Единая биометрическая система: насколько она безопасна?
Один из вопросов, который по понятным причинам особенно волнует как самих потребителей финансовых услуг, так и представителей банковского сектора – безопасность использования ЕБС. Что гарантирует безопасность биометрических данных на этапе их сборки, хранения и использования? Почему для идентификации были выбраны такие биометрические параметры, как голос и лицо, наиболее часто нуждающиеся в обновлении? Придется ли, например, пользователю перезаписывать свои биометрические данные, если он похудел или отрастил бороду? Эти и другие вопросы портал PLUSworld.ru задал Ивану Берову, директору по цифровой идентичности ПАО «Ростелеком», которое с 30 июня выступает оператором ЕБС.
PLUSworld.ru: Какие меры приняты для безопасного использования Единой биометрической системы?
Иван Беров: Безопасность данных в Единой биометрической системе – один из ключевых вопросов ее создания, которому уделяется особое внимание. «Ростелеком» является одним из лидеров на рынке кибербезопасности, и Единая биометрическая система соответствует всем требованиям информационной безопасности системы федерального уровня. При разработке системы были заданы повышенные требования к безопасности и комфорту граждан при дистанционном получении услуг.
Биометрия, в отличие от других методов удаленной идентификации, является уникальным «ключом», который нельзя потерять и крайне сложно подделать. Все другие распространенные способы идентификации недостаточно надежны – всегда остается возможность потери или взлома пароля или token-а.
Безопасность использования Единой биометрической системы обуславливается принятыми мерами в каждой точке взаимодействия с ней – на стороне банка, системы, а также пользователя. Так, например, ЦБ РФ недавно опубликовал полный перечень угроз, которые банки должны учитывать при внедрении биометрии.
PLUSworld.ru: Как происходит процесс обеспечения безопасности биометрических данных на этапе их сборки, хранения и использования, и какая роль в этом отводится банкам-участникам ЕБС?
Иван Беров: Биометрические данные граждан собираются в банке, передаются через системы электронного правительства и хранятся в Единой биометрической системе. Это значит, что и защиту данных требуется осуществлять по всей цепочке их получения и обработки.
Первый этап – регистрация биометрических данных пользователя в банке. Сотрудник идентифицирует гражданина, сверяет его паспорт и СНИЛС – эти данные передаются в Единую биометрическую систему. Во время передачи данные защищаются российской криптографией, поэтому можно отследить их неизменность и авторство. На этом этапе безопасность снятия и передачи данных, включая биометрические, обеспечивают на своей стороне банки, им для этого нужно установить на своей стороне СКЗИ с классом защиты КВ 2. Кроме того, операционист, регистрируя биометрию гражданина, указывает свой собственный СНИЛС – это позволяет минимизировать риск внесения ложных данных.
Далее биометрические данные хранятся у нас – в Единой биометрической системе, мы гарантируем их безопасность. Как только мы получаем данные клиента, сразу же обезличиваем их и шифруем. Данные хранятся и сравниваются с «хэшами», обработанными биометрическими алгоритмами, а не с фотографиями людей. Доступ к самим биометрическим данным не получают даже банки. Персональные данные – имя, паспорт, СНИЛС – мы тоже шифруем и храним отдельно в ЕСИА – Единой системе идентификации и аутентификации. То есть даже если преступник взломает базу данных и получит какие-либо отдельные данные, без остальных данных он ничего не сможет сделать. В дополнении к этим мерам защиты в системе используются современные сертифицированные средства защиты и реагирования на хакерские атаки; регулярно проводятся исследования исходного кода и проверка инфраструктуры системы на наличие уязвимостей. Совокупность этих мер делает возможность взлома близкой к нулю.
Для получения дистанционной услуги гражданин заходит в интернет-банк или мобильное приложение банка, а также в приложение «Ключ Ростелеком». Здесь он проходит процедуру удаленной идентификации по защищенному каналу связи – авторизуется на портале Госуслуг и снимает видео, где видно его лицо и слышен голос. Эти данные по отдельности сопоставляются с теми, что были внесены в Единую биометрическую систему при регистрации. Данные проверяются сразу несколькими алгоритмами от разных вендоров биометрии. Такими вендорами, например, являются Центр речевых технологий и компания VisionLabs. Если выявляются различия с оригиналом данных, то запускается «модуль аномалий», который решает – имеем ли мы дело со случайным расхождением или с попыткой мошенничества.
Процесс выполняет сразу две задачи – быстро идентифицировать клиента, но при этом сразу же выявить мошенника. В случае мошенничества в банк отправляется уведомление о попытке взлома, а операции блокируются. При успешной идентификации Ростелеком направляет в банк процент схожести биометрического образца с шаблоном, и на его основе банк принимает решение о предоставлении клиенту кредита или проведении другой финансовой операции.
Такой подход, помимо всего вышесказанного, позволяет «Ростелекому» как оператору системы вести постоянное тестирование биометрических алгоритмов различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и, как результат, – усиливать антифрод-системы банков, использующих Единую биометрическую систему.
PLUSworld.ru: Почему для биометрической идентификации были выбраны именно голос и лицо – параметры, которые, по оценкам экспертов, нуждаются в достаточно частом обновлении?
Иван Беров: Мы выбрали бимодальность – связку двух типов биометрии – по двум причинам. Первая – безопасность: так можно отличить живого человека от цифровой имитации. Вторая – удобство: голос и лицо любой человек запросто отправит через селфи. А качественно снять и передать отпечаток пальца, глаза или рисунок вен с помощью мобильного телефона не получится. Мы следим за развитием технологий и не исключено, что в будущем собираемых типов данных будет больше.
PLUSworld.ru: Как система будет работать в случае изменения биометрических данных пользователей? Будет ли возможность или необходимость у человека заново их сдавать?
Иван Беров: Конечно, внешность и даже голос человека могут измениться – это нормально. Голос, как и лицо, меняются, например, с возрастом. Поэтому данные надо актуализировать каждые три года.
Человек может получить травму или сделать пластическую операцию – тогда надо пересдать данные досрочно. Все сборы данных проводятся бесплатно в любом банке, который осуществляет биометрическую регистрацию.
Смена прически, отращивание бороды или очки не влияют на распознавание личности.
На него могут повлиять только серьезные изменения голоса – например, сильная охриплость в результате ОРЗ/ОРВИ или, например, наличие темных очков (очевидно, что последние просто потребуется снять на время процедуры идентификации).
PLUSworld.ru: Есть ли вероятность и перспективы подделать лицо и голос другого человека?
Иван Беров: Сейчас мошенник зачастую может оформить кредит по украденному паспорту, просто переклеив фотографию. В интернете можно встретить множество подобных историй. С биометрической системой так не получится – для этого надо подделать ваше лицо и голос. Система может ошибиться 1 раз на 10 миллионов. Прибавьте сюда способы хранения и необходимость ввода логина и пароля от Госуслуг, и обман системы становится практически невозможным. Мошеннику гораздо проще и дешевле физически посетить отделение банка и попытаться выдать себя за другого человека.
Мнение экспертов рынка
У участников рынка остается большое количество вопросов к практической реализации Единой биометрической системы, в том числе к ее безопасности, хотя в целом она оценивается положительно.
Так, нельзя сбрасывать со счетов риски компрометации биометрических данных населения, хранящихся в ЕБС. Как сообщила в недавнем разговоре с журналом «ПЛАС» председатель правления Национального платежного совета Алма Обаева, до сих пор не прописаны действия банковского клиента и кредитной организации в случае, если у них появились подозрения, что биометрические данные скомпрометированы, – по аналогии с правилами поведения при компрометации карточных данных.
Эксперты отмечают и отсутствие подзаконных актов, однозначно и в полном объеме определяющих требования к ИТ-инфраструктуре для сбора, обработки и передачи биометрии – и это на фоне четко установленных сроков реализации проекта.
Что касается «привлекательности» проекта для мошенников, то, как отмечают специалисты, пока в нем не будет крупного денежного оборота – преступникам будет невыгодно разрабатывать технологии для обмана ЕБС. Но это лишь дело времени. При этом эксперты подчеркивают, что в любой системе безопасности есть уязвимости.
Директор дирекции мониторинга электронного бизнеса Альфа-Банка Алексей Голенищев отмечает, что мошенники часто и вполне профессионально атакуют транзакционные каналы классических форматов. Наиболее распространенные случаи кражи денежных средств через отделения банка – использование поддельных доверенностей на распоряжение банковским счетом. Также бывают случаи сговоров преступников с сотрудниками банков.
«Пока о безопасности операций с использованием ЕБС говорить рано, так как нет практики работы с ней в достаточном объеме. Хотя в настоящее время биометрические системы практически не подвергаются атакам мошенников, но, думаю, это вопрос времени. На данный момент ЕБС не привлекает мошенников, потому что с ее использованием пока не осуществляется крупных денежных оборотов», – подчеркнул А. Голенищев.
Мнение о том, что интерес мошенников к ЕБС возникнет при ее широком распространении в банковском обслуживании, высказывает и директор по развитию «Актив» Владимир Иванов: «Для проведения удаленной идентификации были выбраны те биометрические характеристики, которые проще всего снимать в “домашних условиях” - изображение лица и голос. Почему был сделан такой выбор? Вероятно потому, что у типичного клиента банка имеются в распоряжении довольно примитивные средства снятия биометрических характеристик. Как правило, это средний смартфон с видео/фотокамерой и микрофоном, либо компьютер, оборудованный веб-камерой и микрофоном. Характеристики этого оборудования не позволяют необходимым качеством анализировать радужную оболочку или сетчатку глаза, а другие биометрические данные зачастую крайне неудобно получать при прохождении идентификации в банковском приложении. Поскольку такие технологии распознавания лица еще не применяются массово, у злоумышленников пока еще нет достаточной мотивации. Но с распространением этой технологии в финансовом секторе такая мотивация появится и, возможно, мы увидим подделки такого уровня, что ни один современный алгоритм не сможет их распознать. Есть технологии изготовления поддельного «лица», где требуется всего лишь некоторое количество фотоснимков жертвы в достаточном разрешении. Возможно, например, появление технологии динамической генерации 3D-модели лица любой степени реалистичности и «живости». Пока поставщики решений не раскрывают свои алгоритмы, но секретность алгоритмов еще никогда не давала хороших результатов. Изображение лица и голос – это те биометрические характеристики, контролировать распространение которых человек не в состоянии. Невозможно постоянно ходить молча и с бумажным пакетом на голове. В случае компрометации биометрических данных их обладателя ждет незавидная судьба, поскольку изменить биометрические характеристики пока еще невозможно. В любом случае, время все расставит по местам и нужно отдавать себе отчет в том, что новые технологии всегда несут новые риски. Очень надеюсь, что потенциальные риски учтены, и реальных угроз для пользователей сейчас нет».
По материалам PLUSworld.ru