При перепечатке материалов просим публиковать ссылку на портал Finversia.ru с указанием гиперссылки.
Вторая практическая конференция журнала «Банковское обозрение» «Удаленная идентификация и биометрия в финансовой отрасли: регулирование, технологии, решения» собрала 10 февраля 2017 года в Москве 150 участников (в том числе 54 делегатов из 30 банков) с тем, чтобы приблизиться к единому для всех пониманию того, как, где и когда эта технология может быть реально применена в банках.
Похоже, история споров между регулятором и профсообществом финансового рынка в отношении вопроса о полной удаленной идентификации при ДБО близится к своему завершению. На конференции представители Банка России, Минкомсвязи и электронного правительства заявили о том, что пилотный проект в рамках инновационной системы удаленной идентификации банковских клиентов они готовы запустить уже в текущем году. При этом в качестве элементов надежности будут использованы биометрические параметры. «Узнавать» клиента планируют по изображению лица и по голосу. В качестве дополнительного элемента сейчас обсуждается вариант с привязкой клиента к номеру мобильного телефона. В Беларуси, к примеру, такая привязка является одним из главных условий в национальной системе удаленной идентификации, которая в этой стране давно сформирована и вполне успешно работает.
По словам модератора мероприятия Эльмана Мехтиева, исполнительного вице-президента Ассоциации российских банков (АРБ), сейчас впервые за последние пять лет, в течение которых муссируется тема удаленной идентификации, участникам финансового рынка удалось прийти к единому пониманию того, как этот процесс можно поставить на поток. «И биометрия лежит в основе этого понимания. Это то, что неотделимо от человека», — сказал Эльман Мехтиев. Драйверами развития биометрии в мире, по его мнению, сейчас являются попытки разных стран наладить миграционный контроль, а также стремление частного бизнеса перейти в цифровое пространство.
Для нашей страны Иван Зимин, начальник отдела применения финансовых технологий Центра финансовых технологий Департамента финтеха, проектов и организации процессов Банка России, сформулировал условия развития удаленной идентификации несколько проще. «Драйвером в России должно стать желание граждан получать государственные и финансовые услуги в дистанционном режиме», — заметил он.
По словам Ивана Зимина, на сегодня ЦБ РФ, Минкомсвязь, Росфинмониторинг и активисты банковского профсообщества совместно уже завершили разработку схемы, по которой будут осуществляться сбор биометрических данных клиентов, их идентификация, а также последующее оказание им финансовых услуг в дистанционном режиме. «Мы максимально старались, чтобы система была простой и доступной, не перегруженной техническими и процедурными элементами, но при этом безопасной», — рассказал представитель регулятора. Он также проинформировал собравшихся, что все необходимые поправки в законодательство, а также подзаконные и ведомственные нормативы планируется принять уже в этом году. Кроме того, как рассказал Данила Николаев, председатель Технического комитета (ТК 098) «Биометрия и биомониторинг» Росстандарта, директор НП «Русское биометрическое общество», в России уже есть ГОСТы, которые позволяют работать с биометрическими технологиями. «Многие необходимые стандарты были разработаны еще в середине нулевых, когда государством была поставлена задача по созданию паспортно-визовых документов нового поколения», — отметил специалист.
Центральным звеном и основным механизмом системы идентификации в России станет Единая система идентификации и аутентификации (ЕСИА), более известная в народе как портал Госуслуг. «ЕСИА пользуется доверием граждан и уже сейчас содержит частичный набор информации, который необходим при удаленной идентификации и который требуется для реализации ФЗ-115», — пояснил Иван Зимин. Сегодня в этой системе зарегистрировано более 40 млн пользователей.
О том, каким будет алгоритм удаленной идентификации с использованием биометрических данных, рассказал Евгений Беляев, руководить проектов по развитию ЕСИА Минкомсвязи. Сначала для проведения процедуры первичной идентификации человек должен лично прийти в офис одного из банков, которым ЦБ предоставит соответствующие полномочия (какие это будут банки, пока не определено). «Там он должен предъявить паспорт и сдать биометрические данные, которые по защищенным каналам передаются в систему идентификации ЕСИА. Далее у пользователя запрашивается согласие на регистрацию в системе. Данные проверяются в информационных системах ПФР, МВД, ФНС и сохраняются в ЕСИА», — описал последовательность действий Евгений Беляев.
Дальше человек может свободно пользоваться учетной записью как для доступа к госуслугам, так и для получения финансовых услуг. Для этого достаточно со своего гаджета зайти на сайт любой кредитной организации (совсем не обязательно того банка, где была пройдена первичная идентификация), выбрать нужную услугу, после чего клиент будет переадресован на страницу портала Госуслуг. Там надо ввести свой логин и пароль, и по требованию предъявить биометрические данные, к примеру отправить свое селфи или произнести предложенный текст (генерируется системой непосредственно в момент запроса). Таким образом, человек проходит вторичную идентификацию и затем аутентификацию, после чего он может быть допущен к получению услуги.
А может и не быть. Поскольку регулятор сохраняет за банком, в котором запрашивается услуга, право в ней отказать, если, к примеру, система определит недостаточную степень соответствия биометрических данных «оригиналу», который был получен при первичной идентификации. «То, что теперь банк имеет право не открывать счет, это очень важный момент, который раньше мешал профсообществу и регулятору прийти к согласию. Прежде Центробанк говорил, что банк обязан открыть счет, но потом ему дается право его закрыть. Теперь банк сможет сам решать — брать на себя ответственность, если уровень совпадения с биометрическими параметрами составляет, скажем, 93%, или не брать», — вставил ремарку Эльман Мехтиев.
По словам Ивана Зимина, изначально для пользователей системы удаленной идентификации будут введены лимит на переводы и платежи, ограничение перечня операций. «Однако в случае, если по результатам тестирования мы поймем, что риски минимальны, ограничения будут ослаблены», — сказал он. «Внедрение “регуляторки” для удаленной идентификации для всех важно. По моему глубокому убеждению, внедрение полной удаленной идентификации — это еще один шаг в пользу построения цифровой экономики. Для любой кредитной организации переход в онлайн — это существенный шаг вперед с точки зрения сокращения своих собственных операционных издержек на содержание розничных офисов. Кроме того, это новый способ получения конкурентных преимущество за счет привлечения клиентов в цифровом мире. Это касается не только финансового сектора, но и отраслей промышленности, системы здравоохранения, образования. Везде есть вопросы, связанные с удаленной идентификацией и работой с персональными данными», — высказал свое мнение по поводу обсуждаемых новаций Иван Беров, директор программ стратегических инноваций компании «Ростелеком» (является оператором ЕСИА).
В некотором роде диссонансом большинству докладов в первой части конференции прозвучало выступление Алексея Сабанова, заместителя генерального директора компании «Аладдин Р.Д.», который предупредил об очень высокой опасности ошибок в системе идентификации по биометрическим элементам, а также утечек информации из ЕСИА. «Я скажу, как это выглядит с точки зрения науки. Получается, что при первичной идентификации мы составляем базу образцов, а потом сравниваем с ними то, что предоставят клиенты банка при запросе услуги. Но нужно понимать, что от правильности составления этой базы у нас сильно зависит качество вторичной идентификации. Причем ошибки с каждым следующим разом многократно увеличивают погрешность в работе системы», — сообщил Алексей Сабанов. При этом он напомнил, что согласно исследованиям, которые два года назад проводил Росфинмонитоинг, информация в различных государственных базах данных (в том числе в ЕСИА) совпадала лишь на 70%. «Я не верю, что за два года ситуация сильно улучшилась», — предолжил эксперт.
Liveness detector становится обязательным
Вторая секция конференции была посвящена практическим кейсам реализации биометрических технологий в финансовых компаниях. По понятным причинам легальных внедрений решений по удаленной биометрической идентификации в России еще не было, поэтому речь шла о тех проектах и «пилотах», которые призваны решать другие вопросы, не покрываемые требованиям регуляторов.
Речь шла прежде всего об «умной» очереди в отделениях банков, повышении уровня клиентского сервиса в call-центрах, мобильных решениях и т.д. И, конечно, в центре внимания экспертов находился вопрос: что из уже наработанного опыта можно быстро имплементировать в будущие системы удаленной идентификации?
Открыл эту секцию представитель генерального партнера конференции Алексей Закревский, директор по развитию бизнеса компании «Центр речевых технологий» (ЦРТ), докладом «Обзор биометрических технологий для дистанционной идентификации». Наиболее интересным моментом его презентации стал рассказ об уязвимостях биометрических систем. Так, для любой биометрической модальности существует два наиболее опасных варианта атаки на устройство ввода: запись и повтор, а также синтез и преобразование.
В первом случае злоумышленником используется видео или фото другого человека либо слепка отпечатка пальца другого человека. Во втором варианте применяется преобразование речи злоумышленника в речь другого человека. Возможно использование специальных фильтров для создания лица другого человека. Набирают популярность синтезаторы речи. В качестве примера Алексей Закревский привел нашумевший случай, когда хакер Ян Крисслер использовал доступные программы и несколько высококачественных снимков руки министра обороны Германии (Урсулы фон дер Ляйен) и получил цифровую копию ее пальца. Поэтому статические методы биометрии постепенно уступают место динамическим бимодальным, где использование детектора живого пользователя (liveness detector) становится возможным и даже обязательным. Для практической реализации детектора достаточно камеры и микрофона любого смартфона или компьютера, информация с которых комбинируется и дает подтверждение «живого» пользователя, например, за счет анализа движения губ синхронно с речью. Возможна комбинация голоса с мимикой, информацией по глубине изображения или динамической парольной фразой. С дополнительным оборудованием можно использовать такие динамические факторы, как теплограмма, пульс или карта кровеносных сосудов. Проверить, как все это работает, можно на портале государственных услуг, когда требуется дополнительное подтверждение личности.
Но любая теория неполна без практики. Этот «пробел» в выступлении Алексея Закревского «исправили» Елена Дегтева, начальник управления дистанционного банковского обслуживания ВТБ24, и руководитель проекта Дмитрий Ющенко в совместном докладе «Практические кейсы и “подводные камни” использования биометрии (селфи+голос) в мобильном приложении». Речь шла о «пилотировании» решения OnePass «Распознавание лица и голоса» компании ЦРТ и ВТБ24.
В основе решения лежит аутентификация клиента по лицу и голосу (один раз за сессию) вместо подтверждения операций одноразовым паролем. Для этого сначала клиент проходит стандартную аутентификацию в мобильном банке и создает эталон (цифровую модель лица и голоса). Далее при каждом последующем входе в мобильный банк клиент вводит логин+пароль (или отпечаток пальца) и дополнительно произносит цифры с экрана, глядя в камеру смартфона. Постановка задачи «пилота» банком была осуществлена в сентябре 2016 года, а его итоги надеются подвести в начале апреля 2017 года. Одним из «подводных камней», о которых упомянула Елена Дегтярева, была проблема юзабилити: даже попасть лицом в специальную рамку, подсвечиваемую на экране, поначалу людям было довольно непросто. И таких «мелочей» набралось множество, в том числе и с голосовой биометрией, не только с видео.
Эдуард Моссаковский, руководитель проектов компании VisionLabs, выступавший далее, предложил подробнее рассмотреть сильные и слабые стороны систем биометрической идентификации. Он еще раз признал, что отпечатки пальцев злоумышленники сейчас подделывают с помощью 3D-принтеров, фразы и целые предложения синтезируют в аудиоредакторах, строят 3D-маски, копируют мимику. Поэтому существует целый спектр мифов о недостатках биометрии. Но вот достижения в области компьютерного зрения разбивают эти мифы вдребезги.
В качестве примеров достижений он привел магазин Amazon, работающий без касс и очередей в американском Сиэтле; распознавание лиц туристов и пассажиров, прибывающих в Китай; антифрод системы в банках (в том числе платформу VisionLabs LUNA, внедренную в Kaspi Bank, в Equifax Fraud Prevention Service (FPS.Bio), в Почта Банке для защиты информации от несанкционированного доступа и авторизации сотрудников для доступа к внутренним системам банка). Так что биометрия биометрии рознь.
Темой выступления Александра Дынина, директора департамента платежных сервисов и систем Банка «Открытие», стала «Интеграция распознавания лиц в процессы банковского обслуживания». Речь шла о прототипе системы, оптимизирующей работу фронт-линии в отделении Банка. Сейчас реализуются тестирование распознавания лиц и поиск в «живой» базе, отрабатываются алгоритмы обучения системы. В качестве задачи обозначено получить статистику качественных показателей работы системы на не менее чем 300 тыс. циклов распознавания и поиска. Кроме того, необходимо согласовать внутренние критерии и пороги для различных практических применений. Помимо всего прочего происходит калибровка «железа» и софта для достижения наилучших результатов и создания «идеального» рабочего прототипа устройства для фронт-офиса.
Идентификация происходит в трех офисах в Москве в момент получения талона электронной очереди. Терминал фотографирует клиента автоматически. Сравнение производится по базе данных, содержащей фотографии клиентов из собственных систем Банка. Информация обо всех сравнениях, а также все новые фотографии записываются в базу для последующего анализа и оценки. Результаты выборки из базы данных фотографий выводятся операционисту для подтверждения корректности распознавания и сопоставления живому клиенту. Предполагается, что все перечисленное сможет сократить время общения посетителя с операционистом примерно на минуту.
Технология биометрии по венам ладоней нашла свое отражение в выступлении Александра Дремина, генерального директора компании Прософт-Биометрикс. Первым делом эксперт поставил вопрос: «Что важнее? Точность идентификации, стоимость владения или удобство использования?». Ответ, по его мнению, однозначен — метод мультиспектрального сканирования вен ладони: вены расположены под кожей, движение крови обеспечивает liveness, гигиеничность, долговечность сканера, а сам метод абсолютно безвреден для человека. Подобные преимущества обеспечили вход в проект «Ладошки» одного крупного банка, а в других банках решение работает в системах обеспечения доступа в кассы и хранилища, а также к депозитным ячейкам и ключницам.
Дамир Галиев, руководитель проектного офиса инновационного развития Банка «АК БАРС», заинтриговал делегатов докладом «О методе поведенческой идентификации в мобильном приложении банка». Технология анализирует: клавиатурный почерк, манеру работы с мышкой, взаимодействие с тачскрином, манеру удержания устройства и т.д. Кроме того, в анализируемые параметры входит информация от функциональных систем устройства: процессор, память и т.д. Все это дает непрерывную защиту пользовательского аккаунта, предотвращение мошеннических платежных транзакций, ограничение создания аккаунтов мошенниками, дешевый способ двухфакторной аутентификации, выявление работы мошеннических скриптов, а также удаленную идентификацию пользователей.
FIDO против «велосипедов»
Михаил Эссаулов, руководитель направления АльфаЛаб (Альфа-Банк), открыл вторую половину второй сессии выступлением: «Удаленная идентификация при оформлении займа. Кейс проекта “Поток”». Он напомнил, что в «Потоке» кредит выдает не банк или МФО, а тысячи пользователей сайта «Поток». Для пользователей это альтернатива вкладу, для юридических лиц — моментальные деньги без банковских сложностей. В этом проекте своей сверхзадачей спикер назвал «отказ от бумажных заявлений при выдаче кредитов».
Выбор был сделан в пользу биометрических технологий. Это решение основывалось на опросе пользователей этой площадки. На вопрос: «Готовы ли вы предоставить свои биометрические данные банку?» 43,9% пользователей ответили «Скорее да», а еще 19,4% — «определенно да». Почему? Всем понятно, что биометрия способна как ускорить бизнес-процессы, так и удешевить их. Но вот 73,3% опрошенных оказались «не в тренде» и предпочли бы отпечатки пальцев, а 22,5% — сканирование сетчатки глаза.
Выступавший следом Павел Гурин, член правления, директор Фабрики продуктов Почта Банка, с докладом «Биометрия в Почта Банке» оказался точно «в тренде», рассказывая о том, чего удалость достичь при помощи банальных и дешевых камер видеонаблюдения, а также веб-камер, установленных рядом с операционистами. Помимо всего прочего при помощи этих систем удалось снизить ошибки персонала при фотографировании клиентов и внутренний фрод. Но особый интерес вызвали планы Банка на будущее. В их числе оказались регистрация клиента, авторизация клиента и подтверждение операций.
В первом случае целью является упростить процесс первичной регистрации или восстановления доступа в ДБО для клиентов Банка, сохранив высокий уровень безопасности, а также использование распознавания биометрических данных (лицо, голос) в качестве второго фактора при регистрации клиента вместо трудно запоминаемых данных: кода доступа, номера счета и т.п. Цель второй задачи — упростить процесс авторизации клиента, сохранив высокий уровень безопасности. Наконец, в третьем пункте удается упростить процесс подтверждения рядовых операций, сохранив высокий уровень безопасности, а для высокорисковых операций — повысить уровень безопасности.
Яркой и запоминающейся получилась презентация Андрея Чучелова, директора департамента голосовых цифровых технологий компании BSS, в которой он остановился на преимуществах использования голосовой идентификации. В частности Андрей Чучелов коснулся BSS Voice SDK — инструмента для простого и быстрого встраивания сервисов анализа голоса в приложения и бизнес-процессы банка. Такой биометрический фактор, как голос, помимо всех тех достоинств, о которых говорили предыдущие ораторы, может до момента полного нормативно-правового регулирования вопросов применения биометрии, уже сейчас, быть применен как дополнительный индикатор в процессах персонального обслуживания клиентов.
Голосовой мобильный банк, о котором также упомянул докладчик, стал ответом BSS на требования концепции голосового приложения для банков. В нем голосовой интерфейс, использующийся как дополнительный функциональный слой, обеспечивает применение смартфона в режиме «Hands free» от начала и до конца сессии, а также гарантирует быстрый запуск приложения — начало обслуживания сразу без пароля с очевидной обратной связью. Безопасность в сочетании с приемлемым уровнем удобства при этом обеспечивается работой по шаблонам с верификацией каждой команды.
Блок выступлений разработчиков продолжил Анатолий Боков, генеральный директор компании «Сонда Технолоджи», с темой «Использование в банках систем идентификации по отпечаткам пальцев в реальном времени». Почему отпечатки пальцев и почему в реальном времени? Ответ прост: уже сейчас существуют базы данных отпечатков пальцев с десятками и сотнями миллионов записей, и количество таких баз стремительно растет. Опыт практического применения говорит о необходимости хранения в таких структурах отпечатков всех десяти пальцев, а вот поиск в них становится весьма нетривиальной задачей. Выход из такой непростой ситуации «Сонда Технолоджи» видит в применении алгоритмических ускорителей с двумя проходами по базе шаблонов: быстрым и медленным.
Тот же опыт практической эксплуатации говорит, что максимальный эффект достигается, если реализацией подобного проекта будет заниматься специализированная компания на коммерческой основе — банки платят за услугу по аналогии с обращением в бюро кредитных историй. Понятно, что эта компания должна получить все необходимые лицензии и сертификаты.
Александр Мец, руководитель направления бизнес-решений компании Samsung, выступил с докладом «Мобильная идентификация для банков». Предваряя многочисленные вопросы из зала о предвзятости Samsung и навязывании клиентам и банкам своих условий в рассматриваемой теме, он подробно рассказал о технологии Fast IDentity Online (FIDO), инновационном методе для аутентификации пользователя на основе уникальных неизменяемых биологических признаков. FIDO обеспечивает безопасность для всех мобильных банковских услуг, включая управление учетными записями, запросы, переводы, кредиты и депозиты. А SDS FIDO позволяет заменить или совершенствовать традиционные способы аутентификации, такие как ID и пароли, с помощью биометрической идентификации.
Но «FIDO — это не только технология, это и международный альянс, который объединяет более 150 компаний и занимается разработкой стандартов строгой аутентификации для доступа к онлайн-ресурсам и т.д. Samsung является членом этого альянса, поэтому никому и ничто навязать не может», — дал достойный ответ критикам Александр Мец.
В финале конференции с неожиданно бодрым, энергичным и обстоятельным докладом «Противодействие мошенничеству при удаленной идентификации клиента: Опыт Oz Forensics», в целом не характерным для уже почти состоявшегося мероприятия, выступил Артем Герасимов, генеральный директор OZ Forensics. Компания молодая, тем не менее довольно известная в секторе информационной безопасности, победитель Skolkovo Cybersecurity Challenge 2016, Finopolis 2016 и т.д.
Основная мысль выступления заключалась в том, что новые технологии идентификации ведут к появлению новых видов мошенничества (фрода), связанных как с примитивными подделками документов в Photoshop, так и с более изощренными методами и крадеными документами. В этом случае фродерам можно противопоставить видеоидентификацию со специалистом, «умное» исследование видеоизображений, а также идентификацию через партнеров офлайн. Автоматизировать подобные бизнес-процессы призвана программная платформа Oz Forensics, имеющая такие функциональные модули, как OZ PhotoExpert (обнаружение цифровых подделок в потоке электронного документооборота), OZ Biometry (биометрическая идентификация по фото и видео) и OZ Text (извлечение текста из цифровых копий паспортов в анкетные формы).
Что в итоге? Александр Мец, упомянувший об альянсе FIDO, вольно или невольно заставил аудиторию в сессии заключительных вопросов и ответов вспомнить яркий доклад из первой секции в исполнении Алексея Сабанова из «Алладин Р.Д.», который явно оппонировал позиции представителя АРБ, Эльмана Михтеева, выполнявшего роль модератора конференции.
В первом случае речь шла о громадном опыте участников международных альянсов (в том числе в области токенов и неизвлекаемых ЭЦП) в противовес попыткам построения на уровне нескольких федеральных несиловых органов своего собственного решения, где, к огромному сожалению представителя «Алладин Р.Д.», пока не нашлось ни единого должностного лица, готового взять на себя ответственность, скажем, за утечку персональных биометрических данных.
Также осталось не до конца понятным, чем должны руководствоваться банки, чтобы начать сбор и обработку первичной биометрии: это только социальная ответственность или что-то еще? А что касается технологий, то доклады разработчиков показали, что многое уже вышло на уровень промышленных решений, часть которых присутствующие в зале банкиры успешно на свой страх и риск внедряют у себя. Зато, как и планировалось, участникам конференции явно удалось приблизиться к единому для всех пониманию того, как, где и когда биометрические технологии могут быть реально использованы в банках и где находятся болевые точки, препятствующие ускорению динамики.
Москва.
обсуждение