Биометрия не заменит традиционные способы идентификации
По мнению эксперта Инфосекьюрити, биометрическая идентификация упростит жизнь банковских клиентов, если использовать ее разумно
Кирилл Солодовников, генеральный директор «Инфосекьюрити» (входит в группу компаний Softline):
В настоящий момент компании банковского сектора являются основными потребителями технологий биометрии в России. На законодательном уровне сервис получил четкие требования и регламенты после выхода в феврале этого года распоряжения Правительства №293-р, определившего единого оператора биометрических данных в лице Ростелекома.
Международное финансовое законодательство давно определило нормы и правила работы банков с биометрическими данными клиентов, но именно в российской банковской системе в одной из первых реализована и используется технология распознавания клиентов по лицу клиента и по записи голоса. Даже в Китае, где биометрия используется повсеместно, в банковском секторе идентификация по биометрическим данным не осуществляется.
В первую очередь идентификация по биометрическим данным удобна для клиентов кредитных организаций, так как позволит упростить получение доступа к услугам и продуктам банка. Достаточно один раз предоставить биометрические данные любому банку на территории РФ, и доступ к ним будет открыт другим финансовым организациям. Так, например, если клиент переехал из Владивостока в Москву и хочет открыть счет в местном банке, ему не нужно повторно сдавать биометрию, даже если этот банк не имеет собственного представительства в ДВФО. Также, как говорится в законе, биометрическая идентификация решает проблему социально незащищенных групп граждан и людей с ограниченной мобильностью, упрощая им доступ к банковским продуктам и сервисам.
Для самих банков это также упрощает процедуру и скорость идентификации, особенно это актуально при работе с online-продуктами.
Капитальные затраты на внедрение технологии биометрической идентификации клиентов пока необходимы только на уровне отделений. Для полноценного запуска системы необходимо иметь камеры, позволяющие идентифицировать лицо клиента, аппараты для записи и анализа голоса клиента. Помимо этого, банк также обязан использовать сертифицированные средства защиты канала передачи биометрических данных в Единую биометрическую систему (ЕБС).
Поскольку, согласно законодательству, банк обязан только регистрировать биометрические данные клиентов, а хранятся они в ЕБС на мощностях Ростелекома, кредитные организации избавлены от необходимости нести затраты на хранение информации, эти затраты берет на себя оператор.
Если с готовностью отделений банков все более-менее понятно, то с внедрением биометрической идентификации в банкоматах пока больше вопросов, чем ответов. С технической точки зрения реализовать биометрическую идентификацию в банкоматах возможно, однако это потребует существенных дополнительных затрат. Например, в современных терминалах используются широкоформатные камеры, фиксирующие самого клиента и его действия, но они не поддерживают функциональность быстрой идентификации по лицу. Помимо замены камер, банкам придется потратиться на модули, позволяющие идентифицировать клиента по отпечатку пальца и голосу. Для крупного банка с сетью в 2000 – 2500 устройств вложения будут очень большими.
Использование биометрических данных как способ идентификации для клиентов банка является полностью добровольным: никаких требований и регламентов на законодательном уровне нет. Касательно соблюдений мер безопасности существенную ясность внес указ ЦБ РФ № 4859 от 9 июля 2018г, описывающий порядок защиты и технические меры по организации безопасной передачи биометрических персональных данных.
Действия по получению и использованию биометрических данных – в том числе образцов голоса и фотографий – будут ограничены рамками банковских инструкций, которые могут оказаться в распоряжении злоумышленников. Учитывая опыт работы и результат своих коллег по пентесту целевых информационных систем одного из предприятий, на котором в качестве основного средства аутентификации использовались биометрические данные сотрудников, можно с уверенностью сказать, что в случае получения доступа к серверам, обеспечивающим биометрическую защиту, злоумышленник получает неограниченный доступ к целевой системе. Финансовые организации наверняка осознают эти риски и делают все возможное, чтобы усилить защиту информации внутри компании.
Тем не менее, погоня за удобством и простотой использования несет в себе и определенные риски, прежде всего, для клиентов - физических лиц. Располагая сведениями о методике работы с биометрическими данными в банке, именем, образцами голоса потенциальной жертвы и вооружившись методами пранкеров, злоумышленник имеет высокие шансы на реализацию преступного умысла. Например, применяя методы социальной инженерии, злоумышленники попытаются взять у потенциальной жертвы "интервью", в ходе которого постараются собрать, а в последствии скомпилировать данные для последующего общения с представителем банка. Пострадавшему от подобных действий клиенту будет очень трудно доказать банку, что аудиозапись подделана, и он не давал согласия на перевод денежных средств со своих счетов.
Клиенты банков не всегда оказываются в достаточной мере осведомлены о существующих угрозах в цифровой среде. Они самостоятельно оставляют немало избыточных данных в информационном пространстве. Размещают фотографии, информацию о себе, своем образе жизни, своих близких и друзьях, нередко даже информацию о своих доходах, а для профессионального злоумышленника наличие таких сведений - это половина успеха в получении доступа к вашим персональным данным. Наметив жертву и взломав электронную почту, хакеры могут снять средства с банковской карты вне зависимости от того, защищены они с помощью биометрии или традиционных способов идентификации. Поэтому единственной рекомендацией, которую можно дать гражданам, является совет подходить с ответственностью и должной осмотрительностью к выбору способа взаимодействия с использованием цифровых систем, особенно в части касающейся распоряжения денежными средствами, и, по возможности, использовать несколько способов аутентификации для подтверждения банковских операций.