Нужна ли биометрия в финансовой сфере?

Василий Мамаев, 07/11/22

В своей предыдущей статье "Биометрия, головокружение от успехов?" (журнал "Системы безопасности" № 2/2022) я уже отмечал, что слишком быстрое внедрение биометрических технологий в нашу повседневную жизнь не вполне оправданно в силу отсутствия разумного подхода к формированию нормативно-правовой базы и нехватки развернутых средств проверки эксплуатационных характеристик биометрических систем. Об этом же напоминает Михайло Павлюк в статье "Малоизвестные ошибки систем распознавания лиц. Как с ними жить и как избежать?" (стр. 63).

фото (1)-4

В статье Михайло Павлюка говорится о необходимости создания независимых, качественных и объемных баз данных, позволяющих оценить качество работы биометрических систем и степень их надежности. Но здесь мы сталкиваемся с двумя важными проблемами:

Такие базы данных весьма дорогие в силу того, что требуется сформировать большую базу данных под необходимую задачу, при этом каждый файл необходимо разметить и описать.
Формированием таких баз должна заниматься независимая организация, что позволит объективно провести проверку эксплуатационных характеристик.

В связи с этими немаловажными трудностями возникает логичный вопрос: стоит ли доверять свои финансы только (это ключевое слово) биометрии? Ведь если нет достаточной уверенности в надежности работы биометрических систем, можно ли отдавать им в управление значительные денежные средства?

На сегодняшний день осуществлять значимые юридические и финансовые операции с использованием биометрических технологий возможно с дополнительным подтверждением, то есть с использованием двухфакторной или трехфакторной идентификации.

ЕБС в финансовой сфере и не только

Какие сервисы предлагается осуществить через ЕБС (Единую биометрическую систему)?

В финансовой области должна была заработать удаленная система финансовых операций, таких как получение кредита, операций по вкладам, оплаты услуг без непосредственного участия гражданина. На сегодняшний день такими услугами, например через "Сбербанк Онлайн", пользуются большинство граждан России, правда, без использования биометрии, поскольку в целом и так все достаточно удобно и просто.

Так что единственный вопрос, который могла бы решить биометрия при банковском обслуживании, – это дистанционная регистрация клиента без необходимости прихода в банк. В банковской сфере это, наверное, единственный сервис, в котором использование биометрии для идентификации гражданина необходимо. И в этом случае без ЕБС не обойтись, но есть одна трудность: для того, чтобы ЕБС вас распознала, необходимо посетить МФЦ для качественного снятия биометрического шаблона. Может быть, проще сразу прийти в банк и получить услуги, как и раньше?

В дальнейшем сервисы ЕБС было предложено использовать в других, не финансовых сферах [1]. Перечислим эти проекты.

Реализован проект использования данных из ЕБС для организации пропускного режима в здании правительственного комплекса на Пресненской набережной в Москве. Система контроля и управления доступом (СКУД) распознает сотрудников по лицам и пропускает их в здание.
Реализован пилотный проект идентификации граждан для дистанционного участия в судебных заседаниях по видеосвязи.
Возможно использования ЕБС в дистанционных образовательных технологиях для обеспечения идентификации личности (например, при дистанционной сдаче экзаменов в вузах). В марте 2021 г. премьер-министр Михаил Мишустин подписал постановление, согласно которому вузам разрешили проводить экзамены дистанционно с применением биометрии. Этот формат предназначен для студентов, обучающихся по программам бакалавриата, специалитета и магистратуры.
1 июня 2021 г. вступили в силу поправки к закону о связи, позволяющие использовать ЕБС для загрузки в смартфоны виртуальных сим-карт – eSIM. Первым сотовым оператором, объявившим о доступности этой услуги для своих абонентов, стала принадлежащая Ростелекому компания Tele2.
В мэрии Москвы с использованием ЕБС планируют дорабатывать городские информационные системы, включая портал mos.ru, с целью усилить уровень безопасности аккаунтов пользователей и предоставить им новые возможности.

Здесь перечислены примеры использования дополнительных возможностей ЕБС, и они напрямую не связаны с финансовыми операциями либо затрагивают небольшие суммы (например, осуществление покупок).

С 29 декабря 2020 г. без личной явки к нотариусу [2] можно засвидетельствовать верность перевода, передать документы другому лицу, принять в депозит денежные средства и ценные бумаги, обратиться для принятия на депонирование безналичных денежных средств, совершить исполнительную надпись, передать на хранение документы, произвести обеспечение доказательств в виде осмотра информации в Интернете, получить выписку из реестра уведомлений о залоге движимого имущества, удостоверить равнозначность электронного документа, изготовленного нотариусом. Эти действия совершаются через Федеральную нотариальную палату (ФНП), через единую информационную систему нотариата или единый портал госуслуг. ФНП далее направляет поступившее заявление с приложениями нотариусу, заявившему в автоматическом режиме о готовности удаленно совершить соответствующее нотариальное действие. Сведения о заявителе нотариус получает самостоятельно с помощью ЕБС.

Насколько удобен такой вариант? В отдельных случаях, наверное, он будет востребован. Но насколько надежно получать сведения о заявителе через ЕБС?

Использование биометрии в банках

В банках биометрия используется уже давно по следующим направлениям [3].

Биометрия для безопасности

В 2019 г. Почта Банк с помощью биометрии предотвратил более 1,2 тыс. попыток использования чужих учетных записей для входа в системы и свыше 2 тыс. случаев с подозрением оформления операций без ведома клиента на сумму более 500 млн рублей. За 2018 г. было также выявлено порядка 100 обращений в банк, когда предъявленные паспорта оказались поддельными.

Еще одно направление использования биометрии – защита от внутреннего мошенничества. По словам заместителя президента – председателя правления Почта Банка Святослава Емельянова: "Получить доступ к счету клиента и провести все операции сотрудник банка в отделении может только при личном присутствии клиента и после его идентификации по фото, таким образом полностью исключается несанкционированный доступ к счетам".
Банк "Хоум Кредит" использует биометрию для выявления мошенников при заключении кредитного договора, обмениваясь фотографиями клиентов с другими банками.

Биометрия вместо карты

Использование биометрии вместо карты дает возможность оплачивать покупки путем сканирования лица, когда клиент просто смотрит в камеру. Биометрические характеристики при этом привязаны к карте или счету.

Биометрия для идентификации клиентов

Альфа-банк использует биометрию вместо документов: технология распознает клиентов на входе в отделение, подтверждает проведение операций, а также помогает сформировать наилучшее клиентское предложение. Аналогичный проект планируют запустить ВТБ и Почта Банк. Банк "Ак-Барс" использует биометрию для распознавания клиентов на входе в отделение банка и для идентификации пользователей программы лояльности в ряде ресторанов Татарстана. Этот способ использования биометрии ускоряет обслуживание и повышает продажи.

Отмечается, что использование биометрии в качестве второго или третьего фактора аутентификации может значительно повысить безопасность данных и улучшить клиентский опыт, потому что клиенту не требуется запоминать сложные пароли.

Плюсы и минусы биометрии в финансовой сфере

Можно отметить следующие плюсы и минусы идентификации при использовании биометрии в финансовой сфере [4].

Положительные стороны:

Меньше бюрократии. При обращении в банк не придется нести паспорт и другие документы, заполнять анкету с кучей данных о себе.
Кредиты онлайн. И не только кредиты, но и банковские карты, вклады и другие продукты и услуги доступны удаленно, даже если вы не клиент банка, в который обращаетесь.

Минусы:

Система сырая и не совсем безопасна.
Данный метод идентификации вводится слишком настойчиво со стороны государства, что отпугивает граждан.
Алгоритм не узнает пользователя, прошедшего через серьезную операцию, с возрастными изменениями или преднамеренно воспользовавшегося услугами пластического гримера.
Для запуска технологии компаниям придется потратиться, что вызовет удорожание продуктов и услуг.

Возможно, перевес минусов обусловливает то, что, по данным ЦБ РФ, на начало года в ЕБС было зарегистрировано всего (?) 236 тыс. пользователей [5].

Основным аргументом в пользу надежности работы ЕБС является утверждение о том, что биометрические данные граждан хранятся в надежном месте, в зашифрованном виде. Правда, возникает вопрос: зачем взламывать хранилище персональных данных, чтобы добраться до биометрических данных или шаблонов, если изображение лица и данные голоса можно получить непосредственно от атакуемого объекта, например через Интернет и по телефону?

Рис. 1. Возможные способы атак на биометрическое предъявление лица: (a) фото, напечатанное на бумаге, (b) повторные изображения на экране устройства, (c) пластиковая маска, (d) бумажная маска, (e) силиконовая маска, (f) манекен, (g) очки, (h) макияж, (i) татуировки, (j) парик

Получив биометрические данные, возможно организовать атаку на биометрическую систему, содержащую, например, изображение лица [6]. На рис. 1 показаны возможные способы атак на биометрическое предъявление лица.

Похожая ситуация существует и с распознаванием по голосу.

На сегодняшний день остаются открытыми следующие вопросы:

Насколько надежна защита ЕБС от различного рода атак на биометрическое предъявление?
Проводились ли испытания защиты от атак, связанных с голосовой биометрией?
Если проводились, то как и на каких базах данных?
Проводились ли сценарные и оперативные испытания ЕБС как полнокомплектной биометрической системы?
Каковы результаты испытаний?

Похоже, вопросов к ЕБС становится все больше.