Аналитика и комментарии

09 октября 2018

Плюсы и минусы биометрической идентификации

В августе 2018 года состоялся круглый стол «Плюсы и минусы биометрической идентификации». В мероприятии приняли участие более 120 человек, большинство из них составили руководители банковских управлений информационной безопасности, риск-менеджмента, информационных технологий и т.д., а также представители небанковских финансовых организаций

Среди участников были Заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов, Директор по развитию компании «Прософт-Биометрикс» Александр Горшков, Заместитель заведующего лаборатории МФТИ-Сбербанк Сергей Тренин, Руководитель департамента развития услуг и продуктов ОАО «Инфотекс Интернет Траст» Антон Мелузов, Директор компании «Комрунет» Федор Петрушенко, Руководитель дирекции информационной безопасности Почта-Банка Владислав Ивашкин, Руководитель направления «Операционные риски» Нордеа-Банка Биликто Бубеев, Руководитель департамента розничных продуктов Банка УРАЛСИБ Елена Журавлева, Начальник управления информационно-технологического обеспечения департамента информационных систем банка «Русский Стандарт» Владимир Захаров, Заместитель начальника управления развития электронного бизнеса Банка «ФК Открытие» Тимур Измайлов, Руководитель направления по внедрению ИТ-систем Альфа Банка Елена Матвеева и др. 

Организатор: Национальный Банковский Журнал (NBJ); Московская ассоциация предпринимателей (МОО МАП).
Модератор: Руководитель департамента финансовых рейтингов Национального Рейтингового Агентства Карина Артемьева.
Партнеры круглого стола: компания «Прософт-Биометрикс», компания «Комрунет», ОАО «Инфотекс Интернет Траст».

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): С учетом важности и актуальности темы, которую мы обсуждаем в рамках нашего очередного круглого стола, мы приняли решение несколько изменить ход мероприятия и начать его с презентаций. Первую из них я прошу представить Заместителя генерального директора компании «Аладдин Р.Д.» Алексея Сабанова. По завершении его выступления, конечно же, будут приветствоваться и вопросы из зала, и замечания по сути доклада, и рассказы об опыте своих банков в части применения биометрических технологий для идентификации клиентов.

А. САБАНОВ (компания «Аладдин Р.Д.»): Тема моего доклада – «Биометрическая аутентификация и идентификация – «чистая» или сопряженная с иными механизмами аутентификации и идентификации. Какой из этих вариантов предпочтительнее?». В нем я постараюсь коротко изложить, в чем, собственно говоря, заключается суть биометрической идентификации и с какими проблемами мы уже сталкиваемся или можем столкнуться при ее использовании. Первый комплекс этих проблем – нормативно-правовые: у нас, в отличие от некоторых стран с развитой экономикой, очень «узкая» нормативная база по электронной идентификации, а по применению для этого биометрии – только начинает развиваться. 

Второй системной нашей проблемой, когда речь заходит об электронной, не только биометрической идентификации, является отсутствие единого заказчика со сбалансированными требованиями, включающими в себя обеспечение безопасности собираемой и обрабатываемой информации. Так получилось, потому что у государственных органов разделены функции. За цифровизацию и технологии идентификации, а также электронной подписи отвечает Минкомсвязи. Однако проблема аутентификации, т.е. подтверждения идентификации зарегистрированного в конкретной информационной системе пользователя, связана с использованием криптографических алгоритмов, и, соответственно, их курирует Федеральная служба безопасности (ФСБ России). А за состояние защищенности наших информационных систем, в первую очередь государственных, отвечает Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Из-за этого разделения функций возникают определенные противоречия, которые до сих пор не сняты.

Третья проблема образовательная: у нас отсутствуют хорошие актуальные учебники по теме «информационная безопасность» и, в частности, по идентификации, это очевидный факт. Те учебники, по которым обучаются специалисты ИБ сегодня, устарели и не отвечают нынешнему уровню развития информационных технологий. Плюс к этому у нас фактически отсутствуют научные подходы, утвержденные математические модели и база знаний для того, чтобы решать практические задачи идентификации и аутентификации на современном уровне. В результате мы сталкиваемся с тем, что даже профильные специалисты зачастую не видят различий между идентификацией и аутентификацией и путают одно с другим. 

Вернемся к тому, с чего я начал свое выступление, – с проблемы отсутствия у нас нормативной базы. В международных стандартах рекомендуются три уровня доверия к результатам электронной идентификации, что оправдано неизбежным появлением неопределенностей и ошибок при обработке больших массивов информации. При этом важно отметить следующее: мало того, что цифровые идентификационные данные должны существовать, они еще должны иметь возможность быть подтвержденными. В международном стандарте ИСО/МЭК 29003 важной частью подтверждения таких данных являются официальные (от полномочных органов) и дополнительные свидетельства, а также степень привязки идентификационных данных, которые предоставляет клиент, к его личности. В свидетельствах обоих упомянутых видов применение биометрии не предусматривается. Роль биометрии в установлении связи идентификационных данных с личностью велика только при непосредственном контакте с клиентом. В удаленном режиме эта роль сводится лишь к косвенному подтверждению такой связи, поскольку биометрия не может являться строгим доказательством из-за ее естественной статистической неопределенности и наличия ошибок первого и второго рода. На мой взгляд, в данном случае нам надо прислушиваться к рекомендациям международных стандартов, основанным на практике и выработанным мировым сообществом.

Идентификация разделяется на первичную и вторичную. Первичная идентификация – это действия регистрирующей стороны по сбору, проверке и подтверждению идентификационных данных, которые предоставляет потенциальный клиент. Первичная идентификация должна определять возможность регистрации данного субъекта в конкретной информационной системе согласно принятым политикам управления доступом, но главная ее цель – устанавливать, является ли человек тем субъектом, за которого он себя выдает. Полнота и строгость проверок зависит от выбранной банком или компанией, как оператором, политики безопасности. 

Поговорим теперь о перспективах применения биометрии. Западный опыт однозначно свидетельствует о том, что она не может использоваться для идентификации и/или аутентификации субъекта изолированно, независимо от других технологий. Для нас этот тезис усиливается потому, что, в отличие от развитых стран, у нас нет ни одного завершенного национального проекта по электронной идентификации. К тому же данные, которые находятся в государственных реестрах, до конца не выверены. Росфинмониторинг четыре года назад проводил исследование, его представитель сообщал, что данные в рассмотренных государственных базах у нас строго совпадают процентов на 70, и я пока не слышал, чтобы за эти годы ситуация существенно изменилась к лучшему, хотя надеюсь, что это так. Я думаю, что в этом вопросе мы движемся в правильную сторону, эти базы постепенно вычищаются, но очевидно, что это достаточно длительный и сложный процесс. Раз дело обстоит так, то напрашивается следующий вывод: мы должны быть готовыми к тому, что при внедрении новых технологий неизбежна некоторая потеря доверия, потому что объективно есть ошибки и при передаче, и особенно при ручной обработке цифровых данных. Тем более риски возникновения ошибок возрастут при запуске такого инструмента, как удаленная биометрическая идентификация. 

NBJ: Расскажите, пожалуйста, о компрометации биометрических дан­ных. Об этом сейчас много говорят, и сложно понять, насколько этот риск является существенным. 

А. САБАНОВ (компания «Аладдин Р.Д.»): Она возможна, и с ней сталкивались практически во всех странах, где были в то или иное время созданы базы биометрических данных. Как эксперт, я могу сказать, что велик и другой риск: данные в базах будут подменяться и продаваться. Защита подобных информационных систем является сложной задачей как на техническом, так и организационном уровнях. И тут я хочу отметить еще один момент: поскольку банки становятся операторами по сбору и обработке биометрических данных своих клиентов, то претензии в случае утечки этих данных и/или их компрометации будут в первую очередь предъявляться финансово-кредитным организациям. Поэтому информацию в банковских базах тоже надо защищать. Я готов проконсультировать, как это сделать наилучшим образом.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Правильно ли я понимаю, что если биометрические данные утекли, то абсолютно безвозвратно? И что же делать клиенту в таком случае?

А. САБАНОВ (компания «Аладдин Р.Д.»): К сожалению, да, и такие прецеденты были. Но я не призываю, опираясь на них, отказываться от биометрии в целом как инструмента идентификации. Повторю лишь сказанное мной выше: она не должна рассматриваться как единственный и изолированный от других инструмент идентификации и аутентификации. В связке с другими продуктами она работает вполне эффективно, но полагаться только на нее одну нельзя в силу тех рисков, которые я перечислил в своем выступлении.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Я передаю слово Директору по развитию компании «Прософт-Биометрикс» Александру Горшкову. Темы его презентаций – «Биометрическая идентификация для обеспечения доступа в кассы, хранилища, центры пересчета» и «Биометрическая идентификация в банковских системах для обеспечения подтверждения финансовых операций». 

А. ГОРШКОВ (компания «Прософт-Биометрикс»): Биометрическая идентификация позволяет решить множество задач, которые возникают в процессе эксплуатации банковских систем. Их можно решить и другими способами, но это будет сложнее, дороже и дольше. Я сегодня хочу рассказать о биометрической идентификации по рисунку вен ладоней. Почему-то мало кто знает об этом способе. Осведомлены об идентификации по радужной оболочке и сетчатке глаза, хорошо знают об идентификации по лицу и голосу. А вот о биометрии по венам ладоней информации мало. 

Это бесконтактный способ идентификации. Его суть заключается в следующем: инфракрасное излучение проникает под кожу и, по-разному отражаясь от участков тела, поглощаясь кровяными тельцами, формирует уникальный узор. Рисунок русла кровеносных сосудов практически не меняется на протяжении жизни человека. Если голосовой или лицевой шаблоны надо регулярно актуализировать – такие требования существуют в Единой биометрической системе, – то в случае идентификации по венам и радужке период хранения данных значительно больше. 

Отсюда следуют более высокая точность и надежность.

Какие преимущества у биометрической идентификации по венам? Во-первых, это безопасно. Если речь идет о компрометации данных, то можно записать разговор, интервью, нас могут сфотографировать, снять наши отпечатки пальцев или геометрию руки. Но вены вы увидеть не сможете, их нельзя сфотографировать, записать на диктофон, они не оставляют отпечатков. Даже если кто-то каким-то образом попытается снять рисунок вен, при ходьбе ладонь, как правило, повернута к телу. С точки зрения безопасности, на мой взгляд, это один из наиболее надежных способов идентификации. Есть медицинское заключение о том, что оборудование, использующее данный способ идентификации, безопасно. Если говорить о скорости идентификации, данный способ ничем не уступает идентификации по отпечатку пальца и лицу. А по надежности и независимости от внешних факторов даже превосходит их.

Идентификация великолепно проходит, даже если руки влажные, с порезами и ожогами, что уже было продемонстрировано на строительных площадках. Если поднимать вопрос по компрометации, то в этом году мы прошли тестирование в Росгвардии. Подобные тестирования мы организуем внутри компании каждый год, чтобы выявлять новые возможности обмана и разрабатывать решения по их предотвращению. Можно уверенно констатировать: сегодня способов обмана систем идентификации по рисунку вен ладони не существует.

Самое главное – практическое применение биометрической идентификации. Например, для доступа в денежное хранилище банка. Осуществляется биометрический контроль доступа, после чего ответственный сотрудник, так же, посредством биометрической идентификации подтверждает: да, сотрудник может войти в охраняемое помещение. Одновременно с этим автоматически отключаются пожарная и охранная сигнализация. Надежность повышается, а расходы сокращаются за счет интеграции с внутренними системами. 

Представляя компанию, которая производит оборудование в России, я могу сказать, что наша страна в плане биометрической идентификации не отстает от развитых государств и даже находится на лидирующих позициях относительно идентификации по лицу и другим способам.

Что еще решается с помощью биометрической идентификации по рисунку вен? Это учет рабочего времени, и я говорю о конкретной практике. Примером может служить компания «Бургер Кинг», 2017 год. Решение в компании окупилось за полгода. Это произошло за счет выявления «мертвых душ», которые не ходили на работу, не выполняли никаких действий, но на них начислялась зарплата, распределяемая между сотрудниками. Это может показаться смешным, но, когда ввели биометрический учет, вновь нашлись те, кто хотел обойти систему. Подсмотрев логин и пароль администратора, злоумышленники стали регистрировать одну руку на себя, другую – на иного сотрудника. К нам обратились с просьбой решить эту проблему. Можно предположить, что самым простым способом будет регистрировать обе руки, но это не всегда удобно. Поэтому в итоге доступ администратора к управлению системой тоже был реализован на базе биометрии, т.е. чтобы внести изменения в систему, надо идентифицироваться самому. Продолжу тему Алексея. Логин можно подсмотреть, карточку – украсть, передать, потерять. Здесь же мы точно знаем, кто и когда вносит изменения в систему. 

Биометрическая идентификация поз­воляет сокращать не только потери рабочего времени, но и трудозатраты на его учет. Возвращаясь к проекту в компании «Бургер Кинг», хочу отметить, что он стал знаковым. До этого мы реализовали уже много внедрений, но здесь компания предъявила столько дополнительных требований, что пришлось сильно кастомизировать систему. Например, в сканер была встроена видео­камера для дополнительной идентификации одежды. С ее помощью можно было установить, находится ли сотрудник в форме, т.е. он не пришел с улицы в шапке, а уже переоделся и готов приступать к работе. Были проведены доработки для учета ограничений рабочего времени несовершеннолетних и многое другое. В результате это решение мы внедряем и в других ресторанах быстрого питания.

В компаниях «Связной» и «Евросеть» реализована идентификация не по венам, а по отпечаткам пальцев. Я считаю, не надо принижать достоинства других способов биометрической идентификации: каждый из них используется для решения конкретной задачи. Компании «Связной» и «Евросеть» – это офисные работники с хорошим состоянием кожи. Кроме того, было необходимо не только идентифицировать персонал для учета рабочего времени, но и подтверждать финансовые операции. Благодаря системе становится точно известно, кто какую операцию провел, и в случае необходимости можно провести расследование.

Хотелось бы сказать еще пару слов об идентификации в сложных условиях. В этом году мы участвовали в мероприятии «Дни передовых технологий», наше оборудование стояло на полигоне и работало круглосуточно. Мы прекрасно понимаем, что выбрать идеальные условия для идентификации невозможно. У нас есть ролик, в котором солнечные лучи засвечивают сканер, ослепляют его, но идентификация по рисунку вен все равно происходит надежно. Это возможно потому, что во время идентификации мы перекрываем ладонью поток солнечного излучения и, соответственно, осуществляется распознавание.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Правильно ли я понимаю, что мокрые руки не являются препятствием для идентификации? Люди, которые сидят в офисах продаж, имеют чистые ухоженные руки. А если руки грязные, с налетом пыли и т.д.? Ведь не у всех всегда есть возможность их вымыть. Как быть с этим?

А. ГОРШКОВ (компания «Прософт-Биометрикс»): Скажу, чуть-чуть забегая вперед, что наша компания приняла участие в выставке «Армия-2018», и у меня была возможность посмотреть, кто какие решения предлагает. Увидев различные крема для военнослужащих, и в том числе для очищения рук от грязи, я сразу задался вопросом, как с этими средствами будет работать система. Заказчики иногда говорят, что хотели бы узнать, как функционирует идентификация, если на руки нанесен крем. Мы проверили влияние представленных кремов на качество идентификации и обнаружили, что никакого существенного влияния они не оказывают. 

Если говорить о сложных условиях, например, о порезанных или мозолистых руках, у нас есть решение мобильной СКУД. Речь идет о том, что в строительном вагончике реализован пропускной пункт, рабочие идентифицируются и проходят на строительный объект. Этот вагончик по завершении стройки может быть перевезен в другое место. Стоимость такого решения, опять-таки если мы говорим об эффективности и окупаемости, сопоставима с величиной штрафа за одного нелегального рабочего, выявленного на площадке. Другая сторона вопроса: нелегальный рабочий, не прошедший технику безопасности и не знающий, что и как делать на этой площадке, может создать ситуацию, которая приведет к несчастному случаю. На мой взгляд, это более важно, потому что грозит не только административным, но и уголовным наказанием.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Это также может повлечь за собой глобальные издержки, если говорить о материальной составляющей. Уважаемые коллеги, это очень интересная тема, она связана с практикой. Например, мне известен случай, когда в офисе стояла система идентификации, и были прецеденты, когда сотрудники вынуждены были задерживаться на работе на сутки. Система посчитала, что их просто не было на месте в офисе. Есть ли у вашей системы функционал для решения подобных проблем?

А. ГОРШКОВ (компания «Прософт-Биометрикс»): У нас есть два варианта решения этой проблемы. Первый предусматривает интеграцию с программами SAP, Axapta, «1С: Предприятие». Если человек пришел работать в один день, но задержался и уходит в другой, проработав больше 24 часов, то учет должен выполняться в перечисленных системах. Второй вариант – когда применяется встроенный в нашу систему функционал. В этом случае мы прорабатываем варианты: либо четко отслеживается, что человек ушел с работы, либо ему ставится автовыход, если не было соответствующей отметки об уходе. Также используются предупреждения: необходимо проверить, почему он не ушел с работы. Вдруг ему стало плохо? Все это вопросы конкретной реализации и кастомизации, которые надо решать на этапе внедрения.

NBJ: Подскажите стоимость вашего решения относительно других систем идентификации.

А. ГОРШКОВ (компания «Прософт-Биометрикс»): Стоимость решения не может быть оторвана от задачи. Одно дело – внедрить сканер, совсем другое – сделать так, чтобы система работала автономно, чтобы на оборудовании было зарегистрировано до тысячи шаблонов, т.е. до тысячи человек. Цена зависит от функционала, который мы будем внедрять: завершенную систему или только один сканер. Мы будем понимать, например, что для учета рабочего времени вам необходимо поставить два устройства – на вход и на выход. Или, возможно, только одно устройство на вход, а на выход будет работать кнопка. Если у вас маленькое предприятие, до 50 сотрудников, и два устройства, программное обеспечение предоставляется бесплатно. 
Если сотрудников больше, надо покупать лицензию на ПО.

Если мы говорим о лицевой биометрии, потребуется сервер, на котором будет происходить идентификация. Сравнивая это с биометрической идентификацией по венам и отпечатку пальца, отмечу, что последние сканеры гораздо дешевле. Но здесь надо понимать, что при использовании дешевых сканеров качество идентификации будет сильно отличаться и вероятность ошибки существенно возрастет.

Многое зависит от оборудования. То, что в наших смартфонах, достаточно дешево, оно предназначено только для того, чтобы сказать, «ты это или не ты». Чем точнее требования к идентификации, тем более дорогое и оборудование. Например, системы идентификации по радужке глаза самые дорогие на текущий момент.

Существует проблема мошенничества и хищений в депозитариях. Я предполагаю, что банки не предпринимают радикальных шагов в этом направлении, потому что потери не ложатся на них напрямую, юридические службы пока решают эти вопросы. Сегодня мне известны два банка, в которых реализована биометрическая идентификация для доступа к депозитарным ячейкам по венам ладоней. По просьбе третьего банка для реализации биометрии с минимальными затратами со стороны сотрудников была разработана система бимодальной идентификации. 

Работает это так. Клиент подходит к депозитарию, его идентифицируют по лицу, как и тех, кто находится с ним рядом. Это могут быть доверенное лицо, адвокат и т. п. На этом этапе происходит проверка по различным правилам: устанавливается, что человек не мошенник, не в розыске, не должник и т.д. Далее, когда человек уже входит в депозитарий, происходит проверка на то, что он действительно является клиентом этого депозитария, шаблоны его данных загружаются в сканер вен ладони, и дальше проходит верификация – он это или нет. После того как человек верифицировался, ячейка разблокируется. Если вдруг вскрывается другая, подается сигнал тревоги. А если у клиента несколько ячеек, ему предлагается выбор, какую именно он хочет разблокировать. Вопрос: будет такое решение дорогим или нет? Мы зашли в один банк с таким предложением, поначалу там вроде бы заинтересовались, но потом куда-то пропали. Через две недели в прессе опубликовали, что в депозитарии этого банка произошло хищение.

NBJ: По опыту внедрения в бан­ковской сфере биометрических систем одна из серьезных проблем – это юридические вопросы, потому что необходимо подписание и клиентами, и сотрудниками дополнительного соглашения и т.д. У вас было написано, что данные системы соответствуют требованиям 128-ФЗ, но в 128-ФЗ речь идет о государственных структурах, а как быть с частными компаниями? 

А. ГОРШКОВ (компания «Прософт-Биометрикс»): Маленькая поправка: 128-ФЗ – это закон об ограничении использования биометрии в области дактилоскопии, а идентификация по венам не подпадает под действие 128-ФЗ и не нарушает его требований. Теперь о законности использования. Есть кооперативная биометрия, это когда человек хочет, чтобы его идентифицировали, а есть некооперативная, например, по лицу и голосу. В данном случае предлагается использовать идентификацию либо по отпечаткам пальцев, либо по венам ладони, т.е. человек сам хочет, чтобы его идентифицировали. Здесь мы не заставляем, а предлагаем дополнительный способ защиты. Например, если клиент желает, чтобы его имущество было дополнительно защищено, банк выделяет ему биометрически защищенную ячейку. Никакого юридического противоречия я здесь не вижу.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Следующим я предлагаю послушать доклад, подготовленный Заместителем заведующего лаборатории МФТИ-Сбербанк Сергеем Трениным.

С. ТРЕНИН (лаборатория МФТИ-Сбербанк): Доклад называется «Новая биометрия для новой экономики». Я опишу то исследование, которое сейчас проводится в нашей лаборатории. Только что мы слышали замечательный доклад про достижения в корпоративных системах аутентификации. Основная особенность таких систем заключается в том, что устройства, которые там используются, являются доверенными. Можно всех участников обеспечить сертифицированными идентификаторами, можно предложить, как только что было сказано, способы, которые улучшают удобство контроля. Мой доклад посвящен проблеме открытых систем. Их особенность заключается в том, что устройства, которые в них используются, не являются доверенными, а широта распространения использования этих устройств для обращения, в том числе к банковским услугам, с каждым днем увеличивается. 

Откуда пришли методы биометрической аутентификации? Они появились из-за необходимости решения криминалистических задач. Обычно объектом, который требуется идентифицировать в криминалистике, выступает труп, подозреваемый, преступник. Цель анализа – доказать факт того, что этот объект где-то побывал, или определить его личность. При этом он не заинтересован в правильной аутентификации или безразличен к ней. Используемые технические средства, которые полиция может применять, можно считать доверенными. Цель противодействия или бездействия – отклонить нулевую гипотезу, которая для этой задачи может быть сформулирована следующим образом: идентифицируемый объект – тот, за кого его принимают. Противодействие направлено на достижение ошибки первого рода. Иными словами, оно осуществляется для того, чтобы убедить субъекта идентификации (того, кто проводит идентификацию) в том, что объект идентификации (тот, кого идентифицируют) – не тот, кем его считают.

Теперь мы рассмотрим среду, в которой индентифицируются пользователи мобильных устройств, которые хотят получить доступ к банковскому сервису. Нулевая гипотеза, которая здесь проверяется, та же самая, т.е. идентифицируемый объект – тот, за кого он себя выдает. Однако объектом идентификации выступает живой добропорядочный участник экономической деятельности, его потребность заключается в том, чтобы получить доступ, в котором он заинтересован. Технические средства, которые он использует, являются произвольными (планшеты, смартфоны) и, как правило, не защищены от вредоносного программного обеспечения. Цель противодействия здесь заключается в том, чтобы выдать себя за другого человека, вынудить субъекта принять нулевую гипотезу при том, что она ложная. И противодействие здесь идет со стороны хакеров, оно направлено на достижение ошибки второго рода. Если в первом случае с криминалистикой, объект, являясь N, хочет выдать себя за не-N, то здесь объект, не являясь N, хочет выдать себя за N.

Если свести эту информацию в таблицу, то можно увидеть, что характеристики полностью противоположны. Таким образом, процессы идентификации в криминалистике и цифровой экономике различны, не совпадают ни объекты, ни их одушевленность, ни все остальные параметры. Даже задачи преступника иные. Вопрос: можно ли рассчитывать на то, что одни и те же технические средства и методы могут быть использованы для решения и одной, и другой задачи? Успешное применение биометрии связано с решением задач в области, подобной криминалистической. Предполагается, что в базах данных никто отпечатки не поменяет, гражданин не наденет при регистрации перчатку и не передаст ее потом злоумышленнику. При таком глубоком различии процессов представляется странным использование одинаковых инструментов. Отметим, что они лишь обрабатывают данные, они их не порождают. Для каждой цели надо выбрать те данные, которые содержат необходимую информацию. Достаточно ли в тех признаках, которые мы рассматриваем, информации для решения задачи? Статические биометрические характеристики применяются для идентификации и аутентификации в силу инвариантности. Это одна из их важных особенностей. Только что говорилось, что идентификация по сосудистому руслу как раз хороша тем, что ее не надо обновлять, потому что сосудистое русло почти все время одинаковое. То же самое можно сказать и про отпечатки пальцев, и 
в некоторой степени про идентификацию по радужной оболочке глаза.

В случае цифровой экономики предположение о доверенности устройств неверно, следовательно, любой такой статический фактор может быть захвачен и воспроизведен. Простота подделки сейчас осознана, и стоит вопрос, что с этим делать. Для устранения уязвимостей, связанных с простотой подмены измерений на недоверенных устройствах, необходимо от статических показателей перейти к динамическим. Вопрос: что здесь может являться динамическим звеном, которое нужно использовать для того, чтобы одновременно и аутентифицировать человека, и проверить, жив он или мертв? Это должен быть объект, который достаточно сложен для моделирования, чтобы его нельзя было подделать. Таким сложным объектом можно считать сложную вегетативную систему. В частности, известно, что индивидуальными для человека оказываются непроизвольные реакции на внешние раздражители. Реакции могут быть зафиксированы датчиками, обработаны, например, с помощью нейросети. И это позволяет определить одновременно, является ли человек живым и тем, за кого себя выдает.

В нашей лаборатории сейчас проходит исследование, в рамках которого разрабатывается такая система новой биометрической аутентификации. Ключевая особенность здесь именно в том, что если удастся обучить нейросетевой алгоритм распознавать человека по паре «стимул-реакция», то это позволит решить обозначенную проблему. 

Это получится за счет того, что, во-первых, сложно построить модель функционирования нервной системы, во-вторых, не выйдет записать и воспроизвести реакции, если модель позволит распознавать человека по случайно сгенерированным стимулам. В-третьих, задача взлома такой системы со стороны нейросети достаточно сложна.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Всем было очень интересно услышать про идентификацию человека, который переходит из живого состояния в противоположное. Скажите, в рамках ваших исследовательских проектов есть какие-то обсуждения с профессионалами и практиками в силовых структурах, которые этими вопросами ежедневно занимаются?

С. ТРЕНИН (лаборатория МФТИ-Сбербанк): Да, конечно.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Можно привести примеры стимулов?

С. ТРЕНИН (лаборатория МФТИ-Сбербанк): Стимул – это то, что можно сгенерировать. Поскольку речь идет о применении на планшете и смартфоне, то это в первую очередь слежение за движущимися точками на экране. И второе, что сейчас тоже удается использовать, – это восприятие при чтении текста. Концентрация человека и те саккадические движения глаз, которые случаются, тоже позволяют его идентифицировать.

NBJ: Как вы планируете испытывать эту систему?

С. ТРЕНИН (лаборатория МФТИ-Сбербанк): У нас запланировано совместное испытание и собственно настройка этой системы. Чтобы обучить сеть, важно собрать обучающую выборку, размер которой должен составлять десятки тысяч образцов. Откуда ее получить? В проекте предполагается совместно с медицинскими учреждениями установить оборудование в больницах, куда люди приходят на прием, причем это не должно быть учреждение, связанное с заболеваниями нервной системы, и снимать их реакции.

А. МЕЛУЗОВ (ОАО «Инфотекс Интернет Траст»): Мне бы хотелось поговорить о новой сфере регулирования, которая возникает в связи с появлением Единой биометрической системы. Что здесь меняется, почему это становится отдельной выделенной отраслью и что из этого следует?

Классическая схема защиты информации такова: 152-ФЗ о защите персональных данных требует защищать в том числе и биометрические данные. Постановление правительства определяет категории, а дальше на основании приказов ФСБ и ФСТЭК можно определить меры и требования к использованию средств криптографической защиты, которые нужно реализовать при работе с персональными данными. При этом для организаций, которые являются операторами баз данных, или фирм, которые строят систему защиты баз данных, здесь есть определенная вольность, т.е. определение угроз происходит самостоятельно, и, как следствие, необходимые меры тоже оцениваются самим оператором. Вы можете самостоятельно определять свои риски и в зависимости от этого строить более или менее надежную систему.

Что сейчас меняется? Появляется единая биометрическая система, которая позволяет банкам-донорам и банкам-реципиентам не заключать прямых соглашений, а взаимодействовать в том ключе, что банк-донор сдает образцы биометрических данных своего клиента, а банк-реципиент использует их для идентификации и верификации личности клиента при открытии ему счета во исполнение своих обязательств по 115-ФЗ. Фактически ответственность того, кто собирал биометрию, и риски того, кто ее использует, напрямую никакими документами не связаны. Вряд ли банк-реципиент может предъявить напрямую какой-то иск по неоплаченному кредиту. И эту проблему решает государство, устанавливая нормативные акты по системе.

Для того чтобы выполнить все требования, нужно собирать биометрические образцы на местах, передавать их по защищенному каналу связи в некоторый центральный офис, где выполняется подпись этих данных с использованием соответствующих криптосредств. При этом нужно использовать ключи, которые сертифицированы соответствующим удостоверяющим центром.

Появляется такая схема, которая ставит новые задачи перед теми, кто выполняет эти требования. Она предусматривает встраивание криптосредств достаточно высокого класса, построение всей системы защиты и прикладной системы как единого целого с учетом всех указаний регулятора. Появляется новая нормативная база – постановление правительства по регулированию биометрической системы, общий приказ Минсвязи о порядке работы с ЕБС, который предусматривает обязательность исполнения ГОСТа по защите информации финансовых организаций. Более того, Центральный банк определил перечень угроз биометрическим персональным данным, из которого следуют конкретные возможности нарушителя, откуда и появляется этот класс криптосредств. Понятно, что поскольку система нормативно закреплена на государственном уровне, то государство устанавливает требования и определяет перечень угроз. 

Вероятно, еще будут выпущены специальные требования от Федеральной службы безопасности по построению этой системы по аналогии с тем, как это было с требованиями в рамках другого постановления правительства (дистанционная электронная подпись в рамках регистрации бизнеса). Речь идет об отдельных требованиях по построению системы защиты. Информационная система проходила оценку соответствия им. 

Все новые нормативные акты требуют комплексного подхода к реализации системы защиты информации при сборе биометрических образцов и регистрации в ЕБС, которые связывают и прикладное программное обеспечение, и средства защиты в единую систему. Если такую систему реализовывать отдельно, то потом все придется заново переделывать, потому что ГОСТ предъявляет определенные требования к прикладному программному обеспечению по уровню защиты и по функциям, которые должны быть реализованы. Приказ Минсвязи определяет необходимость регулярного (ежегодного) контроля защищенности, который должен проводиться для таких систем. А указание Банка России дает определение класса криптографических средств для подписи биометрических образцов, направляемых в ЕБС. Отсюда следует необходимость проведения оценки влияния прикладного ПО на эти криптографические средства. Это я еще не говорю про гипотетические требования ФСБ, которые появятся и которые надо будет выполнять. Проверяться они будут именно потому, что эта система закреплена законодательством государства, и оно берет на себя ответственность за ее чистоту, корректность и безопасность. Раз мы живем в такой парадигме, значит, придется контролировать, иначе это все ничего не стоит.

К. АРТЕМЬЕВА (Национальное Рейтинговое Агентство): Клиенты, которые приходят в банки, представляют полный срез общества. Чем чревато для клиента банка, который имел прекрасную кредитную историю, если в случае реализации ошибки эта кредитная история становится токсичной?

А. МЕЛУЗОВ (ОАО «Инфотекс Интернет Траст»): Речь идет уже не о внутреннем факторе аутентификации, а о государственном, закрепленном в законодательстве механизме получения цифрового аватара, который дает возможность получить доступ к определенным финансовым услугам. Это конкретные денежные риски, которые может нести банк. А для людей, которые могут попасть в такую ситуацию, это риски мошенничества. Здесь вопросы безопасности выходят на первый план. Уверен, что будут и неприятные случаи, но если государственный контроль будет правильно выстроен, то в целом все будет нормально.

NBJ: Есть ли примеры, что кредитные организации, имеющие широкую клиентскую базу, включающую и корпоративных клиентов, и клиентов – физических лиц, заин­тересовались этой системой?

А. МЕЛУЗОВ (ОАО «Инфотекс Интернет Траст»): Мы предлагаем конкретные решения, и у нас есть клиенты, у которых идут внедрения. 

А. ГОРШКОВ (компания «Прософт-Биометрикс»): В этом году запустили Единую биометрическую систему. Все знают, что в нее включены «лицо» и «голос». При общении с представителями банков создается впечатление, что делается большой упор именно на эти два способа идентификации, точнее, даже не на них, а именно на Единую биометрическую систему, поскольку рассчитывают решить большинство проблем с ее использованием. На самом деле не получится одной этой системой закрыть все проблемы. Наша компания разработала решение удаленной идентификации по венам и по отпечатку пальцев. Появилась возможность предоставлять эту услугу для заказчика. Но так как для идентификации по венам необходимы внешние устройства, которые, кстати, не реализованы ни в смартфоне, ни в планшете, даже далеко не во всех ноутбуках и стационарных компьютерах, то такая услуга не может поставляться на массовый рынок для физических лиц. А учитывая стоимость таких устройств, то она будет мало востребована со стороны «физиков». С юридическими лицами, когда осуществляются финансовые операции на несколько миллионов рублей, дело обстоит иначе, и мы хотим не только рассказать про это решение, но и предложить защиту финансовых операций для юридических лиц с помощью биометрической идентификации по венам.

Решение легкое, оно не требует устанавливать на рабочее место никакое дополнительное программное обеспечение. Достаточно веб-браузера, и через него можно будет произвести такую идентификацию. Происходит сканирование вен, после чего открывается окно, где можно увидеть, что доступ предоставлен. Если мы говорим об использовании каких-нибудь других способов защиты биометрической идентификации для юридических лиц, то, во-первых, надо будет провести проверку на то, что действие выполняется живым человеком. Способ, когда частному лицу предлагается моргнуть, повернуть голову для подтверждения финансовых операций, будет неприемлем для компаний точно так же, как голосовое подтверждение в офисе, где достаточно много шума.

Если говорить про взломы с помощью перехвата управления компьютером, про появление вирусов, то опять же камера позволяет в любой момент увидеть того ответственного сотрудника, который сидит перед программным обеспечением, и зафиксировать его биометрические параметры. Когда мы говорим о корпоративной идентификации, когда необходимо конкретное действие сотрудника, то более приемлемой является идентификация по отпечатку пальца, что сделано для «Связного» и «Евросети». Это может подойти для предприятий малого и среднего бизнеса. Никакой вирус не сможет снять вашу биометрическую характеристику, пока вы не приложите палец или не поднесете руку. Если даже будет произведен перехват данных, то передается уже биометрический шаблон, а не рисунок. В случае полного совпадения биометрического шаблона на сервере происходит проверка, и данный факт воспринимается как фейк, потому что биометрия – это всегда вероятностная модель. И если у нас шаблоны совпадают стопроцентно, то в жизни такого произойти не может. Если попытаться внести корректировку в этот шаблон, то структура его разваливается и тоже воспринимается как фейк.

Если говорить по поводу защиты передаваемых данных, то в данном случае представлен прототип, который предполагает необходимость встраивания либо в систему ДБО, где уже такая защита существует, либо в банковские системы. Когда мы говорим о защите в ДБО, мы никоим образом не исключаем, что может осуществляться такая же защита выполняемых в банке финансовых операций. По биометрии идентифицируется сотрудник, который направляет и формирует платежи в Центральный банк или выполняет дилинговые операции, в которых важна каждая секунда. 

Это еще незаконченное решение. Мы хотели бы понять, насколько оно было бы интересно для банков и разработчиков банковских систем. 

NBJ: В качестве одного из основных преимуществ биометрической иден­тификации по рисунку вен вы приводите невозможность его взлома или подделки рисунка вен, в отличие от других способов. Да, сейчас есть технологии, которые позволяют 
по отрывку голоса подделать его. 

Точно так же дело обстоит и с отпечатками пальцев. Что касается способа, о котором говорили вы, то, наверное, это просто вопрос стоимости такого взлома. Можно сделать макет руки, по которой будет течь теплая жидкость, от которой будут отражаться инфракрасные лучи. Насколько дорого это стоит?

А. ГОРШКОВ (компания «Прософт-Биометрикс»): Такие продукты, конечно, делаются. И наши решения мы пытаемся каждый год обновлять. На текущий момент можно сказать, что все способы мошенничества заточены не на подмену или фальсификацию уже зарегистрированных данных, потому что повторить рисунок кровеносных сосудов достаточно трудоемкая операция, необходимо снять порядка 5 миллионов точек. Делаются муляжи, которые позволяют системе их зарегистрировать. Тут необходимо говорить уже про борьбу с мертвыми душами, что мы и делаем. Когда наши сотрудники или клиенты придумывают новые способы обойти систему, разрабатываем алгоритмы противодействия. Что касается других способов идентификации и невозможности подделки, то я говорил, что защищается передача данных, а не сам способ. Мне в этом отношении очень понравилась компания VisionLabs, которая в этом году провела конкурс по возможности обмана лицевой биометрии. VisionLabs представила порядка тысячи фотографий в соотношении 50 на 50 мужчин и женщин. Стояла задача фото мужчины выдать за фото женщины с вероятностью 80-90%, что является достаточно высоким порогом, и наоборот. В конкурсе приняли участие порядка 100 человек, которые представляли как частных лиц, так и компании, как отечественные, так и зарубежные. Было определено пять победителей, которые смогли фото мужчины не просто выдать за фото женщины, а с вероятностью больше 80%. 

Цель таких конкурсов не в том, чтобы обмануть систему, а в том, чтобы показать разработчику то слабое место, которое позволит его систему обмануть, а значит, потом и устранить имеющуюся уязвимость, чтобы в следующей версии этого нельзя уже было сделать.

Я думаю, что в следующем году, когда будет проводиться мероприятие «Машины могут видеть», там будет объявлен подобный конкурс, и надо будет посмотреть, каковы будут его результаты.

Ф. ПЕТРУШЕНКО (компания «Комрунет»): Вопрос на повестке дня: как обеспечить правильную защиту биометрических данных? Важный момент – любая технология и решение имеют определенный уровень зрелости. То, что создается сейчас, – это первый проект, который в дальнейшем будет развиваться. Если мы вспомнить историю с 152-ФЗ в первые его годы, то поначалу нормативка не соблюдалась, потом начали хоть как-то выполнять требования, а сейчас контроль и участился и ужесточился. В Европе к персональным данным стали относиться гораздо требовательнее. Россия, тоже пойдет по этому пути, и защите персональных данных будет уделяться значительно больше внимания. 

Какие вопросы при защите и подклю-чении к ЕБС надо рассматривать и учитывать? Первая часть – это защита рабочего места, которое собирает биометрические данные. Оно должно соответствовать требованиям 152-ФЗ, 21-му приказу ФСТЭК. Как это делать, все знают.

Есть мнение, что на этом рабочем мес­те не хранятся персональные данные, а значит, и защищать его не очень-то и надо. Я считаю, что защищать надо. Второй важный момент – это передача биометрических данных с рабочего места оператора в АБС. Соответственно, решения есть разные, VPN или TLS. Если мы берем толстое решение VPN ViPNet HW, то оно позволяет реализовать защиту между офисами и защитить еще дополнительный трафик, а ViPNet TLS позволяет более гибко управлять клиентскими местами, капитальные затраты разные и под каждый запрос их нужно считать предметно. Третий важный момент момент, на который необходимо обратить внимание, – передача подписанных биометрических данных по защищенному каналу в защищенный контур ЕБС через СМЭ. Почти у всех банков необходимое оборудование есть криптошлюзы ViPNet 1000, но сейчас тогда актуальной была версия 3.2, сейчас сертификаты закончились, и легитимность использование данного оборудования противоречит требованию законодательства о персональных данных. И это оборудование необходимо обновить, что бы сертификаты ФСТЭК и ФСБ были актуальны.

Четвертая часть – это интеграция информационной банковской системы и того самого оборудования, которое производит подпись биометрических данных, собранных на рабочем месте. То есть на рабочем месте мы собираем биометрические данные, передаем их в банковскую систему, и после этого модуль подписи отправляет эти данные в HSM (Hardware Specific Module, модуль поддержки аппаратуры. – Прим. ред.) и обратно возвращает уже подписанные данные и ключ. Сложным моментом будет проверка корректности встраивания криптографии в информационную банковскую систему, только после после подтверждения корректности встраивания, можно легитимно использовать полученную систему.
Считаю, что биометрия будет активно использоваться, и законодательство, нормативная база, регулирующие этот механизм, будут развиваться. Мы придем в цифровую экономику и в цифровое будущее.    

Поделиться:
 

Возврат к списку