Биометрия в банках – что это, для чего и не опасно ли?

Статьи

В России скоро можно будет брать кредит, открывать счет, лишь показав себя камере смартфона (компьютера) и сказав несколько слов в его микрофон. Но в этих технологиях скрываются большие проблемы.

Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег.

Содержание
  1. Фигуры умолчания
  2. О чем они даже не задумывались
  3. А вот еще сюрприз
  4. Что же вам делать
  5. Спецслужбам пригодится
  6. Что такое биометрические данные?
  7. Надёжность биометрических данных
  8. Для чего банки собирают биометрию
  9. В чём проблема?
  10. Фальсификация
  11. Качество сбора данных и ложные распознавания
  12. Многократный сбор биометрии
  13. Утечки и кражи
  14. «Ростелеком»: cотрудника банка мошенник обмануть может, ЕБС – нет
  15. Руководитель департамента развития онлайн-каналов Альфа-банка Дамир Баттулин: возможно оказание всех банковских услуг с применением ЕБС
  16. Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности: биометрические технологии используют уже и в Африке
  17. Лев Глухов, адвокат, партнер KDS legal: любой способ идентификации личности таит в себе риски
  18. Работа со спецсчетом для закупок по федеральному закону
  19. От заявлений Германа Грефа к запуску ЕБС
  20. Биометрия для оптимизации
  21. База для «большого брата»
  22. Зачем Сбербанк собирает биометрические данные?
  23. Как собираются биометрические данные
  24. Возможности биометрической информации для клиентов банков
  25. Как действует идентификация для получения доступа к банковским услугам
  26. Безопасно ли оставлять биометрические данные?
  27. Нюансы использования ЕБС
  28. Как защититься?
  29. Использовать или нет?
  30. Какие данные собирает Сбербанк?
  31. Вывод
  32. Как отказаться от биометрии в Сбербанке?
  33. Прохождение биометрии
  34. Как использовать биометрию?
  35. Безопасность передачи данных

Фигуры умолчания

Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров.

Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих.

По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100. Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается. Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает.

О чем они даже не задумывались

Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность. Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации. «Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем. То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества.

А вот еще сюрприз

По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен?

Что же вам делать

Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный. Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД». А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных).

Спецслужбам пригодится

Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми». Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам. Пусть это и утешает любителей новых технологий.

Что такое биометрические данные?

Все знают, как в современных детективных фильмах преступников находят по отпечаткам пальцев, оставленным неаккуратным движением на стаканчике с кофе. Это примерно оно и есть.

К биометрике человека можно отнести:

  • Изображение лица
  • Отпечатки пальцев
  • Снимок радужной оболочки глаз
  • ДНК
  • Запись голоса

Это неполный список. Вообще вопрос о том, какие данные человека считать биометрическими — до сих пор на сто процентов не урегулирован. Были и разъяснения от Роскомнадзора, есть и пункт в законе, который так и называется «Биометрические данные». Это Федеральный закон №152 «О персональных данных» статья 11.

Но до сих пор то там, то тут возникают разногласия и споры. Особенно, когда речь заходит о законности принудительной сдачи биометрических данных. Так, например, клиенты ФК «Открытие» жаловались, что не могут открыть дебетовый счёт без фотографирования. А клиентам «Почта-банка» выдают без сдачи данных только лимитированный набор услуг. Некоторые банки ссылаются на то, что сдача биометрии – пункт договора, заключаемого при кредитовании, поэтому это согласованная обеими сторонами необходимость.

Сейчас, при продвижении новых возможностей для получения информации о клиенте, банки стремятся запустить в массы максимально положительный образ и обоснование своих новых условий. Говорится о том, что это нужно для создания самых удобных условий. Всё делается для клиента. Новые технологии позволят получать банковские продукты, не выходя из дома. Сервис, быстрота, всё хорошо, волноваться не нужно.

Но люди всё равно волнуются. И задаются вопросом – насколько вообще безопасно так «отдавать» свои персональные данные.

Надёжность биометрических данных

Вопросы не безосновательны. Потому что разные биометрические параметры по-разному надёжны. Так, например, дактилоскопия, давно и активно применяющаяся полицией для создания базы преступников, на самом деле не может считаться надёжным методом, если её использовать для, допустим, создания ограниченного доступа к чему-либо. Потому что отпечатки пальцев подделать сегодня несложно.

А вот, например, голос или изображение лица подделать гораздо сложнее. Вот только проблема в другом – такие данные могут со временем меняться. Человек взрослеет, подвергается различным болезням и воздействиям извне.

На сегодняшний день, самыми надёжными уникальными данными человека считаются радужка глаз, а также рисунок вен. Вот только их использовать пока что очень сложно и проблематично в массовом применении.

Понятное дело, что все эти вопросы ещё будут прорабатываться не один год, как и будут совершенствоваться технологии получения данных с человека. И через несколько лет, скорее всего это будет уже обычным делом. Но банки ждать не хотят, ведь легче решать проблемы по мере поступления и оттачивать технологии и сервис на месте, да и внедрять в сознание людей мысль о том, что скоро снятие биометрических показаний будет обычным делом – лучше заранее. Давайте разберёмся для чего это банкам.

Для чего банки собирают биометрию

Если лаконично — для создания единой биометрической системы. Работа над проектом началась ещё в 2017 году. А с лета 2018 года была запущена сама база. Первыми в игру вступили самые крупные банковские организации – Сбер, Альфа, ВТБ, Почта, Райфайзен и ещё несколько игроков. Так как система будет единой для всех банков (и раньше было понятно, что те же номера телефонов передаются тем или иным способом между организациями, с биометрикой это уже делают не прячась), нужна одна организация, которая будет выступать оператором. Такой компанией стал Ростелеком. В его функции входит сбор таких данных, их обработка и безопасное хранение.

Идея единой базы данных официально заключается в том, чтобы человека можно было идентифицировать как в отделении, так и дистанционно. Банки заявляют, что это в разы упростит работу с клиентами, да и собственно клиентам будет проще. В конечном итоге будет возможность обходиться даже без паспорта, и не нужно будет находиться непосредственно в отделении. Кредиты и вклады будут доступны для удалённого оформления. Отмечается, что особенно это актуально для удалённых регионов, где небольшая доступность отделений, а некоторые банковские организации вообще не имеют представительств.

Осенью 2018 года уже более 400 банков было подключено к системе. А через некоторое время к ЕБС (единая биометрическая система) стала доступной и для коллекторов. Предполагается, что такой ход позволит сократить количество случаев, когда сборщики долгов начинают требовать возврата с постороннего человека. ЕБС также привязали к ЕСИА – единой системе идентификации и аутентификации, которая используется для доступа к госуслугам.

Не приходится сомневаться в том, что база биометрических данных для банков – это только первый шаг. Потому что в дальнейшем к ней будут иметь доступ и другие организации. От полиции до здравоохранения. То есть мы сейчас наблюдаем, как в нашей стране создаётся единая база жителей со всеми их идентификационными данными.

Эра, когда ваш телефон может найти любая организация превращается в эпоху, когда любого человека смогут точно идентифицировать по многих параметрам. Но опускаться в теории тотальной слежки мы конечно не будем. А теперь от общей теории давайте перейдём к практике.

В чём проблема?


У биометрической идентификации есть особенности, которые отличают её от привычной пары логин/пароль или «безопасной» 2FA:

  1. Биометрические данные публичны. Можно найти фотографии, видео- и аудиозаписи практически любого жителя планеты Земля и использовать их для идентификации.
  2. Невозможно заменить лицо, голос, отпечатки пальцев или сетчатку с той же лёгкостью, как пароль, номер телефона или токен для 2FA.
  3. Биометрическая идентификация подтверждает личность с вероятностью, близкой, но не равной 100%. Другими словами, система допускает, что человек может в какой-то степени отличаться от своей биометрической модели, сохранённой в базе.

Поскольку биометрические данные открывают не только турникеты в аэропортах, но и банковские сейфы, хакеры и киберпреступники всего мира усиленно работают над способами обмана систем биометрической идентификации. Каждый год в программе конференции по информационной безопасности BlackHat неизменно присутствуют доклады, связанные с уязвимостями биометрии, но практически не встречается выступлений, посвящённых разработке методов защиты.

В качестве основных проблем, связанных с биометрической идентификацией, можно выделить фальсификацию, утечки и кражи, низкое качество собранных данных, а также многократный сбор данных одного человека разными организациями.

Фальсификация


Публикации, связанные с различными способами обмана систем биометрической идентификации, часто встречаются в СМИ. Это и отпечаток пальца министра обороны Германии Урсулы фон дер Ляйен, изготовленный по её публичным фотографиям, и обман Face ID на iPhone X с помощью маски, нашумевшая кража 243 тысяч долларов с помощью подделанного нейросетью голоса генерального директора, фальшивые видео со звёздами, рекламирующими мошеннические выигрыши, и китайская программа ZAO, которая позволяет заменить лицо персонажа видеоролика на любое другое.

Чтобы биометрические системы не принимали фотографии и маски за людей, в них используется технология выявления «живости» — liveness detection — набор различных проверок, которые позволяют определить, что перед камерой находится живой человек, а не его маска или фотография. Но и эту технологию можно обмануть.


Внедрение фальшивого видеопотока в биометрическую систему.Источник

В представленном на BlackHat 2019 докладе «Biometric Authentication Under Threat: Liveness Detection Hacking» сообщается об успешном обходе liveness detection в Face ID с помощью очков, надетых на спящего человека, внедрения поддельных аудио- и видеопотоков, и других способов.


X-glasses — очки для обмана liveness detection в Face ID. Источник

Для удобства пользователей, Face ID срабатывает, если человек надел солнцезащитные очки. При этом количество света в глазах уменьшается, поэтому система не может построить качественную 3D-модель области вокруг глаз. По этой причине, обнаружив очки, Face ID не пытается извлечь 3D-информацию о глазах и представляет их в виде абстрактной модели — чёрной области с белой точкой в центре.

Качество сбора данных и ложные распознавания


Точность идентификации сильно зависит от качества биометрических данных, сохранённых в системе. Чтобы обеспечить достаточное для надёжного распознавания качество, необходимо оборудование, которое работает в условиях шумных и не слишком ярко освещённых отделений банков.

Дешёвые китайские микрофоны позволяют записать образец голоса в неблагоприятных условиях, а бюджетные камеры — сделать фото для построения биометрической модели. Но при таком сценарии значительно возрастает количество ложных узнаваний — вероятность того, что система примет одного человека за другого, с близким по тональности голосом или сходной внешностью. Таким образом, некачественные биометрические данные создают больше возможностей для обмана системы, которыми могут воспользоваться злоумышленники.

Многократный сбор биометрии


Некоторые банки начали внедрение собственной биометрической системы раньше, чем заработала ЕБС. Сдав свою биометрию, человек считает, что может воспользоваться новой технологией обслуживания в других банках, а когда выясняется, что это не так, сдаст данные повторно.

Ситуация с наличием нескольких параллельных биометрических систем создаёт риск, что:

  • У человека, дважды сдавшего биометрию, скорее всего, уже не вызовет удивления предложение повторить эту процедуру и в будущем он может стать жертвой мошенников, которые будут собирать биометрию в своих преступных целях.
  • Чаще будут происходить утечки и злоупотребления, поскольку увеличится количество возможных каналов доступа к данным.

Утечки и кражи


Может показаться, что утечка или кража биометрических данных — настоящая катастрофа для их владельцев, но, в действительности, всё не так плохо.

В общем случае биометрическая система хранит не фотографии и записи голоса, а наборы цифр, характеризующие личность — биометрическую модель. И теперь поговорим об этом подробнее.

Для построения модели лица система находит опорные антропометрические точки, определяющие его индивидуальные характеристики. Алгоритм вычисления этих точек отличается от системы к системе и является секретом разработчиков. Минимальное количество опорных точек — 68, но в некоторых системах их количество составляет 200 и более.

По найденным опорным точкам вычисляется дескриптор — уникальный набор характеристик лица, независимый от причёски, возраста и макияжа. Полученный дескриптор (массив чисел) и представляет собой биометрическую модель, которая сохраняется в базе данных. Восстановить исходное фото по модели невозможно.

Для идентификации пользователя система строит его биометрическую модель и сравнивает с хранящимся в базе дескриптором.

Из принципа построения модели имеются важные следствия:

  1. Использовать данные, похищенные из одной биометрической системы для обмана другой — вряд ли получится из-за разных алгоритмов поиска опорных точек и серьёзных различий в результирующей модели.
  2. Обмануть систему с помощью похищенных из неё данных тоже не получится — для идентификации требуется предъявление фотографии или аудиозаписи, по которой уже будет проведено построение модели и сравнение с эталоном.

Даже если база хранит не только биометрические модели, но и фото и аудио, по которым они построены, обмануть систему с их помощью «в лоб» нельзя: алгоритмы проверки на «живость» считают ложными результаты с полным совпадением дескрипторов.

Таким образом, использование утекших биометрических данных не поможет киберпреступникам быстро получить материальную выгоду, а значит, они с большей вероятностью будут искать более простые и надёжные способы обогащения.

«Ростелеком»: cотрудника банка мошенник обмануть может, ЕБС – нет

Что такое Единая биометрическая система и зачем она нужна?

Это цифровая платформа, которая является одним из элементов механизма удаленной идентификации (распознавания) человека по его биометрическим характеристикам.

Единая биометрическая система обрабатывает два типа данных – изображение лица и голос. Это позволяет определить живого человека и распознать имитацию его биометрии.

Цель внедрения ЕБС – повышение доступности финансовых услуг, а затем и иных в первую очередь для людей из отдаленных регионов и маломобильных граждан. Для получения услуги не потребуется личное посещение, ее смогут предоставить удаленно, через Интернет.

Сбор и хранение биометрических данных – это безопасно?

При разработке ЕБС были заданы повышенные требования к безопасности и комфорту граждан при дистанционном получении услуг. Биометрия, в отличие от других методов удаленной идентификации, является уникальным «ключом», который нельзя потерять и крайне сложно подделать. Другие способы идентификации недостаточно надежны. Всегда есть вероятность потери и взлома пароля или токена 1 .

Человека нетрудно обмануть: мошенник может прийти в банк и открыть счет по чужому паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10 -7 . Это значит, что система распознает человека с вероятностью 99,99%. Более того, используется дополнительная связка с логином и паролем от Портала госуслуг. Поэтому мошеннику гораздо проще явиться в банк и выдать себя за другого человека.

Для обеспечения информационной безопасности реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных человека (Ф.И.О., паспортных данных, СНИЛС и др.), включенных в базы Единой системы идентификации и аутентификации (Портал госуслуг).

Как пользоваться Единой биометрической системой?

Процесс состоит из двух этапов.

1) Регистрация в системе. Необходимо один раз прийти в банк для открытия счета. Сотрудник банка поможет зарегистрироваться на Портале госуслуг, если вы этого еще не сделали. После этого сотрудник «снимет» ваши биометрические данные – сделает фото и запись голоса – и загрузит их в Единую биометрическую систему.

Адреса отделений банков, в которых можно сдать биометрию, доступны на сайте bio.rt.ru. Количество банков, участвующих в проекте, постоянно растет. Среди них Почта Банк, Тинькофф Банк, Банк Хоум Кредит, Альфа-банк, Совкомбанк и др.

2) Удаленная идентификация. После регистрации в ЕБС вы сможете дистанционно получить услуги любого банка, работающего с системой. Для этого нужно ввести логин/пароль Портала госуслуг и произнести сгенерированную системой короткую контрольную фразу, глядя в камеру смартфона или компьютера.

Руководитель департамента развития онлайн-каналов Альфа-банка Дамир Баттулин: возможно оказание всех банковских услуг с применением ЕБС

Альфа-банк производит сбор биометрических данных для ЕБС более чем в 100 отделениях по всей стране.

Одной из основных изначальных задач внедрения Единой биометрической системы было уравнять в части привлечения клиентов возможности банков небольших и с развитой филиальной сетью. Благодаря ЕБС клиенту не нужно будет ехать в отделение интересующей его кредитной организации для получения услуги. Достаточно сдать биометрические данные в ближайшем банке и оформить банковский продукт через Интернет.

Можно говорить о том, что уже сегодня банки имеют возможность оформлять новых клиентов полностью удаленно, посредством ЕБС. И потенциально все банковские услуги могут быть оказаны с применением биометрической идентификации. Но разработка новых продуктов и процессов требует времени. Сейчас этот рынок находится в стадии становления. Пока банки предлагают клиентам самые простые продукты с удаленной идентификацией посредством ЕБС – дебетовые карты и депозиты.

Нужно отметить, что использование ЕБС безопасно, поскольку риски доступа посторонних лиц к биометрическим данным клиентов учитываются всеми участниками системы. Кроме того, ЦБ контролирует соблюдение стандартов информационной безопасности и постоянно их дорабатывает.

Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности: биометрические технологии используют уже и в Африке

Повсеместное внедрение биометрических технологий, которые с каждым годом становятся все совершеннее и доступнее, уже давно перестало быть привилегией экономически развитых стран. Например, в Индии и Киргизии реализуются государственные программы обязательной биометрической регистрации населения, а в банках Нигерии применяют национальную систему биометрической идентификации.

В то же время во многих странах использование технологий биометрической идентификации жестко регламентируется, а иногда и ограничивается. Например, согласно ст. 9 (1) Общего регламента ЕС о защите данных обработка биометрических данных для однозначной идентификации физического лица должна быть запрещена, кроме некоторых случаев, установленных в ст. 9 (2) этого регламента. Схожая норма зафиксирована в ст. 11 российского Закона о персональных данных: за исключением отдельных случаев, биометрические данные человека могут обрабатываться только при наличии его письменного согласия.

Замечу, что в действующем законодательстве закреплены права и свободы субъектов персональных данных. И для их соблюдения использование технологий биометрической идентификации, включая создаваемые и поддерживаемые государством системы, должно строиться на принципах добровольности участия и возможности его прекращения по желанию человека.

Использование биометрических данных для идентификации человека – неизбежность уже даже не завтрашнего, а сегодняшнего дня. Развитие информационных технологий позволяет внедрять новые способы взаимодействия людей друг с другом, с организациями и государством. И общество должно активно двигаться в этом направлении.

Однако использование биометрических технологий рождает массу вопросов: как и кому собирать данные? Кто будет обеспечивать их защиту? За чей счет?

Сейчас данные собирает МВД России, которое занимается паспортизацией. Роскомнадзор обеспечивает функционирование усиленных квалифицированных электронных подписей, при этом их выдачу осуществляют частные компании. ЦБ РФ начинает курировать работу по созданию единого банка биометрических данных для кредитных организаций. Но цель у них едина – идентификация человека и его волеизъявления. Тяжело судить, создаст ли это разнонаправленное движение проблемы в будущем. Возможно, нужно объединить все способы идентификации под контролем одной государственной структуры.

Что касается рисков использования ЕБС, подобная идентификация, как и любая иная, не требующая личного присутствия человека, таит в себе опасности. Для примера возьмем усиленную квалифицированную электронную подпись. Недавно в прессе появилась информация о случае мошенничества: квартира была продана с использованием скомпрометированной электронной подписи.

Риски имеются в любом способе идентификации личности. Полагаю, в биометрической системе их не больше, чем в существующих.

1 Токен – устройство, которое используется для идентификации его владельца и безопасного удаленного доступа к информационным ресурсам. Это может быть физическое устройство. Часто они оформлены в виде брелоков и предназначены для хранения, например электронной подписи или биометрических данных. Существуют и программные токены, которые выдаются пользователю после авторизации и являются ключом для доступа к той или иной службе. В банковской сфере токены используются для электронного удостоверения личности клиента, получающего доступ к банковскому счету.

Работа со спецсчетом для закупок по федеральному закону

Несмотря на сомнения скептиков, биометрия активно внедряется в повседневную жизнь. Сначала эту технологию использовала полиция, затем паспортно-визовые службы начали выдавать биометрические документы. Производители мобильных телефонов устанавливают специальные приложения, открывающие доступ по отпечатку пальца или после сканирования лица владельца. В аэропортах подключили устройства для идентификации пассажиров.

Пришло время и банковского сектора. Сегодня банки хотят знать клиента в лицо. Скоро не нужно будет предъявлять паспорт. Достаточно просто посмотреть в камеру и прочесть контрольную фразу.

От заявлений Германа Грефа к запуску ЕБС

Согласно исследованию международной консалтинговой компании Ernst & Young Global banking
outlook 2018, до 60% опрошенных представителей международных банков планируют увеличить инвестирование в программное обеспечение на основе биометрии. Вместе с Россией в 2017 году в пятерку стран-лидеров по активности использования финтех-услуг вошла Великобритания.

Сбербанк России анонсировал внедрение биометрических технологий еще в мае 2016 года. Тогда Герман Греф объявил о постепенном отказе от пластиковых карт в пользу биометрии. Президент Сбербанка отметил, что решения на основе распознавания голоса и внешности доводят точность идентификации до 99,9%.

В июле 2016 года генеральный директор Национальной системы платежных карт (НСПК) Владимир Комлев поспорил с Грефом, заявив, что, несмотря ни на что, пластиковые карты еще много лет будут востребованы. Комлев оказался прав: пластиковые карты по-прежнему популярны у россиян. По данным ЦБ РФ по итогам 2017 года, операции по банковским картам выросли более чем на треть. Держатели карт, выпущенных российскими банками, совершили в прошлом году 24 млрд операций на общую сумму 63,4 трлн руб.

Тем временем на другом конце Европы британский телефонный и интернет-банк First Direct начал применять биометрию в обслуживании клиентов с марта 2016 года. Другой британский интернет-банк Atom Bank сообщил BBC, что использует технологию распознавания лица для регистрации клиентов. В августе 2016 года британский банковский конгломерат Barclays объявил о начале использования голосовых технологий для телефонного банкинга. Представитель банка заявил, что голос каждого клиента обладает набором более чем из 100 уникальных характеристик. Параметры зависят от физических особенностей горла и рта. По этой причине голос может служить идентификатором для доступа к банковским услугам, даже если пользователь забыл пароль.

В России, как и во всем мире, биометрия пока не заменила пластиковые карты. Однако уже в 2016 году Греф предрек тренд для всего банковского сектора, оценив срок внедрения биометрических технологий в 2-3 года. В июле 2017 года о своих планах по внедрению биометрии заявили ВТБ24, СМП Банк, Росбанк, Ситибанк, «Ак Барс» и Бинбанк.

Незадолго до официального запуска ЕБС в России Министерство внутренних дел Великобритании опубликовало проект создания единой биометрической базы данных. Новость вызвала резонанс и повлекла критику правозащитников, которые назвали проект «ночным кошмаром».

Биометрия для оптимизации

Биометрия не только распознает клиентов с вероятностью 99,9%, но и помогает автоматизировать взаимодействие с клиентами. Развитию автоматизации среди российских банков снова способствовал Сбербанк. В январе 2017 года зампред правления Сбербанка Вадим Кулик заявил на Гайдаровском форуме, что робот-юрист позволит сократить 3000 юристов. Спустя неделю Герман Греф предположил, что численность персонала Сбербанка сократится в 2025 году в два раза в связи с цифровой трансформацией.

Роботы пока не привели к массовому исходу юристов из Сбербанка, но оптимизация банковских процессов отнюдь не пустой звук. Только за первые два квартала 2018 года Сбербанк сократил 11 000 сотрудников. Сбербанк не единственный банк, который ориентируется на автоматизацию как на способ экономии. В августе 2018 года Альфа-Банк объявил о планах по сокращению расходов на рутинные операционные процессы. Предположительно роботизация сэкономит для банка до 85 млн рублей ежегодно.

Голосовые технологии тоже способствуют автоматизации банковских процессов. Так, в августе 2017 года ВТБ24 сообщил об экономии 0,5 млрд рублей за два года с помощью IVR-системы автоматических голосовых сообщений: эта технология распознавания речи помогла клиентам банка находить ближайшие отделения. Тогда же пресс-служба финансовой организации сообщила о планах по переходу IVR на свободное распознавание речи.

Необходимость в экономии и периодическом сокращении персонала побуждает составлять планы по переходу на дистанционное банковское обслуживание на основе биометрии. Идентификация по голосу и изображению, которую запустили российские банки, в сочетании с системой IVR постепенно снизит присутствие сотрудников в банковских процессах. В первую очередь многочисленных сотрудников колл-центров.

База для «большого брата»

Анонс запуска ЕБС возник в контексте готовящегося ужесточения контроля над финансовыми операциями граждан. Яркое подтверждение тому — обсуждение запрета на снятие наличных с электронных кошельков и предоплаченных карт, которые не требуют идентификации пользователей и открытия банковского счета, в январе 2018 года.

Согласно данным ЦБ РФ, для удаленного доступа к банковским услугам с помощью биометрии недостаточно паспортных данных, СНИЛС, записи голоса и фотоизображения. Банк обязательно зарегистрирует гражданина в Единой системе идентификации и аутентификации (ЕСИА), а затем разместит полученные биометрические данные в ЕБС. Таким образом обогащение базы ЕБС означает обогащение базы ЕСИА. Предоставление гражданину удаленного доступа к банковским услугам, о котором заявляет ЦБ, невозможно без сопоставления данных ЕБС и ЕСИА.

ЦБ уже открестился от доступа третьих лиц к данным ЕБС. Так, в июле 2018 года ЦБ опроверг сообщения о том, что биометрические данные россиян из новой системы будут доступны коллекторам. Также российский регулятор публично дал понять банкам, что им придется обеспечить безопасность биометрии. В августе 2018 года ЦБ представил перечень угроз конфиденциальности информации ЕБС. К потенциальным угрозам ЦБ отнес нарушения: доступности (блокирование передачи), целостности (подмена, удаление) и конфиденциальности биометрических данных клиентов. Более того, безопасность биометрии потребует финансовых вливаний: так, главный операционный директор Альфа-банка Мария Шевченко оценила затраты на усиление криптографической защиты примерно в 7 млн рублей. И это довольно скромная оценка.

Несмотря на опровержение слухов Центробанком и борьбу с угрозами, запуск ЕБС означает появление единой и пополняемой базы биометрических данных граждан РФ. Согласно закону, который Госдума приняла в декабре 2017 года, оператор ЕБС будет предоставлять данные МВД и ФСБ в соответствии с процедурой, установленной правительством РФ. Таким образом, у планов Сбербанка и ЦБ РФ одинаковые причины. Предлог, который объединяет крупнейший банк и российского финансового регулятора, — удобство пользователей. Причина — сбор биометрических данных. Пока на добровольных условиях.

Зачем Сбербанк собирает биометрические данные?

С 2018 года Сбербанк все больше уходит в цифру, начав сбор биометрических данных. Биометрия в Сбербанке позволит клиентам получать доступ к большему количеству банковских услуг дистанционно. Цифровая идентификация выгодна как банку, так и пользователям:

  • для банков — это прежде всего снижение издержек и возможность предоставлять услуги удаленно,
  • для клиентов — это возможность получать услуги удаленно после первичной идентификации в одном из офисов любого банка.

При этом, при удаленном получении услуг особенно это актуально для жителей страны, которые живут в труднодоступных местах и в малонаселенных пунктах.

До 1 июля 2019 года каждый первый счет в каждом новом банке необходимо было открывать с помощью очной явки. Теперь достаточно однократно явившись в отделение:

  • сделать фото,
  • записать голос, — чтобы все отставшее время взаимодействовать с банком удаленно.

К слову сказать, Тинькофф Банк с 2011 года собирает биометрические данные:

  • голосовые данные через сотрудников колл-центра, принимающих телефонные звонки от клиентов,
  • базу фотографий через курьерскую службу, доставляющую банковские продукты.

Требования к качеству информации, которая будет использоваться в Сбербанке более жесткие:

  • голос в отличие от стандартного процесса, когда представители Тинькофф банка отцифровывали телефонный трафик, здесь записывается с помощью микрофона,
  • изображение лица проверяется по множеству заданных параметров,
  • применяется двойная идентификация.

Главное преимущество для клиента — удобство обслуживания в банках, которое сводится к общению по телефону. Кроме того, так как банк снижает затраты, то можно надеяться на снижение кредитных ставок и увеличение депозитных ставок.

В настоящее время при звонке в контактный центр, оператор запрашивает паспортные и личные данные, кодовое слово. Иногда люди опасаются в телефонном разговоре передавать собственные данные. Кроме того, эта процедура передачи данных занимает много времени. К тому же можно допустить ошибку.

Благодаря биометрии, система мгновенно распознает по голосу и безошибочно идентифицирует клиента. Даже если голос изменился в результате болезни, индивидуальный тембр сохранится. Если система не распознает голос, то:

  • включится “модуль аномалий”, блокирующий мошенников,
  • идентификация будет происходить по стандартной схеме.

Как собираются биометрические данные

На сайте Центробанка в специальном разделе каждый может узнать, где ему можно провести процедуру «сдачи» своего голоса и лица для ЕБС.

Для того, чтобы провести процедуру, понадобится паспорт, СНИЛС, а также аккаунт на сайте госуслуг. То, что процедура проходит в отделении банка, не означает, что вам нужно обязательно являться клиентом этого банка. Более того, добровольцам бесплатно оформляют счёт в этом банке. А если вы не регистрировались до этого на госуслугах, то и там оформят личный кабинет.

Для того, чтобы ваши данные взять, обработать и передать в базу, требуется ваше письменное разрешение.

Сам сбор биометрики может пройти как быстро, так и занять много времени. Потому что система ещё дорабатывается и иногда отказывается действовать так, как задумано. Например, она может не распознать ваше лицо по сделанной фотографии, или просто тормозить. Тогда, придётся подождать. Сотрудники банка, утверждают, что в этом нет ничего необычного, и относятся ко всему стоически.

Сам процесс состоит из нескольких этапов.

  • Первый этап – голосовые данные. Для того, чтобы банк взял данные голоса, вас попросят три раза произнести в слух цифры. Сначала от 0 до 9, потом в обратном порядке, потом – в случайном.
  • Второй этап – фотография. Здесь ничего нового.
  • Третий этап – обработка системой. Здесь как раз и могут возникнуть трудности, на которые вы повлиять никак не можете.

Если всё прошло успешно – у вас будет создана учётная запись в ЕБС, к которой будут привязаны и данные паспорта. Об успешном принятии ваших данных оповестит смс-сообщение.

Возможности биометрической информации для клиентов банков

После регистрации в ЕБС вы получаете доступ к удалённому сервису банков. Нужно заметить, что только тех банков, которые являются участниками программы.

Часть банков уже способно предоставлять дистанционные услуги для тех, кто зарегистрировался в ЕБС с помощью своих интернет-банков и мобильных банков. Либо придётся установить дополнительное приложение для доступа.

Как действует идентификация для получения доступа к банковским услугам

Идентификация состоит из нескольких обязательных этапов:

  • Ввести логин и пароль в ЕСИА (госуслуги)
  • Произнести кодовое слово
  • Показать на камеру лицо

Далее последует сопоставление результатов с теми, что были при регистрации в ЕБС. Если данные совпадают, то вам будет дан доступ к дальнейшему оформлению продукции банка. А все остальные данные (например, паспортные) уже автоматически подтянутся из системы.

Ещё раз напомним – не все банки пока что являются участниками системы. Уверены, ситуация в скором времени изменится. Потому что в этом заинтересованы многие структуры и нужно оперативно повышать уровень доверия населения к этому способу идентификации.

Пока что он низок, что неудивительно. Часть людей считают его сомнительным, часть – плохо проработанным, часть просто не хочет оставлять свои данные в какой-либо системе. Так что давайте обратимся к вопросам безопасности. Всё-таки речь не только о номере телефона и паспортных данных.

Безопасно ли оставлять биометрические данные?

Что беспокоит людей в первую очередь? Можно выделить несколько насущных вопросов:

  1. Что если мошенники смогут воспользоваться дырами в безопасности системы и украсть личные биометрические данные?
  2. Что если система перестанет распознавать зарегистрированного человека? Например, у него измениться голос, или он сделает пластическую операцию?

Такие вопросы небезосновательны. Так, например, индийская система Aadhaar уже прославилась своей ненадёжностью. Не так давно мошенникам удалось её взломать. Как итог – данные более миллиарда человек оказались в свободном доступе.

Создатели ЕБС об этом знают. И утверждают, что подобные ошибки учитывались при разработке. При работе их системы действуют определённые протоколы безопасности и используются разные ухищрения, которые помогут таких казусов избежать.

  • Биометрика в ЕБС не привязывается к персональным данным. Таким как паспорт, ФИО, возраст, СНИЛС и т.д.
  • Безопасность хранения обеспечивается современными средствами шифрования, которые проверяются ФСБ и ФСТЭК.
  • Используются защищённые каналы связи для передачи информации.
  • Такие данные как голос и лицо проверяются сразу по нескольким параметрам.

Ростелеком, который является оператором ЕБС утверждает, что вероятность ошибки сведена к минимуму. А чтобы в дальнейшем избежать таких ситуаций, когда будут подделаны голос и внешность (ведь современные технологии это уже позволяют), система будет постоянно совершенствоваться.

Так, например, чтобы исключить имитацию, ЕБС будет использовать оценку множества параметров. Будут учитываться дополнительные параметры. Такие как выражение лица, расположение камеры, интонация голоса. Также возможно дополнительное подтверждение контрольными вопросами. А то и контрольными действиями.

В общем, всё должно быть хорошо и безопасно. Так заявляет Ростелеком. Что будет на самом деле – покажет практика. Одно известно – биометрика уже вводится, уже используется и точно будет массово насаждаться как необходимый инструмент.

Нюансы использования ЕБС

Многие помимо основных вопросов интересуют и некоторые технические. Например, можно ли будет менять данные в системе, подавая их снова, например, после пластики лица?

Специалисты говорят, что можно. Более того, есть рекомендации – обновлять данные раз в три года для их актуальности.

Можно ли убрать свои данные из ЕБС? Ответ – можно. Причём делается это дистанционно через личный кабинет на сайте госуслуг.

Как быть с дополнительными документами по типу справки о доходах по форме банка, которую используют, например, при запросе на выдачу кредита. На данный момент этот вопрос находится в подвешенном состоянии. Дело в том, что пока что ЕБС на выдачу кредита не действует. Но инструментов много. Способ решить эту задачу найдётся быстро. Так, например, можно использовать электронный документооборот для пересылки справки. Хотя вероятно для этого понадобится оформлять электронную цифровую подпись.

Как защититься?


Вступившая в действие 14 сентября 2019 года директива Евросоюза PSD2, также известная как Open Banking, требует от банков внедрения многофакторной аутентификации для обеспечения безопасности удалённых транзакций, выполняемых по любому каналу. Это означает обязательное использование двух их трёх компонентов:

  • Знания — какой-то информации, известной только пользователю, например, пароля или контрольного вопроса.
  • Владения — какого-то устройства, которое имеется только у пользователя, например, телефона или токена.
  • Уникальности — чего-то неотъемлемого, присущего пользователю и однозначно идентифицирующего личность, например, биометрических данных.

Эти три элемента должны быть независимыми так, чтобы компрометация одного элемента не влияла на надёжность других.

Применительно к банковской практике это означает, что проведение операций по биометрическим данным должно обязательно сопровождаться дополнительными проверками с помощью пароля, токена или PUSH/SMS-кодов.

Использовать или нет?


У биометрической аутентификации имеются большие перспективы, однако опасности, которые приходят в нашу жизнь вместе с ними, выглядят весьма реалистично. Разработчикам систем и законодательным органам стоит изучить результаты новейших исследований уязвимостей биометрических систем и оперативно доработать как решения по идентификации, так и нормативные акты, регулирующие их работу.

Банкам необходимо принять во внимание ситуацию с deepfakes и другими способами обмана биометрических систем, используя сочетание традиционных способов идентификации пользователя с биометрическими: пароли, 2FA и usb-токены всё ещё могут принести пользу.
С клиентами банков ситуация сложная. С одной стороны, биометрическая идентификация разрабатывалась для их удобства как попытка расширить возможности для получения банковских услуг в любое время с минимальными формальностями. С другой — в случае успешной атаки рискуют своими деньгами именно они, а регуляторы и разработчики биометрических систем ответственности за взломы не несут.

В связи с этим, логичная рекомендация клиентам банков — не торопиться со сдачей биометрических данных, не обращать внимание на агрессивные призывы. Если же без биометрической идентификации никак не обойтись, то используйте её совместно с многофакторной аутентификацией, чтобы хотя бы частично снизить риски.

Какие данные собирает Сбербанк?

Центральный Банк РФ разработал законопроект, согласно которому российским банкам рекомендовано собирать биометрические данные россиян и вносить в Единую Биометрическую Систему (ЕБС), доступную всем кредитным организациям. Прежде всего:

  • изображение лица,
  • голосовые слепки.

Фотография производится по особой технологии — делается фотографический объемный слепок лица для безошибочной идентификации при личном обращении в банк.

Запись голоса производится при помощи микрофона. Все данные обрабатываются в высокотехнологичных программах.

Идентифицировать личность будет техника, а человек исключается из системы распознавания. Используют именно голос и изображение лица, потому что их при установлении личности посредством удаленных сервисов:

  • подделать сложнее,
  • использоваться легче.

Следует знать, что биометрию в любое время можно пересдать. Эксперты даже рекомендуют обновлять свою запись в базе данных с периодичностью один раз в три года.

Вывод

Пока что система сбора биометрических данных находится на начальном этапе. Она не всегда быстро и качественно работает, в ней ещё крайне мало информации, не все банки подключены к ней, население либо о ней ещё не слышало, либо мало доверяет.

Но точно понятно, что проект будет развиваться. И развиваться быстро. Особенно сейчас, когда он уже запущен. Торопиться сдавать свои данные в резерв государственной компании не стоит, лучше подождать, когда систему подкрутят, но готовиться к тому, что сделать это придётся. Не исключается такой вариант, что в будущем это станет обязательной процедурой. Либо перестанут существовать условия, которые позволят без этого обойтись. Будем надеяться, что всё делается только ради удобства. А пока что – следим за развитием событий.

Как отказаться от биометрии в Сбербанке?

После того как представитель Сбербанка разъясняет особенности системы, клиент дает добровольное согласие на предоставление собственных биометрических данных.

Отказаться от предоставления биометрических данных можно:

  • на начальном этапе никаким образом, не обосновывая собственный отказ,
  • после того как согласие было дано.

Потребуется выбрать любой способ:

  • написать заявление в отделении и отозвать согласие на биометрию,
  • отправить онлайн-заявку через личный кабинет на сайте Госуслуги.

Прохождение биометрии

Пройти биометрию можно при личном посещении банка или используя банкомат. Порядок, следующий:

  • Гражданин, являющийся клиентом, предъявляет паспорт гражданина РФ и карту, эмитированную Сбербанком.
  • Подача заявления происходит через сервис Госуслуги, поэтому потребуется открыть личный аккаунт на сайте Госуслуги.
  • Клиент дает согласие на сбор биометрических данных, подписывая собственноручно распечатанный документ или используя платежную карту.
  • Начинается сбор биометрии:
  • делается фотография в формате паспорта,
  • записывается голос, для чего произносятся вслух цифры от 0 до 9, от 9 до 0, а также в случайном порядке.
  • Клиент получает уведомление в СМС о том, что:
  • данные внесены в единую биометрическую систему,
  • получает право обслуживаться дистанционно.

По отзывам тех, кто уже прошел процедуру биометрии, процесс сдачи может занять значительное количество времени в связи с тем, что техника может подвести.

Как использовать биометрию?

После того как в системе ЕБС будет создана учетная запись, привязанная к паспорту, клиент может получать удаленный доступ к банковским услугам, притом не только в Сбербанке, но и в других кредитных учреждениях — участниках системы.

При звонке в колл-центр не нужно будет передавать какие-либо данные, сразу после произнесения первого слова, система распознает голос клиента и поприветствует его, назвав по имени и отчеству.

При желании получить кредит или открыть вклад дистанционно, потребуется:

  • Указать логин и пароль, полученный при регистрации в единой системе идентификации и аутентификации.
  • Показать в камеру лицо.
  • Назвать кодовое слово.
  • Дождаться результатов идентификации.
  • Оформить требуемый банковский продукт.

Безопасность передачи данных

Вопрос безопасности является для большинства пользователей ключевым. Но специалисты уверяют, что биометрические технологии сами по себе во много раз надежнее, чем действующие способы идентификации личности. Ведь, обмануть компьютер гораздо сложнее, чем человека — это проверено на практике.

К тому же разработчики программы учитывают все нюансы и возможные проблемы, и стремятся свести их к минимуму:

  • записывают биометрию без привязки к персональным данным,
  • голос и слепок лица проверяются одновременно по множеству параметров.

Биометрия в Сбербанке — это первый этап. Надо быть готовым к внедрению биометрической технологии в такие сферы, как медицина, образование, страхование, торговля.

Оцените статью
Добавить комментарий