Биометрические данные и банки

Рейтинг брокеров бинарных опционов за 2020 год по надежности:
  • Бинариум
    Бинариум

    1 место! Самый лучший брокер бинарных опционов. Подходит для новичков! Получите бонус за регистрацию счета:

Удаленная идентификация

Удаленная идентификация — это механизм, позволяющий физическим лицам получать финансовые услуги дистанционно в разных банках, подтвердив свою личность с помощью биометрических персональных данных (изображение лица и голос).

О проекте

Механизм удаленной идентификации разработан Банком России в рамках реализации Основных направлений развития финансовых технологий на период 2020 — 2020 годов.

Создание и развитие платформы для удаленной идентификации позволяет перевести финансовые услуги в цифровую среду, повысить доступность финансовых услуг для потребителей, в том числе людей с ограниченными возможностями, пожилого и маломобильного населения, а также увеличить конкуренцию на финансовом рынке.

Для реализации механизма удаленной идентификации разработаны нормативные (правовые) акты, а также сформирована технологическая инфраструктура, в том числе Единая биометрическая система, которая совместно с Единой системой идентификации и аутентификации (ЕСИА) обеспечит достоверную идентификацию пользователей.

Процедура для пользователя является бесплатной и добровольной и будет осуществляться только с согласия клиента.

Преимущества

Получение финансовых услуг:

Как начать использовать удаленную идентификацию

1 Пройти первичную регистрацию биометрических данных.

Гражданину нужно прийти в один из уполномоченных банков, обладающих правом проводить регистрацию физических лиц в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе. Такой Банк проведет идентификацию физического лица при личном присутствии, зарегистрирует его в ЕСИА, а также снимет биометрические параметры (сфотографирует и запишет образец голоса) и направит их в Единую биометрическую систему.

2 Получить банковские услуги с помощью удаленной идентификации.

Для получения услуги в новом банке гражданину нужно зайти на сайт или мобильное приложение этого банка и выбрать получение услуги с использованием удаленной идентификации.

Далее необходимо пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета, ноутбука или стационарного компьютера с камерой и микрофоном.

Для подтверждения своих биометрических данных с мобильного устройства необходимо скачать мобильное приложение Единой биометрической системы. Приложение доступно для скачивания в Google Play и App Store.

После сравнения лица и голоса гражданина с ранее внесенными в Единую биометрическую систему данными, он сможет открыть счет (вклад), получить кредит, сделать перевод, не приходя в банк.

QR-код для скачивания мобильного приложения Единой биометрической системы

Этапы реализации проекта

2020 год — обеспечено законодательное закрепления возможности проведения удаленной идентификации. 31 декабря 2020 года подписан Федеральный закон № «О внесении изменений в отдельные законодательные акты Российской Федерации».

I кв. 2020 года — создана Единая биометрическая система, с использованием которой осуществляется проведение биометрической идентификации физических лиц.

II кв. 2020 года — приняты подзаконные акты и проведена тестовая эксплуатация Единой биометрической системы банками.

30 июня 2020 года — запущен механизм удаленной идентификации. С этого момента банки постепенно обеспечивают в своих структурных подразделениях сбор биометрических данных по мере готовности их технологической инфраструктуры. На 1 марта 2020 года такой сервис предоставляется в более чем в 13,5 тыс. структурных подразделениях банков.

Вопросы и ответы

Первичная регистрация в ЕСИА и Единой биометрической системе, а также удаленная идентификация для гражданина будет бесплатной.

Проблемы и угрозы биометрической идентификации

В 2020 году в России вступил в действие закон о биометрической идентификации. В банках идёт внедрение биометрических комплексов и сбор данных для размещения в Единой биометрической системе (ЕБС). Биометрическая идентификация даёт гражданам возможность получать банковские услуги дистанционно. Это избавляет их от очередей и технически позволяет «посетить банк» в любое время суток.

Удобства дистанционной идентификации по фотографии или голосу по достоинству оценили не только клиенты банков, но и киберпреступники. Несмотря на стремление разработчиков сделать технологию безопасной, исследователи постоянно сообщают о появлении новых способов обмана таких систем.

Так может, не стоит соглашаться на предложение приветливого операциониста пройти биометрическую идентификацию в отделении банка? Или всё-таки воспользоваться преимуществами новой технологии? Разбираемся в этом посте.

В чём проблема?


У биометрической идентификации есть особенности, которые отличают её от привычной пары логин/пароль или «безопасной» 2FA:

  1. Биометрические данные публичны. Можно найти фотографии, видео- и аудиозаписи практически любого жителя планеты Земля и использовать их для идентификации.
  2. Невозможно заменить лицо, голос, отпечатки пальцев или сетчатку с той же лёгкостью, как пароль, номер телефона или токен для 2FA.
  3. Биометрическая идентификация подтверждает личность с вероятностью, близкой, но не равной 100%. Другими словами, система допускает, что человек может в какой-то степени отличаться от своей биометрической модели, сохранённой в базе.

Поскольку биометрические данные открывают не только турникеты в аэропортах, но и банковские сейфы, хакеры и киберпреступники всего мира усиленно работают над способами обмана систем биометрической идентификации. Каждый год в программе конференции по информационной безопасности BlackHat неизменно присутствуют доклады, связанные с уязвимостями биометрии, но практически не встречается выступлений, посвящённых разработке методов защиты.

Прочтите, это ВАЖНО:  Бинарные опционы на акции мировой социальной сети Facebook (Фейсбук)

В качестве основных проблем, связанных с биометрической идентификацией, можно выделить фальсификацию, утечки и кражи, низкое качество собранных данных, а также многократный сбор данных одного человека разными организациями.

Фальсификация


Публикации, связанные с различными способами обмана систем биометрической идентификации, часто встречаются в СМИ. Это и отпечаток пальца министра обороны Германии Урсулы фон дер Ляйен, изготовленный по её публичным фотографиям, и обман Face ID на iPhone X с помощью маски, нашумевшая кража 243 тысяч долларов с помощью подделанного нейросетью голоса генерального директора, фальшивые видео со звёздами, рекламирующими мошеннические выигрыши, и китайская программа ZAO, которая позволяет заменить лицо персонажа видеоролика на любое другое.

Чтобы биометрические системы не принимали фотографии и маски за людей, в них используется технология выявления «живости» — liveness detection — набор различных проверок, которые позволяют определить, что перед камерой находится живой человек, а не его маска или фотография. Но и эту технологию можно обмануть.

Внедрение фальшивого видеопотока в биометрическую систему. Источник

В представленном на BlackHat 2020 докладе «Biometric Authentication Under Threat: Liveness Detection Hacking» сообщается об успешном обходе liveness detection в Face ID с помощью очков, надетых на спящего человека, внедрения поддельных аудио- и видеопотоков, и других способов.

X-glasses — очки для обмана liveness detection в Face ID. Источник

Для удобства пользователей, Face ID срабатывает, если человек надел солнцезащитные очки. При этом количество света в глазах уменьшается, поэтому система не может построить качественную 3D-модель области вокруг глаз. По этой причине, обнаружив очки, Face ID не пытается извлечь 3D-информацию о глазах и представляет их в виде абстрактной модели — чёрной области с белой точкой в центре.

Качество сбора данных и ложные распознавания


Точность идентификации сильно зависит от качества биометрических данных, сохранённых в системе. Чтобы обеспечить достаточное для надёжного распознавания качество, необходимо оборудование, которое работает в условиях шумных и не слишком ярко освещённых отделений банков.

Дешёвые китайские микрофоны позволяют записать образец голоса в неблагоприятных условиях, а бюджетные камеры — сделать фото для построения биометрической модели. Но при таком сценарии значительно возрастает количество ложных узнаваний — вероятность того, что система примет одного человека за другого, с близким по тональности голосом или сходной внешностью. Таким образом, некачественные биометрические данные создают больше возможностей для обмана системы, которыми могут воспользоваться злоумышленники.

Многократный сбор биометрии


Некоторые банки начали внедрение собственной биометрической системы раньше, чем заработала ЕБС. Сдав свою биометрию, человек считает, что может воспользоваться новой технологией обслуживания в других банках, а когда выясняется, что это не так, сдаст данные повторно.

Ситуация с наличием нескольких параллельных биометрических систем создаёт риск, что:

  • У человека, дважды сдавшего биометрию, скорее всего, уже не вызовет удивления предложение повторить эту процедуру и в будущем он может стать жертвой мошенников, которые будут собирать биометрию в своих преступных целях.
  • Чаще будут происходить утечки и злоупотребления, поскольку увеличится количество возможных каналов доступа к данным.

Утечки и кражи


Может показаться, что утечка или кража биометрических данных — настоящая катастрофа для их владельцев, но, в действительности, всё не так плохо.

В общем случае биометрическая система хранит не фотографии и записи голоса, а наборы цифр, характеризующие личность — биометрическую модель. И теперь поговорим об этом подробнее.

Для построения модели лица система находит опорные антропометрические точки, определяющие его индивидуальные характеристики. Алгоритм вычисления этих точек отличается от системы к системе и является секретом разработчиков. Минимальное количество опорных точек — 68, но в некоторых системах их количество составляет 200 и более.

По найденным опорным точкам вычисляется дескриптор — уникальный набор характеристик лица, независимый от причёски, возраста и макияжа. Полученный дескриптор (массив чисел) и представляет собой биометрическую модель, которая сохраняется в базе данных. Восстановить исходное фото по модели невозможно.

Для идентификации пользователя система строит его биометрическую модель и сравнивает с хранящимся в базе дескриптором.

Из принципа построения модели имеются важные следствия:

  1. Использовать данные, похищенные из одной биометрической системы для обмана другой — вряд ли получится из-за разных алгоритмов поиска опорных точек и серьёзных различий в результирующей модели.
  2. Обмануть систему с помощью похищенных из неё данных тоже не получится — для идентификации требуется предъявление фотографии или аудиозаписи, по которой уже будет проведено построение модели и сравнение с эталоном.
Прочтите, это ВАЖНО:  Форекс брокер NAS Broker – официальный сайт, торговые условия

Даже если база хранит не только биометрические модели, но и фото и аудио, по которым они построены, обмануть систему с их помощью «в лоб» нельзя: алгоритмы проверки на «живость» считают ложными результаты с полным совпадением дескрипторов.

Методы проверки liveness для лицевой и голосовой модальности.
Источник: Центр речевых технологий

Таким образом, использование утекших биометрических данных не поможет киберпреступникам быстро получить материальную выгоду, а значит, они с большей вероятностью будут искать более простые и надёжные способы обогащения.

Как защититься?


Вступившая в действие 14 сентября 2020 года директива Евросоюза PSD2, также известная как Open Banking, требует от банков внедрения многофакторной аутентификации для обеспечения безопасности удалённых транзакций, выполняемых по любому каналу. Это означает обязательное использование двух их трёх компонентов:

  • Знания — какой-то информации, известной только пользователю, например, пароля или контрольного вопроса.
  • Владения — какого-то устройства, которое имеется только у пользователя, например, телефона или токена.
  • Уникальности — чего-то неотъемлемого, присущего пользователю и однозначно идентифицирующего личность, например, биометрических данных.

Эти три элемента должны быть независимыми так, чтобы компрометация одного элемента не влияла на надёжность других.

Применительно к банковской практике это означает, что проведение операций по биометрическим данным должно обязательно сопровождаться дополнительными проверками с помощью пароля, токена или PUSH/SMS-кодов.

Использовать или нет?


У биометрической аутентификации имеются большие перспективы, однако опасности, которые приходят в нашу жизнь вместе с ними, выглядят весьма реалистично. Разработчикам систем и законодательным органам стоит изучить результаты новейших исследований уязвимостей биометрических систем и оперативно доработать как решения по идентификации, так и нормативные акты, регулирующие их работу.

Банкам необходимо принять во внимание ситуацию с deepfakes и другими способами обмана биометрических систем, используя сочетание традиционных способов идентификации пользователя с биометрическими: пароли, 2FA и usb-токены всё ещё могут принести пользу.
С клиентами банков ситуация сложная. С одной стороны, биометрическая идентификация разрабатывалась для их удобства как попытка расширить возможности для получения банковских услуг в любое время с минимальными формальностями. С другой — в случае успешной атаки рискуют своими деньгами именно они, а регуляторы и разработчики биометрических систем ответственности за взломы не несут.

ТОП лучших русскоязычных брокеров бинарных опционов:
  • Бинариум
    Бинариум

    1 место! Самый лучший брокер бинарных опционов. Подходит для новичков! Получите бонус за регистрацию счета:

В связи с этим, логичная рекомендация клиентам банков — не торопиться со сдачей биометрических данных, не обращать внимание на агрессивные призывы. Если же без биометрической идентификации никак не обойтись, то используйте её совместно с многофакторной аутентификацией, чтобы хотя бы частично снизить риски.

Что такое биометрия в Сбербанке

В 2020 году большая часть российских банков, лидирующие позиции в которых занимает Сбербанк, заложили основы сбора биометрических данных граждан. Основная цель внедрения системы цифровой идентификации — оказывать большинство банковских услуг дистанционно. Рассмотрим преимущество новой технологии и рассеем безосновательные опасения граждан.

Что такое биометрические данные?

Биометрические данные включают в себя любые параметры человека, выраженные в абсолютных значениях. Данные могут быть:

  • уникальными, то есть полученными с рождения, такими как отпечаток пальца, радужная оболочка глаза, молекула ДНК, рисунок вен ладони;
  • динамическими, то есть приобретенными и меняющимися в течение жизни, такими как слепок лица и голоса, почерк, походка.

Биометрические данные — уникальные характеристики особенности внешности человека, позволяющие безошибочно установить личность.

Уже в скором времени привычно будет, пользуясь услугами Сбербанка, идентифицироваться в различных системах не с помощью бумажной фотографии и паспорта. А с использованием электронного снимка высокого качества и уникальных характеристик голоса.

Зачем Сбербанк собирает биометрические данные?

С 2020 года Сбербанк все больше уходит в цифру, начав сбор биометрических данных. Биометрия в Сбербанке позволит клиентам получать доступ к большему количеству банковских услуг дистанционно. Цифровая идентификация выгодна как банку, так и пользователям:

  • для банков — это прежде всего снижение издержек и возможность предоставлять услуги удаленно;
  • для клиентов — это возможность получать услуги удаленно после первичной идентификации в одном из офисов любого банка.

При этом, при удаленном получении услуг особенно это актуально для жителей страны, которые живут в труднодоступных местах и в малонаселенных пунктах.

До 1 июля 2020 года каждый первый счет в каждом новом банке необходимо было открывать с помощью очной явки. Теперь достаточно однократно явившись в отделение:

  • сделать фото;
  • записать голос, — чтобы все отставшее время взаимодействовать с банком удаленно.

К слову сказать, Тинькофф Банк с 2020 года собирает биометрические данные:

  • голосовые данные через сотрудников колл-центра, принимающих телефонные звонки от клиентов;
  • базу фотографий через курьерскую службу, доставляющую банковские продукты.
Прочтите, это ВАЖНО:  FSMA не перестает получать жалобы бельгийцев на БО

Требования к качеству информации, которая будет использоваться в Сбербанке более жесткие:

  • голос в отличие от стандартного процесса, когда представители Тинькофф банка отцифровывали телефонный трафик, здесь записывается с помощью микрофона;
  • изображение лица проверяется по множеству заданных параметров;
  • применяется двойная идентификация.

Главное преимущество для клиента — удобство обслуживания в банках, которое сводится к общению по телефону. Кроме того, так как банк снижает затраты, то можно надеяться на снижение кредитных ставок и увеличение депозитных ставок.

В настоящее время при звонке в контактный центр, оператор запрашивает паспортные и личные данные, кодовое слово. Иногда люди опасаются в телефонном разговоре передавать собственные данные. Кроме того, эта процедура передачи данных занимает много времени. К тому же можно допустить ошибку.

Благодаря биометрии, система мгновенно распознает по голосу и безошибочно идентифицирует клиента. Даже если голос изменился в результате болезни, индивидуальный тембр сохранится. Если система не распознает голос, то:

  • включится “модуль аномалий”, блокирующий мошенников;
  • идентификация будет происходить по стандартной схеме.

Какие данные собирает Сбербанк?

Центральный Банк РФ разработал законопроект, согласно которому российским банкам рекомендовано собирать биометрические данные россиян и вносить в Единую Биометрическую Систему (ЕБС), доступную всем кредитным организациям. Прежде всего:

  • изображение лица;
  • голосовые слепки.

Фотография производится по особой технологии — делается фотографический объемный слепок лица для безошибочной идентификации при личном обращении в банк.

Запись голоса производится при помощи микрофона. Все данные обрабатываются в высокотехнологичных программах.

Идентифицировать личность будет техника, а человек исключается из системы распознавания. Используют именно голос и изображение лица, потому что их при установлении личности посредством удаленных сервисов:

  • подделать сложнее;
  • использоваться легче.

Следует знать, что биометрию в любое время можно пересдать. Эксперты даже рекомендуют обновлять свою запись в базе данных с периодичностью один раз в три года.

Как отказаться от биометрии в Сбербанке?

После того как представитель Сбербанка разъясняет особенности системы, клиент дает добровольное согласие на предоставление собственных биометрических данных.

Отказаться от предоставления биометрических данных можно:

  • на начальном этапе никаким образом, не обосновывая собственный отказ;
  • после того как согласие было дано.

Потребуется выбрать любой способ:

  • написать заявление в отделении и отозвать согласие на биометрию;
  • отправить онлайн-заявку через личный кабинет на сайте Госуслуги.

Прохождение биометрии

Пройти биометрию можно при личном посещении банка или используя банкомат. Порядок, следующий:

  • Гражданин, являющийся клиентом, предъявляет паспорт гражданина РФ и карту, эмитированную Сбербанком.
  • Подача заявления происходит через сервис Госуслуги, поэтому потребуется открыть личный аккаунт на сайте Госуслуги.
  • Клиент дает согласие на сбор биометрических данных, подписывая собственноручно распечатанный документ или используя платежную карту.
  • Начинается сбор биометрии:
  • делается фотография в формате паспорта;
  • записывается голос, для чего произносятся вслух цифры от 0 до 9, от 9 до 0, а также в случайном порядке.
  • Клиент получает уведомление в СМС о том, что:
  • данные внесены в единую биометрическую систему;
  • получает право обслуживаться дистанционно.

По отзывам тех, кто уже прошел процедуру биометрии, процесс сдачи может занять значительное количество времени в связи с тем, что техника может подвести.

Как использовать биометрию?

После того как в системе ЕБС будет создана учетная запись, привязанная к паспорту, клиент может получать удаленный доступ к банковским услугам, притом не только в Сбербанке, но и в других кредитных учреждениях — участниках системы.

При звонке в колл-центр не нужно будет передавать какие-либо данные, сразу после произнесения первого слова, система распознает голос клиента и поприветствует его, назвав по имени и отчеству.

При желании получить кредит или открыть вклад дистанционно, потребуется:

  • Указать логин и пароль, полученный при регистрации в единой системе идентификации и аутентификации.
  • Показать в камеру лицо.
  • Назвать кодовое слово.
  • Дождаться результатов идентификации.
  • Оформить требуемый банковский продукт.

Безопасность передачи данных

Вопрос безопасности является для большинства пользователей ключевым. Но специалисты уверяют, что биометрические технологии сами по себе во много раз надежнее, чем действующие способы идентификации личности. Ведь, обмануть компьютер гораздо сложнее, чем человека — это проверено на практике.

К тому же разработчики программы учитывают все нюансы и возможные проблемы, и стремятся свести их к минимуму:

  • записывают биометрию без привязки к персональным данным;
  • голос и слепок лица проверяются одновременно по множеству параметров.

Биометрия в Сбербанке — это первый этап. Надо быть готовым к внедрению биометрической технологии в такие сферы, как медицина, образование, страхование, торговля.

Брокер бинарных опционов, выдающий бонусы за регистрацию:
  • Бинариум
    Бинариум

    1 место! Самый лучший брокер бинарных опционов. Подходит для новичков! Получите бонус за регистрацию счета:

Добавить комментарий