Статті та публікації

1. Liveness detector стає обов'язковим
2. FIDO проти "велосипедів"

"Банківський огляд", № 3, березень 2017
Експертний коментар Олексія Сабанова, заступника генерального директора "Аладдін Р.Д."

Друга практична конференція журналу "Банківський огляд" "Віддалена ідентифікація і біометрія в фінансовій галузі: регулювання, технології, рішення" зібрала 10 лютого 2017 року Москві 150 учасників (в тому числі 54 делегата з 30 банків) з тим, щоб наблизитися до єдиного для всіх розуміння того, як, де і коли ця технологія може бути реально застосована в банках

Схоже, історія суперечок між регулятором і профсообществом фінансового ринку щодо питання про повну віддаленої ідентифікації при ДБО наближається до свого завершення. На конференції представники Банку Росії, Мінкомзв'язку і електронного уряду заявили про те, що пілотний проект в рамках інноваційної системи віддаленої ідентифікації банківських клієнтів вони готові запустити вже в поточному році. При цьому в якості елементів надійності будуть використані біометричні параметри. "Дізнаватися" клієнта планують по зображенню особи і по голосу. В якості додаткового елементу зараз обговорюється варіант з прив'язкою клієнта до номера мобільного телефону. У Білорусі, наприклад, така прив'язка є одним з головних умов в національній системі віддаленої ідентифікації, яка в цій країні давно сформована і цілком успішно працює.

За словами модератора заходу Ельмана Мехтієва, виконавчого віце-президента Асоціації російських банків (АРБ), зараз вперше за останні п'ять років, протягом яких мусується тема віддаленої ідентифікації, учасникам фінансового ринку вдалося прийти до єдиного розуміння того, як цей процес можна поставити на потік . "І біометрія лежить в основі цього розуміння. Це те, що невіддільне від людини", - сказав Ельман Мехтієв. Драйверами розвитку біометрії в світі, на його думку, зараз є спроби різних країн налагодити міграційний контроль, а також прагнення приватного бізнесу перейти в цифровому просторі.

Для нашої країни Іван Зімін, начальник відділу застосування фінансових технологій Центру фінансових технологій Департаменту Фінтех, проектів і організації процесів Банку Росії, сформулював умови розвитку віддаленої ідентифікації дещо простіше. "Драйвером в Росії має стати бажання громадян отримувати державні та фінансові послуги в дистанційному режимі", - зауважив він.

За словами Івана Зіміна, на сьогодні ЦБ РФ, Минкомсвязь, Росфінмоніторинг і активісти банківського профсообщества спільно вже завершили розробку схеми, за якою здійснюватимуться збір біометричних даних клієнтів, їх ідентифікація, а також подальше надання їм фінансових послуг в дистанційному режимі. "Ми максимально намагалися, щоб система була простою і доступною, не перевантаженою технічними та процедурними елементами, але при цьому безпечною", - розповів представник регулятора. Він також поінформував присутніх, що всі необхідні поправки до законодавства, а також підзаконні і відомчі нормативи планується прийняти вже в цьому році. Крім того, як розповів Данила Миколаїв, голова Технічного комітету (ТК 098) "Біометрія та біомоніторинг" Росстандарта, директор НП "Російське біометричний суспільство", в Росії вже є ГОСТи, які дозволяють працювати з біометричними технологіями. "Багато необхідні стандарти були розроблені ще в середині нульових, коли державою було поставлено завдання зі створення паспортно-візових документів нового покоління", - зазначив фахівець.

Центральним ланкою і основним механізмом системи ідентифікації в Росії стане Єдина система ідентифікації і аутентифікації (ЕСІА), більш відома в народі як портал держпослуг. "ЕСІА користується довірою громадян і вже зараз містить частковий набір інформації, який необхідний при віддаленій ідентифікації і який потрібно для реалізації ФЗ-115", - пояснив Іван Зімін. Сьогодні в цій системі зареєстровано понад 40 млн користувачів.

Про те, яким буде алгоритм віддаленої ідентифікації з використанням біометричних даних, розповів Євген Бєляєв, керувати проектів з розвитку ЕСІА Мінкомзв'язку. Спочатку для проведення процедури первинної ідентифікації людина повинна особисто прийти в офіс одного з банків, яким ЦБ надасть відповідні повноваження (які це будуть банки, поки не визначено). "Там він повинен пред'явити паспорт і здати біометричні дані, які за захищеними каналами передаються в систему ідентифікації ЕСІА. Далі у користувача запитується згода на реєстрацію в системі. Дані перевіряються в інформаційних системах ПФР, МВС, ФНС і зберігаються в ЕСІА", - описав послідовність дій Євген Бєляєв.

Далі людина може вільно користуватися обліковим записом як для доступу до держпослуг, так і для отримання фінансових послуг. Для цього достатньо зі свого гаджета зайти на сайт будь-якої кредитної організації (зовсім не обов'язково того банку, де була пройдена первинна ідентифікація), вибрати потрібну послугу, після чого клієнт буде переадресовано на сторінку порталу держпослуг. Там треба ввести свій логін і пароль, і на вимогу пред'явити біометричні дані, наприклад відправити своє Селфі або вимовити запропонований текст (генерується системою безпосередньо в момент запиту). Таким чином, людина проходить вторинну ідентифікацію і потім аутентифікацію, після чого він може бути допущений до отримання послуги.

А може і не бути. Оскільки регулятор зберігає за банком, в якому запитується послуга, право в ній відмовити, якщо, наприклад, система визначить недостатній ступінь відповідності біометричних даних "оригіналу", який був отриманий при первинній ідентифікації. "Те, що тепер банк має право не відкривати рахунок, це дуже важливий момент, який раніше заважав профсообществу і регулятору дійти згоди. Перш Центробанк говорив, що банк зобов'язаний відкрити рахунок, але потім йому дається право його закрити. Тепер банк зможе сам вирішувати - брати на себе відповідальність, якщо рівень збігу з біометричними параметрами становить, скажімо, 93%, або не брати ", - вставив ремарку Ельман Мехтієв.

За словами Івана Зіміна, спочатку для користувачів системи віддаленої ідентифікації будуть введені ліміт на перекази і платежі, обмеження переліку операцій. "Однак в разі, якщо за результатами тестування ми зрозуміємо, що ризики мінімальні, обмеження будуть ослаблені", - сказав він. "Впровадження" регуляторки "для віддаленої ідентифікації для всіх важливо. На моє глибоке переконання, впровадження повної віддаленої ідентифікації - це ще один крок на користь побудови цифрової економіки. Для будь-якої кредитної організації перехід в онлайн - це суттєвий крок вперед з точки зору скорочення своїх власних операційних витрат на утримання роздрібних офісів. Крім того, це новий спосіб отримання конкурентних перевагу за рахунок залучення клієнтів в цифровому світі. це стосується не тільки фінансового сектора, але і відпрацьовано лей промисловості, системи охорони здоров'я, освіти. Скрізь є питання, пов'язані з віддаленої ідентифікацією і роботою з персональними даними ", - висловив свою думку з приводу обговорюваних новацій Іван Беров, директор програм стратегічних інновацій компанії" Ростелеком "(є оператором ЕСІА).

У деякому роді дисонансом більшості доповідей в першій частині конференції прозвучав виступ Олексія Сабанова, заступника генерального директора компанії "Аладдін Р.Д." , Який попередив про дуже високу небезпеку помилок у системі ідентифікації за біометричними елементами, а також витоків інформації з ЕСІА. "Я скажу, як це виглядає з точки зору науки. Виходить, що при первинній ідентифікації ми складаємо базу зразків, а потім порівнюємо з ними те, що нададуть клієнти банку при запиті послуги. Але потрібно розуміти, що від правильності складання цієї бази у нас сильно залежить якість вторинної ідентифікації. Причому помилки з кожним наступним разом багаторазово збільшують похибка в роботі системи ", - повідомив Олексій Сабанов. При цьому він нагадав, що згідно з дослідженнями, які два роки тому проводив Росфінмонітоінг, інформація в різних державних базах даних (в тому числі в ЕСІА) збігалася лише на 70%. "Я не вірю, що за два роки ситуація сильно покращилася", - запропонував експерт.

Liveness detector стає обов'язковим

Друга секція конференції була присвячена практичним кейсам реалізації біометричних технологій в фінансових компаніях. Зі зрозумілих причин легальних впроваджень рішень по віддаленій біометричної ідентифікації в Росії ще не було, тому мова йшла про ті проекти і "пілотів", які покликані вирішувати інші питання, що не покриваються вимогами регуляторами.

Йшлося насамперед про "розумної" черги у відділеннях банків, підвищення рівня клієнтського сервісу в call-центрах, мобільних рішеннях і т.д. І, звичайно, в центрі уваги експертів перебував питання: що з вже напрацьованого досвіду можна швидко імплементувати в майбутні системи віддаленої ідентифікації?

Відкрив цю секцію представник генерального партнера конференції Олексій Закревський, директор з розвитку бізнесу компанії "Центр мовних технологій" (ЦРТ), доповіддю "Огляд біометричних технологій для дистанційної ідентифікації". Найцікавішим моментом його презентації стала розповідь про уразливість біометричних систем. Так, для будь-якої біометричної модальності існує два найбільш небезпечних варіанти атаки на пристрій введення: запис і повтор, а також синтез і перетворення.

У першому випадку зловмисником використовується відео або фото іншої людини або зліпка відбитка пальця іншу людину. У другому варіанті застосовується перетворення мови зловмисника в мова іншої людини. Можливе використання спеціальних фільтрів для створення особи іншої людини. Набирають популярність синтезатори мови. Як приклад Олексій Закревський привів гучний випадок, коли хакер Ян Крісслер використовував доступні програми і кілька високоякісних знімків руки міністра оборони Німеччини (Урсули фон дер Ляйен) і отримав цифрову копію її пальця. Тому статичні методи біометрії поступово поступаються місцем динамічним бімодальному, де використання детектора живого користувача (liveness detector) стає можливим і навіть обов'язковим. Для практичної реалізації детектора досить камери і мікрофона будь-якого смартфона або комп'ютера, інформація з яких комбінується і дає підтвердження "живого" користувача, наприклад, за рахунок аналізу руху губ синхронно з промовою. Можлива комбінація голосу з мімікою, інформацією по глибині зображення або динамічної пральний фразою. З додатковим обладнанням можна використовувати такі динамічні фактори, як теплограмма, пульс або карта кровоносних судин. Перевірити, як все це працює, можна на порталі державних послуг, коли потрібне додаткове підтвердження особи.

Але будь-яка теорія неповна без практики. Цей "пробіл" у виступі Олексія Закревського "виправили" Олена Дегтева, начальник управління дистанційного банківського обслуговування ВТБ24, і керівник проекту Дмитро Ющенко в спільній доповіді "Практичні кейси та" підводні камені "використання біометрії (Селфі + голос) в мобільному додатку". Йшлося про "пілотуванні" рішення OnePass "Розпізнавання обличчя і голоси" компанії ЦРТ і ВТБ24.

В основі рішення лежить аутентифікація клієнта по обличчю і голосу (один раз за сесію) замість підтвердження операцій одноразовим паролем. Для цього спочатку клієнт проходить стандартну аутентифікацію в мобільному банку і створює еталон (цифрову модель особи і голоси). Далі при кожному наступному вході в мобільний банк клієнт вводить логін + пароль (або відбиток пальця) і додатково вимовляє цифри з екрану, дивлячись в камеру смартфона. Постановка завдання "пілота" банком була здійснена у вересні 2016 року, а його підсумки сподіваються підвести на початку квітня 2017 року. Одним з "підводних каменів", про яких згадала Олена Дегтева, була проблема юзабіліті: навіть потрапити особою в спеціальну рамку, що підсвічується на екрані, спочатку людям було досить непросто. І таких "дрібниць" набралося безліч, в тому числі і з голосової біометрією, не тільки з відео.

Едуард Моссаковський, керівник проектів компанії VisionLabs, який виступав далі, запропонував докладніше розглянути сильні і слабкі сторони систем біометричної ідентифікації. Він ще раз визнав, що відбитки пальців зловмисники зараз підробляють за допомогою 3D-принтерів, фрази і цілі речення синтезують в аудіоредактора, будують 3D-маски, копіюють міміку. Тому існує цілий спектр міфів про недоліки біометрії. Але ось досягнення в галузі комп'ютерного зору розбивають ці міфи вщент.

Як приклади досягнень він привів магазин Amazon, який працює без кас і черг в американському Сіетлі; розпізнавання осіб туристів і пасажирів, які прибувають в Китай; антіфрод системи в банках (в тому числі платформу VisionLabs LUNA, впроваджену в Kaspi Bank, в Equifax Fraud Prevention Service (FPS.Bio), в Пошта Банку для захисту інформації від несанкціонованого доступу і авторизації співробітників для доступу до внутрішніх систем банку). Так що біометрія біометрії ворожнечу.

Темою виступу Олександра Динін, директора департаменту платіжних сервісів і систем Банку "Відкриття", стала "Інтеграція розпізнавання осіб в процеси банківського обслуговування". Йшлося про прототип системи, що оптимізує роботу фронт-лінії в відділенні Банку. Зараз реалізуються тестування розпізнавання осіб і пошук в "живий" базі, відпрацьовуються алгоритми навчання системи. Як завдання позначено отримати статистику якісних показників роботи системи на не менше ніж 300 тис. Циклів розпізнавання і пошуку. Крім того, необхідно узгодити внутрішні критерії та пороги для різних практичних застосувань. Крім усього іншого відбувається калібрування "заліза" і софту для досягнення найкращих результатів і створення "ідеального" робочого прототипу пристрою для фронт-офісу.

Ідентифікація відбувається в трьох офісах в Москві в момент отримання талона електронної черги. Термінал фотографує клієнта автоматично. Порівняння проводиться по базі даних, що містить фотографії клієнтів з власних систем Банку. Інформацію про всі порівняннях, а також всі нові фотографії записуються в базу для подальшого аналізу і оцінки. Результати вибірки з бази даних фотографій виводяться операционисту для підтвердження коректності розпізнавання і зіставлення живому клієнту. Передбачається, що все перераховане зможе скоротити час спілкування відвідувача з операціоністом приблизно на хвилину.

Технологія біометрії по венах долонь знайшла своє відображення у виступі Олександра Дреміна, генерального директора компанії Прософт-Біометрікс. Насамперед експерт поставив питання: "Що важливіше? Точність ідентифікації, вартість володіння або зручність використання?". Відповідь, на його думку, однозначний - метод мультиспектрального сканування вен долоні: вени розташовані під шкірою, рух крові забезпечує liveness, гігієнічність, довговічність сканера, а сам метод абсолютно нешкідливий для людини. Подібні переваги забезпечили вхід в проект "Долоньки" одного великого банку, а в інших банках рішення працює в системах забезпечення доступу до кас і сховища, а також до депозитних осередків і ключниці.

Дамір Галієв, керівник проектного офісу інноваційного розвитку Банку "АК БАРС", заінтригував делегатів доповіддю "Про метод поведінкової ідентифікації в мобільному додатку банку". Технологія аналізує: клавіатурний почерк, манеру роботи з мишкою, взаємодія з тачскріном, манеру утримання пристрою і т.д. Крім того, в аналізовані параметри входить інформація від функціональних систем пристрої: процесор, пам'ять і т.д. Все це дає безперервну захист призначеного для користувача аккаунта, запобігання шахрайським платіжних транзакцій, обмеження створення акаунтів шахраями, дешевий спосіб двофакторної аутентифікації, виявлення роботи шахрайських скриптів, а також віддалену ідентифікацію користувачів.

FIDO проти "велосипедів"

Михайло Ессаулов, керівник напрямку АльфаЛаб (Альфа-Банк), відкрив другу половину другої сесії виступом: "Віддалена ідентифікація при оформленні позики. Кейс проекту" Потік "". Він нагадав, що в "Потоці" кредит видає не банк або МФО, а тисячі користувачів сайту "Потік". Для користувачів це альтернатива вкладу, для юридичних осіб - моментальні гроші без банківських складнощів. У цьому проекті своїм надзавданням спікер назвав "відмова від паперових заяв під час видачі кредитів".

Вибір БУВ зроблений на Користь біометрічніх технологій. Це решение грунтувались на опітуванні Користувачів цього майданчика. На питання: "Чи Готові ви надаті свои біометрічні дані банку?" 43,9% користувачів відповіли "Скоріше так", а ще 19,4% - "точно так". Чому? Всім зрозуміло, що біометрія здатна як прискорити бізнес-процеси, так і здешевити їх. Але ось 73,3% опитаних виявилися "не в тренді" і вважали за краще б відбитки пальців, а 22,5% - сканування сітківки ока.

Виступав слідом Павло Гурін, член правління, директор Фабрики продуктів Пошта Банку, з доповіддю "Біометрія в Пошта Банку" виявився точно "в тренді", розповідаючи про те, чого удалость досягти за допомогою банальних і дешевих камер відеоспостереження, а також веб-камер, встановлених поряд з операціоністами. Крім усього іншого за допомогою цих систем вдалося знизити помилки персоналу при фотографуванні клієнтів і внутрішній фрод. Але особливий інтерес викликали плани Банку на майбутнє. У їх числі опинилися реєстрація клієнта, авторизація клієнта і підтвердження операцій.

У першому випадку метою є спростити процес первинної реєстрації або відновлення доступу в ДБО для клієнтів Банку, зберігши високий рівень безпеки, а також використання розпізнавання біометричних даних (особа, голос) в якості другого фактора при реєстрації клієнта замість важко запам'ятовуються даних: коду доступу, номери рахунки і т.п. Мета другого завдання - спростити процес авторизації клієнта, зберігши високий рівень безпеки. Нарешті, в третьому пункті вдається спростити процес підтвердження рядових операцій, зберігши високий рівень безпеки, а для високоризикових операцій - підвищити рівень безпеки.

Яскравою і такою, що запам'ятовується вийшла презентація Андрія Чучелова, директора департаменту голосових цифрових технологій компанії BSS, в якій він зупинився на перевагах використання голосової ідентифікації. Зокрема Андрій опудало торкнувся BSS Voice SDK - інструменту для простого і швидкого вбудовування сервісів аналізу голосу в додатки і бізнес-процеси банку. Такий біометричний фактор, як голос, крім всіх тих переваг, про які говорили попередні оратори, може до моменту повного нормативно-правового регулювання питань застосування біометрії, вже зараз, бути застосований як додатковий індикатор в процесах персонального обслуговування клієнтів.

Голосовий мобільний банк, про який також згадав доповідач, став відповіддю BSS на вимоги концепції голосового додатки для банків. У ньому голосовий інтерфейс, що використовується як додатковий функціональний шар, забезпечує застосування смартфона в режимі "Hands free" від початку і до кінця сесії, а також гарантує швидкий запуск програми - початок обслуговування відразу без пароля з очевидною зворотним зв'язком. Безпека в поєднанні з прийнятним рівнем комфорту при цьому забезпечується роботою по шаблонах з верифікацією кожної команди.

Блок виступів розробників продовжив Анатолій Боков, генеральний директор компанії "Сонда Технолоджи", з темою "Використання в банках систем ідентифікації за відбитками пальців в реальному часі". Чому відбитки пальців і чому в реальному часі? Відповідь проста: вже зараз існують бази даних відбитків пальців з десятками і сотнями мільйонів записів, і кількість таких баз стрімко зростає. Досвід практичного застосування говорить про необхідність зберігання в таких структурах відбитків усіх десяти пальців, а ось пошук в них стає вельми нетривіальним завданням. Вихід із такої непростої ситуації "Сонда Технолоджи" бачить в застосуванні алгоритмічних прискорювачів з двома проходами по базі шаблонів: швидким і повільним.

Той же досвід практичної експлуатації каже, що максимальний ефект досягається, якщо реалізацією подібного проекту буде займатися спеціалізована компанія на комерційній основі - банки платять за послугу по аналогії зі зверненням в бюро кредитних історій. Зрозуміло, що ця компанія повинна отримати всі необхідні ліцензії та сертифікати.

Олександр Мец, керівник напрямку бізнес-рішень компанії Samsung, виступив з доповіддю "Мобільна ідентифікація для банків". Випереджаючи численні запитання із залу про упередженість Samsung і нав'язуванні клієнтам і банкам своїх умов в даній темі, він докладно розповів про технологію Fast IDentity Online (FIDO), інноваційному методі для аутентифікації користувача на основі унікальних незмінних біологічних ознак. FIDO забезпечує безпеку для всіх мобільних банківських послуг, включаючи управління обліковими записами, запити, переклади, кредити і депозити. А SDS FIDO дозволяє замінити або удосконалювати традиційні способи аутентифікації, такі як ID і паролі, за допомогою біометричної ідентифікації.

Але "FIDO - це не тільки технологія, це і міжнародний альянс, який об'єднує понад 150 компаній і займається розробкою стандартів суворої аутентифікації для доступу до онлайн-ресурсів і т.д. Samsung є членом цього альянсу, тому нікому і ніщо нав'язати не може" , - дав гідну відповідь критикам Олександр Мец.

У фіналі конференції з несподівано бадьорим, енергійним і грунтовною доповіддю "Протидія шахрайству при віддаленій ідентифікації клієнта: Досвід Oz Forensics", в цілому не характерним для вже майже попереднього заходу, виступив Артем Герасимов, генеральний директор OZ Forensics. Компанія молода, проте досить відома в секторі інформаційної безпеки, переможець Skolkovo Cybersecurity Challenge 2016, Finopolis 2016 і т.д.

Основна думка виступу полягала в тому, що нові технології ідентифікації ведуть до появи нових видів шахрайства (фрода), пов'язаних як з примітивними підробками документів в Photoshop, так і з більш витонченими методами і краденими документами. В цьому випадку фродери можна протиставити відеоідентифікації з фахівцем, "розумне" дослідження відеозображень, а також ідентифікацію через партнерів офлайн. Автоматизувати подібні бізнес-процеси покликана програмна платформа Oz Forensics, що має такі функціональні модулі, як OZ PhotoExpert (виявлення цифрових підробок в потоці електронного документообігу), OZ Biometry (біометрична ідентифікація по фото і відео) і OZ Text (витяг тексту з цифрових копій паспортів в анкетні форми).

Що в підсумку? Олександр Мец, який згадав про альянс FIDO, вільно чи мимоволі змусив аудиторію в сесії заключних питань і відповідей згадати яскравий доповідь з першої секції у виконанні Олексія Сабанова з "Алладін Р.Д." , Який явно опонував позиції представника АРБ, Ельмана Міхтеева, що виконував роль модератора конференції.

У першому випадку мова йшла про величезне досвіді учасників міжнародних альянсів (в тому числі в області токенов і неізвлекаемой ЕЦП) на противагу спробам побудови на рівні декількох федеральних несилових органів свого власного рішення, де, на превеликий жаль представника "Алладін Р.Д.", поки не знайшлося жодного посадовця, готового взяти на себе відповідальність, скажімо, за витік персональних біометричних даних.

Також залишилося не до кінця зрозумілим, ніж повинні керуватися банки, щоб почати збір і обробку первинної біометрії: це тільки соціальна відповідальність або щось ще? А що стосується технологій, то доповіді розробників показали, що багато вже вийшло на рівень промислових рішень, частина яких присутні в залі банкіри успішно на свій страх і ризик впроваджують у себе. Зате, як і планувалося, учасникам конференції явно вдалося наблизитися до єдиного для всіх розуміння того, як, де і коли біометричні технології можуть бути реально використані в банках і де знаходяться больові точки, що перешкоджають прискоренню динаміки.