стандартизированные метрики эффективности публикуются на синтетических наборах и не отражают реальной картины в production.
Баланс между безопасностью и конверсией: показатели FAR и FRR
Биометрическая система характеризуется двумя показателями ошибок:
- FAR (False Acceptance Rate) — вероятность пропуска атаки. Целевое значение в банках — 0,01% и ниже.
- FRR (False Rejection Rate) — вероятность отказа легитимному пользователю. Целевой диапазон — 0,5–2%.
График зависимости FAR от FRR — ROC-кривая. Снижение FAR (ужесточение проверки) автоматически повышает FRR. Бизнес-цена ошибок асимметрична:
- Один пропущенный мошенник = прямой финансовый ущерб, регуляторный риск, потеря лицензии в худшем сценарии.
- Один отклонённый клиент = потеря сделки, рост стоимости привлечения, нагрузка на службу поддержки.
Производители Liveness-систем публикуют показатели на стандартных наборах. Типичные значения сертифицированных решений: FAR — 0,001–0,01%, FRR — 0,5–1,5%. Это синтетические цифры. Реальные показатели в production всегда хуже из-за сдвига распределений (data drift): новых типов атак, неучтённых ракурсов, плохого освещения, моделей устройств, не представленных в обучающей выборке.
Без постоянного A/B-тестирования и мониторинга распределений качество Liveness деградирует за 3–6 месяцев. Атаки эволюционируют быстрее, чем обновляются модели.
Регуляторные требования и интеграция с Единой биометрической системой
В Российской Федерации биометрическая идентификация в банках регулируется несколькими слоями:
- 572-ФЗ (2022) — правовая основа сбора и обработки биометрии; до него идентификация по биометрии регулировалась разрозненными актами, 572-ФЗ впервые ввёл единые правила работы с биометрическими персональными данных и определил роль государственной инфраструктуры.
- Положения ЦБ РФ — требования к качеству образцов, каналам передачи, хранению.
- 152-ФЗ — защита персональных данных.
- Единая биометрическая система (ЕБС) — государственная инфраструктура, оператор — Центр Биометрических Технологий (ЦБТ).
Требования ЕБС к Liveness-механизмам включают:
- Поддержку как активных, так и пассивных методов верификации.
- Прохождение сертификации по методике, согласованной с регулятором.
- Фиксацию и хранение событий liveness-проверки в журнале аудита.
- Криптографическую защиту канала передачи данных.
Архитектурно ЕБС предполагает, что сбор биометрии и Liveness-проверка происходят на стороне банка или аккредитованного партнёра, а сравнение с эталоном — на стороне государственной системы. Разделение снижает риск компрометации эталона, но создаёт требования к каналам связи и их защите. Банк не хранит эталон сам — он работает с токенами и хешами, что снимает часть регуляторных рисков, но добавляет зависимость от доступности внешнего сервиса.
С 2023 года требования к Liveness ужесточены в части противодействия дипфейкам. Реакция на рост атак в финансовом секторе. Внедрение новых проверок требует пересертификации и обновления моделей — цикл занимает от 3 до 9 месяцев. Для банка это означает параллельное ведение старой и новой версии проверки на переходный период и неизбежный рост операционных затрат.
Что остаётся за рамками технологии
Liveness detection закрывает конкретный класс атак — подмену биометрического образца на этапе захвата. За периметром остаются:
- Атаки на канал передачи данных между устройством и сервером (MITM, replay на транспортном уровне).
- Компрометация эталона в хранилище (БД ЕБС или банка).
- Социальная инженерия, при которой жертва сама проходит Liveness под воздействием мошенника.
- Внутренний фрод со стороны сотрудников с административным доступом.
Полная защита строится как слоёная архитектура: Liveness на сенсоре, криптография канала, аппаратная изоляция эталона, поведенческий анализ на стороне банка, мониторинг аномалий в реальном времени. Технология — необходимый, но не достаточный элемент.
Стоимость внедрения сертифицированной Liveness-системы для крупного банка — от десятков миллионов рублей на интеграцию, до сотен миллионов в год на поддержание и обновление моделей. Это постоянная операционная статья, а не разовая инвестиция. Arms race между атакующими и защитниками не прекращается: новые методы генерации порождают новые методы детекции, и наоборот.
Эффективность Liveness измеряется не пиковыми показателями на синтетических наборах, а стабильностью в production и скоростью адаптации к новым типам атак. Горизонт этой адаптации — недели, а не кварталы. Всё остальное — иллюзия защищённости.