Доклад на тему биометрия в деятельности банка перспективы и недостатки

Обновлено: 10.05.2024

Сканирование биометрических параметров помогает комфортному существованию человека в окружающей его среде, надежно защищать и контролировать как состояние своего здоровья, так и позволяет использовать дополнительные возможности для защиты дистанционных операций, что актуально в сфере банковского сервиса.

ВложениеРазмер
БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ КАК ИНСТРУМЕНТ БАНКОВСКИХ ТЕХНОЛОГИЙ 599 КБ

Предварительный просмотр:

БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ КАК

ИНСТРУМЕНТ БАНКОВСКИХ ТЕХНОЛОГИЙ

Дегтева Ксения Дмитриевна

г. Нижний Новгород

Кузнецова Анастасия Павловна

г. Нижний Новгород

Брагин Борис Николаевич

научный руководитель, преподаватель высшей категории,

Анисимова Надежда Викторовна

научный руководитель, управляющая операционным офисом

ПАО БИНБАНК г. Н. Новгород

Будущее в соседнем банке…

Системы идентификации человека по отпечатку пальца входят в нашу повседневную жизнь стремительно. Сканирование биометрических параметров помогает комфортному существованию человека в окружающей его среде, надежно защищать и контролировать как состояние своего здоровья, так и позволяет использовать дополнительные возможности для защиты дистанционных операций, что актуально в сфере банковского сервиса. В стране восходящего солнца банкоматы с возможностью идентификации по отпечатку пальца клиента успешно работают на протяжении нескольких лет.

Отпечаток пальца имеет около 40 уникальных характеристик.

1: 64000000000 – такова вероятности совпадения отпечатков двух из 10 пальцев одного человека. У отпечатков пальцев 2-х разных людей эта вероятность еще меньше.

Тенденции развития биометрии

- Британский полицейский чиновник Уильям Гершель во время службы в Индии впервые использует узор для идентификации и тем самым закладывает основы дактилоскопии;

- Впервые в мире отпечатки пальцев используются в английском суде как доказательство вины преступника;

-На массовом рынке появляются впервые пригодные биометрические системы в качестве биоидентификаторов клиентской базы кредитных организаций;

- По инициативе АНБ США создается Biometric Consortium – для координации биометрических исследований между правительством, промышленностью и научным сообществом;

- ФБР США запускает биометрическую базу данных CODIS, хранящую информацию обо всех отпечатках, найденных в ходе следственных мероприятий;

- Международная организация по стандартам (ISO) формирует рабочую группу для выработки общих стандартов биометрических технологий;

-Индия создает крупнейший мульти модальный банк биометрических данных для идентификации населения;

- 65% всех платежных трансакций банков будут проводиться с помощью биометрических технологий для идентификации своих клиентов;

Структура биометрических параметров человека

Биометрия -это уникальные данные человека, заложенные от рождения: сочетание цвета сосудистой оболочка глаза и рисунок сетчатки, расстояние между частями лица, почерк, походка, голосовой тембр и частота, особенности строения кисти рук и рисунок вен.

В биометрии в целях безопасности применяется простая технология распознавания кистей рук, а также идентификационные признаки на тыльной стороне руки. Сканеры по проведению опознавания клиента по отпечаткам пальцев работают в современных, банковских учреждениях на входных терминалах атомных электростанций.

Впервые сканировать сетчатку глаза предложил в 1936 году офтальмолог Френк Барч , который обнаружил, что рисунок сосудов на задней стенке глаза у каждого человека уникален. Радужная оболочка глаза формируется в первые полтора года жизни человека и остается неизменной в течение всей жизни человека.

Британский банк Halifaks начал тестировать программу, которая будет идентифицировать клиентов при входе в банковское учреждение по ритму их сердцебиения.

С помощью специального фитнес-браслета одетого на руку клиента, банк декодирует сложный сердечный ритм и передает с помощью программного обеспечения в клиентскую базу данных учреждения. Точность такой идентификации намного выше, а вероятность ошибки стремится к нулю.

Польская компания Planet Cash планирует внедрить японскую технологию и установить 2000 банкоматов с функцией распознавания клиента по отпечатку пальца.

Биоинновации в жизнь…

Главная особенность технологии * NFC (Near Fild Communication)-сочетание удобства и безопасности. Достоинство технологии в том, что она работает на расстоянии не более 10см, поэтому воспользоваться посторонним платежными данными клиента невозможно.

Биометрические системы защиты помогут банкам защитить своих клиентов, минуя так называемый человеческий фактор. В зависимости от размера операции банк может применять различные способы подтверждения, а при обнаружении системой для конкретного клиента совершение несвойственных манипуляций с его стороны на серьезную сумму, банк вправе потребовать дополнительного подтверждения совершаемой операции. Внедрение новейших систем банковской защиты с применением технологии биометрического контроля, не означает отмену используемых в настоящее время систем банковского контроля.


Перспективы применения биометрии в банковской сфере

Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

С началом использования безналичных платежей банки начали задаваться вопросом, как повысить защищенность сбережений клиентов. На протяжении длительного периода времени в качестве главного средства защиты выступал ПИН-код. Тем не менее, с развитием мошеннических технологий, таких как скиммер, накладки на клавиатуру, эффективность ПИН-кода резко снизилась. При желании информацию с магнитной полосы карты может получить злоумышленник. В следствие этого появилась задача сделать эффективными финансово-банковские услуги с помощью идентификатора личности, который невозможно подделать или украсть. Использование биометрических параметров позволяет решить данную задачу.

Биометрия представляет собой систему распознавания людей по одной или более физических или поведенческих черт. Она дает возможность распознавать личность человека по одной или же сразу по нескольким физическим параметрам (голос, отпечаток пальца, черты и термограмма лица, ДНК, ладонь, сетчатка и радужная оболочка глаза и т.п.) или поведенческим чертам (походка, почерк и т.п.).

Биометрические технологии основываются на идентификации человека по особенным биологическим признакам, которые присущи только данному индивиду. Можно выделить два типа биометрических данных (рис. 1).

Идентификация с использованием любых типов биометрических данных включает в себя несколько стадий:

- система запоминает биометрические данные;

- происходит обработка информации и ее преобразование в математический код;

- осуществляется сравнение сохраненного биометрического образа с образом, представленным для идентификации;

Рисунок 1 - Типы биометрических данных

Мировой рынок биометрических систем на конец 2016 года оценивался в 14,45 млрд. долл. США. Ожидается, что рынок биометрических технологий в последующие шесть лет будет возрастать ежегодно на 18,6%. К 2022г ожидается его рост до уровня 40,2 млрд. долл. США (рис. 2).

Прогнозируется, что самыми быстрорастущими сегментами на рынке биометрических систем в ближайшие 5-7 лет будут выступать технологии идентификации по рисунку вен ладони, голосу и изображению радужной оболочки глаза.

Источник: J ’ son & Partners Consulting

Рисунок 2 – Состояние и прогноз объема мирового рынка биометрических систем в 2015-2022гг

Некоторое время назад биометрическая идентификация держателей банковских карт считалась фантастикой, сейчас же она стала привычной для жителей таких стран, как Бразилия и Индия, Польша и Саудовская Аравия.

Следует отметить, что основная причина использования биометрических систем банками – очень высокая точность определения личности. Именно человека, а не связанного с ним материального идентификатора, такого как смарт-карта, жетон, токен, которые могут быть утеряны или переданы другим лицам.

Современные сканеры дают возможность установить принадлежность отпечатка пальца живому человеку, их нельзя обмануть, предъявляя оттиск отпечатка на бумаге, желатине или стекле.

Важнейшим преимуществом аутентификации пользователей по биометрическим характеристикам (отпечаткам пальцев, геометрии руки, лицу, голосу, рисунку сетчатки глаза и т.п.) является неотделимость этих характеристик от пользователя.

Их нельзя забыть, потерять или передать другому пользователю. Определение личности по биометрическим характеристикам осуществлялось задолго до появления автоматизированных компьютерных систем. Например, собственноручная подпись для документа на бумажном носителе позволяет подтвердить его подлинность именно на основе биометрических характеристик подписавшего, а отпечатки пальцев в криминалистике используются уже более ста лет. До недавнего времени широкому распространению аутентификации по биометрическим характеристикам в автоматизированных банковских системах препятствовала нерешенность следующих проблем:

- Биометрические характеристики сложно точно измерить, т.к. в них всегда присутствует определенная случайная составляющая.

Например, связанная с силой прижатия и скоростью движения пальца по считывателю.

- Биометрические характеристики могут изменяться со временем, что заставляет регулярно корректировать эталонный образ аутентифицирующей информации.

- Возможен отказ в доступе, связанный с кратковременным изменением биометрических характеристик. Например, из-за волнения может измениться почерк, из-за простуды – голос, а человека, сломавшего палец, трудно идентифицировать по отпечатку этого пальца.

Учитывая, что 10–15 лет назад в период активного внедрения средств аутентификации использование биометрии требовало еще и значительных дополнительных затрат, большинство банков приняли решение в пользу двухфакторной аутентификации на основе паролей и внешних носителей информации. За прошедший период времени соотношение цена/качество для аппаратных устройств считывания биометрических характеристик значительно улучшилось, а современная элементная база обеспечила возможность реализации сложных алгоритмов для обработки считываемых данных, что позволило значительно снизить вероятности ошибочного признания и ошибочного отказа в доступе.

Тем не менее, в настоящее время биометрические технологии имеют все шансы совершить прорыв в банковскую сферу на новом витке научно-технического прогресса. Распространению биометрической аутентификации также будет способствовать тенденция к переходу на единую аутентификацию пользователей для всех приложений.

Внедрение единой биометрической системы выгодно всем:

- в банковской сфере снижается риск мошенничества;

- клиенты получат удобные сервисы;

- надежная и простая идентификация даст возможность банкам снизить проценты по кредитам;

- бизнес может снизить временные затраты на проведении банковских операций.

На пути к широкому использованию биометрических технологий в банковской сфере имеется несколько проблем.

Первой проблемой являет высокий риск утечки информации. И это является существенным недостатком, снижающим все преимущества.

Биометрические данные невозможно сменить или обновить – они на всю жизнь. Поэтому их утечка куда серьезнее, чем утечка любых паролей или контактов. Информационная безопасность должна занимать первое место в построении Единой биометрической системы.

Второй проблемой является метод дактилоскопия, который не является самым надежным, и его характеризуют два показателя: чувствительность и специфичность.

Третьем проблемой является проблема безопасности: необходимо удостовериться, что в каждый момент времени за пультом управления находится человек, которому можно доверять.

Кроме того вопрос цены изучения и внедрения технологий остается достаточно высоким. Однако, несмотря на недостатки, по супер-оптимистичным оценкам специалистов компании Acuity Market Intelligence доля биометрических трансакций в мире в ближайшее время достигнет 65%.

Для крупных банков внедрение биометрических технологий – это возможность расширения сферы влияния. Для небольших же банков – это существенная угроза, поскольку эти банки не смогут внедрить этот продукт в силу ограниченных возможностей. Поэтому в небольших городах банки могут потерять своих клиентов, которые будут дистанционно пользоваться услугами крупных банков.

Тем не менее, эффективность активного внедрения биометрических технологий не вызывает сомнения. Эксперты считают, что затраты на систему с применением биометрии ниже, чем затраты на систему с традиционными идентификаторами.

Развитие биометрии позволит повысить точность идентификации клиентов, упростить процедуру проверки, верификации персональных данных.

Рынок биометрических технологий в настоящее время активно растет. Поэтому большинство аналитиков считает, что биометрические данные как часть системы распознавания клиента банковских услуг в ближайшее время будут стремительно развиваться.

Винокуров А. В. Биометрические системы идентификации в кредитных организациях как инструмент противодействия мошенничеству // Финансы и кредит. — 2016. — № 21. — С.15–21.


В статье рассмотрены основные преимущества и недостатки применения биометрической идентификации в банковском бизнесе, определены перспективы развития этой технологии с учетом особенностей национальной экономики.

Ключевые слова: биометрия, идентификация, технологии, банки.

Современный российский банковский бизнес одним из приоритетных направлений своей деятельности считает расширение доступности банковских услуг для всех категорий граждан и повышение уровня доверия к кредитным организациям. Чтобы добиться желаемого результата было принято решение создать единую цифровую платформу (ЕБС), которая позволит хранить биометрические данные клиентов, надежно их шифровать и использовать эти данные в случае, если клиент дистанционно хочет воспользоваться финансовыми услугами или дополнительно защитить уже используемые им банковские сервисы.

В данной статье попробуем разобраться, насколько такая система может быть эффективной в российских реалиях и какие есть препятствия для ее более активного внедрения в банковский бизнес.

Считается, что биологические характеристики клиента невозможно подделать, если их рассматривать в совокупности (сетчатка глаза, голос, отпечаток пальца и т. д.). Хищение таких данных или их фальсификация будет очень дорого стоить для тех, кто в этом заинтересован, поэтому банки активно внедряют биометрию в процесс обслуживания клиентов.

Специалисты различных компаний ежегодно анализируют состояние банковских клиентских систем и определяют наиболее критичные уязвимости.

К примеру, проводимое в 2019 г. компанией Positive Technologies исследование показало, что больше четверти проанализированных систем имеют высокий риск, связанный с недостатками двухфакторной аутентификации (29 %), более того, даже с учетом наличия передовых функций дистанционных сервисов (переводы по QR, искусственный интеллект, отвечающий на вопросы клиентов в чате), 18 % систем не ограничивают мошенников в том, чтобы добиться доступа к счету, подбирая данные для входа (рис.1).

Наиболее распространенные уязвимости мобильных приложений (доля систем) [1]

Рис. 1. Наиболее распространенные уязвимости мобильных приложений (доля систем) [1]

Вышеуказанная статистика наилучшим образом показывает, что кредитные организации должны постоянно дорабатывать свои системы, усложнять механизмы их защиты от хакерских атак и мошеннических действий.

Эксперты компании J’son & Partners Consulting провели в 2018 году обширное исследование российского рынка биометрических технологий и, как оказалось, динамика его развития значительно выше, чем во всем мире в целом.

Как показал анализ рынка, в России наибольшую долю среди способов биометрической идентификации занимает Facial Recognition (распознавание по лицу), в то время как во всем мире наиболее популярным является Fingerprint (подтверждение личности по отпечатку пальца). Доля этих способов технологий в общем объеме методов биометрической идентификации составила 50 % и 52 % соответственно (рис. 2).

Структура мирового и российского рынков биометрических технологий [6]

Рис. 2 Структура мирового и российского рынков биометрических технологий [6]

Положительная динамика рынка, появление новых стартапов, работающих с биометрией, повышенный интерес к этой услуге среди клиентов — это все, действительно, является благоприятными условиями для упрочнения позиций биометрической идентификации в финансовой сфере. Но действительно ли все так безоблачно, как говорит нам рассмотренная статистика? К сожалению, как и в любом другом новом процессе, есть свои недочеты, которые мы сейчас рассмотрим поподробнее [12. c. 35–38].

Ранее Государственной Думой рассматривался законопроект об обязательном сборе биометрических данных, однако его принятие в 2020 году было приостановлено. Поэтому пока что нормативная база в области биометрических данных является ограниченной.

  1. Риск утечки и фальсификации данных. Безусловно, фальсификация биологических характеристик человека- процесс достаточно длительный и сложный с технологической точки зрения, однако многие эксперты не исключают того, что биометрия не является самым надежным способом защиты персональных данных и средств на счетах. Так, эксперты отраслевого канала Techportal провели исследование, в рамках которого выявили, что только половина из возможных способов биометрической идентификации является недостижимой для мошенников (табл.1).

Вероятность фальсификации данных в зависимости от типа биометрической идентификации [2]

Тип биометрической идентицикации

Радужная оболочка глаза

  1. Отсутствие функции использования биометрии в устройстве клиента. Наиболее остро эта проблема встает среди представителей старшего поколения, которые предпочитают использовать максимально примитивные гаджеты. Получается, что свести всех клиентов к использованию такого типа идентификации не получится в силу отсутствия технических возможностей у некоторых из них.
  2. Отсутствие уверенности граждан РФ в обеспечении полной безопасности и конфиденциальности сдаваемых биометрических данных. Повышение этой уверенности может быть обеспечено за счет применения современных методов шифрования данных, непрекращающегося мониторинга за их сохранностью.
  3. Серьезные материальные и иные издержки на организацию и совершенствование соответствующих бизнес-процессов кредитных организаций (оснащение программным обеспечением и техническими средствами; обучение персонала; существенные затраты рабочего времени сотрудников на предоставление необходимой информации клиентам и др.).

Однако не стоит забывать, что биометрия нашла свое распространение среди кредитных организаций не просто так, а благодаря серьезным достоинствам, среди которых можно выделить следующие:

Выбор банковского сектора экономики РФ в качестве приоритетного объекта для реализации задач, возложенных на Единую биометрическую систему, не являлся случайным. Банковские услуги и продукты являются востребованными среди всех слоев населения и предполагается, что охват клиентской аудитории с годами будет только увеличиваться [9].

Сможет ли единая биометрическая система (ЕБС) стать одним из способов расширения клиентской базы и укрепления доверия к банкам? На основании проведенного исследования, мы можем положительно ответить на этот вопрос. Да, это не так дешево, как хотелось бы, да, это обуславливает необходимость привлечения новых кадров, более тесного взаимодействия с IT-разработчиками, не просто реализовывается с технической точки зрения, однако, биометрия является более надежным способом идентификации, чем все ее предшественники, поэтому сможет стать хорошим механизмом для защиты данных и счетов клиентов.

Высокая конкуренция в финансовой сфере (как на национальном, так и на международном уровне), должна будет обеспечить высокую заинтересованность кредитных организаций в развитии ЕБС и максимальной реализации возможностей, заложенных в ней, а значит будут провоцировать дальнейшее развитие рынка биометрии в финансовом секторе страны и в банковском бизнесе, в частности.

Основные термины (генерируются автоматически): биометрическая идентификация, данные, отпечаток пальца, банк, банковский бизнес, биометрия, клиент, Россия, единая биометрическая система, российский рынок.

Фото: George Prentzas / Unsplash

Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности. К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.

Зачем банки собирают биометрию

Фото:Екатерина Кузьмина / РБК (Рустам Тарико)

Собирать данные в ЕБС (изображение лица и цифровой слепок голоса) по закону должны все банки, однако услуги через ЕБС (открытие счета, выдача кредита и проведение платежей) пока оказывают только несколько кредитных организаций:

Способы использования биометрии кредитными организациями

Как происходит сбор биометрии

Фото:PhotoMIX Company / Pixabay

Процедура сдачи биометрии для собственных систем в каждой кредитной организации может отличаться. Например, ВТБ записывает образцы голоса при общении с оператором. Во время записи разговор может вестись на любую комфортную для пользователя тему, чтобы система могла зафиксировать и записать корректный слепок.

Какими законами регулируется сбор биометрии

На рассмотрении в Госдуме сейчас находится законопроект о расширении сферы деятельности ЕБС, его принятие позволит использовать систему без необходимости внесения изменений в отраслевое законодательство, а также приведет к появлению внебанковских сервисов, предоставляющих услуги через ЕБС.

Почему немногие хотят сдавать биометрию в банке


Партнер технологической практики KPMG в России и СНГ Оксана Борисова также видит эффективность применения биометрии в защите от мошенников и считает, что несмотря на риски, ее лучше сдавать для обеспечения безопасности операций и настраивать многофакторное подтверждение проведения операции.

Что касается ЕБС, то, по мнению руководителя группы по оказанию услуг компаниям финансового сектора Deloitte Максима Налютина, сдача биометрии важна только в том случае, если клиент собирается активно открывать счета и новые продукты в банках, где он ранее не обслуживался, особенно в условиях эпидемиологических ограничений.

Влияние пандемии на будущее биометрии

ВТБ с помощью голосовой биометрии в контакт-центре уже планирует предоставлять сервисы и услуги, которые ранее были доступны только в офисе, например, разблокировка карт, говорит старший вице-президент банка Чугунов.

Согласно Глобальному исследованию KPMG по банковскому мошенничеству за 2019 год, 67% банковских лидеров инвестируют в инструменты с использованием физической биометрии — голос, отпечатки пальцев, распознавание лиц. Наиболее передовые организации уже вкладываются в развитие более сложной поведенческой биометрии, которая представляет собой сбор уникальных для каждого пользователя набора характеристик, позволяющих составить профиль пользователя и отсеивать мошенников.

Фото:Naomi Baker / Getty Images

Самые известные мировые примеры, по его словам, это:

  • индийская биометрическая система Aadhaar, где содержится более 1,2 млрд шаблонов биометрических данных жителей страны (отпечатки пальцев, радужка глаза) и которая используется для получения как государственных, так и банковских услуг;
  • южноафриканская система ABIS с образцами отпечатков пальцев, радужки глаза и фотографий пользователей, которая применяется для социальных и финансовых услуг;
  • таиландская система Digital ID, которая позволяет клиентам открывать счета в банках удаленно с помощью технологии распознавания лиц, гарантируя безопасность процесса.

По аналогии со странами Азии, в России могут начать развиваться сервисы мгновенной оплаты покупок или услуг по индивидуальным чертам лица, считает Ломов:

image

Удобства дистанционной идентификации по фотографии или голосу по достоинству оценили не только клиенты банков, но и киберпреступники. Несмотря на стремление разработчиков сделать технологию безопасной, исследователи постоянно сообщают о появлении новых способов обмана таких систем.

Так может, не стоит соглашаться на предложение приветливого операциониста пройти биометрическую идентификацию в отделении банка? Или всё-таки воспользоваться преимуществами новой технологии? Разбираемся в этом посте.

В чём проблема?

  1. Биометрические данные публичны. Можно найти фотографии, видео- и аудиозаписи практически любого жителя планеты Земля и использовать их для идентификации.
  2. Невозможно заменить лицо, голос, отпечатки пальцев или сетчатку с той же лёгкостью, как пароль, номер телефона или токен для 2FA.
  3. Биометрическая идентификация подтверждает личность с вероятностью, близкой, но не равной 100%. Другими словами, система допускает, что человек может в какой-то степени отличаться от своей биометрической модели, сохранённой в базе.

В качестве основных проблем, связанных с биометрической идентификацией, можно выделить фальсификацию, утечки и кражи, низкое качество собранных данных, а также многократный сбор данных одного человека разными организациями.

Фальсификация


Публикации, связанные с различными способами обмана систем биометрической идентификации, часто встречаются в СМИ. Это и отпечаток пальца министра обороны Германии Урсулы фон дер Ляйен, изготовленный по её публичным фотографиям, и обман Face ID на iPhone X с помощью маски, нашумевшая кража 243 тысяч долларов с помощью подделанного нейросетью голоса генерального директора, фальшивые видео со звёздами, рекламирующими мошеннические выигрыши, и китайская программа ZAO, которая позволяет заменить лицо персонажа видеоролика на любое другое.

image


Внедрение фальшивого видеопотока в биометрическую систему. Источник

image


X-glasses — очки для обмана liveness detection в Face ID. Источник

Для удобства пользователей, Face ID срабатывает, если человек надел солнцезащитные очки. При этом количество света в глазах уменьшается, поэтому система не может построить качественную 3D-модель области вокруг глаз. По этой причине, обнаружив очки, Face ID не пытается извлечь 3D-информацию о глазах и представляет их в виде абстрактной модели — чёрной области с белой точкой в центре.

Качество сбора данных и ложные распознавания


Точность идентификации сильно зависит от качества биометрических данных, сохранённых в системе. Чтобы обеспечить достаточное для надёжного распознавания качество, необходимо оборудование, которое работает в условиях шумных и не слишком ярко освещённых отделений банков.

Дешёвые китайские микрофоны позволяют записать образец голоса в неблагоприятных условиях, а бюджетные камеры — сделать фото для построения биометрической модели. Но при таком сценарии значительно возрастает количество ложных узнаваний — вероятность того, что система примет одного человека за другого, с близким по тональности голосом или сходной внешностью. Таким образом, некачественные биометрические данные создают больше возможностей для обмана системы, которыми могут воспользоваться злоумышленники.

Многократный сбор биометрии


Некоторые банки начали внедрение собственной биометрической системы раньше, чем заработала ЕБС. Сдав свою биометрию, человек считает, что может воспользоваться новой технологией обслуживания в других банках, а когда выясняется, что это не так, сдаст данные повторно.

Ситуация с наличием нескольких параллельных биометрических систем создаёт риск, что:

  • У человека, дважды сдавшего биометрию, скорее всего, уже не вызовет удивления предложение повторить эту процедуру и в будущем он может стать жертвой мошенников, которые будут собирать биометрию в своих преступных целях.
  • Чаще будут происходить утечки и злоупотребления, поскольку увеличится количество возможных каналов доступа к данным.

Утечки и кражи


Может показаться, что утечка или кража биометрических данных — настоящая катастрофа для их владельцев, но, в действительности, всё не так плохо.

В общем случае биометрическая система хранит не фотографии и записи голоса, а наборы цифр, характеризующие личность — биометрическую модель. И теперь поговорим об этом подробнее.

Для построения модели лица система находит опорные антропометрические точки, определяющие его индивидуальные характеристики. Алгоритм вычисления этих точек отличается от системы к системе и является секретом разработчиков. Минимальное количество опорных точек — 68, но в некоторых системах их количество составляет 200 и более.

По найденным опорным точкам вычисляется дескриптор — уникальный набор характеристик лица, независимый от причёски, возраста и макияжа. Полученный дескриптор (массив чисел) и представляет собой биометрическую модель, которая сохраняется в базе данных. Восстановить исходное фото по модели невозможно.

Для идентификации пользователя система строит его биометрическую модель и сравнивает с хранящимся в базе дескриптором.

Из принципа построения модели имеются важные следствия:

  1. Использовать данные, похищенные из одной биометрической системы для обмана другой — вряд ли получится из-за разных алгоритмов поиска опорных точек и серьёзных различий в результирующей модели.
  2. Обмануть систему с помощью похищенных из неё данных тоже не получится — для идентификации требуется предъявление фотографии или аудиозаписи, по которой уже будет проведено построение модели и сравнение с эталоном.

image

image

Методы проверки liveness для лицевой и голосовой модальности.
Источник: Центр речевых технологий

Таким образом, использование утекших биометрических данных не поможет киберпреступникам быстро получить материальную выгоду, а значит, они с большей вероятностью будут искать более простые и надёжные способы обогащения.

Как защититься?


Вступившая в действие 14 сентября 2019 года директива Евросоюза PSD2, также известная как Open Banking, требует от банков внедрения многофакторной аутентификации для обеспечения безопасности удалённых транзакций, выполняемых по любому каналу. Это означает обязательное использование двух их трёх компонентов:

  • Знания — какой-то информации, известной только пользователю, например, пароля или контрольного вопроса.
  • Владения — какого-то устройства, которое имеется только у пользователя, например, телефона или токена.
  • Уникальности — чего-то неотъемлемого, присущего пользователю и однозначно идентифицирующего личность, например, биометрических данных.

Применительно к банковской практике это означает, что проведение операций по биометрическим данным должно обязательно сопровождаться дополнительными проверками с помощью пароля, токена или PUSH/SMS-кодов.

Использовать или нет?


У биометрической аутентификации имеются большие перспективы, однако опасности, которые приходят в нашу жизнь вместе с ними, выглядят весьма реалистично. Разработчикам систем и законодательным органам стоит изучить результаты новейших исследований уязвимостей биометрических систем и оперативно доработать как решения по идентификации, так и нормативные акты, регулирующие их работу.

Банкам необходимо принять во внимание ситуацию с deepfakes и другими способами обмана биометрических систем, используя сочетание традиционных способов идентификации пользователя с биометрическими: пароли, 2FA и usb-токены всё ещё могут принести пользу.
С клиентами банков ситуация сложная. С одной стороны, биометрическая идентификация разрабатывалась для их удобства как попытка расширить возможности для получения банковских услуг в любое время с минимальными формальностями. С другой — в случае успешной атаки рискуют своими деньгами именно они, а регуляторы и разработчики биометрических систем ответственности за взломы не несут.

В связи с этим, логичная рекомендация клиентам банков — не торопиться со сдачей биометрических данных, не обращать внимание на агрессивные призывы. Если же без биометрической идентификации никак не обойтись, то используйте её совместно с многофакторной аутентификацией, чтобы хотя бы частично снизить риски.

Читайте также: