Применима ли биометрия для удалённого доступа к финансовым услугам?
Статья Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
С осени 2016 года по настоящее время на банковских форумах идёт интенсивное обсуждение возможности применения биометрических способов идентификации клиентов организаций, осуществляющих операции с денежными средствами, в удалённом режиме.
О терминологии
Словосочетание "удалённая биометрическая идентификация" в нормативно-правовой базе РФ отсутствует (см., например, "Консультант+"). Есть понятия "доступ" и "удалённый доступ". Заметим, что для удалённого доступа требования выше, чем для доступа в локальной сети. Это понятно: при удалённом доступе кроме более жёстких требований к идентификации и аутентификации пользователя добавляются риски незащищённости компьютера, с которого совершается попытка доступа (вирусы, трояны, нерегулярное обновление системного и прикладного ПО и т.д.), к тому же добавляется необходимость защиты канала удалённого доступа.
Также в нормативно-правовой базе отсутствует понятие "удалённая идентификация". Имеется понятие "упрощённая идентификация", введённое в Законе № 115-ФЗ и получившее дальнейшее развитие в Приказе Росфинмониторинга от 17 февраля 2011 года № 59 применительно к анализу рисков операций, совершаемых клиентами. Тем не менее с лёгкой руки ряда специалистов гуманитарного профиля несколько лет назад термин "удалённая идентификация" появился в ряде статей — словосочетание ведь красиво звучит! При этом заметим, что в настоящее время не существует ни одной общепринятой модели исследования безопасности и надёжности идентификации, не говоря уже о соответствующей модели нарушителя. Учитывая, что до настоящего времени практически не исследованы проблемы удалённой идентификации, заявлять, что та или иная технология, используемая при этом, лучше или хуже другой, необходимо осторожно.
Особенности идентификации клиентов в кредитно-финансовой сфере
Исторически сложилось, что организации кредитно-финансовой сферы находятся на передовом фронте борьбы с киберпреступностью. Это не только давление западных поставщиков системного и прикладного ПО, но и хорошо вооружённые передовыми технологиями преступные группировки, а также разного рода злоумышленники. В последние годы число атак на системы банковского обслуживания и системы дистанционного банкинга непрерывно растёт. Курс Банка России на обеспечение киберустойчивости и применение риск-менеджмента во всех критичных операциях не подразумевает ослабления требований к обеспечению безопасности обрабатываемой, хранимой и передаваемой информации. Следовательно, применение новых технологий не должно понижать защищённость информационных ресурсов и самой информации. Это — главные особенности кредитно-финансовой сферы.
Применение биометрических методов идентификации
Тем не менее тема возможности удалённой идентификации клиентов банка интенсивно обсуждается, хотя все понимают, что это может привести к снижению защищённости, а любое ослабление требований к безопасности, как правило, грозит новой волной злоупотреблений. Далеко не все эксперты и представители регулирующих органов всецело поддерживают новую инициативу. Согласно Федеральному закону, "банк сначала имеет право отказать клиенту в проведении операции", как сказал на Форуме Finopolis 2016 статс-секретарь Росфинмониторинга Павел Ливадный. В любом случае риск остаётся на банке — принимает ли он решение об удалённом обслуживании или же использует стандартную процедуру личного присутствия клиента в банке.
Биометрическая идентификация граждан основана на методах математической статистики. Анализ методов биометрической идентификации показывает, что более надёжны методы, использующие дорогую аппаратуру, строгое соблюдение регламентов и правил сбора первичной биометрии, хранения образцов, а также развитый математический аппарат сравнения предъявляемых характеристик с образцами хранящихся биоданных. Ориентир на недорогие решения, провозглашённый основными докладчиками конференции 10 февраля, неизбежно означает, что итоговая достоверность результата идентификации клиента, проведённой банком, может оказаться ниже ожидаемого значения. В условиях отсутствия стратегии построения уровней доверия к первичной и вторичной идентификации, а главное — установления доверительного интервала и регламента передачи идентификационных данных от одной организации кредитно-финансовой сферы другой это может привести к повышению рисков нарушения безопасности и надёжности идентификации со стороны злоумышленников.