Для чего российские банки собирают биометрию, стоит ли ее сдавать и как это сделать

Введение

В последние пару лет в России тема биометрической идентификации граждан находится в фокусе общественного и политического внимания. Это связано главным образом с развитием Единой биометрической системы, для нормативно-правового обеспечения которой был принят Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». В частности, Центробанк уже довольно давно прилагает усилия к тому, чтобы стимулировать банки к применению таких систем удостоверения личности. Банки стараются: например, Сбербанк разворачивал в Москве пилотную зону с банкоматами, способными опознавать клиента по лицу. Выгоды кажутся очевидными: скажем, для открытия вклада не нужно беспокоиться о наличии паспорта, достаточно прийти в отделение и предъявить самого себя, а при общении с банкоматом не понадобится и пластиковая карта.

Однако совсем недавно мы видели, как ФСБ предъявила банкам требования к защите биометрических данных, которые выглядят непосильными. Контрразведка обоснованно считает, что подобные материалы должны охраняться максимально надежно, и хочет увидеть меры, аналогичные обеспечению безопасности сведений, составляющих государственную тайну. Пожалуй, всякий, кто знакомился с Законом РФ от 21.07.1993 №5485-1 «О государственной тайне», имеет представление, сколь сложна защита такой информации. По-видимому, финансовый сектор этого не ожидал, рассчитывая обойтись более привычными мерами.

В связи с этим логично задаться вопросами о том, как регулируется применение биометрии в России, что необходимо знать пользователю и предприятию, в каких областях сейчас актуальна биометрическая аутентификация и т. д. Мы решили составить обзор, охватывающий основные отправные точки для знакомства с особенностями национальной биометрии.

Россия и мировой рынок

Рынок России находится в стадии более динамичного развития, чем мировой: запущенные пилоты переходят в стадию реальных интеграций, постепенно идет освоение новых Use-Cases в новых сегментах. Прогнозируемые ежегодные темпы роста биометрических технологий в России в ближайшие три года превысят общемировой показатель более чем в 1,5 раза (рис. 1).

Доля России в общемировом объеме рынка биометрии существенно выросла за последние четыре года, и эта тенденция роста сохранится. Однако необходимо отметить, что сам показатель продолжает быть незначительным: к 2022 г. он немного превысит 1% (рис. 2).

Пиктограммы, значки и символы в области биометрии

В 2018 г. экспертами Некоммерческого партнерства «Русское биометрическое общество» и кафедры БМТ 1 МГТУ им. Н.Э. Баумана было проведено исследование по восприятию и пониманию пользователями биометрических технологий информационных символов (обозначающих биометрическую модальность — лицо и отпечаток пальца), значков и пиктограмм, а также визуальных инструкций, которые будут использоваться в различных биометрических терминалах (лицо и отпечаток пальца) при биометрической регистрации/верификации/идентификации пользователей. В исследованиях мог принять участие любой желающий. Результаты исследований вошли в окончательные редакции разрабатываемых проектов национальных стандартов:

  • ГОСТ Р (ИСО/МЭК 24779-4) «Информационные технологии. Биометрия. Межюрисдикционные и социальные аспекты применения биометрических технологий. Пиктограммы, значки и символы для использования в биометрическихсистема. Часть 4. Приложения, осуществляющие работу с отпечатками пальцев»;
  • ГОСТ Р (ИСО/МЭК 24779-5) «Информационные технологии. Биометрия. Межюрисдикционные и социальные аспекты применения биометрических технологий. Пиктограммы, значки и символы для использования в биометрических системах. Часть 5. Приложения, осуществляющие работу с изображениями лица».

Посмотрите, как это работает

Процесс идентификации

Пользователь делает селфи своего лица на смартфон и записывает 1–3 сек. видео, следуя подсказкам мобильного приложения на экране телефона.

Мобильное приложение просит сфотографировать документ, удостоверяющий личность.

Эти данные отправляются на сервер, где наша платформа сравнивает лицо на видеозаписи и фото на документе. Платформа установлена на сервере, который стоит в инфраструктуре клиента.

Система по видео автоматически определяет наличие любой маски и находится ли человек в сознании.

Сейчас обычного биометрического сравнения лиц по фото для предотвращения мошеннических действий недостаточно.

Есть биометрические атаки, когда мошенник показывает видео или фото с другого устройства (spoofing)– наша система обнаруживает и предотвращает такие атаки.

Банки и биометрия

Больше всего биометрии собрал с клиентов «Почта банк», ведь многие услуги там без неё недоступны. Фото: sweetcredits.ru

Распознавать лица, голоса и отпечатки пальцев умеет не только «Сбербанк», но и многие другие российские кредитные учреждения. Однако на сегодняшний день банки собирают биометрию добровольно и только для внутреннего пользования – для обслуживания клиентов по телефону, например. Для этой же цели и в «Сбере» при регистрации в системе оплаты «одним взглядом» заодно записывают голос: он не нужен при оплате в магазине, но пригодится при работе с клиентом в самом банке. Правда, для некоторых операций через колл-центр кодовое слово всё равно придётся вспомнить: система ещё не слишком прочно вошла в оборот.

Влияние пандемии на будущее биометрии

Под влиянием пандемии COVID-19 технология начала развиваться быстрее. «За последние полгода по биометрии было предоставлено столько же услуг, сколько за предыдущие полтора года», — пояснил представитель «Ростелекома». Он объяснил это тем, что пандемия сформировала тренд на бесконтактные и дистанционные технологии.

«В сложном 2020 году, когда возникла необходимость перевода всех видов банковских и прочих услуг в дистанционный формат, биометрия стала особенно востребованной. Например, мы наблюдали спрос на использование удаленной идентификации, чтобы стать клиентами банка через мобильное приложение, воспользоваться рядом финансовых услуг, зарегистрироваться и подтвердить учетную запись на портале госуслуг с помощью биометрии», — рассказал директор по инновациям банка «Ак Барс» Дамир Галиев.

ВТБ с помощью голосовой биометрии в контакт-центре уже планирует предоставлять сервисы и услуги, которые ранее были доступны только в офисе, например, разблокировка карт, говорит старший вице-президент банка Чугунов.

Согласно Глобальному исследованию KPMG по банковскому мошенничеству за 2019 год, 67% банковских лидеров инвестируют в инструменты с использованием физической биометрии — голос, отпечатки пальцев, распознавание лиц. Наиболее передовые организации уже вкладываются в развитие более сложной поведенческой биометрии, которая представляет собой сбор уникальных для каждого пользователя набора характеристик, позволяющих составить профиль пользователя и отсеивать мошенников.

Экономика инноваций

Деньги будущего: рейтинг вместо счета в банке и другие прогнозы

Если смотреть на мировой опыт применения биометрии, прежде всего она используется для услуг регистрации новых клиентов в банках и верификации существующих, рассказал руководитель аналитического отдела «Ассоциации ФинТех» Никита Ломов: «Несмотря на то, что пользователи с осторожностью соглашаются на предоставление биометрических данных, мировой опыт показывает, что их использование значительно упрощает процесс взаимодействия клиентов с банками». Самые известные мировые примеры, по его словам, это:

Самые известные мировые примеры, по его словам, это:

  • индийская биометрическая система Aadhaar, где содержится более 1,2 млрд шаблонов биометрических данных жителей страны (отпечатки пальцев, радужка глаза) и которая используется для получения как государственных, так и банковских услуг;
  • южноафриканская система ABIS с образцами отпечатков пальцев, радужки глаза и фотографий пользователей, которая применяется для социальных и финансовых услуг;
  • таиландская система Digital ID, которая позволяет клиентам открывать счета в банках удаленно с помощью технологии распознавания лиц, гарантируя безопасность процесса.

По аналогии со странами Азии, в России могут начать развиваться сервисы мгновенной оплаты покупок или услуг по индивидуальным чертам лица, считает Ломов:

«Также в ряде европейских стран активно выпускаются биометрические банковские карты, позволяющие пользователям совершать безлимитные операции, для подтверждения которых нужно приложить палец к специальному чипу на карте. Правда, адаптацию данного решения российскими банками предсказать сложно в силу высокого проникновения в России более удобного способа бесконтактной оплаты смартфоном Apple Pay, Android Pay, Samsung Pay и прочих».

Учет рабочего времени с помощью биометрических технологий

Биометрические системы учета рабочего времени являются примером одного из наиболее успешных применений биометрической технологии. По мере упрощения интеграции и использования биометрической технологии многие корпорации решаются на ее внедрение с целью учета рабочего времени сотрудников.

Биометрические системы учета рабочего времени играют ведущую роль на современных высококонкурентных рынках. Так как затраты на оплату труда во все большей степени определяют рентабельность бизнеса, основной целью предпринимателей является возможность снизить потери рабочего времени.

Одним из основных преимуществ биометрических систем учета рабочего времени является тот, что они позволяют избежать «приятельского мошенничества» (когда сотрудники передают карточки друг другу и отмечают друг друга). В других системах «Приятельское мошенничество» — основная лазейка, позволяющая обходить традиционные системы учета рабочего времени. В настоящее время с помощью внедрения биометрических систем компании смогли положить конец этим уловкам. Кроме того, биометрические системы учета рабочего времени выполняют и другие важные функции.

Биометрическая система учета рабочего времени позволяет точно определять, какой именно сотрудник (или сотрудница) отмечается при приходе или уходе с рабочего места. С помощью использования отпечатков пальцев (или других биометрических характеристик). Рабочее время каждого сотрудника отражается в отчете по учету рабочего времени. Эти данные могут использоваться для определения фонда заработной платы. Осуществляется точный учет рабочего времени сотрудника и его сверхурочной работы и, исходя их этого, рассчитывается соответствующая заработная плата.

Где и как оплатить госпошлину

За оформление загранпаспорта необходимо уплатить госпошлину. Получить квитанцию на оплату госпошлины, а затем перечислить деньги в государственную казну довольно просто, однако нужно знать, как правильно это сделать:

  1. Выберите способ, с помощью которого вы оплатите нужную сумму. Это можно сделать, воспользовавшись платежным терминалом, услугами интернет-банкинга или же уплатив указанную в квитанции сумму в платежной кассе. Хотя есть и другие варианты, которые мы рассмотрим ниже.
  2. После того как вы определились со способом оплаты, следует получить реквизиты, без которых оплату провести невозможно. Как правило, зачисление проводится по реквизитам ГУВМ (УФМС), которые отличаются в зависимости от территориального расположения отделения, в котором подавалось заявление.
  3. Заполните квитанцию. Это можно сделать вручную и виртуально (кому как удобно).
  4. Оплатите все платежи выбранным способом и прикрепите квитанцию об оплате к пакету документов на загранпаспорт.

Если вы хотите сэкономить, воспользуйтесь сайтом Госуслуг. В этом случае экономия составит около 30 %.

Как заполнить квитанцию

Квитанцию можно заполнить онлайн или обычным способом – на бланке. Рассмотрим оба варианта, и начнем со стандартного способа заполнения.

Прежде всего, заявителю нужно будет уточнить список данных, которые понадобятся при заполнении квитанции. Это можно сделать в местном отделении ГУВМ. Там же следует взять бланк квитанции и реквизиты для оплаты пошлины.

Далее нужно заполнить соответствующие поля в квитанции. В частности, необходимо указать:

реквизиты ГУВМ (УФМС) для оплаты госпошлины за загранпаспорт старого образца или нового в территориальном подразделении;

  • какой паспорт вам необходим – старого образца или нового (биометрический);
  • данные плательщика: ФИО, адрес, идентификационный номер, личный счет;
  • сумму госпошлины;
  • дату заполнения и подпись заявителя.

Преимущество данного способа состоит в том, что в квитанции уже проставлены все необходимые реквизиты, кроме персональных данных заявителя, что позволит избежать ошибок.

Если вы скачиваете бланк квитанции с сайта, следует выбирать форму для  своего региона, поскольку реквизиты везде разные, и если вы воспользуетесь неправильной формой, паспорт вам не оформят.

Заполнить квитанцию также можно онлайн. Для этого нужно перейти по этой ссылке. Далее процедура следующая:

  1. Выберите свой регион – в выпадающем списке появятся районы и населенные пункты, среди которых нужно выбрать свой.
  2. Код ОКТМО заполняется автоматически, так что эти реквизиты для оплаты загранпаспорта нового образца или старого вводить не нужно.
  3. Выберите нужный вам вид госпошлины. Например, для оформления биометрического паспорта выберите пункт «Государственная пошлина за выдачу паспорта, удостоверяющего личность гражданина РФ за пределами территории РФ, содержащего электронный носитель информации (паспорта нового поколения)». Есть также варианты для оформления паспорта старого образца и для детей до 14 лет.
  4. Укажите сведения о себе: ФИО, ИНН, а также свой почтовый адрес. Внизу будет капча (картинка с символами) – ее (символы) нужно будет ввести.
  5. Нажимаем на «Готово».

Далее программа автоматически обработает все нужные сведения и переправит на страницу, где вы увидите готовый бланк. Его нужно либо сохранить, загрузив с сайта на компьютер, либо при необходимости отправить на свой электронный адрес.

Оформить документ через Госуслуги можно взрослым заявителям, а также детям, которым исполнилось 14 лет и у них уже есть внутренний паспорт. Если вы оформляете документы для детей, которые не достигли четырнадцатилетнего возраста, это нужно указать.

Какие ошибки при заполнении квитанций допускают чаще всего

Наиболее частыми ошибками при заполнении квитанций являются следующие:

опечатки/описки в графе с персональными данными. Помните, что одна неправильная буква в имени или фамилии снижает ваши шансы на получение документа;
в качестве плательщика всегда следует указывать будущего владельца паспорта, даже если услугу оплачивает другой человек. Это главная ошибка родителей, которые оформляют документы своим несовершеннолетним детям;
неправильное указание платежа в заявлении и в квитанции (на разные образцы документов – старого/нового)

Это важно, поскольку реквизиты для оплаты этих документов разные;
неправильно указанные реквизиты для оплаты госпошлины. Они индивидуальны для каждого региона, кроме того, могут меняться

В связи с этим всегда нужно внимательно следить за актуальностью указанных данных.

Банковско-финансовый сектор (финтех)

Финтех – это сектор4, в котором будет развиваться российский рынок биометрии в ближайшие 4–5 лет. Согласно оценкам J’son & Partners Consulting, именно рынок банковской биометрии в период 2018–2022 гг. будет демонстрировать самые высокие темпы роста – 54% CAGR по сравнению с другими отраслевыми сегментами и к концу прогнозного периода увеличит свою долю в общем объеме российского рынка биометрических технологий более чем в два раза. Совокупная текущая доля Retail и HoReCa в общем объеме российского биометрического рынка оценивается на уровне 28%. Прогнозируемые ежегодные темпы роста этих сегментов в ближайшие 3–5 лет составят 12–16%.

При этом и в России, и в мире именно банковская отрасль продолжит давать существенный прирост всему биометрическому рынку. Это касается и спортивных объектов, где идет оснащение стадионов системами видеонаблюдения с распознаванием лиц и прочими технологиями: в России большинство стадионов принадлежат напрямую государству (правительство регионов) либо ими владеют госкорпорации («Газпром», «РусГидро», РЖД, ВТБ и др.). Для сравнения: в Европе практически все стадионы принадлежат клубам. Основным владельцем российских аэропортов также является государство.

Помимо таких банковских сервисов, как открытие счета и оформление кредита с использованием биометрических технологий, особый интерес со стороны финансовых институтов и ритейла вызывают биометрические платежные системы. J’son & Partners Consulting оценивает потенциал этой ниши в России на уровне 1–1,5 млрд операций в год общим объемом порядка 1,35 млрд рублей.

Ключевым драйвером развития биометрии в сегменте финтеха является национальная система удаленной биометрической идентификации (ЕБС), создающая безопасную среду для масштабирования рынка через интеграцию разнообразных клиентских сценариев федерального масштаба.

Где сейчас используется биометрия

Точность и скорость современных биометрических систем настолько высока, что на них уже делают серьезную ставку как бизнес, так и государственный сектор. Крупные зарубежные банки идентифицируют своих клиентов по отпечатку пальца и сосудистому рисунку ладони, по сочетанию голоса и лица, по радужной оболочке и голосу. Биометрия используется как для осуществления операций через смартфон, так и непосредственно в отделениях и банкоматах. Банкоматы Diebold — одного из крупнейших поставщиков ATM в мире, — отныне в обязательном порядке оснащаются сканером отпечатков пальцев. Для проведения операции банкам лишь остается задействовать соответствующую функцию. Массовой установки подобных устройств в России можно ждать в течение двух-трех лет.

Фото: Getty

Самым крупным и известным опытом использования биометрической идентификации в мире стали биометрические паспорта. Это лишь самое базовое использование уникальностей человеческих черт — в таких паспортах в зашифрованном виде хранится фотография владельца, отпечатки пальцев и текстовая информация. С развитием технологий к набору добавятся снимки радужки глаза и другие факторы. Учитывая шифрование, подделать подобные чипы и информацию на них практически невозможно.

Единая биометрическая система: перезагрузка

Проект «Цифровой Профиль Гражданина» анонсировал планы правительства по перезапуску Единой биометрической системы (ЕБС) «Ростелекома». Ответственная за проект – группа «Национальная инновационная система» под руководством вице-премьера Дмитрия Чернышенко. «Ростелеком» планирует вложит 6,6 млрд рублей как концессионер до 2030 года в сбор биометрических слепков лица и голоса  50 млн людей для передачи и закрепления в ЕБС. Сдать данные можно будет бесплатно гражданам, а концессию спонсируют банки, нотариусы, органы власти.

Минцифры сообщило о прогнозах  выпустить приказ о разработке единой методики расчета этой платы до конца апреля. Однако информацию о вложении суммы в 6, 6 млн рублей не подтвердили.

Ранее ЦБ выпустил документ, согласно которому  банки с универсальной лицензией должны организовать сбор биометрии в 80% отделениях с конкретной численностью жителей. По данным февраля в ЕБС имеются сведения лишь 164 тыс. соотечественников, а сбор данных на текущий момент это осуществляют 228 кредитных организаций, по сообщениям из официальной статистике. Известно, что банки не проявляют должной инициативы, в связи с чем ЦБ планирует подключить к сбору данных госорганы: решено оснастить Центры “Мои документы” в десяти регионах до 31 декабря с целью налаживания и ускорения процесса по сбору данных. В перспективе планируется оснастить Центры “Мои документы” по всей стране с этой целью.

ЕБС будет присвоен статус государственной информационной системы, в связи с чем курировать систему будет государство, а не частная компания. Есть вариант, что техническим оператором системы станет компания ООО “Центр технологий идентификации”.

Максим Шапировский – Руководитель группы Deloitte Digital в СНГ пояснил апатию банков в сборе данных. Он считает, что такое отношение банков к развитию ЕБС вызвано недоверием их клиентов к системе  – в какой форме будут храниться данные, как использоваться и что клиенту дает их предоставление. Представители банков полагают, что требование о предоставлении данных снижает продажи и может в принципе оттолкнуть клиентов, что негативно скажется на прибыли.

Тем не менее, Сбербанк, ВТБ и Тинькофф-банк придумали альтернативные способы сбора биометрических данных, которые более щадящие для клиентов.

Как хакеры обманывают системы распознавания лиц

В 2020 году сеть московских кафе Prime запустила функцию оплаты счёта по лицу. Чтобы воспользоваться этой услугой, необходимо предварительно сдать биометрические данные в банке, который выпустил карту. Также оплату по лицу тестируют сети магазинов «Лента», «Перекрёсток» и «Пятёрочка».

Но иногда нейросети дают сбой. В 2020 году система распознавания лиц в столичном метро приняла москвича за преступника. В итоге его задержали — и не сняли с него все подозрения, пока не нашли реального подозреваемого.

В 2021 году двое похожих мужчин из Екатеринбурга случайно взломали Face ID на iPad. Даниил взял у своего друга Никиты планшет и хотел спросить пароль, но экран разблокировался сам. При этом они не приходятся друг другу родственниками, а лицо Даниила не было внесено в память устройства.

Это не единственный случай, когда Face ID не сумела защитить гаджет Apple от несанкционированной авторизации. В 2019 году на конференции Black Hat USA исследователи продемонстрировали способ обхода аутентификации, позволяющий получить доступ к iPhone жертвы за 120 секунд. Для этого потребовалось три вещи: очки, скотч и спящий владелец смартфона.

Исследователи обнаружили, что система биометрической аутентификации не извлекает полные 3D-данные из области вокруг глаз, если распознаёт, что владелец носит очки. Вместо этого Face ID ищет чёрную область с белой точкой посередине, которая является радужной оболочкой глаза.

Исследователи решили воспользоваться этим. Они взяли обычные очки, наклеили на линзы чёрный скотч, проделали в нём дырочку и надели аксессуар на спящего владельца смартфона. Этого оказалось достаточно, чтобы обмануть FaceID и получить доступ к смартфону.

Поведенческая биометрия

Как обойти системы распознавания лиц и голосовую биометрию? Помимо фото и голоса есть и другие виды биометрий, например, поведенческая. Разновидностей поведенческой биометрии очень много – от самых старых и давно изученных, таких как клавиатурный почерк и биометрия по движению мышкой, до экзотических, таких как:

  1. По морганию глаз (биометрия глаза) или движению губ;
  2. Стиль вождения – можно встраивать в автомобили для защиты от угонов;
  3. Игровая стратегия – можно выявлять мультиаккаунтинг в компьютерных играх, или использование одного аккаунта разными игроками. Данные вид биометрии может использоваться и в онлайн-казино;
  4. Сенсоры на рукоятке пистолета – такой вид биометрии мы уже видели в научно-фантастических фильмах, когда оружием может пользоваться только его владелец, из чужих рук оно не стреляет;
  5. Сетевой трафик – на этом работают различные деаноны (деанонимизация пользователей), например, для установки личности в сетях TOR (даркнет-сети с анонимными пользователями).
  6. Стиль программирования – с помощью такой биометрии выявляют хакеров, которые пишут различные вирусы и трояны. На этом основаны антивирусные программы, когда по базе уже известных сигнатур (кусков кода) определяют, что новый вирус был написан каким-то уже ранее известным хакером или группой хакеров;
  7. Авторский стиль – этот вид биометрии используют, например, при проверке рукописей на антиплагиат. С помощью такого подхода ученые доказывали, что «Тихий Дон» писал сам Шолохов, а не кто-то из других опытных писателей.

Биометрические системы идентификации

Уязвимость биометрических систем

Биометрическая система уязвима для двух типов ошибок:

  • Если система не распознает легитимного пользователя — происходит отказ в обслуживании.
  • Если самозванец неверно идентифицируется в качестве авторизованного пользователя, говорят о вторжении.

Существует большое количество причин, которые провоцируют эти сбои, их можно поделить на естественные ограничения и атаки злоумышленников. (Рис.1)

Естественные ограничения

Рис.2. Естественная вариабельность биометрических образцов одного и того же индивидуума: а — вариации в рисунке отпечатка одного и того же пальца при разном положении пальца на датчике; б — вариации снимка одного и того же лица, обусловленные изменениями позы; в — вариации снимка радужной оболочки одного и того же глаза из-за сужения зрачка и изменения направления взгляда

Если аутентификации по паролю требует точное соответствие двух алфавитно-цифровых строк, биометрическая аутентификационная система полагается на степень схожести двух биометрических образцов, а поскольку индивидуальные биометрические образцы, полученные в ходе регистрации и аутентификации, редко идентичны, то, как показано на Рис.2, биометрическая система может делать ошибки аутентификации двух видов.

Ошибки аутентификации
Ложное несоответствие • Происходит тогда, когда два биометрических образца одного и того же человека имеют низкую схожесть и система отказывается их воспринимать как идентичные, то есть не может их сопоставить.

• Ложное несоответствие ведет к отказу в обслуживании легитимного пользователя.

Ложное соответствие • Происходит, когда два биометрических образца разных людей имеют высокую схожесть и система ошибочно объявляет их совпадающими.

• Ложное соответствие приводит к вторжению самозванца. Такое вторжение также называют атакой нулевого усилия, поскольку она не требует от злоумышленника применения каких-либо специальных для взлома системы.

Атаки злоумышленников

Биометрическая система также может дать сбой в результате атаки злоумышленников, которые могут проводиться через инсайдеров либо путем прямой атаки на системную инфраструктуру. Злоумышленник может обойти биометрическую систему, если вступит в сговор с инсайдерами, либо воспользуется их халатностью (например, невыходом из системы после завершения транзакции), либо выполнит мошеннические манипуляции с процедурами регистрации и обработки исключений, которые изначально были разработаны для помощи авторизованным пользователям. Внешние злоумышленники также могут вызвать сбой в биометрической системе посредством прямых атак на пользовательский интерфейс (датчик), модули экстракции черт или сопоставления либо на соединения между модулями или базу шаблонов.
Существует две серьезные уязвимости, которые заслуживают отдельного внимания в контексте биометрической аутентификации: атаки подделки на пользовательский интерфейс и утечка из базы шаблонов.

Рис.3. Пример получения биометрической черты методом обратной инженерии соответствующего биометрического шаблона: а — оригинальный снимок отпечатка; б — информация о линиях шаблона, извлеченная из снимка отпечатка; в — образ отпечатка, реконструированный с использованием только информации о линиях

Наименование уязвимости Сущность
Атаки подделки на пользовательский интерфейс Заключается в предоставлении поддельного биометрического образа: пластилинового пальца, снимка лица или реального отрезанного пальца легитимного пользователя и т.д.

Фундаментальный принцип биометрической аутентификации состоит в том, что, хотя сами биометрические признаки не являются секретом (можно тайно получить фото лица человека или отпечаток его пальца с предмета или поверхности), система тем не менее остается защищенной, так как признак физически привязан к живому пользователю. Атаки подделки являются нарушением этого базового принципа, тем самым серьезно подрывают защищенность системы.

Утечка из базы шаблонов Происходит тогда, когда информация о шаблоне легитимного пользователя становится доступной злоумышленнику. Опасность подделки повышается, поскольку злоумышленнику в данном случае гораздо проще восстановить биометрический рисунок путем обратного инжиниринга шаблона (рис.3)

Украденный шаблон нельзя заменить новым, как в случае с паролем, поскольку биометрические образы существуют только в единственном экземпляре. Обычно такие шаблоны используются для посторонних целей — например, для тайной слежки за человеком в различных системах или для получения приватной информации о его здоровье.

Вопрос 4. Уровень конкуренции среди производителей оборудования для биометрической идентификации в мире

Релевантность ответов на этот вопрос (низкий – 12,9 %, средний – 47,2%, высокий – 39,6%) оценить сложно. Во-первых, если это вопрос про конкуренцию на мировом рынке, то, к сожалению, в нашей стране мало производителей биометрического оборудования, тем более поставляющих свою продукцию на мировой рынок.

Если этот вопрос трактовать как конкуренцию мировых производителей оборудования в России, то в условиях незначительного производства собственного биометрического оборудования конкуренция зарубежных производителей на нашем рынке достаточно высокая, при этом конкуренция с отечественными производителями сравнительно небольшая. Существенное ограничение этой конкуренции произошло из-за принятия требований прохождения обязательной сертификации для многих отраслей, например для транспортной безопасности. Ряд зарубежных компаний такие сертификаты уже получили, например Hikvision, Huawei и Dahua.

Банкинг без паспортов, карт и SMS

Банки одними из первых всерьез задумались об адаптации биометрических решений в своей работе — как во фронт-, так и в бэк-офисах. Новые способы идентификации не только делают работу с банковскими продуктами удобней и безопасней, но и защищают банк от внутреннего мошенничества. С появлением обязательной биометрической идентификации выписать кредит по одной лишь копии паспорта будет невозможно — даже в самом далеком региональном отделении банка клиент предоставит свои биометрические данные, которые пройдут проверку в центральном офисе.

Новые методы идентификации принципиально облегчат жизнь клиентам банков.

Фото: Getty

Появление первой версии 3D Secure, в которой для подтверждения банковской операции необходимо ввести код из SMS, было маленькой революцией, обезопасившей онлайн-платежи. В Китае уже существует сеть банкоматов, распознающих лица держателей карт Union Pay. Двухмодальная биометрическая верификация позволит вовсе отказаться от паролей для онлайн-кабинетов, PIN-кодов для банковских карт и любых иных кодов подтверждения.

Можно будет отказаться даже от самих банковских карт!

Если вы забыли карточку дома, банкомат все равно выдаст вам деньги, условно говоря, узнав вас в лицо. А если сканеры обнаружат несоответствие, то даже при наличии банковской карты терминал откажет в выдаче наличных и проведении операций.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector