Финансовая сфера

Банковское обозрение


  • Биометрия в банке: тело как пароль
01.01.2004
Биометрия в банке: тело как пароль

Биометрические системы безопасности — еще каких-нибудь лет семь назад это экзотическое орудие опознания личности воспринималось в России как результат вдохновения голливудских кинорежиссеров. Разблокирование массивной двери после сканирования сетчатки глаза или вход в компьютерную программу после снятия отпечатка пальца — сегодня эта недавняя киношная экзотика становится обычной реальностью в российском бизнесе, прежде всего банковском.


Сейчас на биометрических сканерах и считывателях строятся самые совершенные системы контроля доступа и учета времени прихода и ухода сотрудников. Именно биометрическим идентификаторам предстоит заменить бумажные удостоверения личности, системы паролей и PIN-кодов. Но настоящий «биометрический» бум — еще только в будущем.

На опознание как на работу

А пока сегмент биометрических систем безопасности, проклюнувшийся на российский рынок технических средств безопасности в конце 90-х годов, находится в цыплячьем состоянии. Но уже сейчас промышленные компании, крупные банки и организации, где циркулируют потоки денежных средств, важных документов и где проблема строгого контроля стоит особенно остро, все активней начинают присматриваться к биометрическим технологиям.

Замки с PIN-кодом, магнитные карты, карты дистанционного считывания в банковских офисах постепенно заменяются биометрическими сканерами. И вместо классической схемы «имя/пароль» для входа в помещение или компьютерную сеть необходимо лишь приложить палец к миниатюрному сканеру на своем столе. Итак, суть биометрических систем безопасности сводится к использованию компьютерных систем распознания личности по уникальным физиологическим и психологическим особенностям человека. Проще говоря, вашим пропуском в помещение или к конфиденциальной информации служит не пароль или удостоверение личности, а вы сами, точнее формы ваших рук, лица и ушей, папиллярный узор пальцев, манера говорить, писать или даже структура ДНК. В отличие от ключей или PIN-кодов свой биологический код вы не сможете забыть или потерять. К тому же этот код трудно подделать и украсть. Ну, попробуйте своровать у кого-нибудь радужную оболочку глаза или сделать фальшивые чьи-то уши? Это возможно пока только все в том же кино.

биометрияПринцип работы большинства биометрических систем безопасности одинаков: в базе данных системы хранится цифровой отпечаток пальца, радужной оболочки глаза или модуляция голоса. Человек, собирающийся получить доступ к чему-либо, с помощью микрофона или сканера вводит информацию о себе в систему. Поступившие данные сравниваются с образцом, хранимым в базе данных, и компьютер принимает решение о допуске.

Сегодня существует множество методов так называемой биометрической аутентификации, то бишь опознания. Остановимся подробней на некоторых из них.

Ваши пальцы пахнут ладаном

— Самой большой популярностью на российском рынке биометрических систем безопасности пользуются дактилоскопические системы, то есть доступ по отпечатку пальца, — говорит Григорий Кириллов, сотрудник одной из инженерных корпораций, занимающихся системами безопасности. В российских банках дактилоскопические считыватели устанавливают в основном для защиты компьютерных данных и банковских депозитных ячеек. Во-первых, эти системы дешевле других биометрических систем, а во-вторых, технически гораздо миниатюрнее всех остальных, в-третьих, они гораздо проще интегрируются в любые уже имеющиеся на объекте системы управления доступом и, в-четвертых, они просто удобнее. Ведь проще несколько раз приложить палец к сканеру, чем несколько раз правильно прилаживать к камере глаз или ухо. Сегодня с помощью дактилоскопических систем во многих банках пытаются решить проблему паролей и повысить уровень защищенности компьютерных серверов. Дело в том, что если у пользователей большое количество паролей, они записывают их где-то на бумажке и хранят тут же рядом с компьютером.

Собеседник демонстрирует одну из последних моделей дактилоскопического считывателя. Внешне устройство чуть больше колоды карт, а по способу и стоимости установки практически не отличается от обычного домофона. — Принцип действия всех дактилоскопических устройств примерно одинаков, — поясняет Григорий Кириллов. — При установке системы сначала регистрируется администратор, который потом может регистрировать и удалять пользователей. Как пользователь вы сначала должны оставить в системе «эталон» своего пальчика. Потом для доступа вам останется только нажать кнопку «ввод», автоматически включится сканер, вы прикладываете к нему «зарегистрированный» ранее палец, рельефные линии на пальце преобразуются в цифровой код и сравниваются с ранее введенным «эталоном». При успешной идентификации система откроет электрозамок. Вся процедура идентификации занимает менее одной секунды.

  • А если я вдруг поцарапаю свой драгоценный «ключик», поврежу «идентификационный рельеф», система откажет мне в доступе? — интересуется корреспондент «БО».
  • Если вы повредите зарегистрированную поверхность менее чем на 30%, то это не повлияет на идентификацию. В случае, если рана на пальце окажется очень крупной, вам просто придется зарегистрировать другой палец.
  • А все же существует вероятность, что дактилоскопическая система вдруг откажется «признавать» мой палец?
  • Такая вероятность есть, но очень незначительная. Коэффициент ложного отказа в доступе в среднем может составлять 0,1%.
  • А вероятность того, что система «по ошибке» признает незарегистрированного пользователя?
  • Еще меньше — в среднем около 0,01%.
  • «При входе предъявляйте свою физиономию»

    Говорят, именно такой призыв был вывешен на входе одного из крупнейших столичных банков после того, как на входе установили биометрическую систему контроля по геометрии лица: сотрудники банка по привычке заходили, смотря под ноги, забывая про новомодный «фейс-контроль».

    Идентификацию человека по чертам лица специалисты называют самым динамично развивающимся направлением в биометрической индустрии. Секрет привлекательности в том, что этот метод наиболее близок к тому, как люди обычно узнают друг друга.

    — Основой любой системы распознавания лица является метод его кодирования, — рассказывает Григорий Кириллов. — При первом посещении производится цифровой снимок клиента, и в систему вводят так называемый шаблон — сложный математический код индивидуальной идентичности, содержащий информацию, которая отличает ваше лицо от миллионов других. При регистрации система строит трехмерный образ вашего лица: выделяет контуры бровей, глаз, носа, губ, вычисляет расстояние между ними… При входе в помещение ваше лицо сканируется, и «живой шаблон» в реальном времени сравнивается с системным файлом шаблона. Практически все имеющиеся на нашем рынке технологии сканирования лица хорошо работают со стандартными имеющимися в наличии видеокамерами, которые подсоединены к компьютерам, управляемым сотрудником службы безопасности.

    — А как ведут себя современные системы, если у «живого шаблона» вдруг изменились «параметры лица», например, по причине больного зуба?

    — Знаете, несколько лет назад вероятность ложных срабатываний у этих систем была довольно высока. Помню, на заре появления биометрии в нашей стране мы установили такую систему в одном коммерческом банке. Система начала очень строго подходить к процедуре опознания и не пустила в банк даже его управляющего. Пришлось заменить систему на более «либеральную», и она начала впускать всех подряд. Сейчас эти системы более совершенны. Опознание «шаблона» сегодня не зависит от изменений в освящении, тона кожи, количества косметики, наличия/отсутствия очков или бороды. Строится не просто образ, а еще множество его вариантов на случаи поворота лица, изменения выражения. Количество этих образов варьируется в зависимости от целей, будет ли это удаленный поиск, опознание на больших территориях, в плохо освещенном помещении и так далее. Степень подобия, требуемая для проверки, представляет собой некий порог, который может быть отрегулирован для различного типа ПК, времени суток и других факторов. Хотя следует признать, что технология распознания лиц еще не достаточно развита, особенно в потоке людей, где системы могут обеспечить «совпадение» шаблонов только на 80—85%, а окончательное решение все равно принимает сотрудник службы безопасности.

    Позвольте вашу ручку

    Метод идентификации пользователей по геометрии руки специалисты иногда называют «младшим братом отпечатка пальца», поскольку по своим технологическим составляющим и уровню надежности он сопоставим с методом идентификации по отпечатку пальца. Однако применяется пока в несколько раз реже.

    Устройство состоит из специальной камеры и нескольких подсвечивающих диодов, которые попеременно включаются, давая разные проекции ладони. Строится трехмерный образ кисти руки, по которому формируется свертка и потом распознается человек. Сейчас в этом сегменте рынка одно из наиболее популярных устройств модели Handkey, сканирующее как внутреннюю, так и боковые стороны ладони. Тут справедливости ради надо отметить, что и тыльная сторона ладони не в обиде. Ее тоже сканируют, измеряют, и она тоже может быть пропуском к тайнам банковских застенков. Только в этом случае в качестве биометрического объекта используются вены на тыльной стороне ладони. Инфракрасная камера считывает рисунок вен. Затем по схеме расположения вен формируется цифровая свертка, с которой потом и идентифицируется пользователь. Кстати, перед проходом через такую систему руки мыть вовсе не обязательно. Специалисты уверяют, что грязь и мелкие порезы на руках — не помеха для успешной регистрации.

    Нужен глаз да глаз

    Технологии допуска, основанные на сканировании радужной оболочки и сетчатки глаза, считаются в России большой редкостью. По разным подсчетам, такой системой допуска оснащены помещения не более 10 банков в стране и то только банковские VIP-зоны с высокой степенью секретности, которые доступны исключительно топ-менеджменту. В то время как в США этими технологиями пользуются несколько тысяч банков и банкоматов, которые не только распознают клиентов по глазам, но и, узнав «своих», даже приветствуют их по именам. Принцип работы системы распознания человека по радужной оболочке глаза таков. Камера со специальным программным обеспечением сканирует часть лица, из которого потом выделяется изображение глаза, а из него в свою очередь рисунок радужной оболочки. По этому рисунку и строится цифровой код для идентификации человека. Причем пользователю не нужно сосредоточиваться на определенной точке-цели, поскольку рисунок радужной оболочки находится на поверхности глаза. Это дает возможность сканировать изображение глаза на расстоянии нескольких метров.

    «Эта система еще очень молода и несовершенна, — поясняют в «Русском биометрическом обществе», — фактически она появилась всего несколько лет назад — в конце 90-х. Ее коэффициент «ошибочной» идентификации очень высок. Отчасти это объясняется вполне объективными причинами. Дело в том, что с возрастом расположение пятен (рисунка) на радужной оболочке может меняться, причем настолько, что биометрическая система через несколько лет просто не сможет ее распознать. Кроме того, система может «ошибиться», даже если человек не выспался или его глаза в течение дня сильно устали. Так же этим методом допуска не могут пользоваться люди с заболеванием глаз, например катарактой». Этих недостатков лишена система сканирования сетчатки глаза. По словам специалистов, у этих систем, напротив, один из самых низких процентов отказа в доступе или ошибочного разрешения. Для идентификации используется инфракрасный свет низкой интенсивности, который направляется через зрачок к кровеносным сосудам на задней стенке глаза. Для того чтобы рисунок сосудов стал виден, человеку надо сконцентрироваться и посмотреть на удаленную световую точку. Глазное дно подсвечивается, а затем сканируется специальной камерой.

    Кроме вышеописанных методов биометрической аутентификации существуют еще и такие способы, как идентификация по ДНК, запаху тела, форме уха, коже под ногтями, объему пальцев на руках и ногах. Однако эти методы только начинают входить в мировую практику распознания по биометрическим признакам и до России еще попросту не доехали.

    «Похищенные» пальцы не вернуть

    Но тот опыт работы с биометрическими системами безопасности, который мы все-таки имеем, разделил экспертов в этой области на две спорящие стороны. Одни категоричны в утверждениях, что подделка в этой области защиты равна нулю. Другие, соглашаясь с тем, что уровень современной биометрической защиты довольно высок, считают, что эти системы все-таки не защищены от натиска «продвинутой» преступности, владеющей современными технологиями.

    «Основная слабость биометрии состоит в том, что биометрические данные можно похитить после того, как они уже были оставлены, — говорит сотрудник фирмы Novo, специализирующейся на производстве и продаже технических средств безопасности. — Так, для опытного хакера не составит труда «украсть» оцифрованный отпечаток пальца в тот момент, когда человек кладет палец на считыватель и компьютер посылает оцифрованный отпечаток пальца на сервер. Причем если хакеру удастся «похитить» ваш палец, то он потом сможет пользоваться им, сколько хочет, вновь и вновь обманывая сервер. Подлинная биометрическая информация никак не шифруется, и ее возможно перехватить на канале между сенсером и проверяющей программой, чтобы потом пользоваться для получения нелегального доступа».

    В качестве доказательства уязвимости биометрических систем скептики проделывали эксперименты по запудриванию компьютерных мозгов биометрическим ноу-хау. Так, например, для обмана системы, анализирующей лицо человека, его мимические движения, камере подсовывали ноутбук с видеоклипом лица «шаблона». Система «проглатывала» подлог и давала «зеленый свет». Обманывалась и система распознания радужной оболочки глаз. Поскольку тут инфракрасные датчики реагируют не только на узор радужки, но и на глубину расположения зрачка, то экспериментаторы, взяв фотографию глаза «жертвы», проделали в ней дырку на месте зрачка и при «опознании» подставляли свой собственный зрачок, заглядывая в дырку. Этого ухищрения, говорят скептики, для пропуска оказывалось достаточно.

    «Неустойчивость биометрических систем к муляжам действительно была характерна, но только для первых реализаций биометрического оборудования, — комментирует ситуацию Виталий Задорожный, ведущий аналитик компании ЦентрИнвестСофт, производящей и реализующей биометрическое оборудование в России. — В современных биометрических системах алгоритм сравнения становится гораздо совершеннее. Сегодня в биометрических сканерах в зависимости от их типов применяются различные системы распознания муляжей и неживых пальцев. Например, в оптических сканерах часто используется многократное сканирование в световых потоках с различными длинами волн, позволяющими распознать муляж. Взлом современной биометрической системы не пройдет, даже если злоумышленник будет использовать труп человека, имеющего доступ к системе».

    Если говорить о перехвате биометрических данных, то защитники биометрии уверяют, что подобные манипуляции маловероятны, поскольку требуют использования специальной технологии и очень дорогостоящего оборудования. Однако что же не сделаешь ради добычи корпоративных тайн!

    Гости из будущего

    Именно таковыми пока считаются биометрические системы безопасности на российском рынке безопасности. Реального биометрического рынка в России пока нет.

    «К сожалению, несмотря на наличие грамотных квалифицированных технических специалистов, в настоящее время в России совсем не много компаний, профессионально занимающихся биометрией, — говорит представитель «Русского биометрического общества». — А те, что есть, значительно проигрывают своим зарубежным конкурентам в капитале и оборотных средствах. В основном формирующийся рынок биометрических систем безопасности представлен иностранными фирмами, которые через своих российских партнеров реализуют свои технологии на отечественном рынке.

    Сегодня единственной возможностью выжить для наших фирм могло бы быть правильное государственное определение развития биометрических технологий лет на 10 вперед. Это может позволить компаниям создавать конкурентоспособные разработки, обходясь при этом гораздо меньшими средствами, нежели зарубежные компании. А пока говорить о серьезных объемах продаж отечественных разработок не приходится».

    Сегментация рынка биометрии

    По мнению экспертов, динамичное развитие рынка биометрики в России сдерживают два основных фактора: высокая цена и предубеждение к этому виду высоких технологий.

    «Множество коммерческих структур, банков сегодня хотели бы использовать биометрические системы безопасности, — говорит Евгений Чаевский, президент компании Biolink Technologies International, — но когда дело доходит до практики, приходится слышать: нам нравится решение, и мы согласны с тем, что оно повысит уровень нашей безопасности, но мы не можем себе этого позволить! Действительно, крупномасштабные системы с биометрией требуют огромных усилий по поддержке и длительного обучения работы с ней. Кроме этого часто очень дорого само аппаратное обеспечение. Под час цены для конечного потребителя оказываются такими высокими, что даже крупные компании не могут внедрить эти системы у себя».

    К примеру, установить одну из наиболее дешевых систем контроля доступа в сеть по отпечаткам пальца для небольшой компании или банка со штатом 200 сотрудников может стоить от 20 до 30 тыс. долларов. В стоимость будут входить компьютерные мыши с идентификационным сенсором, сервер биометрической аутентификации, программное обеспечение на один контрольно-пропускной пункт. «Банковская сфера технически готова к введению биометрической защиты кредитных карт, — продолжает тему эксперт компании Identix, одного из ведущих производителей сканеров для отпечатков пальцев. — Но никто не хочет брать на себя дополнительные затраты по биометрической защите. Вплоть до того, что банки предпочитают скрывать потери от несанкционированного доступа. Они прежде всего заинтересованы в снижении своих расходов, в получении максимальной прибыли и не готовы к осуществлению относительно дорогостоящих биометрических проектов. К тому же многие менеджеры российских банков воспринимают биометрическую технологию как агрессивную, нарушающую неприкосновенность персональных данных сотрудников. Многие люди просто не хотят оставлять свои отпечатки пальцев. Приходится их долго убеждать в том, что сама информация о папиллярном узоре пальца не хранится. Хранится только идентификационный код, построенный на базе характерных особенностей отпечатка. По этому коду нельзя воссоздать узор, сравнивать его с отпечатком пальца, оставленным, допустим, на месте преступления».

    биометрияОднако так или иначе, согласно статистическим данным, годовой темп развития мировой биометрии составляет в среднем 40%. Это весьма высокий показатель на фоне спада в сфере высоких технологий. Суть всех прогнозов сводится к тому, что будущее рынка технической безопасности за биометрией. «Технология «взрослеет» на глазах, — говорит Евгений Чаевский, — цены снижаются, системы совершенствуются, их производительность увеличивается. В целом технологии становятся ближе к пользователям».