07.11.2018

Биометрия не заменит традиционные способы идентификации

Биометрия не заменит традиционные способы идентификации

По мнению эксперта Инфосекьюрити, биометрическая идентификация упростит жизнь банковских клиентов, если использовать ее разумно

Кирилл Солодовников, генеральный директор «Инфосекьюрити» (входит в группу компаний Softline):

В настоящий момент компании банковского сектора являются основными потребителями технологий биометрии в России. На законодательном уровне сервис получил четкие требования и регламенты после выхода в феврале этого года распоряжения Правительства №293-р, определившего единого оператора биометрических данных в лице Ростелекома.

Международное финансовое законодательство давно определило нормы и правила работы банков с биометрическими данными клиентов, но именно в российской банковской системе в одной из первых реализована и используется технология распознавания клиентов по лицу клиента и по записи голоса. Даже в Китае, где биометрия используется повсеместно, в банковском секторе идентификация по биометрическим данным не осуществляется.

В первую очередь идентификация по биометрическим данным удобна для клиентов кредитных организаций, так как позволит упростить получение доступа к услугам и продуктам банка. Достаточно один раз предоставить биометрические данные любому банку на территории РФ, и доступ к ним будет открыт другим финансовым организациям. Так, например, если клиент переехал из Владивостока в Москву и хочет открыть счет в местном банке, ему не нужно повторно сдавать биометрию, даже если этот банк не имеет собственного представительства в ДВФО. Также, как говорится в законе, биометрическая идентификация решает проблему социально незащищенных групп граждан и людей с ограниченной мобильностью, упрощая им доступ к банковским продуктам и сервисам.

Для самих банков это также упрощает процедуру и скорость идентификации, особенно это актуально при работе с online-продуктами.

Капитальные затраты на внедрение технологии биометрической идентификации клиентов пока необходимы только на уровне отделений. Для полноценного запуска системы необходимо иметь камеры, позволяющие идентифицировать лицо клиента, аппараты для записи и анализа голоса клиента. Помимо этого, банк также обязан использовать сертифицированные средства защиты канала передачи биометрических данных в Единую биометрическую систему (ЕБС).

Поскольку, согласно законодательству, банк обязан только регистрировать биометрические данные клиентов, а хранятся они в ЕБС на мощностях Ростелекома, кредитные организации избавлены от необходимости нести затраты на хранение информации, эти затраты берет на себя оператор.

Если с готовностью отделений банков все более-менее понятно, то с внедрением биометрической идентификации в банкоматах пока больше вопросов, чем ответов. С технической точки зрения реализовать биометрическую идентификацию в банкоматах возможно, однако это потребует существенных дополнительных затрат. Например, в современных терминалах используются широкоформатные камеры, фиксирующие самого клиента и его действия, но они не поддерживают функциональность быстрой идентификации по лицу. Помимо замены камер, банкам придется потратиться на модули, позволяющие идентифицировать клиента по отпечатку пальца и голосу. Для крупного банка с сетью в 2000 – 2500 устройств вложения будут очень большими.

Использование биометрических данных как способ идентификации для клиентов банка является полностью добровольным: никаких требований и регламентов на законодательном уровне нет. Касательно соблюдений мер безопасности существенную ясность внес указ ЦБ РФ № 4859 от 9 июля 2018г, описывающий порядок защиты и технические меры по организации безопасной передачи биометрических персональных данных.

Действия по получению и использованию биометрических данных – в том числе образцов голоса и фотографий – будут ограничены рамками банковских инструкций, которые могут оказаться в распоряжении злоумышленников. Учитывая опыт работы и результат своих коллег по пентесту целевых информационных систем одного из предприятий, на котором в качестве основного средства аутентификации использовались биометрические данные сотрудников, можно с уверенностью сказать, что в случае получения доступа к серверам, обеспечивающим биометрическую защиту, злоумышленник получает неограниченный доступ к целевой системе. Финансовые организации наверняка осознают эти риски и делают все возможное, чтобы усилить защиту информации внутри компании.

Тем не менее, погоня за удобством и простотой использования несет в себе и определенные риски, прежде всего, для клиентов - физических лиц. Располагая сведениями о методике работы с биометрическими данными в банке, именем, образцами голоса потенциальной жертвы и вооружившись методами пранкеров, злоумышленник имеет высокие шансы на реализацию преступного умысла. Например, применяя методы социальной инженерии, злоумышленники попытаются взять у потенциальной жертвы "интервью", в ходе которого постараются собрать, а в последствии скомпилировать данные для последующего общения с представителем банка. Пострадавшему от подобных действий клиенту будет очень трудно доказать банку, что аудиозапись подделана, и он не давал согласия на перевод денежных средств со своих счетов.

Клиенты банков не всегда оказываются в достаточной мере осведомлены о существующих угрозах в цифровой среде. Они самостоятельно оставляют немало избыточных данных в информационном пространстве. Размещают фотографии, информацию о себе, своем образе жизни, своих близких и друзьях, нередко даже информацию о своих доходах, а для профессионального злоумышленника наличие таких сведений - это половина успеха в получении доступа к вашим персональным данным. Наметив жертву и взломав электронную почту, хакеры могут снять средства с банковской карты вне зависимости от того, защищены они с помощью биометрии или традиционных способов идентификации. Поэтому единственной рекомендацией, которую можно дать гражданам, является совет подходить с ответственностью и должной осмотрительностью к выбору способа взаимодействия с использованием цифровых систем, особенно в части касающейся распоряжения денежными средствами, и, по возможности, использовать несколько способов аутентификации для подтверждения банковских операций.

Материалы по теме

Будущее под вопросом

«НЕЙВА» глазами клиентов

Интернет-банк «НЕЙВЫ» для торгового бизнеса: простой, удобный и быстрый

Продлить, понять и наказать

Банковский кризис: другой и в целом исчерпан

Промсвязьбанк сообщает предварительные финансовые итоги за 2015 год по РСБУ