IdTech не для всех

16.11.2018 Аналитика Конференции «Банковского обозрения»

IdTech не для всех

Внедрение Единой биометрической системы сталкивается с апатией населения и банков

Обозреватель

Есть много проблем в части выполнения требований безопасности, сбора данных и высокой стоимости внедрения новых технологий. Тем не менее регулятор и участники рынка настроены оптимистично, считая, что эти затраты окупятся в ближайшем будущем. О том, что даст Единая биометрическая система (ЕБС) банкам и их клиентам, о практических аспектах подключения к системе и устранении киберугроз, а также о новых горизонтах бизнеса, которые открывает эта технология, говорили на практической конференции «IdTech-2018: идентификация и биометрия в финансовой отрасли, практика и перспективы», которая собрала более 100 банкиров и экспертов по удаленной идентификации.

Фото: Альберт Тахавиев / «Б.О»

Сейчас к системе биометрической идентификации уже подключились свыше 100 банков, а цифровой образ можно создать в 130 городах России (чуть более 10% общего числа). Несмотря на усилия Ассоциации банков России, в Законе прописана обязанность всех банков с лицензией работать с физлицами начиная с 31 декабря 2018 года, собирать данные биометрии минимум в 20% своих отделений.

Это послужило причиной официального письма председателю Центробанка Эльвире Набиуллиной со стороны АРБ, заявил исполнительный вице-президент этой организации Эльман Мехтиев. «Закон сильно отошел от первоначальной идеологии проекта, где сбор биометрии был правом, а не обязанностью банков, — напомнил он. — Изначально мы предполагали в качестве операторов сбора данных Почту России и “Яндекс”». Глава мегарегулятора допустила, что от обязанности сбора биометрических данных могут быть освобождены малые банки и банки с базовой лицензией, но, как уточнила руководитель проекта департамента финансовых технологий ЦБ РФ Ангелина Акименко «решение пока не принято». Она подчеркнула, что в обсуждениях на рабочей группе сами банки заявили, что не готовы доверять биометрии, собранной через МФЦ или РЦ. «Объективно требования к банкам в части первичной идентификации максимально жесткие, в том числе по сверкам с черными списками экстремистов и террористов, — заявила она. — Мы внимательно мониторим процесс и, если увидим, что такого большого числа отделений не требуется, снизим требования».

Ангелина Акименко, ЦБ РФ. Фото: Альберт Тахавиев / «Б.О»

Также менеджер ЦБ отметила, что банки получат выгоду не только от сокращения операционных издержек, для них предусмотрена комиссия со стороны оператора (Ростелекома) за каждое использование собранных ими биометрических данных. Это будет неплохим подспорьем для окупаемости внедрения новой системы. Пока цена для банка с одним отделением составляет примерно 6,5 млн рублей и колеблется в зависимости от степени развития информационных систем в банке. Конечно, такие расходы банки не радуют, но есть и иная точка зрения на эти инвестиции. «Затраты, которые банки вынуждены нести при внедрении ЕБС, — это затраты, которые они не сделали пару лет назад, — уточнил гендиректор компании IDSystems Андрей Федорец. — Взять гостированную сеть. По идее, ее должны были создать все, как только банки стали операторами персональных данных». По его мнению, «внедрение в банке ЕБС отбивается одним ипотечным кредитом».

Тем не менее, если посмотреть на сбор биометрических данных под иным углом, то они открывают банкам широкие перспективы для заработка, считает Эльман Мехтиев. «Если мы выстраиваем собственные процессы с помощью биометрии, то почему мы не можем выступить центром идентификации для других бизнесов? Банки могут стать провайдерами идентификации, — заявил он. — Мы создаем систему и даже не замечаем, что можем на ней зарабатывать». Нужно только выстроить юридическую систему между клиентом, банком и теми структурами, которым эти данные необходимы.

Олег Ковпак: Пока цена для банка с одним отделением составляет примерно 6,5 млн рублей

Сталкиваются банки и с чисто техническими сложностями. Так, в приказе ЦБ № 321, который устанавливает технические требования к процессу сбора биометрических данных, перечислен список обязательного оборудования, у части которого отсутствуют спецификации, так как производители их не раскрывают. Проблему приходится решать в ручном режиме, переговорами непосредственно с производителями, рассказал директор офиса «Единая биометрическая система» компании «Ростелеком» Олег Ковпак.

Олег Ковпак, «Ростелеком». Фото: Альберт Тахавиев / «Б.О»

Дистанционные сервисы по открытию счета, вклада или получению кредита пока реализованы только крупнейшими банками: Почта Банк, Банк Хоум Кредит, Совкомбанк, Тинькофф Банк, Альфа-Банк. Видно, что отсутствие в этом списке лидеров рынка в лице ВТБ и Сбербанка сказывается на числе людей, заинтересовавшихся биоидентификацией.

На данный момент число биометрических учетных записей в ЕБС едва перевалило за три тысячи (из них более тысячи — это клиенты Почта Банка). Число услуг, оказанных при помощи новой системы, исчисляется несколькими десятками. При этом сами банкиры отмечают, что клиенты, которые сдают биометрию, — это не совсем та аудитория, на которую система изначально была ориентирована. Это самые продвинутые клиенты, чаще из крупных городов, которые не обделены финансовыми услугами. «Те люди, которые сейчас получают биометрию, — это новаторы, им неважно получить продукт в банке, им важно опробовать новую технологию», — сказал руководитель Центра развития электронных продуктов и сервисов для розничных клиентов Альфа-Банка Сандип Шарма. Еще один пласт сдавших биометрию — это сотрудники банков, финансовых и IT-организаций, которые ее тестируют.

Важнейшей темой при внедрении ЕБС становится кибербезопасность системы — как в целом, так и каждого ее участка. «Если биометрические данные будут хотя бы один раз скомпрометированы, то у клиента появится масса проблем, — отметил директор по бизнес-развитию направления биометрических систем ЦРТ Андрей Хрулев. — Поэтому так важна максимальная защищенность системы». Он подчеркнул, что атаке может подвергнуться практически любое звено, которое участвует в цепочке передачи данных биометрических характеристик, — начиная с устройства ввода, куда пользователь смотрит и говорит, и заканчивая самой биометрической моделью в хранилище.

Фото: Альберт Тахавиев / «Б.О»

Развитие технологий не только облегчает жизнь банкирам и их клиентам, но и несет новые риски. Так, недавно на Международном хакерском конгрессе в Германии один программист продемонстрировал рабочий макет подушечки пальца министра обороны Германии Урсулы фон дер Ляйен, созданный по нескольким фотографиям политика. «Сам факт того, что, используя публичную информацию, можно создать фейк, который будет имитировать биометрические характеристики, — подчеркнул Андрей Хрулев, — это скандальный пример, но он может затронуть и иные биометрические характеристики». Также он напомнил о развитии технологий спуфинга, и не только голосового. Буквально на днях в КНР презентовали цифровую модель телевизионного ведущего, полностью копирующую реального человека, включая поведение. По мнению А. Хрулёва, выход — в максимально полном использовании технологий Liveness detection, построенных на принципах мультимодальности, когда на базовые решения можно будет при необходимости «прикручивать» новые алгоритмы для защиты от новых атак.

Именно такой подход заложен в систему безопасности ЕБС, заверил представитель оператора системы Олег Ковпак. «Даже среди организаций, специализирующихся на безопасности, мало кто может сейчас приблизиться к взлому системы», — подчеркнул он. Безопасность данных помимо прочего обеспечивается их раздельным хранением и сквозным шифрованием в соответствии с Законом о персональных данных и с использованием отечественных криптоалгоритмов.

Андрей Федорец, IDSystems. Фото: Альберт Тахавиев / «Б.О»

Основные требования к безопасности системы также перечислены в приказе ЦБ № 321, но со стороны банков остаются вопросы по их практической реализации, отметил О. Ковпак. «Сейчас мы ведем активные консультации с уполномоченным органом в лице ФСБ России и готовим типовой продукт по информационной безопасности, чтобы банки могли бесшовно интегрировать его в свои информационные системы», — заявил он.

Эльман Мехтиев: Если мы выстраиваем собственные процессы с помощью биометрии, то почему мы не можем выступить центром идентификации для других бизнесов?

А вот по мнению А. Федорца, главная опасность для безопасности системы — это переход к оказанию на ее основе нефинансовых услуг, к примеру медицинских: «Получается, что в районной поликлинике должна быть установлена стойка с оборудованием по безопасности. Не только дорогостоящим, но и сложным в использовании. Один из приборов требуется включать с привлечением трех человек. А кто в поликлинике сисадмин? Студент. Два других, наверное, будут главврач и завхоз. В итоге использование оборудования сведется к тому, что его будут обслуживать низкоквалифицированные лица. Это значит, что с широким внедрением мы можем убить доверие и снизить надежность защищенных контуров системы».

Тем не менее без широкого обслуживания не обойтись. Практически все участники дискуссии отметили, что без расширения списка услуг внедрение ЕБС будет буксовать. Особенно важно внедрять обязательные для граждан госуслуги, от получения паспорта до смены водительских прав, считает руководитель направления новых технологий интернет-кредитования Хоум Кредит банка Елена Медведева. «Ходить по госучреждениям — не самое приятное времяпрепровождение. Множество людей присоединится к ЕБС как только поймет, что это избавит их от таких визитов», — уверена она.

Фото: Альберт Тахавиев / «Б.О»

Это подтверждается практикой Беларуси. Там межбанковская система идентификации (МСИ) действует уже два года. При этом резкий рост числа зарегистрированных пользователей произошел тогда, когда с ее помощью люди смогли получать удаленный доступ к выпискам из своей кредитной истории, рассказала заместитель председателя правления компании «Единое расчетное и информационное пространство» Наталья Штевнина. Однако эта система строится на обмене данными о клиентах банков с другими банками после валидации их в госорганах (по физическим лицам в АС «Паспорт» МВД РБ, по юридическим в ЕГРЮЛиИП Минюста РБ). Также на данный момент участники МСИ — только банки и небанковские кредитные организации. Такая конфигурация во многом вызвана компактностью страны, где действуют всего 24 банка и 23 небанковских кредитных организации. Тем не менее сейчас уже начинается разработка биометрической идентификации. Она будет предназначена для первичной регистрации при ДБО, обслуживании клиентов при личном обращении без документов и для высокорисковых и крупных операций по ДБО. Может она использоваться банками и для построения бизнес-стратегий, основанных на принципе KYC, в перспективе системы биометрической идентификации стран ЕврАзЭс должны быть интегрированы, считает Н. Штевнина.

Наталья Штевнина, Единое расчетное и информационное пространство». Фото: Альберт Тахавиев / «Б.О»

О мировой практике биобанков рассказала завкафедрой философии образования МГУ Елена Брызгалина. Сейчас есть несколько моделей банков, собирающих биоматериал. Из них наиболее интересны бизнесу персонифицированные биобанки, так как они могут служить основой для принятия управленческих решений. Они будут востребованы страховщиками, банкирами, медиками и т.д. Это ставит массу этических вопросов. «Мир ищет баланс между персонификацией и деперсонификацией, — заявила Е. Брызгалина. — Мы идем по пути биометрии достаточно быстро технологически, но не вырабатываем модель соотношения персональной автономии и общественного блага, приемлемую для нашей страны». В своем выступлении она раскрыла, что мир стоит на пороге технологических трансформаций привычных понятийных границ по линиям «человек — животное» (люди-химеры, «пара-люди»), «человек — машина» (кибергизация, имплантируемые нейроинтерфейсы, киборги, гриндеры), «норма — паталогия» и даже по линии «жизнь — смерть».

Это все часть новой технологической революции, которая способна изменить основы человеческой философии, думает Илия Димитров, исполнительный директор Ассоциации электронных торговых площадок. Основные параметры нового мира, по Илие Димитрову, следующие: тотальная цифровизация, новые материалы, новая система управления. В нем экономика станет персонализированной и прогностической. «Будут ли современные компьютеры константой нового мира? Нет. Его основой будет квант, а в перспективе и фотон», — считает он. Это изменит всю систему аутентификации и систему восприятия

Фото: Альберт Тахавиев / «Б.О»

«Я не верю что присутствующие на рынке информационные гиганты выживут на горизонте 5–10 лет, — заявил Илия Димитров. — Их не будет. Вообще никого не останется. Все потому, что они про текст и цифры, а мир — это образы. Человек — существо, которое мыслит образами. Мы входим в мир прогностический, квантовый, где материя сливается с управлением».

Комментарии участников

Андрей Хрулев, директор по развитию направления биометрических систем ЦРТ

Эксперты прогнозируют значительный рост проникновения биометрических систем в различные сферы. Применение таких систем для защиты банковских счетов или программ предоставления различных льгот сопряжено с активным поиском мошенниками способов обойти защиту.
Биометрические данные пользователя хранятся в защищенном контуре оператора системы отдельно от паспортных данных. В свою очередь, мы как технологический вендор предоставляем комплексное решение по созданию и сравнению биометрических слепков. При этом осуществляется необратимое преобразование фотографий лица и записей голоса пользователей в биометрические шаблоны, а инфраструктура системы дополнительно обеспечивает шифрование информации. То есть, если мошенник сумеет завладеть биометрическими шаблонами, восстановить внешность и голос человека из них будет невозможно.
Чтобы защитить биометрическую систему от взлома, используются алгоритмы определения живого пользователя (liveness detection). Эти технологии помогают избежать ложного срабатывания, если злоумышленники используют аудио- или видеозапись, фотографию пользователя, слепок его отпечатка пальца. Liveness detection помогает не только подтвердить, что в систему пытается войти живой человек, но и повысить точность распознавания. Поэтому liveness detection является неотъемлемой составляющей биометрических систем, которые разрабатывают в ЦРТ.
В системах распознавания отпечатков пальцев для liveness detection используются измерение температуры, пульса, кровяного давления и т.д. Для других биометрических систем методы liveness detection, как правило, основываются на анализе поведения. Системы распознавания лица могут требовать от пользователя движения головы, губ, глаз или изменения выражения лица. Системы распознавания голоса могут просить пользователя произнести случайную фразу или последовательность букв/цифр, чтобы предотвратить воспроизведение записанных звуков.

Тимур Аитов, заместитель председателя подкомитета по платежным инструментам и информационной безопасности Комитета ТПП РФ по финансовым рынкам и кредитным организациям

Тема обсуждается не в первый раз, но мы все время вертимся вокруг одних и тех же проблем. С одной стороны, ЦБ, активно поддерживающий инновационные продукты и решения, с другой стороны — банки, проявляющие разумную осторожность. Заметно, что банки все-таки не хотят активно на это дело подписываться. Почему? Во-первых, дорого. Непонятно, как отбить эти затраты. В зале прозвучала сумма 6,5 млн рублей для того, чтобы банку с одним единственным филиалом включиться в процесс. На самом деле затраты могут оказаться значительно больше, может быть, в два раза, пока мы не знаем, потому что много остается за кадром. Надо персонал переобучить, поменять софт, изменить бизнес-процессы. Во-вторых, много ли пойдет клиентов сдавать отпечатки пальцев, глаза и что-то иное. Все знают, что наши граждане не очень-то верят во все эти процедуры. Плюс, нет никакого прогноза в отношении того, что будет ждать клиента. Вопросов пока больше чем ответов, и клиента до сих пор никто не убедил.

Виктор Жидков, председатель правления банка «Веста»

На мой взгляд, основная проблема сбора биометрических данных заключается в том, что пока у потребителя отсутствует ценность эти самые данные отдавать. Потому что мы все рассуждаем о том, как это осуществлять, но главного — осознанности клиента это сделать — у нас нет. Посмотрите, что происходило с Госуслугами. Завели достаточно простой способ идентификации человека и регистрации на портал Госуслуг. Все здорово, только люди не понимали, зачем это. Но как только появилась возможность без очереди сделать паспорт, или записать ребенка в секцию, или сдать налоговую декларацию, люди увидели в этом ценности, и тут уже агитировать не надо было. То же самое и с биометрией — мы не должны всецело сосредотачиваться на технологиях, необходимо сформировать ценность у клиента, и эта ценность должна однозначно уметь конкурировать с той сегодняшней логикой клиентского поведения, которая говорит: «Я не хочу никуда идти, потому что меня все устраивает, я зарплатную карту получил, кредитную карту получил, в принципе, мне не нужны какие-то другие услуги».
Банки, участвующие в этом процессе, находятся, скажем так, в неравновесном диалоге с регулятором. вВ основном, конечно, обсуждаются технические детали, дорого — недорого, но, на мой взгляд, это очень хороший процесс. Я считаю, что можно нормально говорить о проблемах. Не говорить, что их не существует, потому что Банк России тоже должен чувствовать здоровый скептицизм и оппортунизм, слышать какие-то возражения и т.д. В целом я настроен позитивно. Я считаю, что это общее добро и это поможет банкам выйти на недоступную сейчас аудиторию.

Андрей Федорец, генеральный директор IDSystems

Если регистрацию в ЕБС оставят только за кредитными организациями, то все будет надежно и одинаково, а если в дело включатся МФЦ и агенты, тогда все может сломаться. Сегодня банки, которые собирают биометрические образцы и проводят их регистрацию в ЕБС, пользуются одинаковыми решениями с точки зрения форматности биометрических данных, каждый из биометрических образцов проходит контроль с помощью библиотеки качества, которая поставляется оператором ЕБС Ростелекомом, поэтому с точки зрения унификации они все одинаковые. Соответственно, требований по информационной безопасности не существует. Есть перечень угроз, которые необходимо учитывать при сборе биометрических образцов. Он жесткий, и кредитные организации, которые существенным образом подконтрольны или поднадзорны, обязаны исполнять их. Унификация будет достаточно серьезной как раз именно в том случае, если никто кроме кредитный организаций не будет собирать биометрические образцы.

Наталья Штевнина, заместитель председатель правления небанковской кредитно-финансовой организации Единое расчетное и информационное пространство МСИ (Республика Беларусь)

МСИ создавалось для того, чтобы убрать барьеры идентификации. Это уже второй этап трансформации банковской системы Республики Беларусь. На первом этапе мы собрали все платежи в единую систему. Если еще 10 лет назад было порядка 10% безналичных платежей, а все остальные платежи населения за услуги осуществлялись в кассе, то сейчас мы видим совершенно другую картину — 60% безналичных платежей, и этот показатель постоянно растет. За достаточно непродолжительное время в МСИ зарегистрировалось около 2% пользователей экономически активного населения Республики Беларусь. На полную мощность система заработает тогда, когда будут развиваться сервисы и продукты, которые можно получить именно с использованием МСИ. Я думаю, что эта проблема есть у всех систем в начале их развития. МСИ уже сейчас работает в промышленном контуре, но в идеале хотелось бы подключить 6-7 млн клиентов. Это около 70–80% населения нашей страны. Но, опять же, мы понимаем: просто так, без цели, люди регистрироваться в МСИ не пойдут. Через год-два, если мы выйдем на 3 млн пользователей, то это уже будет хороший процент. Есть отставание пока в информационных кампаниях — часть населения просто не знает, что уже есть такая возможность, и мы последовательно с этим работаем.

Дмитрий Корэ, директор по работе с государственными заказчиками — начальник отдела по работе с ключевыми клиентами «РТ Лабс»

Большинство банков в целом готовы вкладывать деньги в развитие информатизации, в частности в биометрию, и участвовать в данном проекте. При этом хотелось бы отметить, что помимо сервисов удаленной идентификации, связанных с Единой биометрической системой, существует так называемая операционная биометрия. И те банки, которые более продвинуты с точки зрения цифровых услуг или смотрят чуть дальше, развивают именно эти сервисы. Все знают, что биометрию можно снять только со своего клиента. При этом законом не запрещено сохранить ее для собственных нужд. А дальше у банка есть возможность использовать эту биометрию как для антифрода, так и для ускорения обслуживания, в том числе расчетно-кассового.

Елена Ходюня, коммерческий директор дирекции «Расчеты» ЦФТ

Письмо ЦБ от 1 июля 2018 года, которое обязало банки обеспечить свои офисы всем необходимым для сбора биометрических данных клиентов, послужило законодательным толчком. Если же говорить о готовности финансового рынка к 1 января 2019 года начинать принимать эти данные, то она очень сомнительна. Банковский рынок скорее на 80% не готов. Но даже при условии, что к концу года ситуация изменится хотя бы в части исполнения требований регулятора, еще вопрос, пойдет ли клиент сдавать свои данные. Сегодня на конференции много говорили об этом, и я полностью согласна, что клиента необходимо информировать, повышать финансовую грамотность населения и говорить о том, что удаленная идентификация дает, что человек дальше получит, что это безопасно и так далее.