Управление доступом клиента при ДБО: когда биометрия оправдана?

Применительно к банковским услугам существуют два похожих, но совершенно разных по своим целям, задачам и реализации направления идентификации клиентов. Первое и самое сложное направление: идентификация (определение отличия от других, уже зарегистрированных в данной информационной системе) и последующая аутентификация (подтверждение подлинности идентификации) клиента при доступе к системам банковского обслуживания, например системам дистанционного банковского обслуживания (ДБО). Второе, более простое, направление характеризуется следующим образом: "знать своего клиента" (know your client, KYC), то есть узнавать (отличать от множества других) клиента по каким-либо признакам перед предоставлением ему услуг.

Модное увлечение биометрическими методами идентификации зачастую смешивает эти направления в применении к одной из самых высокорисковых операций — удалённому банковскому обслуживанию, что может привести к резкому повышению уровня мошенничества. Рассмотрим упомянутые направления идентификации подробнее на простых примерах.

Цель KYC — отличить клиента от остальных, чтобы проявить к нему внимание и повысить его лояльность. Риск ошибки в данном случае минимален. Например, при внедрении идентификации по голосу на поступивший в колл-центр звонок сотрудница, назвавшая Ивана Ивановича Петром Степановичем, согласно инструкции (надеемся, что инструкция на все типовые случаи будет разработана), извинится и разговор продолжится.

Другое дело — дистанционное банковское обслуживание: риски в данном случае как минимум на порядок выше. Речь идёт об ошибке идентификации, означающей несанкционированный доступ к счету (чаще — счетам) клиента, результатом которого могут быть разбирательство, утрата доверия клиента и возможная его потеря. Цель идентификации в данном случае — не просто отличить клиента от других, а определить личность клиента с заданным уровнем достоверности для предоставления ему доступа к услугам банка. Для корректного управления доступом клиент должен пройти обязательную процедуру регистрации в конкретной информационной системе (ИС). Процесс идентификации клиента во время регистрации в ИС называется первичной идентификацией.

Первичная идентификация

Целью первичной идентификации является присвоение заявителю (т.е. потенциальному пользователю, который пока не зарегистрировался) идентификатора доступа, обеспечивающего уникальность каждого субъекта доступа при каждой попытке авторизации в системе ДБО. При этом:

• осуществляются получение от заявителя и регистрация идентификационной информации, достаточной для последующей идентификации претендента на доступ с необходимым уровнем доверия;
• обеспечивается отсутствие коллизий между идентификационной информацией, предоставленной заявителем, и уже зарегистрированной идентификационной информацией, принадлежащей другим субъектам доступа.

Полнота и строгость проверки идентификационной информации, представленной заявителем, определяются политикой безопасности оператора банковского обслуживания и существенно влияют на качество управления доступом.

Первичная идентификация заявителя должна завершаться регистрацией (присвоением идентификатора доступа, уникального в конкретной информационной системе) или обоснованным отказом. Причиной отказа может быть недостаточный объем представленной заявителем идентификационной информации или невозможность (нежелание) заявителя её подтвердить.

В итоге регистрации в системе ДБО появляется новая учётная запись, содержащая идентификационную информацию о пользователе и секрет, с помощью которого пользователь будет подтверждать эту информацию и факт владения секретом в процессе аутентификации, который в обязательном порядке предшествует авторизации, то есть доступу клиента к своим счетам.

Вторичная идентификация при доступе к информационной системе

Итак, в любой информационной системе каждый пользователь должен иметь уникальный идентификатор. Целью вторичной идентификации должна быть проверка соответствия (верификация) предъявленного претендентом идентификатора тому, который ранее был занесён в базу данных ИС.

Процесс вторичной идентификации прост: если предъявленный идентификатор совпал с зарегистрированным в системе, то вторичная идентификация считается успешно пройденной. Если речь идёт о запросе на доступ к системе ДБО, то за идентификацией следует процесс аутентификации.

Аутентификация — это действия по проверке подлинности предъявленного субъектом доступа идентификатора и проверке принадлежности идентификатора и аутентификационной информации (например, упомянутого выше секрета) конкретному субъекту доступа. Заметим, что биометрическая технология из-за естественных ограничений может дать не более чем подтверждение принадлежности и за редким исключением (о котором мы упомянем позже) не способна обеспечить доказательство подлинности уникального для каждого пользователя идентификатора в силу своей вероятностной природы.

Вернёмся к процессу вторичной идентификации при предоставлении доступа. По сути аутентификация является идентификацией с подтверждением. Однако в силу сложности безопасного выполнения действий по проверке подлинности предъявленного идентификатора и принадлежности идентификатора и секрета конкретному пользователю в условиях небезопасной среды, проводимых с помощью специально разработанных протоколов (как правило, криптографических протоколов аутентификации), системы аутентификации относят к классу одних из самых сложных интеллектуальных систем. Качество аутентификации и достоверность её результатов существенно зависят от качества первичной идентификации, поскольку в отличие от идентификации целью аутентификации является доказательство того, что претендент на доступ является именно тем, за кого себя выдаёт. Стопроцентной уверенности в результатах аутентификации для систем с большим количеством пользователей в удалённом режиме достичь даже теоретически невозможно, поэтому международными стандартами введены уровни доверия и к аутентификации.

Уровни доверия к идентификации

Сначала рассмотрим уровни доверия к идентификации пользователей информационных систем. В любой ИС каждый пользователь должен иметь уникальную метку, отличающую его от других субъектов доступа. В зависимости от назначения ИС и уровня рисков несанкционированного доступа вводятся уровни доверия к идентификации пользователей, как правило, не менее трёх.

При регистрации нового пользователя основная нагрузка по сбору и обработке предоставленных пользователем идентификационных данных и соответственно определению уровня доверия к его идентификации ложится на первичную идентификацию, рассмотренную ранее. Доверие к данным, предоставленным претендентом на звание пользователя ИС, априори гораздо ниже доверия к данным, имеющимся в государственных реестрах и базах данных. Поэтому в регламентах первичной идентификации присутствует система обязательных проверок соответствия паспортных данных, ИНН, СНИЛС и других идентификационных данных гражданина, который стремится стать пользователем ИС. Особое значение для формирования доверия к идентификации имеет личная явка гражданина в офис банка перед тем, как он станет клиентом ДБО. В некоторых ведущих банках успешно работает согласованная с МВД система проверки подлинности паспорта, разработана система вопросов при регистрации, позволяющая не просто идентифицировать, а по сути аутентифицировать гражданина. Если при явке гражданина ограничиться снятием копии паспорта, уровень доверия к идентификации существенно падает. В случае удалённой идентификации по копиям паспорта и других документов уровень доверия к идентификации резко снижается (рис. 1).

Биометрия не может заменить идентификацию по записям в государственных реестрах, однако она может успешно использоваться как дополнительный фактор идентификации для повышения уровня доверия.

Предоставление пользователем биометрических данных также зависит от того, сняты они в офисе банка либо предоставлены в виде селфи или записи условной фразы по What’s App. Биометрия не может заменить идентификацию по записям в государственных реестрах, однако она может успешно использоваться как дополнительный фактор идентификации для повышения уровня доверия.

Перечисленные принципы формирования уровней доверия лягут в основу требований, которые планируются к введению в нормативную базу России в виде ГОСТ к 2020 г.

Уровни доверия к аутентификации

Уровень доверия к результатам аутентификации определяется видом аутентификации и корректностью реализации соответствующих методов аутентификации. В зависимости от используемого вида аутентификации устанавливаются четыре уровня доверия к её результатам. При использовании простой анонимной аутентификации нет никакой уверенности в том, что претендент на доступ является тем, за кого себя выдаёт ("аноним"). Данная аутентификация обеспечивает первый (низкий) уровень доверия.

При использовании простой аутентификации (однофакторной аутентификации с организацией одностороннего обмена аутентификационной информацией) имеется некоторая доля уверенности в том, что претендент на доступ является тем, за кого себя выдаёт. Данная аутентификация обеспечивает второй (средний) уровень доверия.

При использовании усиленной аутентификации (многофакторной или однофакторной ОТР-аутентификации с организацией одностороннего обмена аутентификационной информацией) появляется высокая доля уверенности в том, что претендент на доступ является тем, за кого себя выдаёт. Данная аутентификация обеспечивает третий (высокий) уровень доверия.

При использовании строгой аутентификации (многофакторной аутентификации с организацией двухстороннего или многостороннего обмена аутентификационной информацией и применением криптографических протоколов аутентификации) уверенность в том, что претендент на доступ является тем, за кого себя выдаёт, является очень высокой. Данная аутентификация обеспечивает четвёртый (очень высокий) уровень доверия, который для ряда систем может быть разделён на подуровни [2].

Поясним генезис уровней доверия к идентификации и аутентификации. Идентификация граждан проводится ежедневно с разной степенью тщательности. Например, при входе в театр достаточно предъявить билет. Ваше имя, фамилия и номер паспорта никого не интересуют. Или вы зашли в обменный пункт обменять $100 на рубли. Достаточно протянуть деньги, и вам их поменяют. Это примеры анонимной идентификации. Естественно, доверие к такой идентификации граждан нулевое.

Для доступа в информационную систему уже надо предъявить ваш персональный идентификатор — уникальную метку, которая должна отличать вас от других пользователей данной системы. Существуют информационные системы, где вы можете иметь псевдоним, абсолютно не связанный с вашими ФИО и другими персональными идентификационными данными, зарегистрированными в уполномоченных государственных органах (как мы уже выяснили, это анонимная идентификация). Примеров такого анонимного доступа достаточно во многих приложениях интернета, так как эта технология изначально предназначена для использования безымянного (при желании) пользователя. Однако при появлении рисков нежелательного доступа к информации даже в приложениях интернета требуется некий начальный уровень степени уверенности в том, что пользователь именно тот, за кого себя выдаёт. На начальном уровне такой уверенности (уровне доверия) достаточно сетевого имени пользователя, отличающего его от других, например адреса электронной почты. Для подтверждения подлинности предъявленной идентификационной информации даже на этом уровне доверия требуется ввод некоего секрета (пароля).

При увеличении рисков несанкционированного доступа к информации требования к идентификации пользователя и её достоверности также растут. На третьем уровне доверия, кроме требования того, чтобы пользователь был зарегистрирован в ИС, для него определяется способ согласования одноразовых паролей (ОТР) и чаще всего выдаётся определённое устройство генерации ОТР.

При использовании строгой аутентификации уверенность в том, что претендент на доступ является тем, за кого себя выдаёт, является очень высокой. Применение строгой аутентификации рекомендуется международными стандартами [3 и 4], а также проектом национального ГОСТ Р "Идентификация и аутентификация. Основные положения" для высокорисковых операций.

Роль и место биометрической идентификации в системах банка

Биометрическая идентификация часто и достаточно успешно применяется во многих предприятиях различного назначения в системах управления не логическим (к информации), а физическим доступом — в системах контроля и управления доступом (СКУД). Типовой состав системы биометрической идентификации

Качество идентификации существенно зависит от чувствительности датчиков (sensors) и контроля качества сбора образцов (templates) — оригинальных биометрических характеристик, обработанных по шаблонам системы. Процесс принятия решения (свой/чужой) основывается на сравнении биометрической характеристики претендента с базой образцов при заданном пороговом значении. Биометрическая идентификация основана на методах математической статистики. Плотности вероятности идентификации легальных пользователей (Authentics) и нарушителей (Impostors) в лабораторных условиях (идеальные гладкие кривые) показаны на рис. 4. В полевых условиях кривые не столь красивы, при этом немного другим является и соотношение ошибок первого (False Reject Rate) и второго (False Accept Rate) рода — один из главных показателей качества идентификации.

В системах управления логическим доступом к банковским услугам биометрическая идентификация клиентов может служить дополнительным (не основным) фактором идентификации и аутентификации в части доказательства принадлежности смарт-карты или токена, содержащих аутентификационную информацию, конкретному физическому лицу. Стандарт США FIPS PUB 201-2 [5] рекомендует применять биометрию только для разблокирования смарт-карты, содержащей сертификат доступа и закрытый ключ; в настоящее время проект аналогичного стандарта применительно к персональному HSM (фактически это защищённый специальный чип смарт-карты) с закрытым ключом владельца рассматривается в ISO. Однако служить основным средством идентификации (различия одного из многих) ни одна биометрическая характеристика не способна по своей природе. Биометрическая идентификация граждан основана на методах математической статистики и характеризуется ошибками первого (False Accept Rate (FAR) — злоумышленник идентифицирован вместо легального пользователя) и второго (False Reject Rate (FRR) — отказ в идентификации легальному пользователю) рода.

Согласно научным исследованиям из десятимиллионной выборки (аналог — население Москвы) по крайней мере 10 тысяч человек имеют схожие параметры при применении одного из самых точных механизмов — анализа радужной оболочки глаза. Другие методы дают значительно больше ошибок, или стоимость их внедрения не вписывается в бюджет даже самых крупных банков.

Проблемы трансляции доверия

Проблемы управления доверием к результатам идентификации и аутентификации весьма актуальны в мире. Кроме системы центров доверия по сбору и обработке идентификационных данных граждан, необходимо создать действующие регламенты, обеспечивающие контролируемую минимизацию потерь доверия при передаче этих данных от одной организации к другой.

Существует несколько моделей трансляции доверия. Проще создавать и реализовывать их на отраслевом уровне. Однако в мире разработаны и национальные проекты, самыми известными из которых являются стратегии электронной идентификации Австралии [6] и США [7]. В абсолютном большинстве стран, где используются те или иные решения проблем передачи доверия, имеется хотя бы один реализованный национальный проект по государственной идентификации населения. Примерами таких проектов являются электронный паспорт (e-passport), национальный идентификатор (e-ID), электронное здравоохранение (e-Health) и др. [8].

В России проблемой доверия к идентификации только начали заниматься, при этом поскольку ни одного реализованного национального проекта нет (последней неудавшейся попыткой был проект УЭК) и опереться не на что, в качестве некоторой опорной базы Банком России, Росфинмониторингом и Минкомсвязи была выбрана Единая система идентификации и аутентификации (ЕСИА).

Сможет ли ЕСИА выполнять роль банка данных для системы управления доверием к результатам идентификации граждан — не обсуждается, хотя экспертные оценки автора полны скепсиса. В настоящее время база ЕСИА, по словам ответственных чиновников Минкомсвязи, содержит данные от 30 до 40 млн граждан. При этом за достоверность и защиту данных никто не берет и не хочет брать на себя ответственность. Если положение дел не изменится коренным образом, дальнейшее наполнение базы, в том числе весьма чувствительными к риску разглашения биометрическими данными, может привести к полной потере доверия к самой ЕСИА и к ряду последних экспериментальных проектов с участием крупнейших банков. Систему доверия к организациям, собирающим и обрабатывающим персональные данные граждан, выстраивают долго, а потерять доверие можно быстро.

Все сказанное убеждает нас в том, что идентификация клиентов и требования к её организации в банках должны соответствовать рискам. Для операций с низким уровнем рисков применение методов идентификации с низким уровнем доверия, к которым относится и биометрия, возможно. При этом модели трансляции идентификации, обсуждаемые в последнее время, требуют внимательного рассмотрения с точки зрения неизбежных потерь доверия при передаче от одного кредитно-финансового учреждения к другому.

Источники информации

1. Сабанов А.Г. Общий анализ международных стандартов по идентификации и аутентификации при доступе к информации. Часть 1 // Инсайд. Защита информации. 2016. Часть 1. № 2 (68). С. 84–87; Часть 2. № 3. С. 70–73.
2. Сабанов А.Г. Способ определения строгости аутентификации // Электросвязь. 2016. № 8. С. 56–61.
3. ISO/IEC 29115:2013 Information technology — Security techniques — Entity authentication assurance framework / International Organization for Standardization. Geneva, 2013.
4. ISO/IEC FDIS 29146:2016 Information technology — Security techniques — A framework for access management.
5. FIPS PUB 201-2 Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2011.
6. National e-Authentication Framework. January 2009.
7. National Strategy for Trusted Identities in Cyberspace. June 25, 2010.
8. Regulation in the Digital Financial Services Ecosystem. ITU-T FG-DFS. May 2016.