Вадим Ференец: Игорь, ваше выступление на Банковском саммите ЦФТ-2019 вызвало неподдельный интерес делегатов. Многие фотографировали слайды презентации, а Елена Ходюня со стороны ЦФТ расширила ваш доклад ценными комментариями и дополнениями. Давайте воспроизведем для читателей «Б.О» некоторые моменты из выступлений, а вы поделитесь тем, что вы ожидаете от будущего?

Игорь Ермак: Начну с того, что некоторое время назад МТС Банк (впрочем, как и все остальные кредитные организации страны) испытал шок, когда были приняты поправки в Закон № 482-ФЗ, согласно которому банки обязаны взаимодействовать с ЕБС и ЕСИА для передачи биометрических данных. Положения вступили в силу с 1 июля 2018 года, а что делать со всем этим, было непонятно.

МТС Банку повезло: мы входили в соответствующую рабочую группу при ЦБ РФ и, в принципе, знали о том, что от нас требует регулятор. Однако на рынке не было четкой определенности, что потребуется в плане информационной безопасности (ИБ).

Елена Ходюня (ГК ЦФТ), Игорь Ермак (МТС Банк) и Вадим Ференец «Б.О». Фото: ЦФТ

Кроме того, было очевидно, что со временем и тот, и другой регулятор смогут запросить от нас внедрения дополнительного функционала. Поэтому мы и искали партнера, который не просто поможет нам получить некий коробочный продукт, а пройдет с нами долгий и, как нам казалось и кажется сегодня, интересный путь. Этим партнером и стала ГК ЦФТ. То, что внедрено сейчас у нас в Банке, — совместный с этим вендором продукт R&D, результат совместных инвестиций в Центр регистрации биометрических шаблонов.

Вадим Ференец: Вы пропускаете самое интересное: откуда взялась уверенность в том, что МТС Банку и ЦФТ предстоит долгий и интересный путь в рамках этого проекта? «Б.О» проводил в 2018 году несколько конференций, посвященных биометрии. Тогда казалось, что скорость, с которой Банк России и Ростелеком идут вперед, не оставляет сомнений, что все будет наоборот: быстро и буднично.

Игорь Ермак: Тогда придется немного погрузиться в историю. Для МТС Банка тема биометрии не нова. Еще в 2014 году был внедрен сервис идентификации личности клиента по фотографии. Решение не было нашей собственной разработкой. Мы с коллегами из «Тинькофф» и Home Credit предложили его развернуть на мощностях Бюро кредитных историй «Эквифакс». Тогда все предполагали, что фотографии будет достаточно для идентификации клиента, но вот самих фото было недостаточно у каждого банка в отдельности. А объединив в единый пул данные нескольких участников проекта, можно было не только исправить ситуацию, но даже говорить о разработке некоего стандарта. Проект пошел, в результате появился сервис по биометрической идентификации личности в рамках Системы противодействия мошенничеству Fraud Prevention Service (FPS) «Эквифакс», который уже через год стал базовым для выявления мошенников в различных банках.

Эффект оказался весьма позитивным. МТС Банк, не обладая большим количеством фотографий, тем не менее «видел» мошенников, которые до этого уже заходили в какой-то банк, например, в Home Credit. Потери от этого вида мошенничества заметно снизились. Как выяснилось позже, на эту историю пристально смотрели и коллеги из ЦБ. Вероятно, благодаря анализу накопленного опыта появился ряд поправок и дополнений к Закону № 115-ФЗ.

Вадим Ференец: Получается, что у МТС Банка благодаря участию в биометрических проектах накопился опыт, который серьезно помог как в техническом плане, так и в бизнесовом при старте проекта ЕБС. Но, увы, значительная часть банкиров до сих пор находится внутри замкнутого круга: если внедрять, то как отбить инвестиции? А раз нет бизнес-идей, то всегда найдется масса веских причин не спешить. Как быть? Как вы решили для себя эту дилемму?

Игорь Ермак: Это действительно замкнутый круг. Немалое число банкиров удаленную идентификацию воспринимают как боль, как проблему, как нечто, что им навязали. Однако это совершенно другая история: она про цифровую трансформацию, а не про навязывание чего-то сверху. У тех банков, которые, подобно Тинькофф Банку, Сбербанку и ряду других, которые ориентируются на «цифру», вопросов, нужно все это или нет, не возникает. Они понимают, что текущие расходы — это инвестиции, пропуск ко всем возможностям диджитализации, это означает удобное взаимодействие между банком и клиентом на базе маркетплейсов, мобильных приложений, веб-сайтов банков и т.д. Поэтому мой ответ: нужно менять бизнес-стратегию, тогда все сразу станет на свои места и никакого замкнутого круга не будет вовсе.

Немалое число банкиров удаленную идентификацию воспринимают как боль, как проблему, как нечто, что им навязали

Однако на практике все не так просто. Недавно в рамках соответствующей рабочей группы ЦБ проводил опрос, почему наполняемость ЕБС биометрическими данными происходит несколько медленнее, чем запланировано. Выяснилось, что ситуация, когда в Системе зарегистрировано всего несколько десятков тысяч энтузиастов, приводит к тому, что экономики в таких проектах попросту нет.

Возвращаясь к вопросу о бэкграунде, скажу: в МТС Банке и других цифровых банках всем очевидно, что даже без учета экономики удаленная идентификация на своем сайте и в мобильном приложении нужна. В этом вопросе необходимо быть проактивным. Это must be сегодня. Ведь рано или поздно нас всех регулятор заставит пройти такой путь. Лучше этот шаг сделать первыми, научиться работать с клиентами, чтобы через какое-то время им стало интересно заходить на сайт Банка, проходить удаленную идентификацию. Если не набить на этом пути шишек первыми и не добиться того, чтобы клиенты научились пользоваться нашими интерфейсами и привыкли к ним, то лидерами станут другие.

Биометрия, удаленная идентификация и открытие счета — это далеко не все! При некоем критическом количестве пользователей в ЕБС совершенно другими красками заиграет тема антифрода. Появляется безопасная среда, где даже без присутствия человека в контуре скомпрометировать данные и совершить сделку вместо него не сможет никто. Появляются новые правила игры, где гражданин работает в абсолютно безопасной среде.

Как следствие гражданин может представлять не только самого себя, но и юридическое лицо, будучи, например, генеральным директором или главным бухгалтером. Так что эта история и про малый бизнес. Такие должностные лица, не рискуя ничем с точки зрения мошенничества, могут работать удаленно. Вообще, что доступно МСБ, если его владельцы завели свои данные в ЕБС? У нас в Банке получился список примерно на полтора листа.

Вадим Ференец: С мотивацией и компетенциями понятно. В рамках Закона № 482-ФЗ банки обязаны взаимодействовать с ЕБС и ЕСИА для передачи биометрических данных. Для этого данные клиента должны храниться в ЕБС. Соответственно банкирам необходимо выполнить две вещи. Во-первых, создать Центр регистрации биометрических данных (ЦРБД), что является их обязанностью. Во-вторых, на сайте банка и в мобильных приложениях создать возможности для привлечения клиентов без посещения офисов. Это уже право банка. Как МТС Банк справился с этими задачами и не ввязал свои подразделения в «междоусобную войну»?

Игорь Ермак: Создание Центра у нас изначально было разделено на две подзадачи. Первая — обеспечение информационной безопасности, в том числе закупка IT-оборудования и техническое сопровождение. Вторая — создание внутренних нормативных документов, нахождение внутри Банка владельцев бизнес-процессов, которые при реализации проекта вовлекут в него практически все подразделения. Можно назвать вторую подзадачу «Организационные вопросы».

«Примирить» между собой разные подразделения и сделать так, чтобы все участники проекта одинаково понимали, что и кому необходимо делать, а также чтобы был один лидер во всей этой истории, — это действительно сложная и нетривиальная задача. В разных банках она решается по-разному, но общий тренд заключается в том, что такой лидер находится в рядах «продуктологов».

Каждый банк решает свою собственную дилемму: это все о комплаенсе или о бизнесе?

Однако во всей этой истории очень много неопределенности. Поэтому крайне важна координация с вендором, помогающим создавать удобный интерфейс, который затем транслируется сотрудникам на местах, вызывая при этом минимум вопросов при согласовании документов и инструкций.

Вадим Ференец: Ваш опыт «миротворчества» уникален или он может быть масштабирован на другие банки?

Игорь Ермак: Каждый банк решает свою собственную дилемму: это все о комплаенсе или о бизнесе? Мы нашли свое решение, у нас получилось нечто среднее. Думаю, кому-то наш опыт наверняка поможет.

Что мы сделали? Нам пришлось сформировать огромный сквозной процесс, в котором были задействованы и IT, и ИБ, и бизнес-подразделения. На первый взгляд, простая задача — предоставить клиенту услугу, но она требует внутри Банка слаженного взаимодействия практически всех его подразделений. Необходимо четко прописать бизнес-процессы и назначить ответственных за их протекание. Но надо также иметь в виду, что разработанная схема должна быть изменяемой вследствие непрерывного совершенствования законодательства и воздействия инноваций.

Вадим Ференец: А где в этой схеме процессов находятся интересы клиента?

Игорь Ермак: Я бы сказал, что интересы клиента, желающего сдать биометрические данные, сильно коррелируют с интересами сотрудников, работающих с ним. Последним должно быть удобно взаимодействовать с системой. У них должны быть понятные и удобные интерфейсы, исключающие влияние пресловутого человеческого фактора в критические моменты: со звуком что-то не так, свет для камеры не тот и т.д. А клиент должен заранее знать, что ему не придется сидеть перед камерой или микрофоном в какой-то неудобной позе, а вся процедура регистрации биометрических данных будет длиться разумное время.

Елена Ходюня: Как участница этого проекта хочу дополнить в этом месте Игоря. В МТС Банке нам всем удалось достичь времени регистрации не более трех минут. По этому показателю Банк вошел в число лидеров в России. Это время было подтверждено и в ходе ревизии. Да-да, ЦБ РФ с Ростелекомом практикуют «контрольные закупки». Уложились в три минуты.

Вадим Ференец: Я думаю, что самое время поговорить о роли ГК ЦФТ в проекте. На каком этапе этого процесса появился вендор?

Игорь Ермак: На первом этапе. За несколько месяцев до часа «X», 1 июля 2018 года, мы приступили к выбору партнера, с которым нам будет интересно работать. Думаю, не стоить рассказывать обо всех перипетиях поисков и переговоров. Лучше отметить, что в рамках партнерства с ЦФТ действительно было множество изменений, которые продолжаются и поныне — такова специфика этого проекта.

За три месяца до запуска ЕБС мы начали совместную разработку, которая легла в основу нашей системы и находится в совместной разработке по сей день.

Вадим Ференец: На старте этого проекта действительно было немало противоречивых требований и разного рода корректировок со стороны регуляторов и оператора ЕБС. Но Елена в своем докладе говорила, что и в этом, 2019 году, были изменения со стороны ЦБ. О чем в них шла речь?

Елена Ходюня: Например, 1 марта 2019 года вышло новое письмо Банка России, в котором регулятор писал о том, что теперь появляется возможность регистрировать клиента в ЕБС, не дожидаясь подтверждения учетной записи в ЕСИА. Думаю, это весьма показательный пример изменчивости регуляторной среды, в которой идут наши работы.

Елена Ходюня (ГК ЦФТ). Фото: ЦФТ

Вадим Ференец: Давайте поговорим о технической компоненте сотрудничества. Насколько я понимаю, МТС Банк выбрал модель инхаус-решения с размещением модулей HSM (аппаратный криптографический модуль, hardware security module. — Ред.) у себя в ЦОД?

Елена Ходюня: Для реализации проекта по биометрической идентификации МТС Банк выбрал комплексный программный продукт АРМ «ЦФТ-Госуслуги».

Игорь Ермак: Действительно, нами выбрана модель инхаус-развертывания этого решения. Несколько HSM в целях резервирования размещены у нас.

Вадим Ференец: Но если бы все упиралось только в выбор тех или иных решений, то, наверное, данная сессия Саммита была бы не нужна. В чем подвох?

Игорь Ермак: Есть «железо», которое необходимо для выполнения требований законодательства. С ним все относительно просто. Но вот чтобы эти «железки» заработали, необходим софт, а он должен быть лицензирован и должен пройти определенные испытания, которые позволят нам впоследствии пройти обязательные проверки.

Коллеги умеют это «железо» интегрировать с другими компонентами программного продукта ЦФТ. Следующий шаг — сертификация, его мы проходим вместе. Добавлю, что у нас есть отложенное требование, касающееся информационной безопасности, которое до конца 2019 года должно быть выполнено. Этим мы сейчас активно с коллегами и занимаемся. Самим нам реализовать требования по соответствию законодательству было бы гораздо сложнее.

Вадим Ференец: Но в любой цепи есть слабое звено. Решения ЦФТ и КриптоПро HSM имеют соответствующие сертификаты спецслужб. Ваш совместный продукт тоже проходит проверку. Но все равно остается одно узкое место. Как минимизировать риски тут?

Игорь Ермак: Тот, кто собирает биометрические данные, — это ключевое и самое ответственное звено. Однако банк — это организация, которая по определению умеет работать с внутренним мошенничеством, иначе банка как института не было бы. Те финансовые учреждения, которые позволяют внутренним сотрудникам мошенничество, обычно долго не живут. Кроме того, существуют жесткие регламенты по правилу допуска новых сотрудников, а также по лишению этого допуска в случае увольнения и т.д. Я уверен, что этим риском МТС Банк может успешно управлять.

Елена Ходюня: Раз мы затронули тему рисков, хотела бы у Игоря как математика спросить, как он понял вчерашний тезис Валерия Бабушкина, Data Scientist из компании X5 Retail. У них реализуется внутренний биометрический проект, и по их опыту, после появления в базе данных примерно 100 тыс. их клиентов — посетителей магазинов — неожиданно система начала выдавать ложные срабатывания как первого, так и второго порядков. А мы все сейчас говорим о том, что в ЕБС должны быть десятки миллионов записей. Теперь моя очередь спросить у вас: в чем подвох?

Игорь Ермак: Существует два независимых друг от друга процесса: идентификация и верификация. Когда мы говорим об идентификации, коллега из X5 с точки зрения математики абсолютно прав. Практика показывает, что при наличии в базе 100+ тыс. образцов лиц начинаются ошибки. Их смысл в том, что не узнаются конкретные лица, а выдается соответствие некоему типажу, характеристикам, которые искусственный интеллект выделил и сгруппировал по каким-то своим соображениям. Поэтому не всегда удается достичь корректной работы поиска в базе мошенников, о которых мы ничего не знаем, в огромных базах данных.

Банк — это организация, которая по определению умеет работать с внутренним мошенничеством, иначе банка как института не было б

При верификации мы сравниваем «один к одному», а не «один к миллионам». В случае с ЕБС с клиента собираются «эталонные данные», которые сохраняются в базе данных оператора ЕБС, т.е. в Ростелекоме. Поиск «один к одному» в этом случае обеспечивает почти 100%-ное совпадение, что дает возможность надежной аутентификации пользователя удаленного мобильного приложения. Повышает точность и хранение двух модальностей: голоса и фото. Этот факт сводит возможность мошенничества в ЕБС практически к нулю. Это абсолютно другой кейс, нежели в X5.

Вадим Ференец: Не могу не затронуть немного провокационную тему. Инновации сегодня идут потоком, население далеко не всегда успевает привыкнуть к ним и освоить их. Не станет ли «биометрический проект» так и не освоенным до конца нововведением? По крайней мере, для людей старшего возраста.

Игорь Ермак: «Биометрический проект ЦБ — это история про то, что клиент получает ровно то, что он хочет. В первую очередь люди не хотят носить каждый раз в банк новые бумаги. Они вообще не хотят туда ходить, ведь множество вещей сегодня можно сделать удаленно. А то, что планируется реализовать на следующих этапах, реально сделает жизнь несколько иной.

Елена Ходюня: Может быть, какой-то человек старшего возраста сам и не может разобраться в этих вещах и по привычке идет в офис банка, где помимо всего прочего общается с людьми своего возраста. Есть много примеров того, что именно там он узнает, что пожилому человеку теперь вовсе не обязательно лично обивать пороги офисов. Все можно сделать на своем телефоне. А сотрудники банка, будучи заинтересованными в продвижении дистанционных услуг, помогают разобраться в новшествах.

Игорь Ермак: Думали ли мы когда-то, что пенсию старшее поколение будет получать на карту? Думали ли мы, что «бабушки» научатся снимать пенсию и другие денежные средства посредством банкомата? Да и зачем ходить в банк для оплаты коммунальных услуг, если можно сделать все практически автоматически, сканируя смартфоном QR-код с бумажной платежки. Да и вообще, зачем сканировать, если благодаря ГИС ЖКХ счет на оплату сам приходит в банковское приложение, установленное на смартфоне? Удобство против традиций. Стоит несколько раз пройти несложный клиентский путь, и услуга становится востребованной. В принципе, даже старшее поколение имеет потенциал перехода в категорию Full Digital банковских клиентов.

Елена Ходюня: Нельзя сбрасывать со счетов и то, о чем Игорь говорил ранее, — повышение благодаря платформенному решению уровня информационной безопасности, а именно снижение рисков мошенничества и повышение качества работы антифрод-систем. Поэтому банки кровно заинтересованы в дополнительном элементе аутентификации и идентификации клиента даже при обслуживании в банковском офисе. Взять ту же историю с переклейкой фотографий в паспортах. Человек может пропустить, а электронная система — практически никогда.

Вадим Ференец: Елена, выступая с докладом сразу после презентации Игоря, вы взбодрили зал, в том числе и меня, словами об «идентификации-Lite». Что это? Наверняка интересным здесь будет вопрос цены. Вы говорили, что банкиров может ждать приятный сюрприз...

Елена Ходюня: Начну с того, что банк платит 200 рублей оператору ЕБС за привлечение тех людей, которые пока не являются клиентами этого банка. Например, человек зашел на сайт банка, ему понравился какой-то продукт, он его выбрал, после чего происходит процедура удаленной идентификации. Аналогичная процедура происходит при выдаче ипотеки (идентификация созаемщика, например), автокредита (и других кредитов) в удаленных точках.

Но существует масса бизнес-кейсов, когда идентификация используется при обслуживании своих собственных клиентов, в том числе при использовании банкоматов, звонках в колл-центр и т.д. Уже наверняка ни для кого не является секретом, что Ростелеком и Банк России думают над неким упрощенным сервисом «идентификации-Lite», который обойдется банкирам примерно на порядок дешевле.

Таким образом, существует высокая вероятность того, что у банка при идентификации физического лица, своего клиента, появится «своя база данных» внутри ЕБС. В подобной индивидуальной мини-ЕБС и будет происходить идентификация существующих клиентов. Почему это интересно банкирам? Ответ лежит в финансовой плоскости: далеко не всем финансистам по карману разработка собственной биометрической системы, которая в среднем по рынку стоит около десятка миллионов рублей.

Игорь Ермак: Хотелось бы дополнить слова Елены тем, что «идентификация-Lite» привлекательна не только пониженным тарифом. Есть другие кейсы, связанные, например, с действием Закона № 115-ФЗ и блокировкой подозрительных транзакций. Это явление, с которым столкнулось немало наших сограждан. Какая здесь проблема? Для того чтобы клиенту подтвердить, что данную операцию можно провести, ему необходимо войти в диалог с банком, а для этого он должен идентифицироваться. Как? Сегодня в большом количестве случаев — посетить офис банка. Процедура затягивается иногда на несколько дней, а ведь можно уложиться и в несколько минут при удаленной идентификации.

Вадим Ференец: Находясь на территории Кипра, естественно спросить: можем ли мы здесь и сейчас воспользоваться уделенной биометрической идентификацией, когда данные для ЕБС были собраны и находятся в России?

Игорь Ермак: Вы же работаете с сервером, который остался в России! Все будет работать, никаких проблем не возникнет. Приложением вызывается ссылка в Ростелекоме, которая находится на сервере в том или ином банке у нас в стране. При этом реализуется безопасный канал связи между вашим смартфоном и данной серверной частью. По нему данные передаются без всякого риска компрометации. Поэтому неважно, в какой части света находится пользователь.

Вадим Ференец: Завершая нашу беседу, хочу пожелать успешного завершения совместного проекта и, быть может, старта нового. Ведь мы прекрасно понимаем, что Банк России вряд ли остановится на достигнутом в дальнейшем развитии ЕБС!

Беседа состоялась 20 апреля 2019 года