Тотальная биометрия: трудности, угрозы, перспективы

Тотальная биометрия: трудности, угрозы, перспективы
Внедрение Единой биометрической системы в российских банках началось в середине 2018 года. К 2020-му ее использование станет обязательным для банков с универсальной лицензией, то есть тех, уставной капитал которых не менее 1 млрд рублей, а с 2021-го — и для банков с базовой лицензией.

Главная цель внедрения Единой биометрической системы (ЕБС) — во всяком случае, как ее видят инициаторы проекта Минкомсвязи и Центробанк — повышение доступности банковских услуг. Если точнее — возможность получать услуги дистанционно, без ограничений по географическому признаку. С помощью голоса и фото житель какой-нибудь камчатской деревни теоретически сможет взять кредит, не вставая с дивана — в любом российском банке, хоть в калининградском. Клиент будет выбирать услуги, ориентируясь на их состав, условия, а не на то, есть ли у банка отделение в ближайшем райцентре.

К ЕБС уже подключились 180 банков — 11 тысяч отделений, — и это меньше половины из числа официально зарегистрированных. Более интенсивному внедрению ЕБС мешает ряд ограничений, главные из которых — финансовая и организационная. Рассмотрим их подробнее, но начнем, пожалуй, с ключевой темы — безопасности.

Безопасность ЕБС
Цифровая платформа ЕБС разработана компанией «РТ Лабс», дочерней организацией «Ростелекома». Ядро ЕБС — Единая система идентификации и аутентификации (ЕСИА) на базе облачной инфраструктуры госоператора. Биометрические данные — голос и фото лица — непосредственно собирают банки и отправляют по защищенным каналам связи в ЕСИА. Сдав биометрию в банке, пользователь должен зарегистрироваться в ЕСИА через сайт bio.rt.ru. После чего он может получать доступные банковские и другие услуги.

Для сбора биометрии банкам устанавливают специальное оборудование и ПО, требования к которым прописаны в законодательстве: HSM (Hardware security module), прикладные программы, а также камеры и микрофоны на рабочих местах банковских сотрудников. Внедрением программно-аппаратного комплекса в банках занимается ограниченное количество сертифицированных интеграторов. «Ростелеком» заверяет, что архитектура ЕБС, а также процессы сбора, обработки и хранения биометрии надежно защищены.

Процедура получения дистанционных услуг в банке на основе биометрии подразумевает трехфакторную аутентификацию: введение логина и пароля, отправку SMS с одноразовым паролем и, собственно, идентификацию по биометрическим данным. Гипотетически мошенники могут выяснить логин и пароль, перехватить SMS. Но дальше встает вопрос о подделке биометрических данных, и это — если, конечно, речь не идет об изощренных голливудских злодеях — задача с технической точки зрения пока еще трудно выполнимая. Когда при аутентификации биометрические данные не соответствуют шаблону, записанному в банке, ЕБС подключает к анализу «модуль аномалий». При подозрении на мошенничество, система уведомляет об этом банк, который отменяет операцию.

Что касается шаблонов биометрических данных, то, по словам директора по биометрическим технологиям «Почта Банка» Андрея Шурыгина, они хранятся отдельно от ПДн, защищены от внешних угроз и внутреннего несанкционированного доступа.

Трудности внедрения
Первая проблема, с которой сталкиваются банки при внедрении биометрии, — выбор интегратора. Впрочем, выбор облегчается тем, что надежных поставщиков с необходимыми лицензиями и опытными специалистами, по оценке участников рынка, найдется сегодня не более десятка. Также важен в этом контексте выбор ПО для взаимодействия с ЕСИА, ЕБС, и возможность интегрирования этого ПО в CRM-систему банка — с тем, чтобы сотрудник получал полную информацию о клиенте, в том числе и биометрию, в одном окне. Реализация проекта, которая включает и получение сертификата на право обработки биометрических данных у регулятора, занимает около месяца; больше — если у банка разветвленная сеть филиалов.

Вторая проблема — финансовая. Внедрение биометрии в среднем стоит от 5 млн рублей, и это затраты небольшого банка; чем крупнее финансовая организация, тем они больше. В перспективе ожидается, что банки смогут экономить на серверном оборудовании, арендуя вычислительные мощности у облачных провайдеров. Но пока этот вопрос не согласован в части соответствия такой схемы уровню безопасности, который требуют ЦБ, «Ростелеком» и ФСБ.

Другая трудность: сами клиенты неохотно предоставляют биометрические данные банкам. К слову, в том числе поэтому некоторые банковские руководители сомневаются в экономической целесообразности внедрения технологии.  Клиенты же не видят в биометрии особых для себя преимуществ — скорее для банка, который, возможно, будет использовать биометрические данные для своих коммерческих целей, засыпая «выгодными предложениями» и т. п. К тому же это еще один повод задуматься о личном пространстве, которого с развитием технологий становится всё меньше. Тем не менее, пока для граждан процедура сбора биометрии добровольна — и это основная причина слабого к ней интереса.

Санкции
В прошлом году из-за медленного внедрения биометрии Центробанк принял соответствующие меры — ввел предупреждения, штрафы (до 0,1% уставного капитала), ограничение на проведение некоторых операций и пр. При этом единственный аргумент, который, напомним, использует Центробанк — необходимость расширения дистанционных финансовых услуг для населения, — аргумент, который у некоторых банков из Топ-50 вызывает недоумение: большинство услуг они уже предоставляют дистанционно, через те же мобильные приложения или сайт.

Перспективы
В ближайшие годы ЦБ планирует добавить к голосу и фото еще один-два типа биометрических данных — рисунок вен на ладони, радужку или сетчатку глаза. В западных банках, например, также используются анализ подписи (почерк, сила нажатия, динамика), сканирование отпечатков пальцев, поведенческие оценки.

Но банками, разумеется, дело не ограничивается. Перечислим сферы, где можно ожидать все более широкого применения идентификации по биометрии:

— Мобильные приложения в ритейле: клиенты
— Пограничный и миграционный контроль: туристы, мигранты, резиденты
— Гражданская сфера: избиратели, участники общественных мероприятий и др.
— Здравоохранение: пациенты и медработники
— Физический и логический доступ в бизнесе: пользователи, сотрудники, владельцы, подрядчики, партнеры
— Правоохранительные органы, общественная безопасность: подозреваемые, преступники
— ГИБДД: водители, нарушители
— Армия: военнослужащие собственных, союзных и других войск

Очевидно, что развитие и масштабное внедрение технологий биометрии требует соответствующего повышения уровня информационной безопасности всех компонентов системы, которые отвечают за сбор, обработку и хранение биометрических данных. Необходимо также внедрять и эффективные инструменты защиты, актуализировать угрозы, адекватно оценивать риски. Всё это, конечно, чистая теория. В реальности заявления и гарантии ответственных лиц по поводу надежности технологий и систем вроде ЕБС, их защищенности, качества и пр., пока просто приходится принимать на веру. До первого резонансного инцидента.
Биометрия информационная безопасность финтех цифровой банк шифрование
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ITGLOBAL

ITGLOBAL про IT