Финансовая сфера

Банковское обозрение


12.02.2021 FinRegulationFinSecurityFinTechАналитика
ЕБС для всех, или Всё для ЕБС

Массовое распространение сервисов на основе данных из ЕБС развивается не столь динамично, как можно было ожидать. Как изменят ситуацию законодательные новшества, вступившие в силу 1 января?


По данным Ростелекома, выполняющего функцию оператора этой системы, по состоянию на конец 2020 года биометрические данные в ЕБС можно сдать в 13,3 тыс. отделений 231 банка, охватывающих 95% населенных пунктов России. «Несмотря на длительный период сбора данных (ЕБС заработала в России в июле 2018 года) в базе ЕБС сейчас находится около 160 тыс. образцов лица и голоса граждан. А дистанционные услуги по биометрии предоставляют 11 банков». 

Преломить такой тренд должны законодательные изменения: с 1 января вступил в действие Закон, инициированный группой депутатов Госдумы во главе с председателем Комитета Госдумы по финансовому рынку Анатолием Аксаковым, который кардинально расширяет возможности использования ЕБС в различных сферах применения. Легко ли будет добиться ожидаемых изменений?

Что изменилось?

До начала 2021 года возможности банков по использованию ЕБС были ограниченными: для открытия счетов и получения кредитов. При этом собирать биометрические данные могли лишь банки с базовой лицензией. Какие нововведения действуют с 1 января?

  • Банки с универсальной лицензией обязаны передавать биометрические данные клиентов в ЕБС.
  • ЕБС получает статус государственной информационной системы (ГИС). В новом статусе ЕБС совместно с Единой системой идентификации и аутентификации (ЕСИА) может выполнять функции, аналогичные паспорту гражданина России. «Теперь чтобы определить личность человека, не обязательно требовать паспорт, достаточно сопоставить голос и лицо с записями в базе», — говорит Александр Дворянский, директор по стратегическим коммуникациям Infosecurity Softline Company. МФЦ получают право сбора биометрических данных граждан.
  • Данными, хранящимися в ЕБС, смогут пользоваться для идентификации человека госорганы, органы местного самоуправления, организации финансового рынка, иные организации, разнообразные ИП и нотариусы (например, при подтверждении волеизъявления либо подтверждении полномочия лица на совершение юридически значимых действий).
  • Закон разрешает в определенных случаях осуществлять идентификацию личности с использованием коммерческих биометрических систем. Для этого необходимо пройти процедуру аккредитации.
  • Данные ЕБС можно использовать в рамках гражданско-правовых отношений для аутентификации граждан. «Принятие законопроекта о расширении сфер использования идентификации по биометрии стало важным этапом в развитии ЕБС, — прокомментировал Иван Беров, директор по цифровой идентичности Ростелекома. — Мы работаем над тем, чтобы в будущем граждане могли дистанционно заключать договоры связи с использованием ЕСИА и ЕБС, совершать различные операции и сделки в финансовом секторе, получать по биометрии государственные услуги и многое другое». С технической же точки зрения это означает, что интеграция ЕБС возможна с любыми веб-сервисами и мобильными приложениями через специальный интерфейс API, рассказал эксперт.

Предполагается также распространить проведение идентификации на всех граждан, а не только на граждан России. АБР предложила наделить посольства (консульства) Российской Федерации обязанностью собирать и вносить биометрические персональные данные физлиц в ЕБС, подтверждать личность в целях создания учетной записи на Едином портале государственных услуг (ЕПГУ). «Указанное нововведение позволит не только помочь гражданам, испытывающим временные трудности в связи с пандемией, но и в целом предоставлять услуги российских финансовых организаций гражданам, постоянно проживающим за рубежом», — пояснил Анатолий Аксаков. В перспективе реализация такого предложения позволит использовать ЕБС для оказания финансовых услуг и негражданам России, планирующим въезд в нашу страну.

Где ждать бума популярности биометрических решений?

В числе потребительских сегментов, лидирующих по активности внедрения биометрических услуг, — финтех. Согласно прогнозам J’son & Partners Consulting от 2018 года, рынок банковской биометрии в 2018-2022 годах будет демонстрировать самые высокие темпы роста — 54% CAGR. Недавние законодательные нововведения подкрепляют уверенность в прогнозе.

Банки также тестируют биометрические технологии применительно к банкоматам. Так, МКБ, ВТБ, УБРиР, «Дом.РФ», Промсвязьбанк изучают возможность оформления кредитов и депозитов в АТМ с помощью биометрических данных из ЕБС. В «Дом.РФ» ожидают, что в нынешнем году доля кредитов, выданных через банкоматы или по заявкам, оформленным в банкомате, может составить 5–10% общего объема. Тинькофф Банк тестирует такие банкоматы в пилотном режиме на своих сотрудниках, используя собственную базу изображений. Возможности внедрения технологии распознавания лиц в банкоматы рассматривает также Ак Барс Банк.

Однако массовое движение банков в этом направлении только началось, заметил Александр Дворянский: «Финансовые организации понемногу начинают осуществлять дистанционные операции с использованием биометрии, пока это переводы и использование слепка голоса как один из факторов многофакторной аутентификации пользователя».

Алексей Кузьмин, руководитель группы биометрических технологий и систем аутентификации отдела IdM-решений «Инфосистемы Джет», пояснил, почему биометрия сегодня используется в основном как дополнительный фактор аутентификации, (например, для подтверждения личности пользователя, набравшего верный пароль): использование биометрии исключительно как дополнительного фактора аутентификации закреплено и выпущенным в 2020 году ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Основные положения». «В ЕБС биометрия фактически используется как дополнительный фактор аутентификации. Основной фактор здесь — аутентификация через логин и пароль ЕСИА», — сообщил Алексей Кузьмин.

Биометрические технологии способны перевернуть традиционные представления клиентов о походе в офис банка. Распознавание посетителя по лицу на входе в отделение внедряют Альфа-Банк, ВТБ, «Открытие», ПСБ, «Дом.РФ», Почта Банк. По оценкам Почта Банка, за счет применения биометрической идентификации в 2019 году удалось предотвратить хищения более чем на 2 млрд рублей.

В банке «Открытие», кроме того, работает решение по распознаванию эмоций клиента в момент его общения с операционистом. Как рассказывают в банке, данная IT-система помогает автоматически рассчитывать время работы сотрудников с клиентами, определять качество обслуживания, формировать рейтинги сотрудников по разным показателям и рекомендации руководителю в целях повышения качества обслуживания.

В банке «Открытие» работает решение по распознаванию эмоций клиента в момент его общения с операционистом

В банке «Открытие» работает решение по распознаванию эмоций клиента в момент его общения с операционистом

Биометрические платежные системы — отдельное перспективное направление, которое пока имеет характер отдельных пилотных проектов. Такие эксперименты «Сбер» проводит в сети кафе Prime, «Русский Стандарт» — в CoffeeBean, ВТБ — в гипермаркетах «Лента», «Райффайзенбанк» — в сети бургерных #FARШ, «Ак Барс Банк» — в кофейне и столовой в Иннополисе. Рассматривают внедрение такой технологии РСХБ, СКБ-Банк и ОТП Банк.

Биометрический эквайринг Ак Барс Банка работает в кофейне Иннополиса 

Биометрический эквайринг Ак Барс Банка работает в кофейне Иннополиса 

Биометрический эквайринг в столичной кофейне Coffee Bean

Биометрический эквайринг в столичной кофейне Coffee Bean

Впрочем, появление новых возможностей всегда идет рука об руку с новыми рисками и встречает на своем пути определенные барьеры. Ситуация с ЕБС — не исключение.

Барьерный риф — опасения граждан

Психологический барьер потенциальных пользователей — именно с него начинают рассказ о проблемных точках внедрения услуг на базе ЕБС все опрошенные «Б.О» эксперты: пока граждане недостаточно хорошо понимают, как работает биометрия, она порождает недоверие. По оценке Александра Дворянского, сейчас аутентификация с использованием биометрии занимает около 10–15% по сравнению с традиционными способами.

Алексей Кузьмин полагает, что позитивную роль сыграет факт превращения ЕБС в ГИС: «Для пользователей это означает гарантию сохранности данных на уровне государства, повышение безопасности сервисов. Поэтому, полагаю, граждане смогут больше доверять ЕБС, что приведет к увеличению наполняемости базы этой системы». Но все же главное «лекарство» от этой «болезни» — привыкание. «Постепенно, с появлением новых массовых биометрических сервисов, по мере проникновения биометрии в повседневную жизнь этот страх будет сходить на нет», — рассказал Иван Беров. 

«Чтобы у граждан стали востребованными услуги с применением ЕБС, должен существовать большой их перечень, — уверен Василий Заблоцкий, президент СРО НФА. — Когда доступны одна-две операции, граждане просто не видят необходимости сдавать биометрические отпечатки. Тем более что для этого надо куда-то идти, а сейчас по-прежнему существуют эпидемиологические риски».

«Востребованность услуг будет выше, если потребители (пользователи) поймут, что реальная биометрия может облегчить им процесс выполнения финансовых операций, проведения покупок и т.д. и обеспечить дополнительную защиту», — считает Анатолий Аксаков.

А генеральный директор группы компаний "Центр речевых технологий" (ЦРТ) Дмитрий Дырмовский полагает, что лучшим драйвером востребованности биометрических услуг служит прагматика: «Многие готовы сдать биометрию, чтобы не тратить время в аэропорту на формальности, а пройти сразу, например, в кафе. Здесь профит для человека — в экономии времени и комфорте. Профит от сдачи биометрии в банковской сфере — возможность получить более выгодное предложение и реже посещать отделения банка».

«Нужны внедрения в широко используемой области с небольшой средней величиной платежа. Например, оплата проезда в общественном транспорте. Это поможет воспитать культуру использования такой технологии, люди убедятся, что она работает, рискуя психологически комфортными суммами. Тогда появится спрос и на проведение более дорогих операций», — сообщил Алексей Цессарский, генеральный директор компании IVA Cognitive. «Конечно, все это сработает при условии реальной готовности самой технологии. Сегодня качество работы биометрических систем достаточно высокое».

А правда, насколько безопасна сама система ЕБС?

Согласно недавно вступившему в силу закону, не допускается передача биометрических данных без использования специальных шифровальных (криптографических) средств, в том числе при применении мобильных средств связи. Персональные данные пользователей госуслуг хранятся в базе ЕСИА, являющейся федеральной государственной информационной системой, имеющей аттестат соответствия ФСТЭК по требованиям безопасности конфиденциальной информации и реализованной на решениях, сертифицированных по требованиям ФСБ. «Таким образом, защита данных на серверах ЕСИА и в многофункциональных центрах госуслуг уже давно реализована на достаточно высоком уровне, что гарантирует и соответствующую защиту собираемых биометрических данных», — резюмировал Александр Дворянский.

Также он добавил, что слабое звено — это компьютеры и мобильные устройства получателей госуслуг. Для безопасной работы с порталом, в том числе с возможным использованием биометрии, пользователь должен соблюдать основные правила ИБ: установка обновлений ПО, не посещать сомнительные сайты, регулярно обновлять антивирусные базы, не передавать личные токены для авторизации третьим лицам, не заходить на сайт портала из не надежных мест.

Конечно, обычных граждан волнует вопрос защищенности данных и устойчивости ЕБС к атакам на биометрию, например в виде подделок (deep fake). «Одна из наших повседневных задач — борьба с попытками атак на биометрию, — сообщил Иван Беров. — У нас есть лаборатория, изучающая новые методы атак и способы защиты, взаимодействующая с разработчиками систем детектирования угроз. Мы выстраиваем и непрерывно улучшаем многоуровневую (эшелонированную) защиту от атак и регулярно анализируем защищенность системы».

Алексей Кузьмин видит опасность в том, что с учетом скорости развития технологий и тенденции к их удешевлению проблема компрометации биометрических систем будет нарастать, поскольку возможности для осуществления взлома становятся доступными все большему кругу лиц. При этом сложно противостоять попыткам взлома, так как биометрические данные не являются приватными и их практически невозможно изменить. В этом заключается отличие биометрических данных от паролей, которые должны быть строго конфиденциальными, и пользователь может при необходимости их сменить по собственной воле или по требованию системы аутентификации, считает эксперт. Может быть, для повышения устойчивости системы к попыткам мошенничества нужно расширить базы биометрических образцов, хранящихся в ЕБС?

«К расширению списка собираемых биометрических образцов следует подходить осторожно, потому что критически важно не допустить ситуации, когда они (образцы) могут быть использованы против сдавшего их гражданина, — предупреждает Василий Заблоцкий. — Возникновение подобной ситуации навсегда подорвет доверие к ЕБС».

Больше биометрии, хорошей и разной?

В арсенале биометрических средств есть рисунок вен ладони, отпечаток пальца, изображение радужной оболочки глаза. Но эксперты признали идею неудачной, так как это сильно усложнит техническую систему. «Важно, чтобы система была обратно совместима, но в то же время это не должно расширять риски компрометации этих данных, когда человек может использовать отпечаток пальца вместо самого пальца и таким образом авторизоваться. Либо такие факторы должны быть размещены по уровню надежности и доступов, которые они дают. Например, более защищенные данные дают весь спектр возможностей управления счетом, а какие-то более легко воспроизводимые данные дают лимитированный доступ», — считает Михаил Попов, основатель TalkBank. Кроме того, важно единообразие всех систем вывода, чтобы человек, введя какой-то образец своей биометрии, потом не сталкивался с тем, что в торговой точке или в банке, в который он пришел, этот стандарт не поддерживается и он не может его воспроизвести. 

Структура российского и мирового рынков биометрических технологий

Источник: Прогноз «Российский биометрический рынок в 2019–2022 годах». Исследование J’son & Partners Consulting, 2018 год

Источник: Прогноз «Российский биометрический рынок в 2019–2022 годах». Исследование J’son & Partners Consulting, 2018 год

Также применение дополнительных типов биометрических образцов снизит удобство для пользователей системы, а сложность всегда отпугивает потенциальных пользователей. Кроме того, такие изменения увеличат вероятность ложного недопуска пользователей в систему. 

Правда, есть, например, люди с ограниченными возможностями, которые не смогут сдать эти биометрические данные, напомнил Анатолий Аксаков: «Для них целесообразно рассмотреть возможность расширения круга параметров, используемых для идентификации, и проработать альтернативные образцы».

А еще биометрические данные пользователя могут быть признаны системой идентификации негодными из-за физических изменений и повреждений частей тела, содержащих соответствующую биометрическую характеристику. «Был случай, когда женщина не была допущена биометрическим устройством внутрь защищаемого объекта из-за того, что ее беременность вызвала изменение картины кровеносных сосудов сетчатки глаза, — рассказал Алексей Кузьмин. — Если в процессе идентификации пользователь имеет одну поврежденную биометрическую характеристику, то идентификация завершится неуспешно, несмотря на то что по всем остальным признакам она будет выполнена».  

Кроме того, использование дополнительных типов биометрических образцов увеличит стоимость решения для конечного пользователя. По этим причинам для идентификации клиентов в ЕБС выбрана пара: 2D-изображение лица и запись голоса. Их можно предъявить при помощи ноутбука или смартфона. «Использование дополнительных типов образцов потребует применения нового оборудования. И если сканеры отпечатков пальца есть в смартфонах и большинстве современных ноутбуков, то функция идентификации по сосудистому руслу (рисунку вен ладони) сейчас невозможна с помощью смартфонов», — сообщил Алексей Кузьмин. По его мнению, выбранное сочетание признаков является оптимальным по соотношению «безопасность — удобство» при биометрической идентификации в ЕБС.

С ним согласен Иван Беров, он отметил две ключевые пользовательские характеристики ЕБС: безопасность и доступность. «По этим модальностям в совокупности можно точно и безопасно идентифицировать человека. Сейчас наша система обеспечивает точность идентификации выше 99,9%. Таким образом, нет необходимости добавлять новые биометрические модальности для повышения точности распознавания», — считает Алексей Кузьмин. Высокая доступность данных подразумевает, что для снятия биометрии лица и голоса достаточно камеры и микрофона, которыми оснащены большинство ноутбуков и смартфонов.

Так что вопрос расширения модальности ЕБС, по мнению Алексея Кузьмина, стоит рассматривать в русле замены одного типа другим в зависимости от имеющегося в распоряжении пользователя оборудования. Например, использование 3D-модели лица вместо 2D, но с возможностью выбора.

«Наша ближайшая цель — расширить использование ЕБС с уже имеющимися биометрическими модальностями, а не увеличить их количество, заявил Иван Беров. — Наше главное направление работы на сейчас — расширение сфер использования биометрической идентификации и запуск новых биометрических сервисов в различных областях: образовании, нотариате, финансовом секторе, ретейле, общественном транспорте и других сферах». Однако у бизнеса в разных отраслях есть свои опасения относительно использования решений на базе ЕБС.

Что отпугивает отраслевой бизнес?

Массовый рынок корпоративных прикладных биометрических решений еще не сложился. Алексей Цессарский (IVA Cognitive) перечислил признаки этого состояния: «Рынок фрагментирован, у участников нет окончательного понимания, каким сервисом следует пользоваться. Крупные банки реализуют свои собственные решения. И, поскольку существует неопределенность в Законе о персональных данных в части работы систем распознавания лиц, игроки рынка не понимают, следует им подключаться или нет». В этой связи закрепление ЕБС в статусе ГИС, по его мнению, способно улучшить ситуацию: «Тут лучше работает государственное регулирование. Обновление нормативной базы и закрепление за ЕБС статуса государственной системы решает все эти вопросы и позволяет продолжить внедрение услуги».

Серьезную сложность представляет создание и внедрение самих биометрических IT-решений. «Ключевым фактором в развитии биометрической системы является технологическая доступность операций по прохождению идентификации и использованию на финансовых и торговых предприятиях, — сказал Михаил Попов. — Сегодня это требует специального оборудования, которое доступно только в банках, что очень ограничивает проникновение продукта, требует специального действия, которое не очевидно для клиента, и не несет для него видимой пользы, но создает большую сложность прохождения данной процедуры. Тенденция по посещению банковских отделений негативна — все меньше людей ходят в банки, где получают доступ к такой процедуре».

Один из ключевых вопросов продвижения данных технологий в различных отраслях: как упростить эти мероприятия и сделать их массовыми, чтобы сами предприятия могли совершенствовать и развивать соответствующие IT-решения? «Это ведь упрощает многие процессы, в том числе с точки зрения антифрод-менеджмента, платежной функции и вещей, связанных с подписанием контрактов и идентификации во всем ее многообразии, — пояснил Михаил Попов, — поэтому первая задача — это упрощение технической составляющей». 

Так, Ростелеком разработал облачное типовое решение по ИБ. Его компании и предприятия могут использовать как в процессе регистрации биометрии, так и в процессе ее использования.

Формируется пул типовых апробированных решений. Например, решение удаленной идентификации клиента, разработанное специалистами Россельхозбанка (РСХБ) совместно с «РТ Лабс», в форме визуализированного процесса удаленного онбординга клиентов в банке Минцифры ставит в пример участникам рынка. Стоит отметить, что биометрические решения РСХБ ориентируются на экосистемы, порталы, сайты как самого банка, так и его партнеров.

Механизм удаленной идентификации Россельхозбанка Минцифры признал эталонным процессом для отрасли

Механизм удаленной идентификации Россельхозбанка Минцифры признал эталонным процессом для отрасли

Третий фактор, пугающий отраслевой бизнес, — сложность реализации необходимых мер ИБ. «ЦБ задали высокие стандарты безопасности по работе с биометрическими данными, и выполнение всех необходимых мер может значительно усложнять интеграцию биометрии в процессы компаний», — замечает Иван Беров. Но такое отношение к стандартам безопасности оправдано.

Дело в специфике биометрических данных. «Основные риски — риски утечек персональных данных и злоупотребления информацией со стороны сотрудников или злоумышленников, которую потом сложно изменить, потому что биометрические данные привязаны к человеку практически на всю жизнь. И в случае их компрометации исправить это достаточно сложно», — поясняет Михаил Попов. Это очень серьезный вопрос: как защитить биометрические данные от компрометации, и как выстроить процесс обновления этих данных, если они все-таки были скомпрометированы.

С вопросами ИБ связана идея расширения способов получения биометрических образцов клиентов. Помимо процедуры, стандартно реализуемой в отделениях банка, предполагается использование коммерческих биометрических систем, получение образцов через операторов связи, МФЦ, самостоятельная регистрация физлицами своих биометрических данных в ЕБС.

Вот что думает об этом Дмитрий Дырмовский, глава группы компаний ЦРТ, чьи технологии работают в инфраструктуре ЕБС: «Ключевые требования, которые должны выполняться для сбора данных, — безопасность и качество исходных образцов, от этого зависит надежность верификации по ним. Кроме того, важно, чтобы фотографии или записи фонограмм голоса не попали к мошенникам, поэтому предъявляются высокие технические требования к безопасности для прохождения процедуры регистрации. Текущая процедура сбора удовлетворяет данным требованиям. Расширение способов сбора образцов, безусловно, пойдет на пользу и национальным биометрическим системам, и пользователям, поскольку сделает доступными большее количество услуг удаленно».

Увеличим число способов регистрации данных в ЕБС?

По словам Ивана Берова, в соответствии с принятыми поправками в законодательстве, скоро появится возможность регистрировать биометрию в МФЦ. в разработке — сервис для самостоятельной регистрации биометрии в приложении, сейчас проект находится на стадии согласования с ЦБ в сфере ИБ.

Михаил Попов поясняет: «Корпоративными пользователями системы должны быть не только банки, но и множество других организаций, которым было бы удобно использовать эту систему для идентификации клиентов в своем бизнесе. Поэтому этот статус нужно расширять. Однако если сделать бесконтрольной систему, в которой много факторов подключения, то будет очень сложно уследить за всеми этими системами, что в итоге это приведет к росту рисков и злоупотреблений». При этом граждан будет беспокоить вопрос распределения ответственности между участниками такой системы: банками, регистрационными центрами, системами, которые обслуживают эти операции, торговыми точками, которые потом будут использовать биометрические данные для верификации клиентов, и самими клиентами, которые вводят их самостоятельно, в случае некорректного ввода данных или нарушения их конфиденциальности.

Алексей Цессарский выступает за здоровый баланс между доступностью, с одной стороны, и безопасностью и контролем качества — с другой. «Самый большой недостаток — снижение качества биометрических образцов при посредственном оказании услуги по сбору данных», — отмечает он. 

По мнению Анатолия Аксакова, сбор данных через МФЦ — наилучшее решение: «Централизованный сбор биометрических данных в МФЦ решил бы проблему массовости, ведь граждане больше доверяют государству, чем кредитным организациям, поэтому сдавать слепки своего голоса и лица будут охотнее в госучреждении».

Чего не хватает, чтобы «процесс пошел»?

Алексей Цессарский полагает, что нужно разрешить осуществлять биометрическую идентификацию без получения согласия на обработку персональных данных. «Возможно, не для любых целей, но как минимум для приема платежа, предоставления доступа, работы программы лояльности и таргетирования рекламы», — пояснил он. А в качестве противовеса спикер предлагает ввести простую и понятную процедуру добровольного исключения своих данных из работы перечисленных систем, возможно, подобное европейской законодательной инициативе GDPR.

По мнению Михаила Попова, важно расширить перечень компаний, которые могут пользоваться биометрическими решениями, расширить список точек, где можно проходить идентификацию, встроить в такие процессы другие услуги. Речь о том, что по желанию клиента будет возможно одновременно с получением той или иной прикладной услуги получать сервис биометрической идентификации, обеспечивающий в дальнейшем ее применение в других услугах, не связанных с первоначальной. «Это реально сделает сервис массовым», — уверен эксперт. Примеры подобных кейсов есть в смежных областях — например, удостоверяющие специализированные центры, не являющиеся финансовыми и государственными учреждениями, но успешно выполняющие свои функции, будучи лицензиатами специальных лицензий.

Алексей Кузьмин напоминает: «Для расширения наполнения базы ЕБС необходимо больше усилий направить на просветительскую работу с гражданами, потенциальными пользователями ЕБС».

Речь идет не просто о стимулировании внедрения новой перспективной технологии. Происходит переформатирование рынка, которое подпитывается двумя мощными трендами: внутрикорпоративное использование биометрии трансформируется в формат клиентских сервисов, а фокус биометрических решений смещается с обеспечения физической безопасности на новые рыночные сегменты. Мы выходим на старт «Лыжни России».