Вопросы идентификации и аутентификации своих клиентов – как частных пользователей, так и корпоративных – каждый банк решает для себя самостоятельно, руководствуясь собственными представлениями о наборе средств, способных обеспечить максимальную безопасность. В настоящее время в России идет активный поиск современных, эффективных и, главное, безопасных способов идентификации, которые отвечали бы требованиям удаленного взаимодействия с клиентом и при этом использовали потенциал современных технологий.

Одной из наиболее обсуждаемых в экспертном сообществе тем, связанных с информационной безопасностью в кредитно-финансовой сфере, является тема преимуществ и проблем безопасности данных, планируемых к сбору в Единой биометрической системе идентификации клиентов, создаваемой в соответствии с внесенными в конце 2017 года изменениями в 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

Новый закон устанавливает правовые основы для удаленной идентификации клиента банка. То есть клиенты банков получат право «на осуществление кредитной организацией (по своему согласию) сбора и обработки персональных данных, включая биометрические персональные данные, в целях проведения его (клиента) последующей удаленной идентификации для оказания ему банковских услуг без его личного присутствия, включая заключение договора банковского счета», – сказано в пояснительной записке. Храниться персональные и биометрические данные банковских клиентов будут в Единой системе идентификации и аутентификации (ЕСИА). Именно благодаря этому граждане получат возможность взаимодействовать с банками через портал госуслуг.

В настоящее время очень важно изучить все возможные риски, потенциальные уязвимости и проработать решения для их устранения. Если образцы биометрии будет хранить национальная биометрическая платформа, то проблема, как банки будут сохранять свои биометрические данные, остается открытой. Специалисты указывают на то, что украсть биометрические данные не так уж трудно. Злоумышленники могут создавать биометрических двойников своих потенциальных жертв, сфотографировав их, скачав фото из интернета, записав голос и т.д. Здесь важна грамотно спроектированная архитектура системы удаленной идентификации и ее способность распознавать подмену биометрических идентификаторов. Конечно, регулятор предпринимает ряд мер для обеспечения сохранности данных пользователей, повышая требования к безопасности автоматизированной банковской системы и банковской инфраструктуры. К ним можно отнести защиту каналов связи, разграничение доступа к базам данных, принцип минимума привилегий, защиту интернет-периметра и т.д. Не вызывает сомнений, что главные требования должны быть предъявлены к разработчикам систем удаленной идентификации. Ведь именно они будут создавать способы защиты от подмены идентификационных параметров. Банки же, со своей стороны, обязаны более внимательно относиться к тестированию таких систем.

ПЕРЕЧЕНЬ УГРОЗ

Банк России совместно с ФСБ разработал перечень угроз безопасности при работе с биометрическими данными, соответствующий проект указания опубликован 12 февраля текущего года на сайте регулятора.

Под угрозами безопасности биометрических данных понимается совокупность условий и факторов, создающих опасность несанкционированного доступа к таким данным при их обработке, результатом которого могут стать их уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия.

Согласно пояснительной записке к проекту, он призван обеспечить необходимый уровень защиты как самих биометрических данных при их сборе, обработке и хранении, так и прав граждан при обработке их биометрии в целях проведения идентификации.

Вступление в силу указания также позволит сформировать основы для установления требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических данных.

БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ В ДЕЙСТВИИ

Примечательно, что несколько россий- ских банков не только начали подго- товку к сбору биометрических данных своих клиентов, но и уже подводят некие итоги применения этих технологий. Так, «Почта Банку» благодаря внедренной системе биометрического распознава- ния лиц клиентов в 2017 году удалось предотвратить совершение порядка 10 тысяч мошеннических сделок объемом более 1,5 млрд рублей.

Сегодня биометрические технологии применяются в ключевых бизнес-процессах «Почта Банка», включая обслуживание клиентов и принятие кредитных решений, говорится в сообщении на сайте банка. Системой распознавания лиц оборудованы более 4 тысяч точек присутствия банка в отделениях почтовой связи и в стрит-ретейле, а также 50 тысяч магазинов партнеров банка по POS-бизнесу. Кроме того, двухфакторная аутентификация (по логину/паролю и фотографии) является необходимым условием для получения сотрудниками банка доступа к CRM-системе и другим бизнес-приложениям. «В 2017 году количество точек присутствия «Почта Банка» увеличилось вдвое, при этом мы не зафиксировали значительного всплеска активности кредитных мошенников. Количество заявок, которые система распознала как мошеннические, за год увеличилось на 10%, при этом их объем практически не изменился и остался на уровне 2016 года. Данную тенденцию мы объясняем, в первую очередь, эффектом сарафанного радио. Мошенники знают о том, что в «Почта Банке» внедрены биометрические технологии, и обходят нас стороной», – отметил член правления, директор по управлению рисками «Почта Банка» Святослав Емельянов.

Применение биометрии на основе фотографии клиента не требует закупки дополнительного оборудования и легко встраивается в процессы банка. Для распознавания лица достаточно изображения с внешней или встроенной в компьютер камеры – система с высокой точностью сличает фото вне зависимости от поворота головы, макияжа, уровня освещения или разрешения камеры.

Платформа идентификации лиц обеспечивает сравнение биометрических параметров новых клиентов банка с параметрами уже существующих в его базе клиентов, а также сличает их с базой данных мошенников. Ежедневно система обрабатывает около миллиона фотографий.

ЗАТРАТЫ НА БИОМЕТРИЮ КОМПЕНСИРУЮТСЯ С ЛИХВОЙ

По мнению первого вице-президента Азиатско-Тихоокеанского банка Вячеслава Андрюшкина, никаких особенных сложностей с внедрением системы удаленной биометрической идентификации не возникнет: «На самом деле у многих банков уже есть наработки в этой области. Например, финансово-кредитные организации уже давно используют изображение заемщика при выдаче кредита (то есть фотографируют клиента)».

Если говорить о затратах на внедрение и эксплуатацию таких систем, то они, конечно, будут, и оплачивать их будет каждый банк самостоятельно, подчеркивает Вячеслав Андрюшкин. «Окончательная стоимость пока не понятна, так как еще не прописаны все детали механизма. Однако можно сказать с уверенностью, что новая система точно не потребует огромных затрат. На самом деле ИT-компаний, которые умеют делать необходимый для этого софт, на российском рынке уже достаточно много. В связи с этим стоимость оснащения банка всем необходимым не будет заоблачной. Главное, что хотелось бы отметить: затраты на внедрение новой системы затем с лихвой компенсируются снижением издержек. Ведь со временем такая дистанционная идентификация приведет к упрощению всех процессов, человеку не нужно будет приходить в банк, сократится время обслуживания, совершения банковских операций и т.д.».

Если под эффективностью понимать скорость идентификации и удобство для пользователя, биометрия, безусловно, является лучшим выбором, считает главный специалист отдела информа- ционной безопасности Банка «Глобэкс» Андрей Алябьев.

«При определенных вариантах реализации биометрическая идентификация может работать с приемлемыми показателями ложноположительных и ложно-отрицательных срабатываний. Ключевая проблема заключается в том, что при компрометации биометрического признака вы не сможете изменить его так же легко, как, к примеру, логин или пароль, – подчеркивает Андрей Алябьев. – Поэтому при использовании биометрии важно иметь возможность вернуться к традиционным средствам идентификации и аутентификации, не оставляя биометрию единственным вариантом».

Согласно прогнозам эксперта Банка «Глобэкс», в ближайшем будущем на рынке можно ожидать еще более широкое внедрение идентификации по фото- и видеоизображениям с использованием технологий машинного обучения, в том числе без какого-либо согласия субъекта.

Если говорить о перспективах развития, то новая система идентификации – вполне логичная и ожидаемая мера, призванная не усложнить, а именно упростить жизнь и банкам, и клиентам в будущем, считает Вячеслав Андрюшкин (Азиатско-Тихоокеанский банк).

 

Алексей Сабанов,
заместитель генерального директора «Аладдин Р.Д.»

Я очень рад, что вопросы удаленной электронной идентификации сейчас стали модной темой и широко обсуждаются. Это внушает надежду на то, что в обозримом будущем у нас появится нормативно-правовая база и удовлетворяющие ее требованиям надежные решения по идентификации и аутентификации граждан при удаленном электронном взаимодействии. Только огорчает пока то, что многое существенное остается за кадром, да и почти все специалисты говорят об одном и том же, но на разном языке.
Отмечу только один аспект. Первичная идентификация гражданина должна иметь документально оформленные юридически значимые подтверждения, а результаты идентификации – утвержденные государством уровни доверия. Например, в развитых странах для открытия счета в приличном банке гражданину необходимо лично предъявить не менее двух документов с фотографией (например, паспорт и права) и документ, удостоверяющий факт его проживания в стране, где банк осуществляет свою деятельность. Если эта работа аккуратно проделана одной организацией, то при трансляции полученного уровня доверия к идентификации в другую организацию уровень доверия к результатам идентификации априори не может быть выше, чем в первой.
Для того чтобы снижение уровня доверия при передаче было минимальным, должна быть проделана огромная организационная и техническая работа по приведению процедур, технических средств, уровней обучения персонала и т.д. к одним стандартам. Их, а точнее, целой системы стандартов, к сожалению, пока нет. Искренне надеюсь, что в готовящейся нормативно-правовой базе по теме удаленной идентификации эти замечания будут учтены.