comibank.

Анатомия цифрового банкинга и финтех-трендов

Безопасность и идентификация

Технология Liveness: как банки отличают лицо от маски

За 2022–2024 годы количество deepfake-атак на банковские системы биометрической идентификации выросло на порядки. Скомпрометировать facial recognition без физического доступа к лицу жертвы ещё недавно можно было банальной печатью фотографии на принтере.

Технология Liveness: как банки отличают лицо от маски

Механика защиты от атак на презентацию: PAD и стандарты ISO/IEC 30107

Liveness и PAD — смежные, но не тождественные понятия. Liveness — частный случай более широкой категории Presentation Attack Detection: механизма выявления атак на сенсор биометрической системы во время захвата образца. Стандарт ISO/IEC 30107 фиксирует терминологию и методику тестирования. Его структура:

  • Часть 1 (ISO/IEC 30107-1, опубликована в 2016 году) — определяет понятия атаки на презентацию, классификацию по типу носителя (фото, видео, маска, муляж) и по уровню сложности.
  • Часть 2 (ISO/IEC 30107-2) — описывает формат данных и требования к отчётности.
  • Часть 3 (ISO/IEC 30107-3) — определяет методологию тестирования алгоритмов PAD и формат испытательных отчётов.

В банковском контексте стандарт применяется как методическая рамка. Без соответствия 30107 сертификация в рамках российской ЕБС и международных платёжных экосистем затруднена.

Основные классы атак на презентацию по ISO/IEC 30107-1:

  • Photo attack — предъявление распечатанной фотографии на бумаге или экране.
  • Replay attack — предъявление записанного видео, в том числе с экрана другого устройства.
  • Mask attack — 3D-маска, силиконовый муляж, макияж с проецируемой текстурой.
  • Deepfake attack — синтезированное видео или видеопоток в реальном времени через генеративные модели.
  • Injection attack — подмена кадров в потоке камеры на уровне ОС или драйвера устройства.

Технология Liveness работает как фильтр перед этапом сопоставления с эталоном. Образец считается валидным только после прохождения проверки на принадлежность к живому субъекту. Это архитектурно критично: любая ошибка на этом этапе множит риск компрометации всей цепочки KYC. На практике PAD делится на программный и аппаратный контуры. Программный опирается исключительно на алгоритмы анализа изображения. Аппаратный задействует дополнительные сенсоры — инфракрасную подсветку, ToF-камеру, датчики глубины. Чем больше независимых сигналов доступно системе, тем выше порог входа для атакующего и тем дороже атака.

Активная против пассивной верификации: архитектурные различия

Подходы к Liveness-детекции делятся на два класса. Различие между ними — не пользовательский опыт, а архитектура модели и требования к вычислительным ресурсам.

ПараметрАктивнаяПассивная
Время сессии10–20 сек2–5 сек
Конверсия завершенияниже на 5–15 п.п.близка к 100%
Требования к моделисредниевысокие
Контроль сценарияполныйограниченный
Устойчивость к обучению атакующегонизкаявысокая
Стоимость сертификациинижевыше

Активная верификация предполагает явное действие пользователя: поворот головы, моргание по запросу, произнесение фразы, улыбка. Сервер получает заранее известный набор кадров с предсказуемой динамикой, что упрощает алгоритм детекции. Цена — рост friction, рост отказов на этапе регистрации, возможность подготовки синхронизированного ответа атакующим. Действия пользователя предсказуемы, а значит предсказуемы и для атакующего: зная сценарий, можно заранее подготовить видеоролик или синхронизированную 3D-маску.

Пассивная верификация анализирует стандартный видеопоток без явных команд: микродвижения лицевых мышц, естественное моргание, реакцию зрачка на изменение освещения, микротекстуру кожи. Преимущество — нулевое вмешательство в пользовательский сценарий. Недостаток — модель должна быть робастной к широкому диапазону условий: освещению, ракурсам, аксессуарам, скинтону. Пассивный режим сложнее в разработке и сертификации, но его сложнее атаковать именно потому, что сценарий не фиксирован.

Гибридная архитектура — основной путь внедрения в банках. Активный блок отрабатывает низкоуровневые атаки (фото на экране, простая маска), пассивный ловит дипфейки и инъекции кадров.

Нейросетевой анализ: как модели вычисляют дипфейки и артефакты

Современные Liveness-системы опираются на свёрточные нейронные сети и их гибриды с трансформерами. Набор детектируемых признаков включает несколько независимых слоёв.

Микротекстура кожи. Натуральная кожа содержит поры, микрорельеф, неоднородности пигментации. Фото и видео проходят через кодеки, которые подавляют высокочастотные компоненты. Сеть обучается на этой разнице. На распечатанных фотографиях дополнительно появляется характерный паттерн точечной растровой печати.

Блики и отражения. Точечные источники света отражаются от роговицы характерным образом. Генеративные модели часто теряют физическую корректность отражений, особенно на периферии лица и при смене ракурса. Это один из самых устойчивых признаков для детекции.

Динамика моргания. Средняя частота моргания — 15–20 раз в минуту, длительность одного моргания — 100–400 мс. Ранние генеративные модели выдавали аномально редкое или синхронное моргание. Современные дипфейки частично закрыли этот признак, но следы остаются в паттерне движения век.

Граничные артефакты. Face swap и маски оставляют характерные следы на границе лица с фоном, в зоне волос, ушей, шеи — там, где генерация требует дополнительной интерполяции. Сеть обучается на этих переходных зонах.

Глубина сцены. Устройства с ToF-датчиком или структурированной подсветкой (iPhone с Face ID, флагманские Android-модели) дают трёхмерную карту лица. 2D-атака не проходит такую проверку физически: у плоского изображения нет глубины.

Отдельный контур — детекция инъекции кадров в видеопоток на уровне ОС. Здесь работают не нейросети, а проверка целостности потока: согласованность временных меток, поведение драйвера, корректность EXIF-метаданных, частотные характеристики шума сенсора. Атака через виртуальную камеру технически проще deepfake и требует отдельной защиты. Игнорирование этого контура — типичная ошибка интеграторов, фокусирующихся только на визуальном анализе.

Алгоритмы конкретных вендоров — коммерческая тайна. Стандартизированные метрики эффективности публикуются на синтетических наборах и не отражают реальной картины в production.

Баланс между безопасностью и конверсией: показатели FAR и FRR

Биометрическая система характеризуется двумя показателями ошибок:

  • FAR (False Acceptance Rate) — вероятность пропуска атаки. Целевое значение в банках — 0,01% и ниже.
  • FRR (False Rejection Rate) — вероятность отказа легитимному пользователю. Целевой диапазон — 0,5–2%.

График зависимости FAR от FRR — ROC-кривая. Снижение FAR (ужесточение проверки) автоматически повышает FRR. Бизнес-цена ошибок асимметрична:

  • Один пропущенный мошенник = прямой финансовый ущерб, регуляторный риск, потеря лицензии в худшем сценарии.
  • Один отклонённый клиент = потеря сделки, рост стоимости привлечения, нагрузка на службу поддержки.

Производители Liveness-систем публикуют показатели на стандартных наборах. Типичные значения сертифицированных решений: FAR — 0,001–0,01%, FRR — 0,5–1,5%. Это синтетические цифры. Реальные показатели в production всегда хуже из-за сдвига распределений (data drift): новых типов атак, неучтённых ракурсов, плохого освещения, моделей устройств, не представленных в обучающей выборке.

Без постоянного A/B-тестирования и мониторинга распределений качество Liveness деградирует за 3–6 месяцев. Атаки эволюционируют быстрее, чем обновляются модели.

Регуляторные требования и интеграция с Единой биометрической системой

В Российской Федерации биометрическая идентификация в банках регулируется несколькими слоями:

  • 572-ФЗ (2022) — правовая основа сбора и обработки биометрии; до него идентификация по биометрии регулировалась разрозненными актами, 572-ФЗ впервые ввёл единые правила работы с биометрическими персональными данных и определил роль государственной инфраструктуры.
  • Положения ЦБ РФ — требования к качеству образцов, каналам передачи, хранению.
  • 152-ФЗ — защита персональных данных.
  • Единая биометрическая система (ЕБС) — государственная инфраструктура, оператор — Центр Биометрических Технологий (ЦБТ).

Требования ЕБС к Liveness-механизмам включают:

  • Поддержку как активных, так и пассивных методов верификации.
  • Прохождение сертификации по методике, согласованной с регулятором.
  • Фиксацию и хранение событий liveness-проверки в журнале аудита.
  • Криптографическую защиту канала передачи данных.

Архитектурно ЕБС предполагает, что сбор биометрии и Liveness-проверка происходят на стороне банка или аккредитованного партнёра, а сравнение с эталоном — на стороне государственной системы. Разделение снижает риск компрометации эталона, но создаёт требования к каналам связи и их защите. Банк не хранит эталон сам — он работает с токенами и хешами, что снимает часть регуляторных рисков, но добавляет зависимость от доступности внешнего сервиса.

С 2023 года требования к Liveness ужесточены в части противодействия дипфейкам. Реакция на рост атак в финансовом секторе. Внедрение новых проверок требует пересертификации и обновления моделей — цикл занимает от 3 до 9 месяцев. Для банка это означает параллельное ведение старой и новой версии проверки на переходный период и неизбежный рост операционных затрат.

Что остаётся за рамками технологии

Liveness detection закрывает конкретный класс атак — подмену биометрического образца на этапе захвата. За периметром остаются:

  • Атаки на канал передачи данных между устройством и сервером (MITM, replay на транспортном уровне).
  • Компрометация эталона в хранилище (БД ЕБС или банка).
  • Социальная инженерия, при которой жертва сама проходит Liveness под воздействием мошенника.
  • Внутренний фрод со стороны сотрудников с административным доступом.

Полная защита строится как слоёная архитектура: Liveness на сенсоре, криптография канала, аппаратная изоляция эталона, поведенческий анализ на стороне банка, мониторинг аномалий в реальном времени. Технология — необходимый, но не достаточный элемент.

Стоимость внедрения сертифицированной Liveness-системы для крупного банка — от десятков миллионов рублей на интеграцию, до сотен миллионов в год на поддержание и обновление моделей. Это постоянная операционная статья, а не разовая инвестиция. Arms race между атакующими и защитниками не прекращается: новые методы генерации порождают новые методы детекции, и наоборот.

Эффективность Liveness измеряется не пиковыми показателями на синтетических наборах, а стабильностью в production и скоростью адаптации к новым типам атак. Горизонт этой адаптации — недели, а не кварталы. Всё остальное — иллюзия защищённости.

Частые вопросы

В чем разница между активной и пассивной верификацией?
Активная верификация требует от пользователя выполнения конкретных действий, таких как моргание или поворот головы. Пассивная верификация анализирует естественные реакции, например, микродвижения мышц или реакцию зрачков, не требуя от пользователя активного участия.
Как нейросети отличают реальное лицо от фотографии или маски?
Алгоритмы анализируют микротекстуру кожи, наличие естественных бликов в глазах, динамику моргания и границы лица. Также системы проверяют глубину сцены с помощью датчиков или ищут артефакты, возникающие при генерации дипфейков.
Что такое FAR и FRR в биометрических системах?
FAR — это вероятность того, что система ошибочно пропустит атаку мошенника, а FRR — вероятность отказа в доступе реальному пользователю. Эти показатели находятся в обратной зависимости: ужесточение защиты для снижения FAR приводит к росту отказов легитимным клиентам.
Защищает ли Liveness от подмены видеопотока на уровне драйвера?
Да, для этого используется отдельный контур проверки целостности потока. Он анализирует временные метки, поведение драйвера, метаданные и частотные характеристики шума сенсора.
Почему банки обязаны использовать сертифицированные Liveness-решения?
Сертификация по стандарту ISO/IEC 30107 и соответствие требованиям Единой биометрической системы необходимы для обеспечения безопасности и легитимности идентификации. Без этого соответствия работа в рамках российской ЕБС и международных платежных экосистем невозможна.