Биометрические данные для банка

Летом 2018 года крупные российские банки начали собирать биометрические данные — записи голоса и изображения лиц — своих клиентов для удаленной идентификации. Предполагается, что с помощью них людям будет проще воспользоваться услугами банками — вкладами, кредитами и другими — не выходя из дома. Но люди сомневаются в сохранности своих данных, а банки — медленно развивают услуги, связанные с ними.

В этой статье я расскажу о том, для чего банкам в нашей стране нужны биометрические данные и о том, как происходит сам процесс их сбора. Для этого я сам решил «засветить» свое лицо в одном из отделений Почта Банка — этот банк одним из первых начал собирать биометрию своих клиентов. В будущем я расскажу, как и где можно воспользоваться собранными данными для оформления финансового продукта.

Что такое биометрические данные?

У каждого человека есть набор уникальных физиологических характеристик, по которым можно установить его личность. К ним относятся отпечатки пальца, изображение лица, радужная оболочка глаза, структура ДНК и некоторые другие. Такие характеристики называются биометрическими данными. За счет их уникальности такие данные часто используются для идентификации граждан.

Разные биометрические данные отличаются особенностями своего применения и своей надежностью. Это ограничивает их использование в разных сферах деятельности:

  • Проще всего использовать для определения личности отпечатки пальцев. Но при этом отпечатки являются одними из самых ненадежных данных — их достаточно легко подделать. Поэтому они применяются, когда личность необходимо подтвердить здесь и сейчас
  • Голос и изображение лица подделать сложнее, и по ним можно установить личность человека удаленно. Но они достаточно нестабильны и могут изменяться с возрастом или под влиянием обстоятельств. Их можно использовать для предоставления доступа к государственным и финансовым услугам
  • Самыми надежными данными являются радужка и рисунок вен на руке, но при этом их использовать сложнее всего. Подтверждение личности с помощью них применяется нечасто и, в основном, там, где вопрос безопасности важнее удобства доступа — например, на военных объектах

Различные биометрические данные уже давно применяются для подтверждения операций и доступа к услугам в разных странах мира — в том числе в финансовой сфере. К примеру, распознавание клиентов по голосу применяет несколько крупных банков – британский Barclays, сингапурский DBS, азиатско-тихоокеанское подразделение Citigroup и некоторые другие. В Индии активно работает система идентификации Aadhaar, в которой хранятся отпечатки пальцев и снимки радужной оболочки глаз более чем 99% населения страны. В 2018 году платежные системы Visa и MasterCard тестируют банковские карты со считывателями отпечатков пальцев. Сейчас об активном применении биометрии задумываются и в России.

Для чего российские банки собирают биометрию?

Работа над системой хранения и использования данных началась еще в 2017 году. С 1 июля 2018 года была запущена Единая биометрическая система — база, в которой хранятся биометрические данные граждан. Тогда же начали прием биометрии несколько крупных банков — Сбербанк, Альфа-Банк, ВТБ, Почта Банк, Райффайзен и другие. Разработчиком и оператором системы выступает Ростелеком — он обрабатывает данные и обеспечивает их безопасное хранение.

Сейчас в биометрическую систему можно сдать запись голоса и изображение лица. По этим данным можно идентифицировать человека как в отделении, так и удаленно — например, по телефону или через мобильное приложение. Возможно, в будущем в системе будут храниться и другие параметры — отпечатки пальцев или снимки радужки глаза.

Биометрическая система должна облегчить работу банков и процесс оформления финансовых продуктов для их клиентов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт — достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт — например, вклад или кредит — в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или отсутствует.

К октябрю 2018 года к ЕБС подключено более 400 крупных банков по всей стране. Немного позднее доступ к биометрическим данным получили коллекторы — с помощью них проще определить личность должника, и ситуаций, когда взыскатели начинают требовать долг от постороннего человека, должно стать меньше. Система привязана к ЕСИА – Единой системе идентификации и аутентификации для доступа к госуслугам. В дальнейшем она станет доступна и другим организациям и службам — например, полиции или учреждениям здравоохранения.

Как происходит сдача биометрии?

Узнать, где в вашем городе можно сдать свои голос и лицо, можно с помощью карты на сайте Центробанка. Здесь можно найти список отделений банков с адресами и временем работы. Список постоянно расширяется, в нем появляются новые отделения и банки.

Я выбрал для сдачи своей биометрии отделение Почта Банка недалеко от работы. Обратился сюда после обеда, когда основной поток клиентов спал. Тогда ничто не мешало сдать свои данные — посторонние шумы не будут заглушать речь. Для сдачи своих данных были нужны только паспорт, СНИЛС и аккаунт на Госуслугах.

Если вы не являетесь клиентом банка, то для вас бесплатно откроют счет. Оформлять какие-либо другие продукты банка — например, кредиты или карты — не нужно. Если у вас нет аккаунта на Госуслугах, то его также бесплатно зарегистрируют в отделении.

После того, как я подписал согласие на обработку, сотрудник банка начал сбор моей биометрии. Процесс состоял из записи голоса и изображения лица. На первом этапе нужно три раза прочитать вслух цифры — от 0 до 9, затем от 9 до 0, и в случайном порядке. На втором этапе сотрудник сфотографировал мое лицо как на паспорт.

В процессе сбора мне немного не повезло. Сначала по какой-то причине программа для сбора неправильно записала голос. Потом была проблема с фотографией — система по непонятной причине не хотела распознавать мое лицо. Сотрудник сказал мне, что это нормально — процесс записи сильно зависит от обстановки в отделении, данных человека, стабильности рабочего компьютера и многих других параметров. Поэтому советую обращаться за сдачей заранее, так как на нее может уйти много времени — до полутора часов.

Через несколько минут после сдачи мне пришло SMS о том, что моя биометрия успешно внесена в ЕБС. Больше ничего регистрировать не нужно — в системе уже создали учетную запись, привязанную к моим паспортным данным.

Если система по какой-то причине отклонила вашу биометрию, то вы можете сдать ее заново — сразу же или через некоторое время.

Как использовать биометрию при оформлении банковских продуктов?

Теперь, после сдачи своих данных в ЕБС, я смогу воспользоваться ими для удаленного доступа к банковским услугам. Сделать это можно будет в интернет-банке или мобильном приложении банка-участника системы. Во втором случае также нужно будет установить дополнительное приложение для доступа к ней.

Чтобы воспользоваться биометрией для оформления банковского продукта – например, вклада или кредита – нужно будет указать свой логин и пароль в ЕСИА, произнести кодовое слово и показать в камеру свое лицо. Система сопоставит данные с имеющимися образцами, после чего сообщит о результатах. Если они совпадут, то банк продолжит оформление продукта. Всю необходимую информацию он подгрузит из ЕСИА.

Несмотря на то, что ЕБС запущена уже давно, использование биометрии поддерживают не все банки. Возможно, причина в том, что в базе пока очень мало данных – люди не доверяют такому способу подтверждения личности и не хотят «светить» голосами и лицами. Мы будем следить за развитием биометрической системы и рассказывать о банках, которые начали ее применять для оформления своих продуктов.

Безопасно ли сдавать биометрию?

Сразу после первых новостей о начале сбора банками биометрии появились люди, которые начали сомневаться в надежности хранения своих данных. С одной стороны, они боялись, что дырами в системе могут воспользоваться мошенники – в том числе, подставные люди в банках – чтобы оформлять на посторонние лица кредиты. Другие опасаются того, что система не сможет правильно распознать человека из-за изменений в голосе (например, при простуде) или во внешности (например, после пластической операции или травмы).

К примеру, индийская биометрическая система Aadhaar, которую я упомянул ранее, оказалась очень ненадежной. Несколько раз злоумышленники «сливали» в открытый доступ информацию из нее. К 2018 году в свободном доступе оказались данные более чем миллиарда граждан.

Разработчики ЕБС учитывают эти проблемы и стараются свести их к минимуму. Биометрические данные записываются в ЕБС без привязки к персональным – ФИО, возрасту, номеру и серии паспорта, номеру СНИЛС и другим. Для их безопасного хранения используются современные средства шифрования, сертифицированные ФСБ и ФСТЭК. Передача информации происходит по защищенным каналам связи. Голос и изображение лица проверяются одновременно по множеству разных параметров. Как утверждают специалисты Ростелекома, вероятность ошибки – 1 на 10 000 000.

Конечно, уже сейчас можно достаточно точно смоделировать внешность любого человека и даже подделать его голос. Чтобы распознавать и отметать имитации, ЕБС вводит дополнительные методы подтверждения личности. Она обращает внимание на выражение лица, расположение камеры, интонацию и другие параметры, которые могут показать, что к системе обращается сам клиент, а не имитация. Иногда нужно будет ответить на контрольные вопросы или совершить дополнительные действия – например, дотронуться до мочки уха. Так дополнительно будет подтверждаться факт того, что с системой взаимодействует реальное лицо.

Тем не менее, #ВсеЗаймыОнлайн рекомендует: сочетайте биометрию с другими способами защиты данных и подтверждения операций — PIN-кодами, одноразовыми паролями, кодовыми фразами и другими. Возможно, банки и ЕСИА позволят сочетать разные способы подтверждения между собой. Так вы сможете избежать проблем при неправильном подтверждении личности и защитить вашу биометрию.

Вопросы и ответы

Можно ли сдать биометрию заново (например, после смены внешности)?

Да, можно сдать свои данные еще раз в любое время и в любом отделении банка. Для этого вам понадобятся те же данные, что и для первоначальной сдачи — паспорт, СНИЛС и аккаунт на Госуслугах. Специалисты, работающие над системой, рекомендуют обновлять свою запись в базе каждые три года.

Как будут предоставляться дополнительные документы – например, справка по форме банка – при оформлении заявки с помощью биометрии?

Пока ответа на этот вопрос нет, так как решений для оформления кредитов через ЕБС пока не разработано. Возможно, документы будут предоставляться онлайн (потребуется электронная подпись) или через отделение любого банка, имеющего доступ к биометрической базе.

Можно ли удалить свои биометрические данные из ЕБС?

Да, вы можете в любое время удалить свою запись из биометрической системы. Для этого достаточно отправить заявку через личный кабинет в Госуслугах.

Видео

Телеканал Россия 24 рассказывает о введении Единой биометрической системы:

Биометрическая система, которую используют банки, сейчас нуждается в развитии и доработке. Нужно наладить процесс сбора данных — ускорить его и исключить возможные ошибки. Банкам и финансовым организациям нужно реализовать инструменты, которые позволят воспользоваться этой информацией. Потребуется время на то, чтобы люди привыкли к биометрии и стали больше доверять ей. Разработчики и участники ЕБС планируют решить большую часть этих проблем к концу 2019 года.

#ВсеЗаймыОнлайн продолжит следить за развитием российской биометрической системы. Мы расскажем вам обо всех изменениях и новых продуктах, связанных с ней. Я надеюсь, что биометрическая система при правильном развитии станет удобным и безопасным инструментом, и найдет применение не только в банковской, но и в других сферах.

В итоге можно сказать, что использование биометрии в банковской сфере — неплохая и перспективная идея. По голосу и изображению лица можно будет легко установить личность человека, где бы он не находился. Но в текущем виде ЕБС пока не представляет большого интереса для пользователя по нескольким причинам:

  • Процесс сбора данных отлажен слабо, из-за ошибок он может затянутся
  • Использовать свои данные можно только в нескольких банках
  • Все еще стоит вопрос безопасности: не ясно, насколько защищены данные в ЕБС

Сейчас сдавать биометрию не стоит — лучше подождать, пока появится больше использующих ее решений. Пока сдача добровольная и бесплатная.

Экспертное мнение

Люди стремятся защитить свои деньги от злоумышленников — как наличные, так и на счетах и картах. Не сообщать никому PIN и CVC-коды, а по возможности даже номера карт — первое правило, о котором банки не устают напоминать своим клиентам. Однако сверхдоверчивость, рассеянность и невнимательность вкупе с новыми уловками мошенников порой приводят к тому, что люди продолжают терять деньги.

Чтобы минимизировать возможные угрозы, некоторое время назад в России была создана Единая биометрическая система. Это база, где хранятся уникальные физические данные граждан нашей страны. В первую очередь, это изображения лиц и записи голоса. Они уникальны у каждого человека — поэтому их можно использовать для подтверждения личности. Банки стали постепенно внедрять биометрию, что значительно упростило жизнь и им, и клиентам.

Использование биометрии не только помогает защитить деньги, но и облегчить процесс оформления различных продуктов. Так, например, проверка владельца счета по изображению его лица остановит злоумышленников при попытке совершить незаконные операции с ним. Подтверждением по биометрии клиент сможет воспользоваться для удаленного доступа к банковским услугам, что особенно актуально для городов и регионов, где отделении нужного банка отсутствуют. А при визите в офис у вас уже не потребуют паспорт.

Однако, биометрическая система была запущена недавно и в ней еще много различных ошибок и недоработок. Из-за этого злоумышленник сможет найти в ней лазейку — например, подделав голос с помощью программы. Кроме того, люди не доверяют биометрической системе и неохотно сдают свои данные. Чтобы решить эти проблемы, потребуется много времени.

ЧитатьМария Терская ВГТРК, Радиостанция МАЯК

А что думаете о сдаче биометрии вы? Успели ли вы уже «сдать» лицо и голос банкам? Делитесь своими мнениями о биометрической системе в комментариях.

Виталий Виноградов

CEO и основатель #ВсеЗаймыОнлайн. Закончил Новосибирский строительный университет и высшую школу экономики в Москве. Предприниматель, за плечами которого несколько успешных проектов в сфере финансов и блокчейна.

vitaliyvinogradov@vsezaimyonline.ruМария Терская

Ведущая информационных программ на ВГТРК и радиостанции Маяк. Мария сама изучает источники информации и отбирает наиболее важные новости, в том числе на финансовые темы. Она умеет ориентироваться в больших информационных потоках, собирать все необходимые сведения об интересующих событиях и рассказывать о них максимально емко и кратко.

Уже больше года в России действует Единая биометрическая система (ЕБС), оператором которой является «Ростелеком», а регулирующим органом — Министерство цифрового развития, связи и массовых коммуникаций РФ. Возможности применения ЕБС крайне широки, но пока что ограничиваются лишь банковской сферой: в скором времени для открытия счета, перевода денежных средств или получения кредита будет достаточно воспользоваться приложением на смартфоне или личным кабинетом на сайте банка, не придется запоминать кодовое слово для обращения в кол-центр, а верифицировать операции, которые покажутся банку подозрительными, можно будет не по звонку, а с помощью биометрии. Удобно? Бесспорно. Но насколько безопасно?

Биометрические персональные данные — это «сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность». К таким особенностям, помимо всем известных отпечатков пальцев, могут относиться топография лица, кисти руки или пальца, текстура кожи лица, структура радужной оболочки глаза, изображение сетчатки глаза, структура сосудов кисти руки, папиллярная структура ладони, динамика рукописной подписи и голос.

ЕБС представляет собой базу данных, в которой хранятся биометрические контрольные шаблоны (эталонные образцы для сравнения). К ЕБС могут обращаться различные организации и учреждения для установления личности конкретного гражданина. В качестве образцов используются фотография лица и запись голоса человека. Это связано с доступностью средств сбора образцов — нужны только фотоаппарат и микрофон, которые есть в любом современном смартфоне.

В настоящий момент порядок размещения образцов следующий (проверено на личном опыте):

  1. Нужно прийти в отделение банка, предоставляющее такую услугу, и заявить о желании сдать биометрию. В банке должно быть установлено рабочее место оператора, оснащенное фото- и звукозаписывающим оборудованием, отвечающим требованиям Минкомсвязи. До начала сбора данных перечень используемого оборудования должен быть согласован с Ростелекомом».
  2. Банк проводит фотосъемку и запись образца голоса и направляет эти данные в ЕБС с соблюдением мер защиты.
  3. Данные в ЕБС могут храниться не более трех лет, после чего должны быть обновлены. Также пересдать биометрические персональные данные потребуется в случае серьезных лицевых травм или при повреждении голосовых связок, которые привели к изменению голоса.

Если вы пользуетесь услугами нескольких банков, сдавать биометрию в каждом не нужно: использовать биометрические образцы для подтверждения личности могут все банки, подключенные к ЕБС. При удаленной идентификации клиента банк не имеет доступа к самим данным: образцы, полученные во время идентификации, направляются в ЕБС для сверки с контрольным шаблоном, а затем оператор ЕБС информирует банк о результатах идентификации.

Не существует на 100% защищенных систем — всегда есть риски обхода защитных механизмов, варьируется лишь их величина. Поэтому при создании системы защиты информации крайне важно определить актуальные угрозы и подобрать меры защиты, которые будут их нивелировать. Актуальные угрозы, касающиеся биометрических персональных данных, определил Центробанк. Это угрозы, связанные со сбором данных в банке и на устройстве клиента при удаленной идентификации, с передачей и хранением данных. Какие меры применяются для защиты от перечисленных угроз?

Сбор биометрических данных осуществляется в отделении банка по предъявлении паспорта и в присутствии сотрудника кредитной организации, который должен: удостовериться, что паспорт действительно принадлежит предъявившему его гражданину; проверить, что гражданин не включен в перечень физлиц и организаций, связанных с терроризмом и экстремистской деятельностью; проверить, что у банка отсутствуют подозрения в связях гражданина с легализацией (отмыванием) доходов, полученных преступным путем, или с финансированием терроризма; удостовериться, что гражданин зарегистрирован в Единой системе идентификации и аутентификации (ЕСИА) и его учетная запись является подтвержденной. Совокупность этих факторов, в особенности наличие подтвержденной учетной записи в ЕСИА, минимизирует возможность компрометации личности на этапе сбора биометрических образцов.

Для защиты собранных биометрических образцов от модификации и хищения до момента передачи в ЕБС банки должны применять ряд мер, которые были определены ЦБ. К ним относится, например, внедрение различных средств защиты информации. Отправка в ЕБС происходит с использованием Системы межведомственного электронного обмена, что также исключает возможность подмены или компрометации данных во время передачи.

В отличие от сбора биометрических данных, удаленная идентификация используется банками добровольно. Если кредитная организация предоставляет эту услугу, она должна использовать средства шифрования информации и дать возможность применять такие средства клиентам. Если клиент банка проходит удаленную идентификацию с помощью компьютера, он вправе отказаться от использования шифровальных средств. В случаях с мобильным телефоном, смартфоном или планшетом применение средств шифрования является обязательным, и при отказе от их использования человек не сможет воспользоваться дистанционными банковскими услугами, где для идентификации требуются биометрические данные. То есть ответственность за сохранность собственных данных ложится также на плечи клиентов банков.

Защитой является непосредственно порядок сбора биометрических данных: для идентификации используются две характеристики (изображение и голос), к тому же при проверке соответствия образцов контрольным шаблонам в ЕБС одновременно применяется несколько алгоритмов. Все это снижает вероятность ошибки или обмана при проведении удаленной идентификации.

При соблюдении требований и рекомендаций регулятора обеспечивается надежная защита данных на всех участках обработки. Защите персональных данных сейчас уделяется особое внимание как со стороны государства, так и со стороны банков, ведь утечка может негативно отразиться на восприятии ЕБС в целом и на доверии к банкам в частности. Поэтому можно с уверенностью сказать, что применяемый комплекс мер будет дорабатываться, чтобы противостоять вновь появляющимся угрозам. По планам Ростелекома, до конца 2019 года к ЕБС должно быть подключено 100% банков, однако возможность удаленной идентификации с использованием биометрических персональных данных в эти сроки реализуют далеко не все. Поэтому еще есть достаточно времени, чтобы принять решение, сдавать биометрию или нет.

Мнение автора может не совпадать с мнением редакции

Как начать использовать удаленную идентификацию

Пройти первичную регистрацию биометрических данных

Гражданину нужно прийти в один из уполномоченных банков, обладающих правом проводить регистрацию физических лиц в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе. Такой Банк проведет идентификацию физического лица при личном присутствии, зарегистрирует его в ЕСИА, а также снимет биометрические параметры (сфотографирует и запишет образец голоса) и направит их в Единую биометрическую систему.

Получить банковские услуги с помощью удаленной идентификации

Для получения услуги в новом банке гражданину нужно зайти на сайт или мобильное приложение этого банка и выбрать получение услуги с использованием удаленной идентификации.

Далее необходимо пройти авторизацию в ЕСИА и подтвердить свои биометрические данные с помощью смартфона, планшета, ноутбука или стационарного компьютера с камерой и микрофоном.

Для подтверждения своих биометрических данных с мобильного устройства необходимо скачать мобильное приложение Единой биометрической системы. Приложение доступно для скачивания в Google Play и App Store.

После сравнения лица и голоса гражданина с ранее внесенными в Единую биометрическую систему данными, он сможет открыть счет (вклад), получить кредит, сделать перевод, не приходя в банк.

Этапы реализации проекта

2017 год — обеспечено законодательное закрепления возможности проведения удаленной идентификации. 31 декабря 2017 года подписан Федеральный закон № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».

I кв. 2018 года — создана Единая биометрическая система, с использованием которой осуществляется проведение биометрической идентификации физических лиц.

II кв. 2018 года — приняты подзаконные акты и проведена тестовая эксплуатация Единой биометрической системы банками.

30 июня 2018 года — запущен механизм удаленной идентификации. С этого момента банки постепенно обеспечивают в своих структурных подразделениях сбор биометрических данных по мере готовности их технологической инфраструктуры. На 1 марта 2020 года такой сервис предоставляется в более чем в 13,5 тыс. структурных подразделениях банков.

Add a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *