Такая разная… Идентификация клиентов и требования к её организации в банках должна соответствовать рискам
Статья Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Применительно к банковским услугам существуют две похожие, но совершенно разные по своим целям задачи идентификации клиентов: знать своего клиента (KYC- know your client) и при доступе в приложения, как модно сейчас говорить, цифровизации банковского обслуживания, т.е. в различных видах дистанционного банковского обслуживания (ДБО).
Цель KYC – отличить клиента от остальных для проявления к нему внимания и повышения его лояльности. Риск ошибки в данном случае минимален. Например, при внедрении идентификации по голосу на поступивший в Call-центр звонок девушка, назвавшая Ивана Ивановича Петром Степановичем, согласно инструкции извинится, и разговор продолжится.
Другое дело – ДБО. Риски в данном случае на порядок выше. Речь идёт об ошибке идентификации, означающей несанкционированный доступ к счету клиента, результатом которого может быть разбирательство, утрата доверия клиента и возможная его потеря. Целью идентификации в данном случае является не просто отличие клиента от других, а определение личности клиента с заданным уровнем достоверности для предоставления ему доступа к услугам банка. Для корректного управления доступом клиент должен пройти обязательную процедуру регистрации в конкретной информационной системе (ИС). Процесс идентификации клиента во время регистрации в ИС называется первичной идентификацией.
ПЕРВИЧНАЯ ИДЕНТИФИКАЦИЯ
Целью первичной идентификации является присвоение заявителю идентификатора доступа, обеспечивающего уникальность каждого субъекта доступа при каждой попытке авторизации в системе ДБО. При этом осуществляется получение от заявителя и регистрация идентификационной информации, достаточной для последующей идентификации претендента на доступ, а также обеспечение отсутствия коллизий между идентификационной информацией, представленной заявителем, и уже зарегистрированной идентификационной информацией, принадлежащей другим субъектам доступа. Полнота и строгость проверки идентификационной информации определяется политикой безопасности оператора ДБО и существенно влияет на качество управления доступом.
Первичная идентификация заявителя должна завершаться регистрацией (присвоением идентификатора доступа, уникального в конкретной информационной системе) или обоснованным отказом. Причиной отказа может являться недостаточный объем представленной информации или невозможность (нежелание) её подтверждения заявителем. В итоге регистрации в системе ДБО появляется новая учётная запись, содержащая информацию о пользователе и секрет, с помощью которого пользователь будет подтверждать эту информацию и факт владения секретом в процессе аутентификации, который в обязательном порядке предшествует авторизации, то есть доступу клиента к своим счетам. Идентификация клиента в последующих попытках доступа называется вторичной.
ВТОРИЧНАЯ ИДЕНТИФИКАЦИЯ
Целью вторичной идентификации является проверка соответствия (верификация) предъявленного претендентом идентификатора занесённому ранее в базу данных ИС. Процесс вторичной идентификации прост, как гвоздик: если предъявленный идентификатор совпал с зарегистрированным в системе, то вторичная идентификация считается успешно пройденной. Если речь идёт о запросе на доступ к системе ДБО, то за идентификацией следует процесс аутентификации. По сути, аутентификация является идентификацией с подтверждением.
Однако в силу сложности безопасной проверки подлинности предъявленного идентификатора и принадлежности идентификатора и секрета конкретному пользователю в условиях небезопасной среды, проводимой с помощью специально разработанных протоколов, системы аутентификации относят к классу одних из самых сложных интеллектуальных систем. Качество аутентификации существенно зависит от качества первичной идентификации, поскольку в отличие от идентификации целью аутентификации является доказательство того, что претендент на доступ является именно тем, за кого себя выдаёт. Стопроцентной уверенности в результатах аутентификации для систем с большим количеством пользователей в удалённом режиме достичь даже теоретически невозможно, поэтому международными стандартами введены уровни доверия.
УРОВНИ ДОВЕРИЯ К ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ
В зависимости от используемого вида аутентификации устанавливается четыре уровня доверия к её результатам. При использовании простой анонимной аутентификации нет никакой уверенности в том, что претендент на доступ является тем, за кого себя выдаёт ("аноним"). Данная аутентификация обеспечивает первый (низкий) уровень доверия.
При использовании простой аутентификации (однофакторной аутентификации с организацией одностороннего обмена аутентификационной информацией) имеется некоторая доля уверенности в том, что претендент на доступ является тем, за кого себя выдаёт. Второй (средний) уровень доверия.
При использовании усиленной аутентификации (многофакторной или однофакторной ОТР - аутентификации с организацией одностороннего обмена аутентификационной информацией) появляется высокая доля уверенности в том, что претендент на доступ является тем, за кого себя выдаёт. Третий (высокий) уровень доверия.
При использовании строгой аутентификации (многофакторной с организацией двухстороннего или многостороннего обмена информацией и применением криптографических протоколов аутентификации) уверенность в том, что претендент на доступ является тем, за кого себя выдаёт, является очень высокой. Такая аутентификация обеспечивает четвёртый (очень высокий) уровень доверия.
Поясним генезис уровней доверия. Идентификация граждан проводится ежедневно с разной степенью тщательности. Например, при входе в театр достаточно предъявить билет. Или вы зашли в обменный пункт обменять 100 долларов на рубли. Достаточно протянуть деньги, и вам их поменяют. Это – примеры анонимной идентификации. Естественно, доверие к такой идентификации граждан нулевое.
Для доступа в информационную систему надо предъявить персональный идентификатор – уникальную метку, которая должна отличать Вас от других пользователей данной системы. Существуют информационные системы, где вы можете иметь псевдоним, абсолютно не связанный с вашим ФИО и другими персональными данными, зарегистрированными в уполномоченных государственных органах. Примеров такого анонимного доступа достаточно во многих приложениях Интернета, так как эта технология изначально предназначена для использования безымянного (при желании) пользователя. Однако при появлении рисков нежелательного доступа к информации даже в приложениях Интернета требуется некий начальный уровень уверенности в том, что пользователь – именно тот, за кого себя выдаёт. На начальном уровне такой уверенности (уровне доверия) достаточно сетевого имени пользователя, отличающего его от других - например, адреса электронной почты. Для подтверждения подлинности информации даже на этом уровне доверия требуется ввод некого секрета (пароля).
При увеличении рисков несанкционированного доступа к информации требования к идентификации пользователя и её достоверности также растут. На третьем уровне доверия, кроме требования того, что пользователь зарегистрирован в ИС, для него согласован способ согласования одноразовых паролей (ОТР) и, чаще всего, выдано определённое устройство генерации ОТР.
При использовании строгой аутентификации уверенность в том, что претендент на доступ является тем, за кого себя выдаёт, является очень высокой. Применение строгой аутентификации рекомендуется международными стандартами и проектом национального ГОСТ Р "Идентификация и аутентификация. Основные положения" для высокорисковых операций.
БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ В СИСТЕМАХ ДБО
Биометрическая идентификация клиентов может служить дополнительным (не основным) фактором идентификации и аутентификации в части доказательства принадлежности смарт-карты или токена, содержащих аутентификационную информацию, конкретному физическому лицу. Стандарт США FIPS PUB 201-2 рекомендует применять биометрию только для разблокирования смарт-карты, содержащей сертификат доступа и закрытый ключ. Служить основным средством идентификации ни одна биометрическая характеристика не способна по своей природе. Биометрическая идентификация граждан основана на методах математической статистики и характеризуется ошибками первого (FAR- False Accept Rate, злоумышленник идентифицирован вместо легального пользователя) и второго (FRR – False Reject Rate, отказ в идентификации легальному пользователю) рода. Согласно научным исследованиям из десятимиллионной выборки (аналог - население Москвы), по крайней мере 10 тысяч человек имеют схожие параметры при применении одного из самых точных механизмов – анализ радужной оболочки глаза. Другие методы дают значительно больше ошибок или стоимость их внедрения не вписывается в бюджет даже самых крупных банков.
Таким образом, идентификация клиентов и требования к её организации в банках должна соответствовать рискам. Для операций с низким уровнем рисков применение идентификации с низким уровнем доверия, к которой относится и биометрия, возможно. При этом модели трансляции идентификации, обсуждаемые в последнее время, требуют внимательного рассмотрения с точки зрения неизбежных потерь доверия при передаче от одного кредитно-финансового учреждения другому.