Российский разработчик средств информационной безопасности

Сохранить лицо… и голос

29 октября 2018 годаК концу 2018 года 20% отделений банков по всей России будут регистрировать биометрические данные граждан. Через полгода этот показатель достигнет 60, а к концу 2019-го — 100 процентов. Об этом RSpectr рассказали в «Ростелекоме», который является оператором Единой биометрической системы. Возможность записать цифровой образ — первый этап ее развития. Система создается прежде всего для удаленной идентификации граждан при получении финансовых услуг. Преимуществ у такого подхода достаточно, но эксперты указывают на пробелы в госрегулировании биометрии. Своим видением ситуации поделился Владимир Иванов, директор по развитию компании «Актив».

Сохранить лицо… и голос

Владимир Иванов: Нас ждут высококачественные подделки такого уровня, что ни один алгоритм не сможет их распознать.

Тестирование алгоритмов

Более чем в 120 городах уже можно создать свой цифровой образ для получения дистанционных финансовых услуг в рамках работы Единой биометрической системы. Свыше 100 банков взаимодействуют с платформой, 70 из них уже к ней подключены. Система запущена в эксплуатацию 30 июня 2018 года.

В проекте участвуют ведущие российские вендоры программного обеспечения в области распознавания биометрии. ПАО «Ростелеком» проводит среди них открытое тестирование и выбирает лучшие алгоритмы. В основе оценки вендоров лежит методика, разработанная некоммерческим партнерством «Русское биометрическое общество». Структура является уполномоченной организацией по вопросам разработки стандартов в этой сфере в РФ.

«Ростелеком» пока не раскрывает количество вендоров биометрии, вовлеченных в проект. Но известно, что среди них Тинькофф Банк, ГК «Центр речевых технологий» и VisionLabs. Одни компании разрабатывают алгоритмы распознавания голоса, другие — лиц. Именно эти типы биометрической информации выбраны для идентификации человека в системе. При этом голос и лицо распознаются не по отдельности, а вместе. «Две модальности (бимодальность) позволяют определить «живого человека», а не имитацию его биометрических данных в цифровом канале», — объясняют в «Ростелекоме».

Использование ПО разных вендоров служит повышению безопасности. Гораздо сложнее взломать систему, если существует несколько алгоритмов и они постоянно меняются, считают в компании.

Ключ к удаленной услуге

Для сдачи биометрических данных нужно один раз прийти с паспортом и СНИЛС в банк, который поддерживает услугу. Операционист фотографирует клиента и записывает, как тот зачитывает определенный набор цифр. Данные привязываются к подтвержденному аккаунту на сайте госуслуг.

Информацию о числе зарегистрированных в системе граждан оператор пока также не раскрывает. В пресс-службе говорят, что количество пользователей не является прямым показателем результатов запуска проекта. «Как и в любой другой цифровой платформе, здесь работают так называемые сетевые эффекты. Наращивание спектра предоставляемых с ее помощью услуг напрямую влияет на интерес граждан к системе. Первым этапом банки сделали возможность для граждан создать свой цифровой образ для дальнейшего получения услуг, сейчас внедряют сервисы удаленной идентификации», — пояснили RSpectr в пресс-службе «Ростелекома».

До недавнего времени клиент, даже сдав биометрические данные, не мог с их помощью воспользоваться услугой дистанционного доступа. Чтобы обращаться в банк удаленно, нужно было специальное приложение, которое «Ростелеком» представил только 18 октября. По состоянию на 29 октября в Google Play его скачали более тысячи раз. В AppStore приложения «Ключ Ростелеком» пока нет.

Трудно обмануть систему

В «Ростелекоме» отмечают, что основная сложность во внедрении платформы — неготовность граждан использовать свои биометрические данные для идентификации. При этом снятие блокировки смартфона с помощью отпечатка пальца людей уже давно не смущает, хотя при этом они так же доверяют свою персональную информацию сторонним сервисам.

«Сегодня мошенник может прийти в банк и открыть счет по сворованному паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10 в 7-й степени. Это значит, что она пропустит только 1 человека на 10 миллионов. При том, что мы используем дополнительную связку с логином и паролем от Госуслуг, это становится практически невозможным», — рассказывают в пресс-службе оператора.

С тем, что биометрия уменьшает вероятность мошенничества, согласен генеральный директор компании timebook Павел Конозаков. «Обмануть систему, которая распознает лицо пользователя или его венограмму, намного сложнее, чем «хакнуть» пароль от кредитки», - рассказал он RSpectr. В качестве подтверждения эксперт указал на тот факт, что Почта Банк, который с 2016 года использует биометрическое распознавание личности в работе ряда точек обслуживания, уже успел предотвратить 4,5 тыс. нарушений и мошеннических сделок на сумму в 1,5 млрд рублей.

Руководитель департамента развития новых направлений бизнеса ООО «Тошиба Рус» Владимир Максимов пояснил RSpectr, что любая биометрическая информация является инструментом верификации, а не идентификации. То есть, обрабатывая «биометрию», компания получает не персональную информацию клиента, а лишь ответ «да» или «нет» на запрос «совпадают ли эти данные с данными человека, за которого клиент себя выдает?».

«Подобная верификация становится необходимым инструментом в эпоху виртуализации сервисов, когда привычные инструменты в виде кодовых слов и одноразовых паролей уже не удовлетворяют актуальным требованиям безопасности», — считает В. Максимов.

Есть у экспертов и опасения. «У хакеров пока еще нет мотивации в достаточном количестве для исследования биометрии. Но с распространением этих технологий в банковском секторе она появится. Нас ждут высококачественные подделки такого уровня, что ни один алгоритм не сможет их распознать», — рассказал RSpectr директор по развитию компании «Актив» Владимир Иванов. По его словам, уже существуют технологии изготовления поддельных лиц, где требуются фотографии будущей жертвы в хорошем разрешении. Ожидается появление технологии динамической генерации 3D-модели лица.

Для верификации выбраны биометрические характеристики, контролировать распространение которых люди не могут. И эти данные могут быть скомпрометированы, предупредил эксперт. «Тогда их владельца ждет незавидная судьба, ведь поменять эти характеристики пока еще невозможно. Я искренне надеюсь, что создатели учли все потенциальные риски, и угроз для пользователей действительно нет», — добавил В. Иванов.

Регулирование не успевает

Глобальный рынок биометрических систем должен вырасти более чем в два раза всего за пять лет: с 16,8 млрд долларов в 2018 году до почти 42 млрд в 2023-м, приводит данные Markets and Markets П. Конозаков.

Использование биометрических систем наиболее популярно в странах Азии, где около 52% банковских операций осуществляется с применением систем идентификации, рассказал В. Максимов. Распространены они также и в Америке (32%) и чуть менее в Европе (9%).

П. Конозаков видит во внедрении Единой биометрической системы в России практически одни плюсы. По его словам, хранение данных в централизованной системе серьезно упростит как жизнь обычных людей, так и ряд бизнес-процессов для компаний.

«Разброс задач, которые решает биометрия, просто огромен. В ближайшем будущем весь крупный бизнес откроет для себя сильные стороны биометрической идентификации», — отмечает эксперт.

Единственным недостатком П. Конозаков назвал отсутствие реального правового регулирования в этой сфере: «Однако такую же ситуацию мы наблюдаем в большинстве быстроразвивающихся IT-сегментов рынка, таких как искусственный интеллект или даже интернет вещей. Законодательство пока не успевает за теми изменениями, которые происходят на рынке инноваций».

В. Максимов также видит минусы существующей системы в нерешенных вопросах доступа и хранения биометрической информации граждан. «Будет ли обеспечена должная защита этих данных от утечек и взломов злоумышленниками? Кто и в какой мере будет обладать правом доступа к биометрии клиентов? Пока точных ответов на эти вопросы нет, они, в большинстве своем, не регулируются нормативно-правовыми актами», — рассуждает эксперт.

П. Конозаков отмечает, что пользователи доверяют смартфонам фотографии лица и отпечатки пальцев, отдают персональную информацию при оформлении банковских карт или скидок в магазинах, мало беспокоясь о безопасности и конфиденциальности, поскольку это удобно. «В случае создания единой биометрической системы сработает тот же принцип, только данные будут храниться на защищенных серверах, а процессы их сбора, передачи и использования будут уже в ближайшее время полностью регламентированы на государственном уровне», — уверен руководитель timebook.

Единая биометрическая система продолжит развиваться, говорят в «Ростелекоме». Оператор обещает следить за новыми перспективными технологиями идентификации и совершенствовать платформу. А по мере накопления биометрических данных будет появляться все больше возможностей ее применения не только в финансовом секторе.

«В перспективе Единая биометрическая система станет национальной платформой для удобного и безопасного доступа граждан к государственным и коммерческим услугам», — надеются в «Ростелекоме». Но пока сбор информации только начинается, а большинство жителей даже не знает о возможности создать свой цифровой образ.