Наиболее распространённый в настоящее время способ идентификации и аутентификации — с помощью паролей — во многом себя дискредитировал. Поэтому тема применения в этих целях биометрических технологий является предметом всеобщего интереса. Мы хотим обратить внимание на развитие российского рынка биометрических технологий.
- Введение
- Биометрия в России: регулирование, проблемы и практика
- Развитие российского рынка биометрических технологий
- Что предлагают ИТ-вендоры
- 4.1. АРМ «Биометрия» (ГК «РТЛабс»)
- 4.2. Модуль «Регистрация в ЕБС» (iDSystems)
- 4.3. Модуль обмена с ЕБС (R-Style Softlab)
- 4.4. Модуль взаимодействия с ЕБС и ЕСИА (ЦФТ)
- 4.5. Типовое решение по информационной безопасности («Ростелеком»)
- Выводы
Введение
Биометрические технологии активно интегрируются в разные сферы деятельности людей по всему миру. Уже сейчас идентификация по биологическим атрибутам стала неотъемлемым компонентом мирового рынка ИТ и превращается в удобный инструмент для решения широкого круга задач.
В России применение биометрии для идентификации граждан также находится в фокусе общего внимания: активно продвигается и популяризируется использование биометрических персональных данных россиян в качестве основных идентификаторов для государственных систем и коммерческих сервисов.
В 2018 году, после выпуска ряда нормативных правовых актов на эту тему, российские банки начали подключаться к Единой биометрической системе (ЕБС) и осуществлять сбор соответствующих сведений о своих клиентах. Информация хранится в единой централизованной базе данных, оператором которой является ПАО «Ростелеком».
Логично, что российские производители информационно-технологических решений откликнулись на формирующийся спрос и предложили ряд интересных разработок для биометрической идентификации и взаимодействия с ЕБС. Мы решили составить обзор таких продуктов.
Биометрия в России: регулирование, проблемы и практика
До недавнего времени развитие биометрических технологий в отраслях, не связанных с изготовлением заграничных паспортов, сдерживалось отсутствием нормативных документов. В 2018 году работа правительства и парламента активизировалась: появился целый ряд законов и подзаконных актов, которые регламентировали применение биометрии. Казалось, что идентификация граждан по биологическим атрибутам вот-вот достигнет небывалых высот, однако опасения по поводу защищённости данных замедлили процесс.
В 2020 году никаких кардинальных решений по введению биометрии не ждут. Государственная Дума приостановила принятие закона о сборе биометрической информации и в целом старается аккуратно относиться к разработке «цифровых» законов. Законопроекты в этой сфере принимаются медленнее, что обусловлено непростой темой охраны прав граждан и их персональных сведений.
С точки зрения информационной безопасности для биометрических систем характерны те же угрозы, что и для большинства обычных. Случаются утечки данных, сбои и отказы программного обеспечения, уязвимости в коде и конфигурациях.
В частности, по оценкам «Лаборатории Касперского» в самое ближайшее время возникнет опасность утечек биометрических данных человека. Персональная информация пользователей помогает злоумышленникам совершенствовать методы социальной инженерии и проводить более убедительные атаки, так что криминальный интерес к чужим личным данным будет только возрастать. Помимо этого киберпреступники вполне могут начать применять технологии искусственного интеллекта для профилирования жертвы и создания информационных подделок — дипфейков (рекомендуем ознакомиться с недавно опубликованной на Anti-Malware.ru статьёй «Технологии Deepfake как угроза информационной безопасности»), которые уже весьма широко обсуждаются. Например, в конце октября 2019 года в интернете был обнаружен архив, содержащий помимо прочей персональной информации ещё и записи разговоров клиентов Сбербанка со специалистами службы технической поддержки — а это фактически образцы их голосов.
Кроме того, биометрии свойственны специфические проблемы, которые приводят к естественным ограничениям биометрических методов идентификации: существуют вероятности ложноположительных и ложноотрицательных решений, когда система примет пользователя за кого-то другого или ошибочно откажет ему в доступе. Одним из способов преодолеть эти ограничения может быть разработка биометрических систем на базе машинного обучения, где сравнивающий алгоритм не устанавливает однозначное соответствие между представленными биометрическими персональными данными и ранее сохранённым шаблоном, а оценивает степень их близости.
Импульс для развития описываемых технологий в России создаёт Единая биометрическая система. Безопасность данных в ней — один из ключевых вопросов её построения, которому уделяется особое внимание. ЕБС соответствует всем требованиям по безопасности государственных информационных систем. Помимо прочего в ней реализовано распределённое хранение данных: биометрический шаблон размещается в обезличенной форме отдельно от персональных атрибутов (Ф.И.О., паспортных данных, СНИЛС и других сведений, включённых в базы Единой системы идентификации и аутентификации).
Банк России рекомендует кредитным организациям защищать биометрические данные с помощью криптографии. Для обеспечения информационной безопасности в процессе их сбора рекомендуется использовать средства криптографической защиты класса не ниже КВ, в том числе электронной подписи класса не ниже КВ2. При передаче данных по каналам связи используется средство шифрования класса КС3 — необходимо защитить каналы между отделением и головным офисом, а также между головным офисом и системой межведомственного электронного взаимодействия. Для того чтобы обеспечить контроль целостности при сборе биометрии и передаче авторизационных токенов в рамках удалённой идентификации, необходимо использовать оборудование класса КВ2.
Следует отметить, что в рамках финансовых услуг биометрия — не единственный фактор, по которому банки принимают решение об открытии счёта тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между полученными атрибутами обращающегося за услугой человека и его шаблоном. Помимо этих сведений банки, как правило, используют процедуры скоринга, KYC и др., принимая решение на основе совокупности всех факторов.
Подробно о документах, регламентирующих использование биометрии на территории Российской Федерации, о сферах внедрения таких технологий и о проблемах безопасности рассказано в статье Anti-Malware.ru «Биометрия в России: правовое регулирование и практика применения».
Развитие российского рынка биометрических технологий
По данным аналитического агентства J’son & Partners Consulting российский рынок биометрических технологий за последние 4 года демонстрировал активный прогресс на уровне 35,74% CAGR (Compound Average Growth Rate, совокупный среднегодовой темп роста). Согласно прогнозам, к концу 2022 года рынок вырастет в 2,5 раза по сравнению с 2018-м, а интенсивность развития биометрических технологий в России в ближайшие 4 года в 1,6 раза превысит общемировой показатель и составит 25,62%. Доминирующую долю на рынке продолжают занимать технологии распознавания лиц, активно совершенствуются методы идентификации по рисунку вен. Наблюдается переход от внутрикорпоративного использования биометрии к разработке конкретных решений в рамках клиентских сервисов.
При этом перспективным сегментом, где биометрические технологии будут развиваться наиболее активно, остаётся финансовый сектор. По данным Банка России он является третьим по величине рынком для внедрения биометрических систем. Его доля составляет около 15%, в то время как сегмент здравоохранения занимает 9%, а ритейл — порядка 5%.
Сегодня Единая биометрическая система использует два фактора идентификации — голос и лицо (бимодальная биометрия). Технологии распознавания того и другого становятся всё более точными, а также пользуются наибольшим спросом за счёт бесконтактности и удобства для всех сторон. Это — уже хорошо проработанные виды идентификации, допускающие всего одну ошибку на 10 миллионов распознаваний. Вдобавок считывание голоса и лица наиболее доступны для пользователей, потому что камера и микрофон есть у каждого человека в телефоне. Процесс сканирования одновременно по двум признакам повышает уровень защиты данных.
Также в России распространена идентификация по отпечаткам пальца — без неё, в частности, уже нельзя получить заграничный паспорт или визу ряда стран.
На начало 2020 года регистрация в Единой биометрической системе осуществляется в 11270 отделениях 229 банков. При этом к 31 декабря 2019 года банки должны были обеспечить возможность сбора биометрии в 100 процентах отделений, работающих с розничными клиентами. Оговоримся, что сейчас кредитные организации не могут принудительно получить биометрические данные о клиенте: банки собирают их в добровольном порядке и отправляют сведения в ЕБС. При предоставлении какой-либо услуги Единая биометрическая система запрашивает фото и голос человека, а затем данные сверяются с образцом; банки же получают только результат сравнения.
Что предлагают ИТ-вендоры
АРМ «Биометрия» (ГК «РТЛабс»)
АРМ «Биометрия» — это своего рода «единое окно» для работы с учётной записью Единой системы идентификации и аутентификации (ЕСИА), которое позволит банкам в считаные минуты выполнить процедуру регистрации биометрических образцов и перейти к обслуживанию следующего клиента. Параметры учётной записи передаются в ЕБС через систему межведомственного электронного взаимодействия (СМЭВ), которая выступает единым каналом обмена сведениями между органами власти и внебюджетными фондами в электронном виде.
Автоматизированное рабочее место «Биометрия» можно развернуть на базе внутренней сети банка без инсталляции дополнительных программных продуктов на рабочие станции операторов, обеспечив согласно требованиям Федерального закона от 7 августа 2001 г. №115-ФЗ оперативный сбор и регистрацию персональных данных клиента.
Важным преимуществом технологии является ускорение обслуживания. Камера может распознать полученное ранее изображение клиента, «не важно, направляется ли он к оператору офиса или в хранилище, ещё до того, как он дойдёт до места, выданная системой информация о нём уже позволит незамедлительно приступить к обслуживанию». Аналогичный подход лежит и в основе концепции «безбумажного банка».
Модуль «Регистрация в ЕБС» (iDSystems)
Модуль предназначен для регистрации образцов (фотографии и записи голоса) в Единой биометрической системе, также позволяя обеспечить выполнение требований Федерального закона от 7 августа 2001 г. N 115-ФЗ. Пользователям продукта доступен развитой API. Одно из наиболее продвинутых решений по подготовке биометрических образцов — ЦРТ «VoiceKey.Inspector» — имеет штатную интеграцию с модулем «Регистрация в ЕБС».
Если банк не заинтересован в приобретении дорогих биометрических систем для собственных нужд, модуль «Регистрация в ЕБС. Подготовка биометрического образца» обеспечит соответствующую функциональность. С помощью SDK LUNA от компании VisionLabs возможно создать файл с фотографией лица и записать аудиофайл со звуком голоса. Перед отправкой образцов в ЕБС они проверяются на соответствие требованиям её оператора с помощью библиотеки контроля качества.
Модуль обмена с ЕБС (R-Style Softlab)
Продукт позволяет снимать, обрабатывать, проверять биометрические данные клиента, а также отправлять их в ЕБС. В число основных функций входят возможность фиксации биологических атрибутов клиента (фото и голос) с контролем качества, формирование запроса на регистрацию биометрических данных, при необходимости — регистрация / подтверждение учётной записи клиента в ЕСИА посредством соответствующего модуля, а также собственно передача в ЕБС.
Разработчик указывает, что интерфейс модулей RS-Connect реализован в соответствии с методологией Human-Centered Design (HCD, ГОСТ Р ИСО 9241-210-2012 «Человеко-ориентированное проектирование интерактивных систем») и отвечает современным требованиям по эргономике и удобству пользования. В основе концепции веб-интерфейса — единая рабочая область, позволяющая в одной копии приложения одновременно работать с несколькими открытыми «скроллингами» и панелями.
Модуль взаимодействия с ЕБС и ЕСИА (ЦФТ)
Компания ЦФТ предлагает участникам финансового рынка решение для подключения ИТ-инфраструктуры к ЕБС и ЕСИА. Функциональные возможности продукта позволяют формировать биометрические образцы, осуществлять проверку их качества с помощью библиотеки Минкомсвязи РФ, отправлять запросы на регистрацию в Единую биометрическую систему. Реализованный процесс биометрической регистрации полностью соответствует требованиям регулятора в части информационной безопасности.
В состав решения входят три функциональных приложения:
- АРМ «ЦФТ-Госуслуги»;
- «Сопряжение с ЕСИА»;
- «Регистрация клиентов в ЕСИА и ЕБС».
Поставка программного обеспечения возможна как в составе системы «ЦФТ-Банк», так и в качестве отдельного самостоятельного решения, интегрируемого с любой информационной системой.
Типовое решение по информационной безопасности («Ростелеком»)
Типовое решение по информационной безопасности от «Ростелекома» обеспечивает подсчёт контрольных сумм биометрических данных и формирование пакета для СМЭВ 3.0 с использованием усиленной квалифицированной электронной подписи кредитной организации класса КВ2 для подписи пакета данных, формирование и проверку электронной подписи для авторотационных токенов в протоколе OpenID Connect, а также проверку результатов сравнения биометрических эталонов в процессе верификации. Взаимодействие идёт между 4 точками — кредитной организацией, ЕСИА, Единой биометрической системой и браузером или мобильным приложением пользователя. Решение будет предоставлять необходимые интерфейсы для взаимодействия с другими АРМ такого рода.
15 февраля 2019 года компания «Ростелеком» сообщила, что созданный ею системный проект типового решения по информационной безопасности при работе с биометрией был одобрен ФСБ России. Использование типового решения позволит банкам снизить расходы на обеспечение ИБ при работе с Единой биометрической системой и сократить время выполнения требований.
Выводы
С 2018 года использование биометрических персональных данных россиян в качестве основных идентификаторов для государственных систем и коммерческих сервисов активно продвигается в России. Организована централизованная база данных — Единая биометрическая система, — оператором которой является ПАО «Ростелеком».
Многие вендоры автоматизированных банковских систем активно включились в развитие технологий биометрической идентификации и реализовали ряд решений для взаимодействия банков с ЕБС и ЕСИА. Однако на текущий момент сбор биологических атрибутов пока не носит массового характера и гражданами не востребован; к тому же для банков он является причиной дополнительных расходов, и его большая стоимость тормозит данный процесс.
Стоит дополнительно отметить, что тема применения биометрических технологий для идентификации граждан довольна сложна: она связана с защитой персональных данных и прав людей, с безопасностью бизнеса. После того как появилась информация о крупных утечках таких сведений из известных финансовых организаций, клиенты стали отказывать банкам в предоставлении биометрической информации из-за отсутствия уверенности в том, что она будет хорошо защищена и не попадёт в руки мошенников или недобросовестных сотрудников, торгующих базами данных.
Впрочем, при этом обмануть биометрические алгоритмы намного сложнее, чем человека. ЕБС имеет высокую точность распознавания, а безопасность её инфраструктуры обеспечена в соответствии с требованиями действующего законодательства, предъявляемыми к защите государственных информационных систем.