Биометрия от Oz Forensics.
Как альтернатива становится де-факто стандартом

О роли биометрии в дальнейшем развитии банковского сектора и платежной индустрии мы беседуем со Светланой Ефимовой, исполнительным директором и сооснователем международной компании Oz Forensics, разработчика систем биометрической идентификации на основе искусственного интеллекта.

Об Oz Forensics

Компания Oz Forensics — международный разработчик системы биометрической идентификации на основе искусственного интеллекта. Модуль Oz Liveness для обнаружения биометрических атак в 2021 году прошел тестирования в аккредитованной лабораторией при NIST — iBeta, показав 100%-ную точность в отражении атак на биометрическое предъявление с ошибкой ложного срабатывания менее 1%. Биометрический алгоритм распознавания лиц регулярно проходит тестирование в конкурсах NIST и подтверждает точность на уровне
99,99% Face recognition vendor test.

Опробовать эффективность распознавания Oz Liveness («Обмани, если сможешь»)
Oz Liveness Public Demo
ПЛАС: В чем состоят отличия и преимущества лицевой биометрии от традиционных классических форм аутентификации клиентов?

С. Ефимова: Современные технологии лицевой биометрии надежнее, чем классические формы аутентификации клиентов, такие как пароли и SMS-уведомления.

Сейчас известно много способов кражи паролей и подмены SMS-уведомлений.

По данным ФинЦЕРТ, в РФ в 2020 году системы ДБО физических лиц становились мишенью мошенников 136,1 тыс. раз, а доля преступлений с использованием социальной инженерии в их общем числе была наиболее высока и составляла порядка 80%. Объем хищений по таким операциям составил порядка 3787,6 млн руб., что выше аналогичного показателя 2019 года на 70,1% (в 2019 году — около 2227,0 млн руб.). При этом банки вернули клиентам всего 136,5 млн руб. (в 2019 году — 162,3 млн руб.).

В Европе, с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. При этом SMS не являются подходящим каналом доставки OTP и должны быть заменены на более безопасные методы. Важным требованием PSD2 является положение о том, что данные платежной транзакции должны быть защищены на всех этапах аутентификации.

Рост хищений и убытков очевиден, требования регуляторов вполне обоснованны — финансовым организациям действительно необходимо использовать дополнительные меры защиты.
И на этом фоне хорошим альтернативным вариантом может выступать лицевая биометрия. Она позволяет сделать процесс аутентификации:
  1. Быстрым, не более трех секунд на распознавание (по данным Oz Forensics);
  2. Надежным и безопасным, т. к. биометрические данные лица уникальны;
  3. Простым и удобным в использовании — лицо невозможно забыть или потерять, это личный идентификатор, который всегда с собой в любое время;
  4. Выгодным в использовании — банки могут сэкономить на стоимости уведомлений;
  5. Полностью соответствующим регуляторной политике.
ПЛАС: Как построен процесс удаленной идентификация и верификации клиента на основании лицевой биометрии? Какая технология лежит в ее основе?

С. Ефимова: Лицевая биометрическая идентификация не требует дополнительного специального оборудования или камер, а также экспертных знаний и навыков от рядового пользователя, чтобы ее применить. Технология встраивается в мобильное приложение банка, где пользователь проходит идентификацию. Клиенту достаточно посмотреть в камеру, в некоторых случаях — сделать ряд требуемых движений. Процесс завершен за пару секунд, произошла биометрическая идентификация на определение живого человека в кадре и сравнение лица человека с лицом на документе или в базе.

В основе технологии лежат алгоритмы распознавания на базе нейронной сети, которые были обучены на большой базе фото и видеодатасетов. Для сценария сравнения лиц «1 к 1» результатом работы нейронной сети является классификация похож / не похож, а также скоринговая оценка схожести. Есть еще сценарий «1 к N» («один ко многим») поиска в большой базе данных, где нейронной сети надо найти наиболее похожего человека из группы лиц.

В обучении систем важна точность распознавания, именно она обеспечивает надежность такой системы. Причина проста — с переходом на удаленную идентификацию пользователей во всем мире активизировались мошенники, специализирующиеся на применении биометрических и deapfake-атак. Преступники, как правило, прибегают к спуфингу (от spoofing — подмена) — это демонстрация фото или видео другого человека с любого устройства для прохождения удаленной идентификации. Также они могут использовать различные маски.

Подтверждения качества и точности работы технологии проводят независимые тестовые лаборатории, например, лаборатория iBeta, аккредитованная при Национальном институте стандартов и технологий США (NIST).

Решение Oz Liveness по пассивному детектированию биометрических атак первым в РФ и СНГ прошло тест и получило сертификат на соответствие стандарту ISO 30 107‑3 в 2021 году. Технология Oz Liveness разрабатывалась для того, чтобы определить, находится ли в кадре живой человек. Тестирование для платформ IOS и Android в лаборатории iBeta проводились с помощью следующих артефактов: 2D-фото на матовой бумаге с вырезами, изогнутое по лицу, маска с вырезом для глаз, фото и видео с ноутбука или iPad, 3D-бумажная маска, сделанная вручную. В некоторых атаках добавлялись шляпы и очки. Из 300 оригинальных тестовых Liveness проверок, которые были проведены с помощью реального лица, 299 завершились успешно. Ошибка ложного срабатывания Oz Liveness составила менее 1%. При этом не было пропущено ни одной из 1000 атак, то есть точность детектирования атак составила 100%.
Пример силиконовой маски
ПЛАС: С какими биометрическими атаками приходится сталкиваться сейчас?

С. Ефимова: Нейронные сети могут выступать генератором биометрической подделки.
Сегодня все мы активно пользуемся социальными сетями, публикуем личный контент с биометрическими данными — фото и видео в больших количествах. Эти данные могут стать средством для мошеннических действий.

Достаточно потратить не более двух долларов США, и можно создать видеозапись по ключевым точкам deepfake, используя доступный контент с вашей страницы в любой соцсети. Есть и другие средства, например, покупка лица в DarkNet (150 руб­лей), использование специальной силиконовой маски — 300 долл. США.

Каждый день мы детектируем свыше 3000 биометрических атак. По нашей статистике, основной процент приходится на спуфинг. На сегодняшний день наблюдается следующая статистика атак: 69% — демонстрация с другого устройства фото или видео другого человека, 30% приходится на демонстрацию распечатанного фото другого человека, и только 1% — на иные атаки. Но мы видим рост использования силиконовых масок, а также реалистичных масок из других материалов, которые созданы и раскрашены вручную, что с высокой степенью достоверности имитирует подлинное лицо и создает сложность в детектировании.

От всех таких типов атак защищает используемый в нашем решении алгоритм Liveness, который не дает злоумышленнику успешно продемонстрировать чужое (не свое) лицо онлайн. Происходит анализ текстуры изображения и микродвижений, а также ряд дополнительных параметров, которые позволяют технологии точно определить подделку.

Существуют два типа алгоритмов Liveness: активный и пассивный. Оба они могут применяться в бизнес-­процессах организации для обеспечения безопасности.

Активный предполагает наличие тех или иных действий по требованию к идентифицируемому, например, улыбнуться, моргнуть и т. д. Совершая действие, пользователь таким образом дает свое согласие на операции, которые проходит. У данного процесса есть и недостатки, например, увеличение клиентского пути до 5 сек., снижение конверсии до 5‑10%, так как клиенты не желают делать те или иные действия. В этом случае мы применяем пассивный Liveness — используется без ­каких-либо предлагаемых действий, клиенту достаточно просто посмотреть в камеру. Его использование не снижает конверсию, так как не требует дополнительных действий, и проходит за 1 сек. (1 кадр = 1 сек.). В зависимости от сложности операций онлайн можно применять тот или иной способ идентификации для обеспечения надежности и безопасности.
Пример атак спуфинга
Пример атак спуфинга
ПЛАС: В каких бизнес-­областях можно применить лицевую биометрию? Где она сегодня уже применяется? Расскажите о своих наиболее успешных кейсах.

С. Ефимова:
Лицевая биометрия и проверка на Liveness применяется в финансовом секторе в процессах регистрации и верификации клиента, открытия счета без визита в офис, подтверждения высокорисковой транзакции, оформления кредита и кредитной карты онлайн в банке, одобрение потребительского кредита при онлайн-­покупках, в управлении кредитными и депозитными счетами. Подобные кейсы мы реализуем уже с 2017 года на рынках СНГ, Азии и Европы. Программное обеспечение Oz Forensics внедрено в государственный сервис КЦМР РК, Halyk Bank, Altyn Bank, QIWI, Сбербанк Р К, Evocabank Армения, в Евразийском банке, европейских KYC провайдерах и др. организациях.

Появились новые процессы для применения лицевой биометрии, например, Freedom Finance Bank запустил в Казахстане цифровую ипотеку. Жители республики получили возможность стать владельцами квартиры буквально за сутки, без походов в отделение банка и сбора документов. Этого удалось добиться за счет полной цифровизации процессов: залог регистрируется онлайн с применением технологии блокчейн, решение о выдаче займа принимают не конкретные сотрудники банка, а автоматическая система анализирует сотни параметров клиента. Сам же клиент больше не собирает документы — за него сбором информации из государственных баз занимается банк, предварительно получив его согласие и подтверждение биометрической идентификации с помощью Oz Liveness.

Крупный онлайн-банк РФ внедрил Oz Forensics для подтверждения транзакций, высокорисковых операций и восстановления доступа, фактически заменив процесс SMS-аутентификации на selfie-­аутентификации. Таким образом, устранены возможности реализации сценария мошенничества с перехватом SMS, транзакцию может подтвердить только клиент банка, при этом усилена безопасность клиента и его данных.

Большим спросом стали пользоваться лицевая биометрия и технология Oz Liveness, определяющая, находится ли перед камерой живой человек, среди микрофинансовых организаций ввиду очевидности снижения рисков и необходимости выполнения требований регуляторов. Например, микрофинансовая организация MoneyMan (Казахстан) использует платформу Oz Forensics при выдаче микрокредитов для подтверждения личности клиента посредством дистанционной идентификации.

Для телеком-­провайдеров с помощью биометрической идентификации можно купить eSIM или зарегистрировать купленную SIM-карту онлайн. Крупнейший телеком-­оператор Турции Turkcell выбрал Oz Forensics для обеспечения безопасности доступа своих клиентов к услугам и удаленной регистрации SIM-карт.

Для гражданской авиации биометрия эффективна при регистрации пассажиров. FlyScoot — дочерняя авиакомпания национального перевозчика Singapore Airlines — добавила модули Oz Liveness и Oz Biometry в свое мобильное приложение для удаленного онбординга и регистрации пассажиров.
ПЛАС: Не могли бы вы сказать несколько слов о том, почему крупнейшие игроки рынка для внедрения процедур удаленной идентификации клиента выбирают сегодня именно решения от Oz Forensics?

С. Ефимова: Для любого нашего клиента всегда важен комплекс нескольких составляющих критериев для выбора решения.

Во-первых, это надежность и точность технологии. Биометрическая технология Oz Forensics обладает 99,99% точности и эффективности противодействия биометрическим атакам согласно NIST тестированию и имеет сертификат безопасности ISO — 30 107‑3. Наш алгоритм Liveness устойчив ко всем современным атакам, включая deepfake, 3D-маски и 3D-головы. За 2020 год мы предотвратили около 2 млн биометрических атак. Доступное пилотирование до продуктового выхода помогает клиентам познакомиться с нашим решением и протестировать его, опираясь уже на собственные технические критерии и политики безопасности.

Во-вторых, привлекают легкость и экономичность встраивания в инфраструктуру организации. Oz Forensics IOS/Android, WEB SDK и разворот на сервере ПО занимает не более двух недель. Размер мобильного приложения мал и не утяжеляет существующее приложение банка.
В-третьих, свою роль играют простота для клиента и скорость. Мы поддерживаем все современные мобильные устройства и веб-камеры. Идентификация занимает не более 3 сек. Конверсия клиентов не снижается. Клиенту не нужно обладать специальными знаниями и навыками.

В-четвертых, нашим заказчикам важна бизнес-­ценность, исчисляемая в финансовой выгоде применения. Это и сокращение расходов на офисы, по данным наших клиентов, на 50%, и снижение рисков биометрического мошенничества на 99,99%, и повышение конверсии клиентов и их лояльности за счет быстрого и надежного способа доступа к финансовым сервисам, а также двукратный рост объема онлайн-­кредитов и открытых кредитных карт.
Именно поэтому клиенты не только выбирают нас, но и остаются с нами надолго.
ПЛАС: Ваш прогноз по развитию применения лицевой биометрии? Где она может быть наиболее востребована сегодня и в обозримом будущем?

С. Ефимова: Лицевая биометрия — это простой, недорогой и доступный способ идентификации. Именно поэтому она получает сегодня более широкое распространение, чем другие биометрические технологии, такие как идентификация по отпечаткам пальцев и радужной оболочке глаза, требующие специального оборудования. Если мы посмотрим на глобальный рынок биометрических систем, то уже к 2027 году он будет составлять порядка 87 млрд долларов США, в то время как в 2022‑м — 11 млрд долларов США. Сферы применения — страхование, идентификация клиентов и предоставление страховых услуг онлайн, например, оформление ОСАГО.

Применение лицевой биометрии в дистанционном образовании — идентификация учащегося и определение присутствия человека — как на занятиях, так и при выполнении тестов и сдаче экзаменов.

Телемедицина открывает этой технологии широкие возможности для идентификации пациента и врача онлайн. Умный город — применение лицевой биометрии для пропуска в здания, идентификации для получения государственных услуг. Ритейл-­идентификация и подтверждение возраста для продажи спиртных и табачных изделий, оплата «лицом», персонализация предложений и многое другое.
Контакты
Задать вопрос компании