Пароль можно сбросить, карту — заблокировать, но что делать, если «скомпрометировано» ваше собственное лицо? Сбор данных в Единую биометрическую систему обещает комфорт и безопасность, однако критики предупреждают: концентрация уникальных биологических маркеров в одной базе создает беспрецедентную точку отказа. Кибер Медиа разбирает, способны ли современные нейросети обмануть государственные алгоритмы, чем опасна утечка цифрового слепка голоса и почему не стоит отказываться от старых добрых паролей.
Содержание
Если раньше биометрия была экзотикой для разблокировки флагманских смартфонов или доступа в серверную, то сегодня она превратилась в фундамент госуслуг. Единая биометрическая система — это не просто «облако с фотографиями». С технической точки зрения, это гигантский распределенный реестр математических моделей, которые привязаны к вашей личности в ЕСИА.
Зачем государству этот мегапроект? Официальный ответ: бесшовность. Государство стремится минимизировать «трение» в транзакциях. Когда ваше лицо становится ключом, исчезает потребность в физическом присутствии, пластиковых картах и даже квалифицированной электронной подписи на флешках. С точки зрения управления системой, биометрия — это способ радикально снизить уровень фрода, связанного с кражей аккаунтов, и привязать цифровое действие к биологическому объекту так плотно, как никогда раньше.
Для обывателя «вход по лицу» — это магия и комфорт. Для ИБ-специалиста — это расширение поверхности атаки до размеров страны.
Биометрия агрессивно становится стандартом по нескольким причинам:
Однако здесь кроется главный конфликт. В классической криптографии скомпрометированный ключ меняется за пять минут. В мире биометрии ваш «приватный ключ» намертво приклеен к черепной коробке. Переход к обязательному стандарту ЕБС ставит сообщество перед неудобным вопросом: не меняем ли мы долгосрочную безопасность на краткосрочное удобство? Ведь если пароль — это то, что вы знаете, а токен — то, что вы имеете, то биометрия — это то, чем вы являетесь. И если это «являетесь» будет украдено, патч выпустить не получится.
Давайте сразу проясним: ЕБС не хранит ваши фотографии в формате .jpg в огромной папке «Наши пользователи». Это было бы слишком просто и фатально при первой же утечке.
Процесс превращения биометрии в данные выглядит так:
Именно этот «цифровой слепок» летит в базу. Теоретически, восстановить по нему исходное лицо невозможно. Но на практике ИБ-специалист знает: если у злоумышленника есть алгоритм сопоставления и доступ к базе шаблонов, он может подобрать синтетическое лицо, которое система примет за ваше.
Оценка безопасности ЕБС требует разделения теоретических уязвимостей и практически реализуемых сценариев взлома.
Михаил Тимаев
Руководитель отдела технического пресейла IT TASK
При обсуждении рисков биометрии в ЕБС важно уходить от упрощенной логики, утекло — значит, взломали. Основная угроза лежит не столько в самой технологии, сколько в том, как и кем она используется. Наиболее реалистичными векторами атак сейчас считаются злоупотребление доступом со стороны легитимных участников экосистемы и компрометация цепочки обработки данных, от момента захвата биометрии до ее сопоставления. Атаки на каналы передачи в классическом виде встречаются реже из-за применения защищенных каналов и криптографии, а вот риски, связанные с ошибками конфигурации, избыточными правами доступа и человеческим фактором, будут выше.
Таким образом, смещение фокуса с попыток взлома централизованного хранилища на эксплуатацию доверенных узлов доступа меняет ландшафт угроз. Если ядро системы может обладать высокой степенью защиты, то периферия — тысячи банковских отделений и миллионы пользовательских устройств — становится основной площадкой для реализации атак. Подобная децентрализация рисков при централизации данных требует пересмотра классических моделей угроз.
В классической ИТ-инфраструктуре любой скомпрометированный аутентификатор имеет четкий регламент утилизации. Пароль аннулируется в базе, SSL-сертификат попадает в список отзыва, физический токен блокируется. Биометрия в рамках ЕБС полностью ломает эту логику. Если уникальные биологические маркеры человека оказываются в распоряжении третьих лиц, субъект теряет контроль над своим «цифровым я» без возможности регенерации самого фактора доступа. Вы не можете «вырастить» новое лицо или изменить тембр голоса только потому, что база данных одного из участников системы была скомпрометирована.
Сравнение утечки пароля и биометрического шаблона демонстрирует глубокую асимметрию рисков. Пароль — это временное знание, которое отделено от личности пользователя. Биометрический же шаблон является цифровым слепком самой сущности человека.
Ирина Меженева
Ведущий инженер-аналитик лаборатории технологий искусственного интеллекта аналитического центра кибербезопасности компании «Газинформсервис»
При этом утечка биометрии принципиально отличается от утечки пароля. Пароль можно сменить мгновенно — и утечка теряет ценность. Биометрия универсальна для многих систем и неизменна на протяжении жизни, компрометацию невозможно «отменить». Важный нюанс: в хранилище находятся не изображения, а векторы признаков, и долго считалось, что это необратимое преобразование. Однако сейчас активно развиваются методы инверсии — генеративные модели учатся декодировать векторы обратно в изображения. Если эти методы достигнут зрелости, компрометация централизованного хранилища затронет всех пользователей одновременно.
Основные риски включают:
Техническая невозможность смены биометрических параметров делает любую ошибку в защите ЕБС фатальной в долгосрочной перспективе. Это превращает биометрию в «статичный мастер-пароль», который невозможно сменить, а последствия его кражи будут преследовать пользователя на протяжении всей его цифровой жизни.
Современный фрод в системах удаленной идентификации эволюционировал от примитивных фотографий до высокоточных цифровых двойников. В основе этой трансформации лежат GAN и диффузионные модели. Работа GAN построена на внутреннем конфликте двух нейросетей: «генератор» создает фальшивку, а «дискриминатор» пытается отличить ее от оригинала. В процессе обучения генератор доходит до такой степени совершенства, что синтезированное лицо обретает микромимику, естественные блики на роговице и реалистичную текстуру кожи, что делает подделку практически неотличимой для человеческого глаза и многих базовых алгоритмов.
При удаленной идентификации через ЕБС злоумышленники используют два основных типа Presentation Attacks, каждый из которых несет специфические риски.
Ирина Меженева
Ведущий инженер-аналитик лаборатории технологий искусственного интеллекта аналитического центра кибербезопасности компании «Газинформсервис»
Среди сценариев подмены наибольшую угрозу представляет синтез в реальном времени. Классические replay-атаки — воспроизведение записи — блокируются современными liveness-проверками достаточно надежно, как и очевидные подмены вроде фото или видео с экрана.
Но real-time deepfake работает иначе: атакующий сам выполняет запрошенные действия, а нейросеть мгновенно транслирует их на целевое лицо. Интерактивность перестает быть защитой — нужны действия, которые ломают саму модель синтеза. Здесь работает запрос провести рукой перед лицом: системы face swap обучены на лицах, но окклюзия вызывает артефакты, сбивает трекинг. Это практический барьер, хотя и не абсолютный. Отдельно стоит голосовой канал: технологии клонирования достигли зрелости, убедительную копию можно создать на основе нескольких секунд образца.
Разница в опасности этих методов заключается в уровне интерактивности. Если обычный повтор записи можно пресечь запросом на случайное действие, то дипфейк в реальном времени позволяет злоумышленнику полноценно мимикрировать под поведение живого пользователя. Это превращает процесс идентификации в соревнование между вычислительными мощностями атакующего и скоростью работы детекторов подделок.
Технология Liveness Detection — это единственный барьер, отделяющий систему от приема сгенерированного потока. ЕБС использует комбинацию методов: от анализа микротекстур кожи до проверки глубины сцены. Однако у этих алгоритмов остаются уязвимые места:
Таким образом, liveness-проверка в ЕБС — это не статичная броня, а постоянная «гонка вооружений» между разработчиками защитных алгоритмов и создателями генеративных моделей.
Несмотря на критические уязвимости, биометрия в рамках ЕБС выполняет важную функцию: она обеспечивает жесткую связку между цифровой личностью и биологическим субъектом. Это становится неоспоримым преимуществом в сценариях защиты от кражи физических носителей. Если классический токен или смартфон с активным банковским приложением попадает в руки злоумышленника, именно биометрический барьер предотвращает мгновенный вывод средств. В данном контексте лицо и голос выступают не как основной ключ, а как высокоэффективный «предохранитель», минимизирующий риски, связанные с утерей контроля над устройствами.
Несмотря на технологический тренд, классическая MFA, основанная на сочетании владения (токен/смартфон) и знания (пароль/пин-код), в ряде случаев демонстрирует большую устойчивость, чем биометрия ЕБС.
Дарья Верестникова
Генеральный директор СТКрипт
Биометрия — это то, что у нас невозможно отнять и невозможно изменить, это фактор «кто я есть». Поэтому компрометация становится критичной, и именно из-за этого многие боятся ее сдавать. Но это не совсем верная позиция в текущих реалиях работы ЕБС.
Во-первых, ЕБС как система построена на базе сертифицированных СКЗИ по классу защиты вплоть до КВ2, что сводит к минимуму возможность утечки данных.
Во-вторых, все системы, построенные с использованием ЕБС, имеют множество дополнительных факторов проверки «владения» или «знания» (смартфон, пароль, другие данные из антифрод-систем и пр.), что снижает риск компрометации с использованием дипфейков и двойников.
Сейчас, спустя время, можно смело сказать, что ЕБС в сочетании с дополнительными факторами является наиболее удобным способом идентификации. С каждым днем появляется все больше сервисов, и в скором времени биометрия станет для нас естественной частью жизни. Главное — перестать бояться.
Основные сценарии, в которых традиционные методы выигрывают:
Таким образом, наиболее зрелым подходом в ИБ считается использование биометрии ЕБС не как альтернативы, а как дополнительного слоя в эшелонированной защите. Попытка полностью заменить «знание» на «сущность» создает опасную точку отказа, тогда как их гибридное использование позволяет компенсировать недостатки обеих систем.
С точки зрения информационной безопасности, сдача данных в ЕБС в 2026 году остается компромиссом между удобством и потенциальными долгосрочными рисками. Если вы не являетесь активным пользователем цифровых госуслуг или дистанционного банкинга, требующего верификации по лицу, спешить с регистрацией не стоит.
Для тех, кто уже в системе или планирует в нее войти, рекомендуется:
Контроль над использованием своего «цифрового лица» — это не только вопрос удобства, но и базовая гигиена в мире, где ваш голос и мимика могут стать ключом к вашим активам.
Биометрическая идентификация в ЕБС — это мощный инструмент, который требует от пользователя осознанного управления, а не слепого доверия. В условиях, когда нейросети учатся обходить защиту быстрее, чем обновляются протоколы безопасности, ваша главная защита — это гибридный подход.
Проверьте статус своей биометрии уже сегодня: зайдите в личный кабинет на портале «Госуслуги» или посетите ближайший МФЦ, чтобы актуализировать свои согласия. Помните, что право на отзыв данных и использование альтернативных способов входа закреплено за вами законом — воспользуйтесь этим правом, чтобы сохранить баланс между цифровым комфортом и личной безопасностью.
Атаки на системы искусственного интеллекта смещаются с уровня кода на уровень данных.
Бурное внедрение нейросетей в бизнес-процессы породило не только новые возможности, но и специфические угрозы: от галлюцинаций и утечек обучающих выборок до жестких требований EU AI Act.
47% экспертов, представляющих руководство средних и крупных компаний, считают атаки с целью вымогательства главным риском своей информационной безопасности в 2025 году.
Корпоративные VPN перестают быть технической «данностью» и переходят в категорию регулируемых сетевых сервисов.
Вельц Сергей Владимирович - технический директор, соучредитель ООО "КБ ТехноСкор" специально для читателей Кибер Медиа рассказывает, как банку автоматизировать комплаенс-контроль, отказаться от рутины и превратить управление рисками из угадывания в точный расчет с помощью AI-агентов.
В 2026 году ландшафт цифровых коммуникаций претерпевает серьезные изменения: на фоне локальных сбоев связи, инфраструктурных ограничений и растущей потребности в автономности пользователи массово переходят на альтернативные способы общения.
Количество кибератак растет, а вместе с ними — и бюджеты на информационную безопасность.
Принцип security by obscurity знаком каждому, кто хоть немного погружен в кибербезопасность.
Категорирование объектов критической информационной инфраструктуры в 2026 году обрело новые контуры.
Современная атака может не оставить ни одного файла на диске — и при этом полностью скомпрометировать инфраструктуру.
