18.06.2014

Биометрия не роскошь

"Национальный банковский журнал", № 6 (121), июнь, 2014<br>
Экспертный комментарий Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."

Природные данные человека давно и эффективно используются мировым банковским сообществом с целью идентификации личности. ДНК, ладонь, сетчатка глаза, голос, лицо стали эффективной заменой токенов, систем ввода паролей и смарт-карт. Средства биометрической идентификации разнообразны, более того, они могут быть использованы в разных целях.

Многоликая биометрия

В середине нулевых Япония ввела в действие 80 тыс. банкоматов и других устройств, оснащённых биометрическими технологиями. Данный опыт успешно переняли в Польше: на сегодняшний день в стране функционируют около двух тысяч банкоматов фирмы Hitachi со сканерами отпечатков пальцев, которые демонстрируют эффективность без процедуры ввода ПИН-кода. Пример японцев также вдохновил Бразилию и Турцию.

Первая по популярности тройка биометрических технологий – распознавание по отпечаткам пальцев, радужной оболочке глаза и геометрии лица.

Большую часть рынка биометрических технологий занимают сервисы, основанные на распознавании отпечатков пальцев. Их востребованность обусловлена относительно невысокой стоимостью, а также детальной проработкой криминалистами. Для правоохранительных органов многих стран биометрия по отпечаткам пальцев по сей день остаётся актуальной. Данный вид идентификации предполагает анализ структуры папиллярных узоров на пальцах рук человека. Отсканированные устройством показатели конвертируются в цифровой код за одну-три секунды, после чего перемещаются в базу данных. С одной стороны, малейшее физическое повреждение способно прервать процесс проверки, с другой – больше ни одна из биометрических методик не предполагает наличия такого количества взаимозаменяемых объектов для аутентификации.

Биометрические технологии, в основе которых лежит сканирование отпечатков пальцев, могут серьёзно усовершенствовать работу банка: выявить случаи использования поддельных документов недобросовестными заёмщиками, улучшить качество кредитного портфеля, минимизировать бумажную волокиту за счёт доскональной идентификации личности клиента, сделать более продуктивным сотрудничество с органами правопорядка.

Задаче идентификации личности по лицу отвечает целое семейство разработок из США, Германии, России и других стран мира. Абсолютно все сервисы, несмотря на отличия друг от друга, устанавливают сходство по чертам лица и форме головы человека. В ряде случаев разработчики выпускают одновременно программное обеспечение, сканеры и серверы, иногда только ПО, способное работать в связке с обычной камерой.

В процессе аутентификации по лицу выделяются губы, нос, глаза и очертания бровей человека, после высчитывается расстояние между ними и выстраивается трёхмерная матрица. При этом, хоть и не всегда, учитываются погрешности: вероятность наклона головы, поворота лица, изменения мимики. Главный плюс данного метода состоит в отсутствии необходимости контакта со специальным оборудованием, впрочем, дороговизна разработок в данной области не позволяет им полноценно конкурировать с идентификацией по отпечаткам пальцев.

Менее популярным, но всё же достаточно разработанным является метод идентификации человека по радужной оболочке глаза. Бесспорным лидером по производству сканеров данной категории является компания Iridian Technologies. Процесс распознавания по радужной оболочке происходит путём захвата изображения глаза и дальнейшего сравнения его вычислителем с хранящейся в базе данных информацией.

В России данная система апробирована лишь несколькими банковскими отделениями по обслуживанию клиентов премиум-сегмента. В перспективе она может быть использована кредитными организациями, делающими ставку на развитие банкоматных сетей и интернет-банкинга.

Не следует путать идентификацию по радужной оболочке с распознаванием по сетчатке глаза. В последнем случае распознается сеть кровеносных сосудов глазного дна, на которое направляется луч света. После этого происходит сканирование особой камерой.

С уверенностью можно назвать перспективным способ биометрической идентификации по голосу. Разработчики наперебой говорят о его надёжности и удобстве. В основе метода – уникальность голоса отдельно взятого человека, невозможность его подделки.

Данные исследования компании Biometrics Research Group Inc., посвященного голосовой биометрии, показали возрастающую популярность разработок в данной области – их рынок продолжает расти. По оценкам экспертов, к 2015 году выручка от продажи решений для распознавания голоса должна достигнуть 2,5 млрд долларов.

Голосовая биометрия особенно удобна для call-центров, так как позволяет идентифицировать человека на расстоянии, не прибегая к использованию специальных устройств – распознавание проходит с помощью телефона или другого снабжённого микрофоном устройства.

Указанный тип аутентификации может удачно дополнить распознавание по лицу – сочетание двух технологий позволит обезопасить операции, производящиеся, в частности, с помощью интернет-банкинга.

Возможно применение двух типов голосовой идентификации: при одном содержание произносимого клиентом текста неважно – это может быть произвольный набор слов, в процессе второго должен озвучиваться определенный звуковой пароль. В обоих случаях происходит сличение образца голоса из базы данных с непосредственно записываемым.

Голосовая биометрия идеально подходит для использования в кредитных организациях, с её помощью можно предотвращать кредитное мошенничество, вовремя находя в базе данных образцы голосов недобросовестных заёмщиков. Первой финансовой компанией, применившей метод голосовой биометрии при идентификации в call-центре, стала Barclays Wealth and Investment Management.

К более редким видам биометрии можно отнести сканирование кровеносных сосудов ладони, на которое сделали ставку компании Hitachi и Fujitsu, метод, основанный на распознавании ДНК, теплограмму лица, верификацию подписи, способ идентификации по геометрии ладони.

С кого брать пример

С 2012 года в японском Ogaki Kyoritsu Bank функционирует биометрическая платёжная система, позволяющая снимать деньги в банкомате без пластиковой карты – достаточно поднести руку к сканеру, ввести ПИН-код и дату рождения.

Идентификация по глазу повсеместно распространена в США, с её помощью клиенты многих банков и пользователи банкоматов беспрепятственно получают доступ к своим средствам. Также американцы имеют возможность оплачивать покупки в магазинах, проходя процедуру идентификации по рисунку вен ладони.

Российский Лето Банк ещё в 2013 году протестировал систему биометрической идентификации по отпечаткам пальцев в нескольких городах, где работают отделения организации. Банк планировал оснастить специальными устройствами свою банкоматную сеть – для максимального удобства клиентов.

В апреле 2013 года ХКФ Банку совместно с правоохранительными органами удалось задержать шестерых граждан, подозреваемых в мошенничестве. Это произошло благодаря биометрической системе, основанной на сравнении фотографий потенциального заёмщика и предоставленной им информации с базой данных банка, в которой содержатся сведения более чем о десяти миллионах клиентов. "Наш банк обладает уникальной на российском рынке биометрической системой, которая постоянно совершенствуется. В марте 2013 года мы оптимизировали процессы сопоставления фотографий, сегментировав базу данных по регионам. Благодаря этому мы смогли значительно увеличить точность идентификации мошенников", – пояснили эксперты по управлению рисками ХКФ Банка.

В Фора-Банке биометрические технологии используются отделом кадров: сотрудники кредитной организации ежедневно проходят процедуру сканирования, после чего полученная информация анализируется HR-службой.

Биометрические технологии в состоянии повлиять на внутреннюю информационную безопасность финорганизации, минимизировать случаи инсайда. В отличие от токенов, смарт-карт и паролей биометрические данные не могут быть утеряны клиентом банка или целенаправленно переданы злоумышленнику, что делает их незаменимыми в деле укрепления информационной безопасности.

__________________________________________________________________

Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д."

В последнее время биометрия стала трендом во многих отраслях бизнеса. Это неудивительно, поскольку внедрение биометрических технологий становится доступным по цене. Современные системы биометрической идентификации способны обеспечить удостоверение личности человека, используя свойственные только ему одному характеристики (отпечатки пальцев, радужную оболочку глаза, голос и т.д.), с приемлемыми величинами ошибок первого и второго рода.

Поскольку отпечаток пальца у каждого человека уникален, его можно использовать для идентификации в PKI-системах. Биометрический параметр можно применять совместно с интеллектуальной смарт-картой и ПИН-кодом для обеспечения двух- или трёхфакторной аутентификации. Решение, построенное с использованием биометрической идентификации, максимально комфортно для пользователя, а время, необходимое для сканирования отпечатка, не превышает секунды. Современные сканеры невозможно обмануть, предъявляя муляж или оттиск.

Как это может помочь кредитно-финансовым организациям при обеспечении защиты данных или проводимых операций? Рассмотрим несколько вариантов использования биометрии в банках, реализуемой при помощи аппаратных устройств (смарт-карт и USB-токенов).

Прежде всего биометрия может быть использована при создании решений для клиентов. Цель – подтверждение принадлежности ключевого носителя (смарт-карты или USB-токена) пользователю. Приведу простой пример, с которым, к сожалению, в последнее время всё чаще сталкиваются банки. В офис кредитной организации приходит злоумышленник с поддельным паспортом подлинного клиента с целью снятия денежных средств со счёта, при этом сотрудники банка принимают мошенника за реального потребителя (фото в паспорте оказывается схожим и не вызывает подозрений). Операция завершена, денежные средства списаны, счёт пуст. Как защитить клиента от подобных действий злоумышленников? На мой взгляд, использование отпечатка пальца для идентификации пользователя может стать средством, снижающим риски реализации подобных атак.

Второй сферой применения смарт-карт (в комплекте со специальным биометрическим карт-ридером) и USB-токенов с функциями биометрической идентификации является их использование для сотрудников банка. Известны два сценария. Первый: зачастую специалисты передают свои средства аутентификации коллегам, что строго запрещено политикой безопасности (так называемый человеческий фактор невыполнения требований безопасности). При использовании смарт-карты, доступ к данным которой дополнительно защищён биоидентификацией, сотрудник банка не может выполнить то или иное действие не от своего лица.

Второй сценарий. В мировой практике уже давно и успешно применяется технология идентификации личности по отпечатку пальца для разблокирования токена (например, в случае превышения попыток неверного ввода ПИН-кода). Такая практика может быть использована внутри банка. Этот сценарий входит в число рекомендованных процедур стандарта FIPS PUB 201-2 Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2011.