А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

30 августа, 2017«BIS Journal» № 3(26)/2017

Митрофанов Антон

руководитель проектов (Департамент Безопасности ПАО Сбербанк)


«Объект опознан!»

Использование биометрии в банковской сфере

Большая часть банковского бизнеса построена на идентификации клиентов. Идентификация – это установление тождественности неизвестного объекта известному, а в более бытовом смысле – как Банк узнает своего клиента. С помощью процедур идентификации банки обеспечивают сохранность средств клиентов и предоставляют доступ к счетам и операциям с деньгами. Для получения 100% гарантии того, что личность имеет права на доступ к счетам, применяется определенная процедура идентификации. Сейчас в основном используется фактор знания определённой информации: пин-кода, пароля, кодового слова, личной информации; либо фактор владения определенным документом или гаджетом, подтверждающим личность: банковской картой, личным мобильным телефоном, паспортом. Оба этих фактора имеют существенный недостаток – пароль можно забыть или потерять бумажку, на которой он записан, а паспорт, банковскую карту и телефон можно подделать либо украсть.

По этой причине интерес к альтернативным методам идентификации, которые позволяют банкам с большей степенью достоверности подтверждать личность клиента, очень высок.
 
СТАТИЧЕСКИЕ И ДИНАМИЧЕСКИЕ

Биометрические технологии представляют принципиально новый подход к идентификации – распознаются уникальные биофизические особенности человека, которые неотъемлемы от самого человека. В общем смысле биометрия – это измерение физических или поведенческих параметров человека. Их нельзя потерять или украсть, и сложно подделать – цена подделки существенно выше, чем в случае с паспортом или картой.

Биометрические технологии – это инструмент для измерения и сравнения биометрических характеристик человека.

Встречаются люди, похожие друг на друга (близнецы, люди с похожими голосами), однако современный уровень технологий в большинстве случаев позволяет распознавать минимальные различия между такими людьми. Точность распознавания как раз и является показателем эффективности биометрических технологий – это количество верно распознанных людей от общего количества попыток.

Сейчас на мировом рынке представлено несколько ключевых биометрических технологий. Их можно условно разделить на два класса: статические и динамические.

К статическим относятся такие технологии, как распознавание лица, отпечатка пальцев, рисунка вен – физиологические особенности, которые не изменяются со временем, либо изменяются медленно и незначительно.

К динамическим относятся технологии анализа поведенческих особенностей человека, например, почерк (в том числе и подпись документов), голос, поведение при работе с компьютером/мобильным устройством.

Статические биометрические технологии обладают намного более высокой точностью распознавания, но не всегда применимы, потому что требуют применения отдельных сканнеров для получения биометрического образца.

ИСПОЛЬЗОВАНИЕ БИОМЕТРИЧЕСКИХ ТЕХНОЛОГИЙ

Нельзя однозначно сказать, какая из двух технологий более перспективна – все зависит от целей использования. Мы в Сбербанке провели массу исследований и пилотных внедрений для анализа применимости технологий в различных условиях. По нашему мнению, универсальной «волшебной палочки», которая решит все проблемы идентификации личности сейчас не существует. Все технологии имеют как преимущества, так и недостатки, и оказываются эффективными только в определенных условиях.

Так, для контактного центра распознавание голоса – отличный дополнительный фактор подтверждения личности клиента. В совокупности с традиционными методами идентификации он помогает повысить уровень доверия к этому каналу обслуживания.

Наиболее универсальной, с точки зрения возможностей использования, выступает технология распознавания лица. Решения этого класса позволяют достаточно точно идентифицировать людей и не требуют специального сканирующего оборудования – видеокамера есть в любом персональном устройстве – смартфоне, ноутбуке, планшете.

Для отдельных задач, таких как обеспечение доступа в помещение, лучше подходят технологии распознавания рисунка вен ладони – они требуют от пользователя активного действия, и не сработают в фоновом режиме если человек просто прошел мимо. Однако их использование требует установки дополнительных сканеров.

ТЕНДЕНЦИИ ПРИМЕНЕНИЯ

Биометрические технологии не стоят на месте, вендоры развивают алгоритмы распознавания, повышают их точность и скорость поиска. Однако ключевым фактором для перехода технологии из стадии инновации в стадию промышленного использования являются сценарии применения этой технологии для решения конкретных бизнес-задач.

Сейчас можно выделить две основные тенденции применения биометрической идентификации в мире. Первая – это мультимодальная биометрия, когда используется не одна биометрическая технология, а сразу несколько.

Как говорилось выше, отсутствие 100% точности распознавания – один из ключевых недостатков биометрических технологий. Они основаны на распознавании особенностей человека, и, поэтому могут допускать ошибки, например, если лица людей похожи под определенным углом, то система может их перепутать. Вероятность такой ошибки очень мала – сотые доли процента. Однако при решении финансовых вопросов даже один такой инцидент может быть критичным для всей системы, и дискредитировать весь класс технологий. Для того, чтобы исключить возможность такой ошибки используется несколько биометрических модальностей – различных особенностей человека, которые проверяются одновременно. Например, использовать проверку лица совместно с проверкой голоса – если лица двух человек похожи, то голоса у них различаются, и двойник не пройдет такую проверку. Такой подход называется мультимодальной биометрией.

Второй тенденцией применения биометрии выступает использование персонального устройства как биометрического токена доступа. Все современные смартфоны оснащены камерой и микрофоном, многие имеют сканер отпечатка пальца, Samsung встроил во флагманское устройство сканер радужной оболочки глаза, а также анонсировал сканер рисунка вен в умных часах. С помощью этих возможностей пользователь получает доступ к ИТ-системам, используя биометрический сканер на устройстве, которое потом передает результаты в систему предоставления доступа.

МОШЕННИЧЕСТВО В БИОМЕТРИИ

Специалисты Службы кибербезопасности Сбербанка активно изучают вопросы, связанные с возможностью мошенничества при использовании биометрии, ведь, если Вас взломали, физиологические параметры сменить сложнее, чем пароль.

И тут возникает больше вопросов к реализации технологического решения сканнера биометрических данных, чем к самой технологии распознавания.
Для примера рассмотрим технологию распознавания лица. Если система просто получает фотографию с камеры и анализирует, на кого похож человек, то похитить биометрические данные можно с помощью обычного смартфона – фото лица заменит пароль и позволит получить доступ к вашим счетам.

Для решения этой проблемы используются специальные алгоритмы и технические средства, с помощью которых можно тем или иным способом определить, что перед камерой находится живой человек, а не фото или видеозапись. К таким методам относятся анализ мимики, движения зрачков, выполнения пользователем определенных действий, случайным образом генерируемых системой, либо построения 3D-модели лица с использованием дополнительной камеры.

Способ похитить отпечатки пальцев тоже известен из множества детективных романов. Можно получить их с поверхности стакана или любого другого предмета личного пользования. Поэтому современные сканеры отпечатков пальцев могут проверять множество дополнительных параметров, таких как пульс, температура, состав жиров на коже.

Специалисты Службы кибербезопасности Сбербанка ожидают и готовятся к тому, что после массового внедрения биометрических технологий в банковской сфере, настанет период активных попыток так или иначе обойти биометрическую идентификацию.

Тем не менее, потребность внедрения биометрической идентификации в банках неоспорима. Мошенники уже научились подделывать паспорта с высоким качеством, воровать банковские карты, использовать методы социальной инженерии. Внедрение биометрии создаст еще один барьер для борьбы с преступным сообществом, а также повысит сложность и стоимость атак для злоумышленников. Уже сейчас многие люди пользуются биометрией на личных устройствах, например, сканером отпечатков пальцев на устройствах Apple. По результатам наших исследований большая часть клиентов банков готова к использованию биометрии при обслуживании.

Банки от поставщиков решений по биометрической идентификации, в первую очередь, ожидают законченных решений, которые можно внедрить в эксплуатацию без больших накладных расходов. Сейчас в каждом виде биометрической идентификации есть свои лидеры. Это касается и разработчиков программного обеспечения, и производителей оборудования. Российские производители занимают на этом рынке не последнее место. Есть технологии, которые входят в перечень лучших на мировом рынке.

В Сбербанке биометрическая идентификация применяется уже сейчас, но пока в ограниченных объемах. Одной из наиболее известных технологий является доступ к мобильному приложению нашего банка по отпечатку пальца, с использованием технологии Apple TouchID.

Кроме того, за последние два года мы провели несколько пилотных проектов по применению биометрии. Варианты системы оплаты по отпечаткам пальца действуют в магазинах - партнёрах банка. Несколько филиалов банка в тестовом режиме были оснащены биометрическими системами распознавания лица и распознавания рисунка вен.

В недавнем прошлом в Сбербанке стартовал проект по оснащению контактного центра системой распознавания голоса клиента, а в ближайшее время запускается проект по оснащению офисов обслуживания клиентов системой распознавания лица.

Особого внимания заслуживает социальный проект банка – «Ладошки». Его суть заключается в оснащении школьных столовых терминалами для оплаты обедов. Изначально предполагалось, что оплата будет производиться по карточкам, однако дети их часто теряли, поэтому в терминалы внедрили систему распознавания рисунка вен. Проект получил положительные отзывы. Пользователи отметили удобство его использования и точности распознавания. Сейчас идёт массовое внедрение этой технологии в школах России.
 
Технологии надежной и удобной идентификации чрезвычайно важны для успешности банковского бизнеса. Использование биометрических технологий является одним из направлений развития технологий идентификации, которое позволит существенно повысить удобство использования банковских сервисов.
При этом необходимо помнить, что сами по себе биометрические технологии не являются гарантом безопасности, биометрические данные возможно похитить так же как любые другие. При внедрении биометрических технологий нельзя забывать об обеспечении безопасности их применения.
Ключевыми тенденциями применения биометрии сейчас является использование нескольких биометрических модальностей и комбинация биометрических факторов с традиционными методами идентификации для повышения надежности. 

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31