Кибербезопасность в условиях электронного банкинга. Практическое пособие - [172]

Лучано Флориди,

профессор философии и этики информации Оксфордского университета

Повышение надежности механизмов поведенческой и биологической идентификации при стремительном падении стоимости секвенирования генома[274] открывает возможность создания крайне надежного биологического идентификатора – геномного (генетического) паспорта. Такое решение проблемы идентификации в принципе открывает доступ к любым финансовым сервисам из любой точки мира, но создает новую проблему – утраты биообразцов[275], которые могут быть использованы для введения в заблуждение систем идентификации, причем такой инцидент будет крайне сложно оспорить.

Таким образом, введение методов биометрической идентификации, например распознавания голоса и лица, как в применяемой в Российской Федерации Единой биометрической системе (ЕБС), не устраняет полностью проблему кражи и (или) подмены «электронного образа» потребителя.

Программное обеспечение компании Nvidia, используя генеративно-состязательную нейросеть (Generative Adversarial Network, GAN), позволяет уже сейчас превращать наброски в реалистичные изображения. GAN на основе огромной коллекции изображений реальных лиц способна за секунды создавать в высоком разрешении изображения несуществующих людей, генерируя любые культурные и этнические особенности, эмоции, настроение и т. п. GAN использует комбинацию работы двух нейросетей: первая генерирует (создает) образцы, вторая отличает настоящие образцы от поддельных. Преступники могут использовать такие изображения для разного рода мошеннических действий, распознать которые cможет только еще более продвинутая GAN.

Следующим шагом на пути обретения электронной «тенью» некоторой самостоятельности стала технология DeepFake, позволяющая уже снять видеоролик, в котором сгенерированный с применением GAN персонаж практически неотличим от прототипа, но, управляемый закадровым «кукловодом», может двигаться и говорить, демонстрируя вполне реалистичные мимику и артикуляцию. Первые примеры реализации технологии DeepFake были представлены в интернете в 2017 г. Тогда пользователь с ником Deepfakes выложил в Reddit несколько роликов «для взрослых», в которых заменил порноактрис на таких celebrities, как певица Тейлор Свифт, актрисы Галь Гадот, Скарлетт Йоханссон, Эмма Уотсон и др.[276] Опасность DeepFake-технологий состоит в том, что инструменты, которые позволяют сделать все вышеописанное, стали доступны обычным людям и, постепенно совершенствуясь, становятся все менее требовательными к вычислительным мощностям[277]. То же касается и голосовых данных: уже сегодня существуют коммерческие решения для высококачественной имитации чужого голоса. А при активном внедрении технологий удаленной биоидентификации доказать, что, например, договор с банком или МФО заключил «виртуальный персонаж», будет все труднее[278].

Однако «виртуальные персонажи», совершающие вполне реальные сделки, появляются и без столь продвинутых технологий, как DeepFake. В 2019 г. в России произошла первая в истории страны кража недвижимости при помощи электронной цифровой подписи (ЭЦП) посредством договора дарения, составленного в простой письменной форме и заключенного дистанционно. По сведениям Росреестра, все необходимые для заключения сделки документы были поданы в электронном виде и заверены ЭЦП с обеих сторон. Усиленные квалифицированные электронные подписи (УКЭП) дарителя и одаряемого были выданы аккредитованным Минкомсвязи России ЗАО «Национальный удостоверяющий центр» по доверенности (фальшивой). Правовая экспертиза регистратора подтвердила подлинность УКЭП и действующий статус сертификата. При этом настоящий владелец квартиры вообще не оформлял ЭЦП, не выдавал никому доверенности на совершение сделки и никак не участвовал в процессе передачи квартиры[279].

Фальшивая ЭЦП может лишить граждан не только имущества[280], но и всех сбережений и (или) сделать жертвой кредитного мошенничества: между тем в России растет количество случаев использования ЭЦП при заключении кредитных договоров[281]. Конечно, финансовые учреждения принимают дополнительные меры безопасности, вводя многофакторную идентификацию и отслеживая цифровой профиль клиента (а особенно любые отклонения от него). Но на конференции Security Analyst Summit 2019 «Лаборатория Касперского» поделилась информацией об обнаруженном в DarkNet рынке Genesis[282], на котором продаются цифровые маски, включающие в себя данные о поведении пользователя в сети и его цифровые следы: историю посещения веб-сайтов, данные об операционной системе коммуникационного устройства, установленном на нем браузере, плагинах и т. д., то есть как раз те данные, которые банковские системы фрод-мониторинга используют для проверки клиентов. Если они видят маску, совпадающую с той, которую ранее применял пользователь, то транзакция может быть одобрена даже без отправки кода безопасности в SMS или push-уведомления для подтверждения операции. Возможна и противоположная операция: мошенник может создать новую цифровую личность и настроить вышеуказанные параметры так, чтобы система защиты восприняла его как нового пользователя, в отношении которого у нее не будет оснований для недоверия. В 2018 г. таким образом были скомпрометированы данные около 50 млн пользователей Facebook, 3 млн пользователей Uber и т. д.