28 мая, 2018, BIS Journal №2(29)/2018

Селфи вместо/вместе с паролем


Беров Иван

руководитель направления по развитию удаленной идентификации и цифровому профилю Ассоциации ФинТех, директор по цифровой идентичности (ПАО «Ростелеком»,)

«Ростелеком» разрабатывает цифровую платформу удаленной идентификации

1 июля в России будет запущена Единая биометрическая система – цифровая платформа, которая позволит гражданам удаленно открывать счета, вклады и получать кредиты без личного посещения отделения банка. Как биометрия обеспечит цифровое доверие между гражданами и банками? Как система поможет выявлять мошенников и какие новые возможности получат банки? Давайте разбираться.

С БИОМЕТРИЕЙ БЕЗОПАСНЕЕ

Удаленная идентификация для каждого из нас не является чем-то новым: мы давно привыкли получать услуги в «цифре». Каждый день мы вводим пароли для открытия социальных сетей, электронной почты, заказа гаджетов или продуктов питания в интернет-магазинах. Быстро вводя свои персональные данные в формы регистрациии, мы мало заботимся об их сохранности и редко интересуемся, какие варианты защиты использует сервис. Как результат – каждый день появляются новости об утечках персональных данных из организаций различного масштаба. Специалисты по безопасности традиционно линчуют пользователей за безответственное отношение к предоставлению своих персональных данных, но давайте подумаем: если система в большинстве случаев работает плохо, где проблема, в пользователях или самой системе? Факты показывают, что в большинстве случаев проблема лежит в подходах к идентификации и аутентификации. Рассмотрим некоторые из них.

Пара "логин-пароль". Из-за сложившейся среди пользователей практики вводить один и тот же пароль на множестве сайтов, записывать пароли на бумажку или сохранять в слабо защищенных системах управления, пара логин/пароль уже давно не является достаточным фактором защиты при проведении важных операций. Мы наблюдаем порочный круг: чем важнее для пользователя сохранность данных, тем более сложный и уникальный пароль к системе он использует и тем в большем количестве мест он в дальнейшем сохранит запись «логин/пароль» для оперативного доступа к данным. Попыткой повлиять на ситуацию и сделать парольную защиту более эффективной стало изменение в NIST в 2017 году подходов к парольной политике организаций. Однако, повсеместным применение этих правил станет еще не скоро, а повышение защищенности даже после ввода изменений будет не столь значимым.

Чтобы подтвердить личность пользователя в критических системах необходимо использовать многофакторную аутентификацию: такой подход предусмотрен и в недавно вступившем в силу стандарте проведения карточных транзакций PCI DSS 3.2, и в новом гайдлайне NIST, и в ряде других документов и стандартов в области информационной безопасности. Классическая парадигма аутентификации в системе включает три фактора:

  • то, что ты знаешь (например, пароль);
  • то, чем ты владеешь (идентификатор, цифровой сертификат);
  • то, чем ты являешься (биометрические данные пользователя системы).

Усиленная аутентификация пользователя достигается использованием двух или более факторов.

Цифровые сертификаты – надежный метод аутентификации и его легко использовать. Но все же он имеет серьезный недостаток: токен легко украсть или потерять. В результате злоумышленник может так же просто воспользоваться токеном, как его и легальный владелец. Кроме того, сама процедура выдачи и обслуживания цифрового сертификата для доступа к массовым системам является сложной и дорогостоящей.

Проще и дешевле аутентифицировать пользователя в системе с помощью SMS-кода или push-уведомления в качестве второго фактора. Однако, такие способы подтверждения личности аналитики информационной безопасности считают недостаточно надежными, так как перехватить SMS-сообщения с кодом им удается в 100% случаев.

Наиболее надежным и простым в использовании способом аутентификации является применение биометрических данных вместе с парой логин/пароль. Биометрия при этом является «ключом», который невозможно потерять и крайне сложно подделать.

БИОМЕТРИЯ В МИРЕ

Биометрические системы для идентификации граждан при решении различных государственных задач все чаще применяются по всему миру. Граждане различных стран уже сегодня используют электронные паспорта и визы, цифровые водительские удостоверения и так далее. На 2017 год по оценке J’Son & Partners половина всех проектов по биометрии является государственными. Внедрение биометрических систем позволяет улучшить системы противодействия мошенничеству при пересечении границы, позволяет проводить полноценные электронные выборы. Примерами массового использования биометрии являются национальные программы «биометрической переписи» населения, такие как SIBIOS в Аргентине и Aadhaar в Индии. В последней зарегистрировано свыше 80% граждан страны. Такая высокая глубина проникновения биометрических технологий дает практически неограниченные возможности в создании новых цифровых услуг, биометрические системы становятся плацдармом для создания полноценного цифрового общества.

Параллельно мы наблюдаем рост числа коммерческих проектов с использованием биометрии, в первую очередь – в финансовой отрасли, где вопросы эффективного взаимодействия с клиентами и защиты от фрода стоят наиболее остро. По прогнозам J’Son & Partners, к 2022 г. на финансовые организации будет приходиться цифровых сервисов 27,5% против 15% в 2017 году. В целом по оценке аналитиков к 2022 году 2/3 проектов по биометрии будут реализованы в коммерческих целях. (Рис. 1).

Рис. 1.  Тенденции применения биометрии в мире

СЕЛФИ ДЛЯ БАНКА

В России, как и во всем мире, финансовый сектор является технологически наиболее зрелым. В последние годы кредитные организации реализовали ряд проектов с использованием биометрии и продолжают активно развивать это направление. Новые системы позволяют кредитным организациям усовершенствовать антифрод-системы и улучшить качество взаимодействия с клиентами банка (например, при работе колл-центров).

В то же время в России применение биометрии в финансовом секторе для привлечения новых клиентов до недавнего времени имело серьезные правовые барьеры: банки не могли дистанционно открывать счета, вклады и кредиты. Ситуация в правовом поле изменилась 31 декабря 2017 г.: Президентом РФ был подписан Федеральный закон №482-ФЗ, который вносит поправки в закон №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». В результате с 1 июля 2018 года банки смогут удаленно идентифицировать граждан на основе их биометрических характеристик и открывать счета без необходимости личной явки гражданина в отделение банка.

Механизм удаленной идентификации очень прост. Чтобы воспользоваться услугами любого интересующего банка, гражданину нужно будет лишь зарегистрироваться в Единой биометрической системе, сдав свои данные (фото и запись голоса) в ближайшем отделении любого банка, использующих Единую биометрическую систему В дальнейшем на открытие счета в другом банке у гражданина уйдет не более минуты: достаточно будет скачать на мобильное устройство приложение банка, авторизоваться на портале Госуслуг и верифицироваться в Единой биометрической системе, отправив видео со своим изображением и произношением указанных на экране смартфона цифр, и принять условия соглашения с банком. (Рис. 2).

Рис. 2. Механизм использования Единой биометрической системы

ПРИНЦИПЫ ПОСТРОЕНИЯ ЦИФРОВОЙ ПЛАТФОРМЫ УДАЛЕННОЙ ИДЕНТИФИКАЦИИ

Чтобы реализовать внешне простой механизм удаленной идентификации, «Ростелеком» разрабатывает цифровую платформу. Драйвером для создания системы стала принятая недавно государственная программа «Цифровая экономика»: повысить доступность цифровых сервисов, обеспечив при этом высокий уровень защиты информации, возможно только внедрив новые принципы предоставления доступа к услугам, традиционно реализуемым в ходе личного визита гражданина в организацию. Единая биометрическая система по сути является сквозной технологией, которая может быть применена в любой отрасли экономики.

Чтобы сделать Единую биометрическую систему максимальной удобной и обеспечить высокий уровень безопасности, в платформе заложен ряд принципов.

Мультимодальность. Для проекта выбраны два типа биометрии: голос и лицо, причем не по отдельности, а вместе, поскольку две модальности позволяют определить «живого человека», а не имитацию его биометрии в цифровом канале. Лицо и голос – самые доступные и распространенные технологии на сегодняшний момент. Идентификация по рисунку вен, сетчатке глаза или отпечатку пальцев требует наличия специального считывающего оборудования, недоступного в массовом сегменте. Стоит отметить, что доступность технологий на сегодняшний день не является ограничивающим фактором для их применения в будущем. В перспективе в платформу можно будет добавить и другие модальности.

Мультивендорность. К участию в проекте привлечены ведущие российские разработчики в области биометрии, их программные продукты по результатам независимых международных тестов занимают призовые места. В рамках каждой модальности Единая биометрическая система работает с технологиями нескольких вендоров. Лучшие технологии на текущий момент выбираются на основе открытого тестирования по методике, разработанной Русским биометрическим обществом. Такой подход позволяет обеспечить лучшее распознавание биометрии сейчас и в будущем. Единая биометрическая система – это открытая платформа, присоединиться к ней могут любые вендоры биометрии и на любом этапе, если качество работы их алгоритмов будет соответствовать заданным нами критериям.

Liveness. Способность детектировать подделку вместо «живого человека» - это одна из ключевых возможностей Единой биометрической системы. В цифровой платформе комбинируются различные методы детектирования и определяются лучшие из них на текущий момент времени; в клиентском сценарии различные методы динамически комбинируются. Результатом такого подхода становится выявление мошеннических действий при использовании системы и возможность оперативного реагирования на них.  

Выявление аномалий. Единая биометрическая система сможет не только определять мошенников во время удаленной идентификации, но и усилить банковские системы защиты от фрода. Каждый пользователь обладает определенным профилем поведения: об этом говорят параметры его устройства, данные о местоположении, информация о проводимых ранее процедурах верификации в Единой биометрической системе и т.д. Чтобы с высокой точностью определять, какое поведение является аномальным, Единая биометрическая система использует технологии машинного обучения и анализирует подробные сведения о действиях и операциях.

Безопасность данных. Безопасности данных в Единой биометрической системе уделяется особое внимание. «Ростелеком» является одним из лидеров на рынке кибербезопасности, поэтому система будет обеспечена высоким уровнем защиты. Важным является и то, что данные в Единой биометрической системе хранятся в обезличенной форме и отдельно от персональных данных, включенных в базы ЕСИА (Единая система идентификации и аутентификации). Связка между системами осуществляется по уникальному идентификатору. Для защиты от MITM-атак биометрические данные гражданина в Единую биометрическую систему будут передаваться по защищенному отечественными криптоалгоритмами каналу связи. Для этого «Ростелеком» разрабатывает специальное мобильное приложение со встроенными криптографическими средствами защиты информации.

Обеспечить безопасность биометрических данных и выявлять мошеннические действия – важные аспекты работы Единой биометрической системы, но при этом очень важным является и тот факт, что использование биометрии не отменяет необходимости выстраивать эшелонированную систему защиту в банке или любой другой организации, которая планирует использовать Единую биометрическую систему.

БЕЗОПАСНОЕ ЦИФРОВОЕ БУДУЩЕЕ

Единая биометрическая система – один из первых шагов к построению цифровой экономики России. Задача системы – дать равный доступ к цифровым услугам гражданам, проживающим во всех регионах страны и людям с ограниченными возможностями. Мы создаем платформу для безопасной удаленной идентификации, которая позволит не просто открывать счета в банках. В будущем эта система станет основой для получения любых цифровых услуг – государственных, муниципальных, коммерческих – удаленно, «не вставая с дивана», что значительно повысит качество жизни каждого из нас.