Российский разработчик средств информационной безопасности

Прошу предъявить лицо и голос

14 марта 2018 годаЕдиная биометрическая система идентификации личности начнет работать в России этим летом. Ее запуск позволит гражданам удаленно проводить операции в банках. Сбор, обработку и хранение биометрических персональных данных поручено осуществлять государственному оператору «Ростелеком». Банки рассчитывают, что после внедрения системы вырастет доступность финансовых сервисов. Своей точкой зрения по данному вопросу поделился директор по развитию компании «Актив» Владимир Иванов.

Прошу предъявить лицо и голос

Владимир Иванов: На данный момент нет масштабных независимых исследований в области идентификации с использованием биометрических данных.

Новые возможности

С 1 июля 2018 года в РФ вступит в силу Федеральный закон № 482-ФЗ, который позволит банкам открывать счета физическим лицам, предоставлять им кредиты и осуществлять денежные переводы дистанционно. Это можно будет делать с помощью удаленной идентификации клиента с использованием его биометрических данных, а также сведений о нем, содержащихся в Единой системе идентификации и аутентификации (ЕСИА).

На практике это будет выглядеть так. Сначала клиенту потребуется единожды посетить отделение банка для снятия биометрического образца (фото лица и запись голоса). Далее с согласия гражданина информацию о нем занесут не только в Единую биометрическую систему (ЕБС), но и в ЕСИА (портал госуслуг).

На втором этапе человек может через интернет обратиться в любой банк и запросить удаленное получение той или иной услуги; одновременно клиенту с помощью камеры на компьютере или телефоне нужно предоставить свои биометрические параметры, которые будут направлены для сверки. Затем финансовая организация переадресует запрос ЕСИА для проверки паспортных данных. Для авторизации на сайте госуслуг, как обычно, необходимо будет ввести логин и пароль.

После успешной идентификации финансовая организация принимает решение о предоставлении услуги — клиенту могут открыть счет (вклад) и даже провести некоторые банковские операции без его личного присутствия.

Процесс сдачи биометрических данных в отделении займет не более 15 минут. Дальнейшая идентификация — не более минуты.

Как поясняла в ходе Международной конференции «Защита персональных данных» директор департамента по взаимодействию с органами государственной власти ПАО «Ростелеком» Александра Аронова, для безопасности персональные данные о человеке (ФИО, номер паспорта, ИНН, СНИЛС и другие) и биометрическая информация хранятся в разных системах. Они связаны между собой только идентификационным номером учетной записи.

Биометрия, по ее словам, является уникальным «ключом», который нельзя потерять и крайне сложно подделать. «Средства идентификации всегда при вас», — отметила А. Аронова.

Банки получат доступ к ЕБС через специальные каналы связи системы межведомственного электронного взаимодействия. Пользовательские данные будут передаваться по каналам, защищенным отечественными криптоалгоритмами. Вендоры биометрического оборудования также российские.

В случае необходимости человек может потребовать удалить свои биометрические данные из системы.

Финансы — только начало

22 февраля было опубликовано распоряжение правительства РФ, согласно которому оператором Единой биометрической системы стал «Ростелеком».

Этого следовало ожидать, так как работы над ЕБС компания начала еще в прошлом году. Оператор также принимает активное участие в создании необходимой для ее внедрения нормативно-правой базы.

Документ предполагает, что «Ростелеком» обеспечит сбор, обработку и хранение биометрических персональных данных, а также проверку их соответствия первично сданным образцам. Результаты проверки будут передаваться банкам для удаленной идентификации граждан при открытии счетов.

Как сообщили в пресс-службе компании, «Ростелеком» выбран оператором ЕБС, поскольку имеет опыт реализации крупных федеральных IТ-проектов, таких как создание и обеспечение работоспособности Единого портала госуслуг и Единой системы идентификации и аутентификации. Кроме того, у компании есть собственная сеть высокопроизводительных и защищенных ЦОДов для безопасной обработки и хранения биометрических персональных данных.

«Реализация этого проекта — важный шаг на пути развития цифровой экономики в России. Запуск ЕБС в рамках решения задач финансовой отрасли, а также ее дальнейшее использование в различных индустриях — от телемедицины и проведения дистанционных выборов до e-commerce, повысит доступность цифровых сервисов для жителей удаленных регионов и малоподвижных граждан, а также будет способствовать повышению качества жизни россиян», — отметил президент ПАО «Ростелеком» Михаил Осеевский.

19 февраля 2018 года «Ростелеком» представил первую рабочую версию ЕБС. В компании отметили, что она содержит все основные компоненты, позволяющие реализовать базовый функционал распознавания личности по фотоизображению и голосу и готова к интеграции информационными системами банков.

Оператор инвестировал в систему собственные средства, всего в ближайшие несколько лет планируется вложить в проект около 1 млрд рублей.

После запуска ЕБС в июле 2018 года будет установлена стоимость в 200 рублей за одну транзакцию по идентификации клиента. Половину этой суммы станет получать банк, который участвовал в снятии первичной биометрии, а еще 100 рублей получат другие участники системы, включая оператора и вендоров технологических решений для распознавания.

После сдачи биометрических данных в ЕБС операции, ранее требовавшие личного присутствия в отделении банка, можно будет совершать из любого места, авторизовавшись через интернет.

Услуги станут доступнее

Осуществлять проведение идентификации и размещение сведений о клиенте вправе кредитные организации, соответствующие установленным критериям. Их перечень разместят на официальном сайте Центрального Банка РФ.

На первом этапе сбором биометрических данных будут заниматься только кредитные организации. На втором это право предоставят микрофинансовым организациям, негосударственным пенсионным фондам и другим подобным структурам, которые должны будут установить устройства для сбора голосовых слепков и изображений лиц клиентов.

Оборудование для снятия биометрических данных банки закупят за свой счет. Для взаимодействия с ЕБС рабочее место операциониста нужно оборудовать камерой и микрофоном.

По данным «Ростелекома», на конец января 2018 года о своем намерении внедрить биометрию заявили 32 кредитные организации. 12 крупных банков принимают участие в тестировании системы.

По мнению экспертов, создание ЕБС позволит банкам сократить расходы и финансовые риски, а их клиентам — сэкономить время и максимально упростить процесс совершения любых операций.

«От внедрения ЕБС мы ожидаем того, ради чего система и была задумана — заметного снижения кредитных и финансовых рисков, оздоровления банковского розничного рынка страны в целом», — отметил член правления, директор по управлению рисками «Почта Банка» Святослав Емельянов.

Новые возможности появятся и у клиентов, подчеркивают в «Почта Банке». «Во-первых, повышение доступности финансовых услуг: единожды сдав биометрический образец, граждане, особенно маломобильные или проживающие в отдаленных регионах, получат доступ к широкому выбору банковских услуг удаленно. Во-вторых, повышение уровня финансовой защиты: риск того, что злоумышленник воспользуется данными гражданина и получит вместо него кредит или снимет принадлежащий ему вклад, при использовании Единой биометрической системы снижается кардинально», — считает С. Емельянов.

По его словам, используемая в рамках ЕБС бимодальная верификация (фотография + голос) имеет высокую степень защиты от подделок, это позволит значительно сократить случаи мошенничества.

«Существенного притока клиентов мы не ожидаем, так как большинство граждан РФ уже являются нашими клиентами, а доступность наших офисов в самых удаленных уголках России дает возможность личного обращения. Однако со временем, по мере наполнения клиентской базы в ЕБС, а также по мере того как пользователи будут привыкать к получению услуг через цифровые каналы, актуальность этого вопроса может вырасти», — сообщили в Сбербанке.

В настоящий момент Сбербанк разрабатывает собственную биометрическую систему, которая будет направлена именно на повышение удобства и безопасности при обслуживании клиентов. «Мы ожидаем существенного снижения количества случаев мошенничества, связанных с кражей личности», — пояснили в пресс-службе банка.

Используемая в рамках ЕБС бимодальная верификация (фотография + голос) имеет высокую степень защиты от подделок, это позволит значительно сократить случаи мошенничества.

Обезопасить по максимуму

ЦБ РФ разработал проект указания, в котором определен перечень информационных угроз при обработке, сборе, хранении и проверке биометрических персональных данных в государственных органах, банках и иных организациях, сообщает «Интерфакс».

Документ разработан для обеспечения защиты как самой личной информации, так и прав граждан при работе с ней в ходе проведения идентификации, отмечает регулятор в пояснительной записке. ЦБ полагает, что вступление в силу этого нормативного акта позволит сформировать основы для установления требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических данных. Ожидается, что указание вступит в силу 30 июня 2018 года.

Под угрозой безопасности биометрических данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к этой информации при ее обработке, сборе и хранении в ЕБС. Результатом такого вмешательства могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение данных, а также иные неправомерные действия.

Опасный сбор

Ряд экспертов полагает, что со временем мошенники научатся подделывать изображение лица и голос. По словам директора по развитию компании «Актив» (российский разработчик средств информационной безопасности, производитель электронных идентификаторов, ключей и решений для защиты программного обеспечения) Владимира Иванова, для проведения удаленной идентификации были выбраны те биометрические характеристики, которые быстро и просто получить — изображение лица и голос.

Такой выбор объясняется тем, что у среднестатистического клиента банка есть довольно примитивные средства снятия биометрических данных. Обычно это средний смартфон с фото- и видеокамерой и микрофоном или компьютер/ноутбук с веб-камерой и микрофоном. Все перечисленные устройства не позволяют анализировать, например, радужную оболочку или сетчатку глаза. Другие же биометрические данные зачастую крайне неудобно получать при прохождении идентификации в банковском приложении.

По словам В. Иванова, технологии распознавания лица пока не применяются массово. Но как только они распространятся в банковском секторе, у злоумышленников появится мотивация: «Мы будем наблюдать подделки такого уровня, что ни один современный алгоритм не сможет их распознать. А для изготовления ненастоящего «лица» понадобится всего лишь некоторое количество фотоснимков жертвы в достаточном разрешении».

Пока, по его словам, поставщики решений не раскрывают свои алгоритмы, но такая секретность еще никогда не давала хороших результатов. Распознавание и синтез голоса представляются даже более простыми с точки зрения изготовления подделок.

«Рано делать выводы о том, кто выиграет от нововведений. На данный момент нет масштабных независимых исследований в области идентификации с использованием биометрических данных. У государства не выработан механизм регулирования данной области. Именно с этого должно начинаться доверие к той или иной новой технологии, внедряемой в масштабах целой страны», — предупреждает В. Иванов.

Эксперт добавил, что распространение биометрических характеристик человек не может постоянно контролировать. Например, не получится всегда молчать и ходить в шляпе. Также необходимо помнить, что биометрические данные с нас снимают постоянно — на улице, в аэропорту, в мобильных телефонах и т.д.

Согласно статье 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», биометрическими персональными данными являются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К таким данным могут быть, в частности, отнесены отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись) и др.

Правила на подходе

Минкомсвязь России разработала проект постановления правительства РФ, согласно которому министерство будет определять порядок сбора, обработки и хранения биометрических персональных данных россиян для удаленной идентификации. Соответствующий документ был размещен на портале проектов нормативно-правовых актов для общественного обсуждения, которое продлилось до середины февраля.

Сейчас документ находится на этапе формирования окончательного варианта текста.

Проект предусматривает, что Минкомсвязь до 30 апреля утвердит порядок обращения с биометрическими персональными данными граждан РФ, а также порядок их размещения и обновления в ЕБС. Тогда же могут быть утверждены требования к информационным технологиям и техническим средствам для обработки этих сведений в целях проведения идентификации в финансовой сфере. Методику проверки биометрических данных Минкомсвязь может утвердить до 20 мая.