Биометрия не заменит традиционные способы идентификации

November 6, 2018

По мнению эксперта Инфосекьюрити, биометрическая идентификация упростит жизнь банковских клиентов, если использовать ее разумно

Кирилл Солодовников, генеральный директор «Инфосекьюрити» (входит в группу компаний Softline):

В настоящий момент компании банковского сектора являются основными потребителями технологий биометрии в России. На законодательном уровне сервис получил четкие требования и регламенты после выхода в феврале этого года распоряжения Правительства №293-р, определившего единого оператора биометрических данных в лице Ростелекома.

Международное финансовое законодательство давно определило нормы и правила работы банков с биометрическими данными клиентов, но именно в российской банковской системе в одной из первых реализована и используется технология распознавания клиентов по лицу клиента и по записи голоса. Даже в Китае, где биометрия используется повсеместно, в банковском секторе идентификация по биометрическим данным не осуществляется.

В первую очередь идентификация по биометрическим данным удобна для клиентов кредитных организаций, так как позволит упростить получение доступа к услугам и продуктам банка. Достаточно один раз предоставить биометрические данные любому банку на территории РФ, и доступ к ним будет открыт другим финансовым организациям. Так, например, если клиент переехал из Владивостока в Москву и хочет открыть счет в местном банке, ему не нужно повторно сдавать биометрию, даже если этот банк не имеет собственного представительства в ДВФО. Также, как говорится в законе, биометрическая идентификация решает проблему социально незащищенных групп граждан и людей с ограниченной мобильностью, упрощая им доступ к банковским продуктам и сервисам.

Для самих банков это также упрощает процедуру и скорость идентификации, особенно это актуально при работе с online-продуктами.

Капитальные затраты на внедрение технологии биометрической идентификации клиентов пока необходимы только на уровне отделений. Для полноценного запуска системы необходимо иметь камеры, позволяющие идентифицировать лицо клиента, аппараты для записи и анализа голоса клиента. Помимо этого, банк также обязан использовать сертифицированные средства защиты канала передачи биометрических данных в Единую биометрическую систему (ЕБС).

Поскольку, согласно законодательству, банк обязан только регистрировать биометрические данные клиентов, а хранятся они в ЕБС на мощностях Ростелекома, кредитные организации избавлены от необходимости нести затраты на хранение информации, эти затраты берет на себя оператор.

Если с готовностью отделений банков все более-менее понятно, то с внедрением биометрической идентификации в банкоматах пока больше вопросов, чем ответов. С технической точки зрения реализовать биометрическую идентификацию в банкоматах возможно, однако это потребует существенных дополнительных затрат. Например, в современных терминалах используются широкоформатные камеры, фиксирующие самого клиента и его действия, но они не поддерживают функциональность быстрой идентификации по лицу. Помимо замены камер, банкам придется потратиться на модули, позволяющие идентифицировать клиента по отпечатку пальца и голосу. Для крупного банка с сетью в 2000 – 2500 устройств вложения будут очень большими.

Использование биометрических данных как способ идентификации для клиентов банка является полностью добровольным: никаких требований и регламентов на законодательном уровне нет. Касательно соблюдений мер безопасности существенную ясность внес указ ЦБ РФ № 4859 от 9 июля 2018г, описывающий порядок защиты и технические меры по организации безопасной передачи биометрических персональных данных.

Действия по получению и использованию биометрических данных – в том числе образцов голоса и фотографий – будут ограничены рамками банковских инструкций, которые могут оказаться в распоряжении злоумышленников. Учитывая опыт работы и результат своих коллег по пентесту целевых информационных систем одного из предприятий, на котором в качестве основного средства аутентификации использовались биометрические данные сотрудников, можно с уверенностью сказать, что в случае получения доступа к серверам, обеспечивающим биометрическую защиту, злоумышленник получает неограниченный доступ к целевой системе. Финансовые организации наверняка осознают эти риски и делают все возможное, чтобы усилить защиту информации внутри компании.

Тем не менее, погоня за удобством и простотой использования несет в себе и определенные риски, прежде всего, для клиентов - физических лиц. Располагая сведениями о методике работы с биометрическими данными в банке, именем, образцами голоса потенциальной жертвы и вооружившись методами пранкеров, злоумышленник имеет высокие шансы на реализацию преступного умысла. Например, применяя методы социальной инженерии, злоумышленники попытаются взять у потенциальной жертвы "интервью", в ходе которого постараются собрать, а в последствии скомпилировать данные для последующего общения с представителем банка. Пострадавшему от подобных действий клиенту будет очень трудно доказать банку, что аудиозапись подделана, и он не давал согласия на перевод денежных средств со своих счетов.

Клиенты банков не всегда оказываются в достаточной мере осведомлены о существующих угрозах в цифровой среде. Они самостоятельно оставляют немало избыточных данных в информационном пространстве. Размещают фотографии, информацию о себе, своем образе жизни, своих близких и друзьях, нередко даже информацию о своих доходах, а для профессионального злоумышленника наличие таких сведений - это половина успеха в получении доступа к вашим персональным данным. Наметив жертву и взломав электронную почту, хакеры могут снять средства с банковской карты вне зависимости от того, защищены они с помощью биометрии или традиционных способов идентификации. Поэтому единственной рекомендацией, которую можно дать гражданам, является совет подходить с ответственностью и должной осмотрительностью к выбору способа взаимодействия с использованием цифровых систем, особенно в части касающейся распоряжения денежными средствами, и, по возможности, использовать несколько способов аутентификации для подтверждения банковских операций.

Новости

Введение QR-кодов для посещения крупных торговых центров и предприятий общепита в Тюменской области отложено до 20 января 2022 года

17.12.2021

Компания с необычной историей

17.12.2021

В Свердловской области ввели обязательную вакцинацию студентов

17.12.2021

Куда полететь из Екатеринбурга на новогодние каникулы

17.12.2021

Правительство продлило турбизнесу возможность использовать средства фонда персональной ответственности для возврата денег туристам

17.12.2021

«Титановая долина» вошла в топ-10 рейтинга привлекательности ОЭЗ РФ

17.12.2021

Екатеринбург в 2022 году может перейти на метод ценообразования на тепло по принципу «альтернативной котельной»

17.12.2021

Рекорд суточной погрузки поставила Свердловская магистраль 16 декабря

17.12.2021

Муниципалитеты Свердловской области получат рекордную сумму на ЖКХ

17.12.2021

Перед аэропортом Кольцово установят стелу-петлю

17.12.2021

Около 3 млрд рублей получит Свердловская область в рамках подготовки к Универсиаде

17.12.2021

Почти 1,2 млн перевозочных документов оформили клиенты СвЖД с помощью цифровых сервисов в 2021 году

16.12.2021

ПСБ и ТПП РФ расширят доступ малого бизнеса к проектам диверсификации ОПК

15.12.2021

Екатеринбург станет двухмиллионником к 2030 году

14.12.2021

Около десяти новых площадок выберут в Екатеринбурге для применения механизма комплексного развития территории в 2022 году

14.12.2021

Уровень вакцинации в регионах УрФО почти вдвое меньше, чем требуется для коллективного иммунитета

14.12.2021

Авиакомпания Utair запускает с 10 января рейс Сургут — Курган

14.12.2021

Корпорация развития Среднего Урала получила контрольный пакет акций в управляющей компании индустриального парка «Богословский»

14.12.2021

3087 семей улучшили в 2021 году условия проживания в рамках жилищных программ Тюменской области

14.12.2021

Первая в России беспилотная «Ласточка» может появиться в 2022 году

13.12.2021

В Екатеринбурге подведены итоги социальной акции «Говорящая книга»

13.12.2021

На строительство ледокольного танкера для «Арктик СПГ 2» выделено 890 млн рублей

13.12.2021