+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках

Содержание

Биометрия в банках России: для чего нужна, как ее сдать, безопасно ли это

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках

Летом 2021 года крупные российские банки начали собирать биометрические данные — записи голоса и изображения лиц — своих клиентов для удаленной идентификации.

Предполагается, что с помощью этих данных людям будет проще воспользоваться услугами банками — вкладами, кредитами и другими — не выходя из дома.

Но люди сомневаются в сохранности своих данных, а банки — медленно развивают услуги, связанные с ними.

В этой статье я расскажу о том, для чего банкам в нашей стране нужны биометрические данные и о том, как происходит сам процесс их сбора. Для этого я сам решил «засветить» свое лицо в одном из отделений Почта Банка — этот банк одним из первых начал собирать биометрию своих клиентов. В будущем я расскажу, как и где можно воспользоваться собранными данными для оформления финансового продукта.

Что такое биометрические данные?

У каждого человека есть набор уникальных физиологических характеристик, по которым можно установить его личность.

К ним относятся отпечатки пальца, изображение лица, голос, радужная оболочка глаза, структура ДНК и некоторые другие. Такие характеристики называются биометрическими данными.

За счет их уникальности у каждого человека, такие данные часто используются для идентификации граждан.

Разные биометрические данные отличаются особенностями своего применения и своей надежностью. Это ограничивает их использование в разных сферах деятельности:

  • Проще всего использовать для определения личности отпечатки пальцев. Но при этом отпечатки являются одними из самых ненадежных данных — их достаточно легко подделать. Поэтому они применяются, когда личность необходимо подтвердить здесь и сейчас
  • Голос и изображение лица подделать сложнее, и по ним можно установить личность человека удаленно. Но они достаточно нестабильны и могут изменяться с возрастом или под влиянием обстоятельств. Их можно использовать для предоставления доступа к государственным и финансовым услугам
  • Самыми надежными данными являются радужка и рисунок вен на руке, но при этом их использовать сложнее всего. Подтверждение личности с помощью них применяется нечасто и, в основном, там, где вопрос безопасности важнее удобства доступа — например, на военных объектах

Различные биометрические данные уже давно применяются для подтверждения операций и доступа к услугам в разных странах мира — в том числе в финансовой сфере.

К примеру, распознавание клиентов по голосу применяет несколько крупных банков – британский Barclays, сингапурский DBS, азиатско-тихоокеанское подразделение Citigroup и некоторые другие.

В Индии активно работает система идентификации Aadhaar, в которой хранятся отпечатки пальцев и снимки радужной оболочки глаз более чем 99% населения страны. В 2021 году платежные системы Visa и MasterCard тестируют банковские карты со считывателями отпечатков пальцев. Сейчас об активном применении биометрии задумываются и в России.

Для чего российские банки собирают биометрию?

Работа над системой хранения и использования данных началась еще в 2021 году. С 1 июля 2021 года была запущена Единая биометрическая система — база данных, в которой хранятся биометрические данные граждан.

Тогда же начали прием биометрии несколько крупных банков — Сбербанк, Альфа-Банк, ВТБ, Почта Банк, Райффайзен и другие.

Разработчиком и оператором системы выступает Ростелеком — он обрабатывает данные и обеспечивает их безопасное хранение.

Сейчас в биометрическую систему можно сдать запись голоса и изображение лица. По этим данным можно идентифицировать человека как в отделении, так и удаленно — например, по телефону или через мобильное приложение. Возможно, в будущем в системе будут храниться и другие параметры — отпечатки пальцев или снимки радужки глаза.

Биометрическая система должна облегчить работу банков и процесс оформления финансовых продуктов для их клиентов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт — достаточно сопоставить голос и лицо с записями в базе.

Клиент банка может оформить любой его продукт — например, вклад или кредит — в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или отсутствует.

К октябрю 2021 года к ЕБС подключено более 400 крупных банков по всей стране.

Немного позднее доступ к биометрическим данным получили коллекторы — с помощью них проще определить личность должника, и ситуаций, когда взыскатели начинают требовать долг от постороннего человека, должно стать меньше.

Система привязана к ЕСИА – Единой системе идентификации и аутентификации для доступа к госуслугам. В дальнейшем она станет доступна и другим организациям и службам — например, полиции или учреждениям здравоохранения.

Как происходит сдача биометрии?

Узнать, где в вашем городе можно сдать свои голос и лицо, можно с помощью карты на сайте Центробанка. Здесь можно найти список отделений банков с адресами и временем работы. Список постоянно расширяется, в нем появляются новые отделения и банки.

Я выбрал для сдачи своей биометрии отделение Почта Банка недалеко от работы. Обратился сюда после обеда, когда основной поток клиентов спал. Тогда ничто не мешало сдать свои данные — посторонние шумы не будут заглушать голос. Для сдачи своих данных были нужны только паспорт, СНИЛС и аккаунт на Госуслугах.

Если вы не являетесь клиентом банка, в котором вы сдаете биометрии, то для вас бесплатно откроют счет. Оформлять какие-либо другие продукты банка — например, кредиты или карты — не нужно. Если у вас нет аккаунта на Госуслугах, то его также бесплатно зарегистрируют в отделении.

После того, как я подписал согласие на обработку своих данных, сотрудник банка начал сбор моей биометрии. Процесс состоял из записи голоса и изображения лица. На первом этапе нужно    три раза прочитать вслух цифры — от 0 до 9, затем от 9 до 0, и в случайном порядке. На втором этапе сотрудник сфотографировал мое лицо как на паспорт.

В процессе сбора мне немного не повезло. Сначала по какой-то причине программа для сбора данных неправильно записала голос. Потом была проблема с фотографией — система по непонятной причине не хотела распознавать мое лицо.

Сотрудник сказал мне, что это нормально — процесс записи биометрии сильно зависит от обстановки в отделении, данных человека, стабильности рабочего компьютера и многих других параметров.

Поэтому советую обращаться за сдачей данных заранее, так как на нее может уйти много времени — до полутора часов.

Через несколько минут после сдачи биометрии мне пришло SMS о том, что мои данные успешно внесены в ЕБС. Больше ничего регистрировать не нужно — система уже создала учетную запись, привязанную к моим паспортным данным.

Если система по какой-то причине отклонила вашу биометрию, то вы можете сдать ее заново — сразу же или через некоторое время.

Как использовать биометрию при оформлении банковских продуктов?

Теперь, после сдачи своих данных в ЕБС, я смогу воспользоваться ими для удаленного доступа к банковским услугам. Сделать это можно будет в интернет-банке или мобильном приложении банка-участника системы. Во втором случае также нужно будет установить дополнительное приложение для доступа к системе.

Чтобы воспользоваться биометрией для оформления банковского продукта – например, вклада или кредита – нужно будет указать свой логин и пароль в ЕСИА, произнести кодовое слово и показать в камеру свое лицо. Система сопоставит данные с образцами из ЕБС, после чего сообщит о результатах. Если данные совпадут, то банк продолжит оформление продукта. Все необходимые данные он подгрузит из ЕСИА.

Несмотря на то, что ЕБС запущена уже давно, использование биометрии поддерживают не все банки. Возможно, причина в том, что в базе пока очень мало данных – люди не доверяют такому способу подтверждения личности и не хотят «светить» голосами и лицами. Мы будем следить за развитием биометрической системы и рассказывать о банках, которые начали ее применять для оформления своих продуктов.

Безопасно ли сдавать биометрию?

Сразу после первых новостей о начале сбора банками биометрии появились люди, которые начали сомневаться в надежности хранения своих данных.

С одной стороны, они боялись, что биометрией могут воспользоваться мошенники – в том числе, подставные люди в банках – чтобы оформлять на посторонние лица кредиты.

Другие опасаются того, что система не сможет правильно распознать человека из-за изменений в голосе (например, при простуде) или во внешности (например, после пластической операции или травмы).

К примеру, индийская биометрическая система Aadhaar, которую я упомянул ранее, оказалась очень ненадежной. Несколько раз злоумышленники «сливали» в открытый доступ данные, которые хранились в ней. К 2021 году в свободном доступе оказались данные более чем миллиарда граждан.

Разработчики ЕБС учитывают эти проблемы и стараются свести их к минимуму. Биометрические данные записываются в ЕБС без привязки к персональным – ФИО, возрасту, номеру и серии паспорта, номеру СНИЛС и другим.

Для их безопасного хранения используются современные средства шифрования, сертифицированные ФСБ и ФСТЭК. Передача данных происходит по защищенным каналам связи. Голос и изображение лица проверяются одновременно по множеству разных параметров.

Как утверждают специалисты Ростелекома, вероятность ошибки – 1 на 10 000 000.

Конечно, уже сейчас можно достаточно точно смоделировать внешность любого человека и даже подделать его голос. Чтобы распознавать и отметать имитации, ЕБС вводит дополнительные методы подтверждения личности.

Она обращает внимание на выражение лица, расположение камеры, интонацию голоса и другие параметры, которые могут показать, что к системе обращается сам клиент, а не имитация.

Иногда нужно будет ответить на контрольные вопросы или совершить дополнительные действия – например, дотронуться до мочки уха. Так дополнительно будет подтверждаться подлинность человека.

Тем не менее, #ВсеЗаймыОнлайн рекомендует: сочетайте биометрию с другими способами защиты данных и подтверждения операций — PIN-кодами, одноразовыми паролями, кодовыми фразами и другими. Возможно, банки и ЕСИА позволят сочетать разные способы подтверждения между собой. Так вы сможете избежать проблем при неправильном подтверждении личности и защитить вашу биометрию.

Вопросы и ответы

Можно ли сдать биометрию заново (например, после смены внешности)?

Да, можно сдать свои данные еще раз в любое время и в любом отделении банка. Для этого вам понадобятся те же данные, что и для первоначальной сдачи — паспорт, СНИЛС и аккаунт на Госуслугах. Специалисты, работающие над системой, рекомендуют обновлять свои данные в базе каждые три года.

Источник: https://VseZaimyOnline.ru/reviews/biometrija.html

​Пятое У, или Ужасы биометрии

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках
Пятое У может сильно не понравиться тем, кто попытается взять кредит с помощью удаленной идентификации SonSam/Depositphotos.com

В России скоро можно будет брать кредит, открывать счет, лишь показав себя камере смартфона (компьютера) и сказав несколько слов в его микрофон. Но в этих технологиях скрываются большие проблемы.

Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег.

Фигуры умолчания

Из существующих технологий создания биометрического профиля — считывание карты вен, радужки глаза, отпечатка пальца, сканирование лица, запись голоса и множество других — выбраны две: сканирование лица и запись голоса.

проблема всех без исключения технологий, связанных с биоидентификацией, проста: их можно обмануть. Для лица делается маска, голос синтезируют. Причем для обмана того же Face ID на iPhone не требуется делать полную копию лица, достаточно только копии областей вокруг глаз.

А синтезатор голоса уже массово доступен.

Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров.

Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих.

Банк видит тебя насквозь

Банкомат, который опознает вас, просто увидев. Финансовый гаджет, который подтвердит трансакцию прикосновением. Офис банка, который откроется в любое время дня и ночи от одного вашего взгляда. Скажете, глупость? А вот и нет — реальность. Биометрическая российская реальность.

У одного из крупнейших бюро кредитных историй в нашей стране биометрия используется для выявления загримированных мошенников или переклеенных фотографий. Система FPS.

Биометрия делает это с вероятностью всего лишь около 80%, что гарантирует вычистку массы жуликов (умеренно низкая вероятность ошибки первого рода), но эта вероятность означает, что вас крайне редко (вероятность — 0,0000001) ошибочно могут принять за мошенника, поскольку последствия такой ошибки слишком велики (сдадут под белы руки в полицию). В этом примере решается специфическая задача.

Но достаточно ли такой надежности (80%) для доступа к вашим счетам? Конечно, нет. Вам требуется более высокая вероятность, а значит, сложность взаимодействия с системой, при обеспечении безопасности, возрастает многократно.

По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100.

Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается.

Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает.

О чем они даже не задумывались

Сегодняшние системы биометрической идентификации работают совместно с традиционными «паролями» или обеспечивают доступ относительно небольшого числа людей к каким-то не столь важным функциям (разблокировке смартфона, например).

Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность.

Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации.

«Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем.

То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества.

А вот еще сюрприз

Преступник, прежде чем совершить преступление, может сколь угодно тщательно тестировать свою «модель идентифицируемого лица» на движках распознавания лица и голоса. Эти движки широкодоступны.

Именно они лягут в основу строящейся системы удаленной идентификации.

Если даже будет создана специальная версия движка для государственной системы биоидентификации, то можно будет или применить похожий движок (все современные системы схожи), или использовать версию для коммерческого применения.

По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен?

Что же вам делать

Презентуемая в 2021 году система удаленной идентификации должна рассматриваться вами как еще одна «калитка» для мошенников к вашим деньгам. С простеньким замком. Сами решайте, надо ли вам это.

Конечно, вы можете быть заинтересованы в простом доступе к кредитам или услугам и полагать, что терять вам нечего.

Но как насчет использования вашего биометрического профиля для открытия счетов с целью отмывания денег или использования кредитных средств без вашего ведома? В многочисленные черные списки сегодня легко попасть, но очень сложно из них выйти.

Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный.

Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД».

А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных).

​Код в крови

Биометрия при идентификации клиентов финансовых организаций стремительно набирает популярность. Зачем нужна верификация личности по биометрическим данным и почему рисунок вен надежнее отпечатка пальцев?

Спецслужбам пригодится

Объективно разработчики систем удаленной идентификации могут рассчитывать только на массово используемые идентификаторы. Скажем, кроме биопрофиля, можно использовать электронный паспорт. Или информацию из кредитной истории, как в США.

В Бельгии давно стали использовать электронный паспорт. его ценность в том, что, докупив буквально за несколько евро считыватель информации, подключаемый к компьютеру по USB, вы приобретаете возможность удаленной идентификации физического лица. Да, это немодно и, главное, недорого.

В нашей стране чиновники выбирают биоидентификацию.

Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми».

Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам.

Пусть это и утешает любителей новых технологий.

Борис ВОРОНИН, директор Национальной ассоциации профессиональных коллекторских агентств, для Banki.ru

Источник: https://www.banki.ru/news/daytheme/?id=10434216

Удаленная биометрическая идентификация: хорошо это, или плохо

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках

Что более всего мы ценим в услуге? – Конечно же, высокое качество, приемлемую стоимость и своевременность. При сегодняшнем темпе жизни последнее условие вполне можно переименовать в срочность: надо здесь и сейчас. Срочность оказания услуги, как правило, оплачивается дополнительно, и мы очень часто идем на это.

Хороша ли ложка к обеду

В банковских услугах мы ценим то же самое – качество и своевременность. Невысокую комиссию – разумеется. А лучше вообще без комиссий.

Но для того чтобы снять деньги с вклада, открыть счет или оформить кредит, необходимо отправиться в ближайшее отделение вашего банка, взять талон, дождаться своей очереди, подойти к освободившемуся операционисту, предъявить паспорт и еще некоторое время ждать оформления. Своей цели вы достигли, но потрачено время, а часто и нервы – не всегда очередь движется быстро.

И еще хорошо, если клиент живет в большом городе и офисы его банка в нем наверняка есть. А если это маленький городок или поселок, а ближайший офис – в районном или даже областном центре, а то и в соседнем регионе? Или если клиент заболел, или он человек пожилой и вообще передвигается с трудом?

Нарисуйте мой портрет

С 1 июля 2021 года в России начала работать система удаленной идентификации клиентов кредитной организации – физических лиц с использованием их биометрических данных – изображения лица, голоса.

При идентификации будет использоваться единая система идентификации и аутентификации, биометрические данные будут подтверждаться в единой биометрической системе.

Клиенту совсем не обязательно будет тратить время на поход в офис банка.

И до этого некоторые крупные банки уже предлагали дистанционные услуги с использованием электронной подписи клиента. Но, как говорится, почувствуйте разницу: теперь возможности проведения дистанционных банковских операций становятся гораздо шире.

Первичная идентификация

Перечень банков, которые получат право выстраивать с клиентом подобные отношения,  опубликован на сайте Банка России. Поинтересуйтесь, есть ли в списке ваш банк. Если есть, уточните, где находится офис, в котором оказываются услуги по так называемой первичной идентификации.

В офис необходимо взять паспорт и СНИЛС: на их основе вас зарегистрируют в Единой системе идентификации и аутентификации (ЕСИА).

Следующий шаг – регистрация в Единой биометрической системе (ЕБС): сотрудники банка снимут вас на веб-камеру и запишут ваш голос. После проверки данных вы получите смс-сообщение с подтверждением регистрации.

Одновременно банк пришлет логин и временный пароль, который надо будет заменить на постоянный, известный только вам.

Как это работает 

Дальнейшие действия весьма просты. Подойдет любой гаджет (смартфон, планшет, ноутбук) или стационарный компьютер с камерой и микрофоном. Выбирайте нужную услугу на сайте банка, и сайт автоматически выведет вас в ЕСИА.

Чтобы войти, необходимо ввести логин и пароль, а также произнести на камеру буквы или цифры, которые увидите на экране. Получив видеозапись, ЕБС сравнит ее с имеющимся образцом. При возникновении каких-либо сомнений банк запросит у вас дополнительную информацию.

Пройдя удаленную идентификацию, вы получаете доступ к необходимой банковской услуге. Все очень просто.

Перспективы 

Первые полгода удаленная биометрическая идентификация клиентов будет использоваться только в работе с физическими лицами, ограничено и число операций – пока это вклад, открытие счета и выдача кредита. За это время предстоит неизбежная доработка механизма, после чего функционал будет расширен.

На первом этапе запуска платформы, который завершится к концу 2021 года, ЦБ планирует подключить более 4 тыс. точек обслуживания кредитных организаций. Остальные отделения будут подключены к концу 2021 года. По мнению экспертов, на начальном этапе пользоваться услугой будут сотни тысяч клиентов, за два года их число вырастет до 1 млн.

В перспективе технология удаленной идентификации будет тиражирована на весь финансовый рынок.

Удаленная биометрическая идентификация в том числе позволит клиентам переходить на обслуживание из одного банка в другой, не посещая офисы. В дальнейшем подключаться к платформе смогут также некредитные организации. Таким образом, граждане смогут проходить упрощенную идентификацию для дистанционного получения не только финансовых, но и иных услуг, в том числе государственных.

Но будет ли востребована у населения система удаленной идентификации, особенно с учетом того, что все новое в России воспринимается не без труда?

В услугах, и в банковских услугах в том числе, мы прежде всего ценим оптимальное соотношение качества и цены, а также их своевременность. Часто фактор времени является определяющим, – пояснил «Ридусу» первый заместитель начальника Главного управления Банка России по ЦФО Ильшат Янгиров. – Поэтому удаленная идентификация обязательно будет востребована – в силу ее быстродействия и удобства для клиентов, в особенности, когда банковского офиса рядом с вами нет или добраться до него по каким-то причинам затруднительно. К тому же она бесплатна и безопасна.

Непроницаемая защита

В знаменитой сказке козлята, оставшиеся одни дома, долго не открывали входную дверь волку, назвавшемуся их матерью.

Пока он не изменил голос и не перекрасил лапу в белый цвет – чтобы предъявить недоверчивым козлятам в качестве доказательства.

Биометрическая идентификация в чистом виде! А насколько уязвима перед волками-хакерами система удаленной идентификации? Вопрос совсем не праздный: на кону средства клиентов.

Эксперты утверждают, что защита системы от взлома выстроена на уровне самых жестких государственных стандартов. Биометрические данные гражданина будут храниться в обезличенном виде, причем отдельно от персональных данных, что значительно повышает уровень безопасности.

Данные пользователей передаются по защищенным каналам связи и размещаются в практически непроницаемой облачной инфраструктуре оператора системы, «Ростелекома». Банки получают доступ к ней через специальные каналы связи межведомственного электронного взаимодействия.

Немаловажным остается и вопрос «железа», а именно, какую технику нужно иметь потребителю, чтобы пользоваться новой системой идентификации?

Для работы подойдет любой гаджет или стационарный компьютер с камерой и микрофоном, – говорит Ильшат Янгиров. – Выбрав на сайте банка нужную услугу, вы автоматически перейдете в систему. Введите логин и пароль. Произнесите на камеру буквы или цифры, которые увидите на экране. Система сравнит ее с имеющимся образцом. Пройдя идентификацию, вы получите доступ к необходимой банковской услуге.

Процедура удаленной идентификации будет бесплатной и добровольной. Проводить ее можно будет лишь с согласия клиента. И если вы захотите по-прежнему получать услуги в офисе – это ваше полное право. Решать вам. На всякий случай напомним: на заре прошлого века абсолютное большинство населения боялось автомобилей как огня, предпочитало передвигаться пешком, ну или верхом. А сейчас?..

Источник: https://www.ridus.ru/news/279416

Биометрическая идентификация в банке – насколько она безопасна

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках

Идентификация биометрическая – использующая для идентификации людей уникальные физические атрибуты, такие как отпечатки пальцев – долгое время считается безопасной. Однако, эта технология, став привлекательной для банков и их клиентов, привлекла внимание киберпреступников.

С точки зрения организации огромным преимуществом таких методов, как сканирование радужной оболочки или анализ системы капиляров, является тот факт, что они уменьшают коэффициент ошибочных отказов (ошибка первого рода) и ошибочных принятий (ошибка второго рода). Клиентам нравится биометрия тем, что эта технология работает быстрее и освобождает их от паролей и других секретных кодов.

К сожалению, технология сканирования отпечатков пальцев является не только массово распространенной, но и не достаточно надежной, как и должна быть. Например, пользователи устройств под управлением iOS и Android регулярно жалуются на то, что их гаджеты «не узнают» законных владельцев – или путают их с другими людьми.

Биометрия в банкоматах

Биометрические банкоматы пока найти очень сложно, но несколько десятков «подземных» разработчиков программного обеспечения уже продают на черном рынке биометрические скиммеры. Эти устройства имеют задачу кража отсканированных отпечатков пальцев.

Другие разработчики подполья пытаются создавать устройства, которые способны записывать результаты сканирования радужной оболочки глаза и макет вен. Более того, использование скиммеров это не единственный способ кражи биометрических данных: атаки Man-in-the-middle и им подобные остаются такими эффективными, как при использовании имён пользователей и паролей.

Конечно, преступники взламывают также серверы с данными пользователей, независимо от того, в какой форме хранятся эти данные.

А теперь представьте, что вместо паролей эти компании потеряли биометрические данные своих клиентов. Смена паролей может быть утомительной, но как поменять код ДНК.

Кроме того, с помощью биометрических скиммеров преступники могут использовать исходные данные для копий биометрических данных. Банки должны будут очень тщательно разработать стандарты безопасности, прежде чем предоставить биометрические банкоматы массовому клиенту.

Снижение безопасности и биометрии

Первыми биометрические данные стали использовать структуры правительства, силы безопасности и оборонная промышленность, и в этих сферах она показала себя достаточно хорошо, потому что эти учреждения могут позволить себе дорогое и надежное оборудование.

Однако, в случае адаптации биометрии для широкого использования это приведёт к падению её уровня безопасности. Основной причиной такого положения вещей является популярность.

Во-первых, речь идёт о том, что стандарты безопасности для потребительских товаров ниже, чем там, где они выполняют критическую функцию.

Во-вторых, широкий выбор недорогих гаджетов позволяет злоумышленникам проводить много тестов потребительских устройств и находить всё больше и больше уязвимостей – для их собственной выгоды, конечно.

Повышению уязвимости биометрии для атак способствовало также быстрое развитие 3D-печати.

В прошлом году люди установили около 6 миллионов мобильных приложений, которые поддерживают проверку подлинности с помощью отпечатка пальца.

По данным Juniper Research, к 2021 году мы будем использовать около 770 миллионов таких приложений.

Другие эксперты ещё более оптимистичны: компания Market Intelligence считает, что к 2021 году 2,5 миллиарда человек будет использовать 4,8 миллиарда устройств, использующих биометрию.

Надежда и рекомендации на будущее

К счастью, биометрические данные не хранятся в чистом виде: на сервер попадают хешированные результаты сканирования, так что их кража не так привлекательна. Однако, преступники по-прежнему могут использовать методы, такие как упомянутые выше атаки man-in-the-middle, с помощью которых входят в канал передачи данных между банкоматом и центром обработки, чтобы украсть деньги человека.

Банки и пользователи должны использовать более строгие меры защиты от утечки традиционных логинов, а также защитить себя от мошенничества связанного с биометрией. Внешний вид банкомата должен быть усовершенствован, чтобы невозможно было установить скиммер, а также следует усилить контроль безопасности такого оборудования и его программного обеспечения.

Если речь идёт о технологии биометрической идентификации, мы рекомендуем использовать вместе с ней другой метод защиты, который дополняет систему защиты, но не заменяет её полностью.

Источник: https://webznam.ru/blog/biometricheskaja_identifikacija_v_banke/2021-09-17-676

Почему не стоит бояться биометрических технологий | Rusbase

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках

Новости о все новых методах биометрической идентификации — от нового iPhone X до систем видеонаблюдения с искусственным интеллектом — обычно вызывают страх и наводят на мысли об антиутопиях. Стоит ли нам действительно бояться подобных технологий или их польза значительно превышает гипотетические негативные последствия? Рассказывает Дмитрий Халин, технический директор Microsoft Россия.

Фильму Стивена Спилберга «Особое мнение» в этом году исполнилось 15 лет. Именно ему, по мнению множества технологических экспертов и футурологов, удалось наиболее точно предсказать будущее.

В 1999 году Спилберг задался целью сделать свои фильмы более достоверными с научной точки зрения, поэтому перед съемками собрал совет из 15 экспертов в отеле в Санта-Монике.

Среди участников были представители Массачусетского технологического института (MIT), специалисты по медико-биологическим исследованиям, архитекторы и другие.

 Результатом трехдневных переговоров стал 80-страничный документ под неофициальным названием «2054 bible».

Кадр из фильма «Особое мнение»

Бизнес в цифровую эпоху: инструкция по применению. 

В нем был всеобъемлюще описан мир будущего с точки зрения развития различных сфер жизни: быта, социально-политического строя, рекламы, правопорядка, транспорта и т.д.

Только вот сделанные тогда предсказания стали реальностью на почти 30 лет раньше, чем предполагалось.

Жестовые интерфейсы (над которыми, в частности, работает Google и ряд других IT-гигантов), системы по предотвращению преступлений (решение на основе Big Data в Чикаго или совместный проект Microsoft и NYPD) сегодня уже существуют. Но самый большой расцвет из упомянутых в фильме сегодня переживают технологии биометрии.

С глазу на глаз

Герой Тома Круза живет в мире, где каждый человек становится объектом сканирования сетчатки глаза десятки раз в день, будь то проход в определенные здания и объекты, или даже шоппинг: бренды, обращаясь к герою по имени, заманивают его персонализированными предложениями. Сегодня ни то, ни другое уже не является фантастикой.

В мире живет более 7,5 миллиарда человек, сетчатка и сосудистый узор глаза у каждого — индивидуальны. У такого способа идентификации достаточно низкий процент ложноположительных результатов и практически отсутствует вероятность ложноотрицательного. Именно поэтому сегодня сканирование сетчатки глаза как способ авторизации используется такими организациями, как ФБР, ЦРУ и NASA.

Shutterstock

Банки тоже активно используют подобный вид идентификации личности. Одним из недавних примеров стал запуск пилотного проекта Bank of America и Samsung по использовании изображения сетчатки для авторизации в мобильный банк.

При том что в 2021 году хакеры украли из российских банков 2,2 миллиарда рублей и динамика пока не выглядит положительной, использование сканирования сетчатки или другого вида биометрии вместо пароля может стать действенным решением в борьбе с преступниками.

Даже с точки зрения удобства использования, когда нет необходимости запоминать комбинацию букв и цифр (а любой пароль все равно рано или поздно можно взломать), подобный вид идентификации это во всех смыслах положительное нововведение. Особенно эффективно использование нескольких видов биометрической идентификации одновременно (би- и мультимодальная идентификация): на данный момент такую защиту взломать практически невозможно.

Помимо банковской сферы, подобный вид биометрии потенциально сможет заменить не только анализ отпечатков пальцев, но и все остальные этапы в процедуре проверки на пограничном контроле. Он уже используется в тестовом режиме, к примеру, в аэропортах Великобритании, Сингапура и ОАЭ.

Знакомые все лица

В то время как мы уже относительно успели привыкнуть к тому, что смартфоны разблокируются сканированием отпечатка пальцев (хотя в свое время и это вызвало волну негативных комментариев), каждый новый шаг в развитии подобных технологий обычно пугает общественность.

12 сентября Apple представила новый смартфон iPhone X, основным нововведением которого стала идентификация пользователя по 3D-скану лица. И несмотря на то, что многие отнеслись к новости скептически, это действительно важный шаг в индустрии биометрических технологий и их глобального распространения.

Shutterstock

Если снова вернуться к банковской сфере, то в России Сбербанк, главный апологет внедрения новых технологий, недавно запустил пилотный проект банкомата, использующего авторизацию по 3D-модели лица. Проект был реализован российской компанией RecFaces.

Важно, что подобная система позволит не только пользоваться всеми услугами банкомата без пин-кода и даже без самой карты, но и создает совершенно новую систему по предотвращению краж: алгоритм потенциально сможет идентифицировать лица находящихся в «черном списке» при приближении к банкомату и сразу же оповещать службу безопасности банка. Скимминговые схемы, нацеленные на копирование данных с магнитной полосы и пин-кода для последующего клонирования становятся неактуальными при использовании такого рода идентификации — ведь в ней не нужна карта. При этом взломать такую систему гораздо сложнее, нежели ту, в которой сканируется отпечаток пальца.

Большинство банков видят будущее сервиса и обеспечения безопасности клиентов в биометрии. Об этом говорит и то что сейчас ведущие российские банки совместно с ЦБ и Минкомсвязи занимаются созданием универсальной системы идентификации пользователя для дистанционного банковского обслуживания.

Если же говорить о противодействии преступности, то технологии распознавания лиц уже используются для идентификации потенциально опасного общественного поведения в местах скопления людей. Алгоритм FindFace от стартапа NtechLab, изобретенный выпускником МГУ им.

Ломоносова и известный на весь мир, уже внедрен в ряд камер городского видеонаблюдения в Москве. Это позволит обеспечивать безопасность на улицах, в том числе, и на массовых мероприятиях.

За два месяца тестирования системы с ее помощью удалось поймать шестерых преступников, о чем сообщил глава ДИП Москвы Артем Ермолаев.

Прогноз на завтра

Любая технология проходит стадию от всеобщего отторжения до широкого распространения. Только вдумайтесь, какой прорыв в криминалистике совершило изобретение алгоритма снятия отпечатка пальцев в свое время.

В современном мире круг различного рода преступлений и угроз существенно расширился.

Именно биометрия может решить все эти проблемы и создать унифицированную систему безопасности в городах, банках и при использовании персональных устройств.

Для более широкого распространения этой технологии и решения проблемы использования персональных данных, технологические корпорации должны работать над созданием общего свода правил и политик конфиденциальности при внедрении биометрических решений, а также предоставлять соответствующие мощности для обеспечения бесперебойной обработки потока данных.

Shutterstock

Решением первой проблемы вполне сможет стать блокчейн: технология позволит сделать так, что база персональных биометрических данных не будет находиться в распоряжении одной организации, а станет распределенной. Таким образом, злоумышленники никак не смогут получить персональные данные пользователей.

https://www.youtube.com/watch?v=CRpfXEyqVHs

Что же касается мощностей, то для этого уже сегодня существуют емкие облачные хранилища, способные обрабатывать и верифицировать колоссальный объем поступающих данных за доли секунды.

Технологические компании стремятся к увеличению вычислительных способностей (к примеру, Microsoft использует специальные матрицы FPGA в облаке для повышения скорости обработки данных), продолжается разработка квантового компьютера: IBM, в частности, работает над созданием его коммерческой версии.

Уже в ближайшем будущем мы сможем забыть про пароли, перестать думать о безопасности средств на банковской карте, а также перемещаться по городу спокойнее.

Действительно ли так страшно и антиутопично это будущее?

Материалы по теме:

Как будет выглядеть будущее, в котором твое лицо узнают машины

Не только паспорта: где еще будут применяться биометрические данные

В аэропорту Парижа внедряют систему распознавания лиц

Единый реестр биометрических данных превращает жизнь индийских граждан в антиутопию
Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Источник: https://rb.ru/opinion/dont-fear-biometrics/

Добровольное принуждение: зачем банкам биометрия

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках

Согласно исследованию международной консалтинговой компании Ernst & Young Global banking
outlook 2021, до 60% опрошенных представителей международных банков планируют увеличить инвестирование в программное обеспечение на основе биометрии. Вместе с Россией в 2021 году в пятерку стран-лидеров по активности использования финтех-услуг вошла Великобритания.

Сбербанк России анонсировал внедрение биометрических технологий еще в мае 2021 года. Тогда Герман Греф объявил о постепенном отказе от пластиковых карт в пользу биометрии. Президент Сбербанка отметил, что решения на основе распознавания голоса и внешности доводят точность идентификации до 99,9%.

В июле 2021 года генеральный директор Национальной системы платежных карт (НСПК) Владимир Комлев поспорил с Грефом, заявив, что, несмотря ни на что, пластиковые карты еще много лет будут востребованы.

Комлев оказался прав: пластиковые карты по-прежнему популярны у россиян. По данным ЦБ РФ по итогам 2021 года, операции по банковским картам выросли более чем на треть.

Держатели карт, выпущенных российскими банками, совершили в прошлом году 24 млрд операций на общую сумму 63,4 трлн руб.

Тем временем на другом конце Европы британский телефонный и интернет-банк First Direct начал применять биометрию в обслуживании клиентов с марта 2021 года. Другой британский интернет-банк Atom Bank сообщил BBC, что использует технологию распознавания лица для регистрации клиентов.

В августе 2021 года британский банковский конгломерат Barclays объявил о начале использования ых технологий для телефонного банкинга. Представитель банка заявил, что голос каждого клиента обладает набором более чем из 100 уникальных характеристик. Параметры зависят от физических особенностей горла и рта.

По этой причине голос может служить идентификатором для доступа к банковским услугам, даже если пользователь забыл пароль.

В России, как и во всем мире, биометрия пока не заменила пластиковые карты. Однако уже в 2021 году Греф предрек тренд для всего банковского сектора, оценив срок внедрения биометрических технологий в 2-3 года. В июле 2021 года о своих планах по внедрению биометрии заявили ВТБ24, СМП Банк, Росбанк, Ситибанк, «Ак Барс» и Бинбанк.

Незадолго до официального запуска ЕБС в России Министерство внутренних дел Великобритании опубликовало проект создания единой биометрической базы данных. Новость вызвала резонанс и повлекла критику правозащитников, которые назвали проект «ночным кошмаром».

Биометрия для оптимизации

Биометрия не только распознает клиентов с вероятностью 99,9%, но и помогает автоматизировать взаимодействие с клиентами. Развитию автоматизации среди российских банков снова способствовал Сбербанк.

В январе 2021 года зампред правления Сбербанка Вадим Кулик заявил на Гайдаровском форуме, что робот-юрист позволит сократить 3000 юристов.

Спустя неделю Герман Греф предположил, что численность персонала Сбербанка сократится в 2025 году в два раза в связи с цифровой трансформацией.

Роботы пока не привели к массовому исходу юристов из Сбербанка, но оптимизация банковских процессов отнюдь не пустой звук. Только за первые два квартала 2021 года Сбербанк сократил 11 000 сотрудников.

Сбербанк не единственный банк, который ориентируется на автоматизацию как на способ экономии. В августе 2021 года Альфа-Банк объявил о планах по сокращению расходов на рутинные операционные процессы.

Предположительно роботизация сэкономит для банка до 85 млн рублей ежегодно.

Голосовые технологии тоже способствуют автоматизации банковских процессов.

Так, в августе 2021 года ВТБ24 сообщил об экономии 0,5 млрд рублей за два года с помощью IVR-системы автоматических ых сообщений: эта технология распознавания речи помогла клиентам банка находить ближайшие отделения. Тогда же пресс-служба финансовой организации сообщила о планах по переходу IVR на свободное распознавание речи.

Необходимость в экономии и периодическом сокращении персонала побуждает составлять планы по переходу на дистанционное банковское обслуживание на основе биометрии. Идентификация по голосу и изображению, которую запустили российские банки, в сочетании с системой IVR постепенно снизит присутствие сотрудников в банковских процессах. В первую очередь многочисленных сотрудников колл-центров.

База для «большого брата»

Анонс запуска ЕБС возник в контексте готовящегося ужесточения контроля над финансовыми операциями граждан. Яркое подтверждение тому — обсуждение запрета на снятие наличных с электронных кошельков и предоплаченных карт, которые не требуют идентификации пользователей и открытия банковского счета, в январе 2021 года.

Согласно данным ЦБ РФ, для удаленного доступа к банковским услугам с помощью биометрии недостаточно паспортных данных, СНИЛС, записи голоса и фотоизображения.

Банк обязательно зарегистрирует гражданина в Единой системе идентификации и аутентификации (ЕСИА), а затем разместит полученные биометрические данные в ЕБС. Таким образом обогащение базы ЕБС означает обогащение базы ЕСИА.

Предоставление гражданину удаленного доступа к банковским услугам, о котором заявляет ЦБ, невозможно без сопоставления данных ЕБС и ЕСИА.

ЦБ уже открестился от доступа третьих лиц к данным ЕБС. Так, в июле 2021 года ЦБ опроверг сообщения о том, что биометрические данные россиян из новой системы будут доступны коллекторам. Также российский регулятор публично дал понять банкам, что им придется обеспечить безопасность биометрии. В августе 2021 года ЦБ представил перечень угроз конфиденциальности информации ЕБС.

К потенциальным угрозам ЦБ отнес нарушения: доступности (блокирование передачи), целостности (подмена, удаление) и конфиденциальности биометрических данных клиентов. Более того, безопасность биометрии потребует финансовых вливаний: так, главный операционный директор Альфа-банка Мария Шевченко оценила затраты на усиление криптографической защиты примерно в 7 млн рублей.

И это довольно скромная оценка.

Несмотря на опровержение слухов Центробанком и борьбу с угрозами, запуск ЕБС означает появление единой и пополняемой базы биометрических данных граждан РФ.

Согласно закону, который Госдума приняла в декабре 2021 года, оператор ЕБС будет предоставлять данные МВД и ФСБ в соответствии с процедурой, установленной правительством РФ. Таким образом, у планов Сбербанка и ЦБ РФ одинаковые причины.

Предлог, который объединяет крупнейший банк и российского финансового регулятора, — удобство пользователей. Причина — сбор биометрических данных. Пока на добровольных условиях.

Источник: http://www.forbes.ru/tehnologii/368157-dobrovolnoe-prinuzhdenie-zachem-bankam-nuzhna-biometriya

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.