ИТ-портал компании «Инфосистемы Джет»

«Нужен кредит? Сделай селфи для банка!»

«Нужен кредит? Сделай селфи для банка!»

В июне «Ростелеком» заявил о начале работы по созданию биометрической системы «Ростелекома». Мы встретились с директором по цифровой идентичности ПАО «Ростелеком» Иваном Беровым, чтобы узнать, как будет работать система и на какие секторы экономики повлияет создание биометрической системы.

— Иван, что послужило драйвером для создания биометрической платформы?

— Развитие цифровых сервисов продолжается уже несколько десятилетий, рынок постепенно трансформируется из телекоммуникационного в сервисно-цифровой. При этом цифровизация затрагивает не только телекоммуникационную отрасль, но и экономику в целом. Недавно была принята государственная программа «Цифровая экономика», которая стала основным драйвером для разработки биометрической системы. Цифровая экономика подразумевает рост новых цифровых платформ и услуг, что накладывает особенно жесткие требования к защите информации. Все используемые сегодня методы не гарантируют абсолютной защиты информации, так как всегда остается возможность потери или взлома пароля, токена и других идентификаторов. Биометрия же является уникальным ключом, который нельзя потерять и очень сложно подделать. Необходимо также повышать доступность цифровых сервисов, и эту задачу решит удаленная биометрическая идентификация. Предпосылки для повсеместного внедрения цифровых технологий уже существовали во многих отраслях, государственная программа скорее формализовала и систематизировала процессы цифровизации различных отраслей экономики.

— Для какой отрасли разрабатывается Биометрическая система и зачем?

— Первой отраслью, в которой планируется применить Биометрическую систему «Ростелекома», будет банковский сектор. Анализ международного опыта разработки и запуска подобных систем позволяет утверждать, что внедрение системы биометрической идентификации существенно снижает для банков риски некорректной идентификации и повышает надежность антифрод-систем. Банки получат возможность удаленно идентифицировать клиентов при открытии им новых счетов, смогут сократить расходы на содержание сети офисов обслуживания.

— Почему внедрение Биометрической системы начнется именно с банковской отрасли?

— Сейчас популярны термины «цифровая платформа» и «сквозные цифровые технологии». Они подробно описаны в утвержденной программе «Цифровая экономика Российской Федерации». Удаленная биометрическая идентификация есть не что иное, как сквозная цифровая технология, универсальная для любой отрасли экономики. Как только отрасль готова к использованию цифровых сервисов, зачастую возникает потребность удаленной идентификации пользователей. Сейчас банковская отрасль наиболее подготовлена для внедрения технологии удаленной биометрической идентификации.

— Как банк получит биометрические данные пользователя, чтобы потом удаленно его идентифицировать?

— Процедура биометрической идентификации требует первичной личной явки: для ее прохождения клиенту необходимо один раз прийти в банк и сдать биометрические данные. Биометрические данные передаются в Биометрическую систему, при этом персональные данные клиента вносятся в Единую систему идентификации и аутентификации. В дальнейшем клиент сможет воспользоваться этими данными для дистанционного получения различных услуг с помощью своего компьютера или смартфона.

Внедрение Биометрической системы не должно повлиять на текущие бизнес-процессы банка. Для банка даже несколько минут простоя оператора — всегда вопрос лишних расходов. При запуске системы мы сделаем все, чтобы она не повлияла на внутренние процессы банка.

— По каким параметрам система будет идентифицировать пользователя?

— В Биометрической системе мы планируем использовать идентификацию по двум модальностям: по голосу и лицу. Представьте: человеку достаточно сделать селфи, чтобы открыть банковский счет. Удобно.

Почему именно эти модальности? Все достаточно просто — сочетание именно этих двух модальностей дает высокую степень гарантии распознавания при относительно невысокой стоимости оборудования для их внедрения.

Для сравнения возьмем технологию распознавания по отпечатку пальца. Сканер, который его снимает, принадлежит вендору — производителю смартфона, он не аккредитован финансовыми организациями как способ идентификации, т.е. пользователь может использовать его только на своем устройстве. Кроме того, у этого способа есть ряд физических ограничений: например, если телефон заблокирован, идентификация по отпечатку пальца уже недоступна, а также из-за низкой чувствительности сканера вы не сможете использовать этот способ идентификации, если у вас холодный или мокрый палец.

Мало кто знает, но система безопасности банка, которая определяет допустимые лимиты для операции внутри мобильного банка, привязана к типу идентификации, которую использует клиент. Если это отпечатки пальцев — доверия меньше, если используется логин и пароль — больше, если клиент позвонил в контакт-центр — еще больше. Биометрическая система станет единым стандартом идентификации для любых банковских операций, что упростит взаимодействие банка с клиентом.

— А будет ли какой-то срок действия биометрического шаблона, ведь со временем и голос, и лицо меняются. Предусмотрены ли процедуры обновления, подобные нынешним операциям с паспортом?

— Безусловно. Современные мировые практики позволяют предположить, что жизненный цикл такого биометрического профиля — около 5 лет. При этом важно понимать, что пока участниками этой системы смогут стать люди, достигшие 18 лет, потому что до этого возраста биометрические параметры постоянно изменяются, а после эти процессы идут значительно медленнее. Не стоит забывать, что бывают несчастные случаи или болезни, в результате которых у человека могут измениться голос или лицо. В таких случаях система предложит ему обратиться в соответствующую организацию и пройти регистрацию еще раз.

— Какие еще технологии биометрической идентификации существуют и почему они не используются в Биометрической системе?

— Одной из наиболее перспективных биометрических технологий является распознавание человека по радужной оболочке глаза. Я соглашусь с мировыми экспертами, которые считают, что айрис (лат. iris — радужная оболочка глаза) обладает наибольшим потенциалом, потому что это просто и надежно. Радужная оболочка глаза не меняется в течение жизни, на нее не влияют ни мороз, ни стресс — просто зрачок расширяется. Однако сейчас массовое применение этой технологии ограничено стоимостью оборудования для такой идентификации — для этого нужны специальные камеры с высоким разрешением. Дорогостоящее оборудование требуется и для распознавания по уникальному рисунку вен на ладонях.

Исходя из этих данных, а также из мирового опыта использования биометрических систем мы выбрали оптимальные модальности, которые вместе дают максимальную гарантию качественного распознавания личности и которые максимально доступны как для банков, так и для обычных пользователей.

КАК СОЗДАТЬ ЦИФРОВОЙ БИОМЕТРИЧЕСКИЙ ПРОФИЛЬ: ПОШАГОВАЯ ИНСТРУКЦИЯ

Механизм состоит всего из 2-х шагов:

1. Физическому лицу необходимо только один раз прийти в банк, многофункциональный центр (МФЦ) или другую определенную законом организацию, где его зарегистрируют в Единой системе идентификации и аутентификации (ЕСИА), если ранее он такой регистрации не проходил, и снимут биометрические данные для их дальнейшего предоставления в Биометрическую систему. При себе достаточно иметь паспорт и СНИЛС.

2. Далее удаленная идентификация может использоваться для дистанционного взаимодействия с любой финансовой организацией из списка Центрального банка. Для этого клиенту достаточно произнести сгенерированную системой короткую парольную фразу, глядя в камеру смартфона или компьютера.

— Что дает обладателю цифровой биометрический профиль?

— Вы можете дистанционно обратиться в любую кредитную организацию, указанную в списке Центрального банка. Список банков, которые смогут проводить удаленную идентификацию клиентов, определяется Центробанком на основе требований, изложенных в федеральных законах. Здесь все достаточно прозрачно и никакого ограничения круга банков не предвидится.

Как будет проходить взаимодействие с банком с помощью цифрового биометрического профиля? Вы на каком-то сайте или через контекстную рекламу находите понравившееся предложение, попадаете на сайт банка и видите кнопку «Получить услугу удаленно». После нажатия этой кнопки вам будет предложено пройти биометрическую идентификацию. Если ваши биометрические данные совпадают с теми, которые вы сдавали ранее, вы сразу сможете открыть счет или положить деньги на депозит. Если у вас нет учетной записи в ЕСИА, не сданы биометрические данные или вы не зарегистрированы и пытаетесь попасть в систему под другим аккаунтом, вы увидите следующие информационные сообщения: «Уважаемый пользователь, зарегистрируйтесь» и список ближайших отделений банка, где можно пройти биометрическую идентификацию.

— Кто инициатор этого проекта и какова роль «Ростелекома» при разработке системы?

— Разработка Биометрической системы инициирована Центральным банком и Министерством связи и массовых коммуникаций РФ, «Ростелеком» в этом проекте выступает технологическим партнером этих ведомств.

«Ростелеком» имеет исключительную экспертизу в области облачных решений федерального уровня. Уже несколько лет оператор является единственным исполнителем проекта по созданию инфраструктуры электронного правительства.

Биометрическая система будет использоваться в качестве дополнительной системы идентификация пользователей на портале государственных услуг в Единой системе идентификации и аутентификации (ЕСИА). Таким образом, Биометрическая система сделает портал госуслуг более доступным для граждан, а сам портал госуслуг получит новый инструмент подтверждения личности пользователей.

— Обозначьте, пожалуйста, главные этапы создания Биометрической системы.

— Существует дорожная карта, включающая несколько важных этапов. Первый — утверждение концепции — уже пройден. Готов также интерфейс для сервиса регистрации гражданина в ЕСИА. Параллельно мы начали тестирование ПО и оборудования вендоров биометрических технологий. Уже завершен этап технологического тестирования, в ближайшее время перейдем к сценарному. Разница в том, что при технологическом тестировании проверяется математическая модель работы системы, а в сценарном испытании участвуют живые люди. В рамках сценарного тестирования мы будем прорабатывать различные механизмы атак на систему, инсценировать попытки ее взлома. Это необходимо, для того чтобы в будущем клиенты могли безопасно пользоваться системой и доверять ей. С этой целью мы разрабатываем актуальную динамическую модель отражения любых видов угроз.

— На каком этапе сейчас проект? Когда будет запущена Биометрическая система?

— Сейчас мы реализуем ключевой этап проекта — тестируем вендоров систем биометрии. Начиная с января мы приступим к опытной эксплуатации платформы, которая продлится вплоть до вступления в силу обновленного 115-ФЗ. В конце сентября законопроект прошел первое чтение в Государственной Думе РФ и получил единогласную поддержку депутатов. В ближайшее время ожидаем второго чтения. Если законопроект будет принят и подписан президентом, ориентировочно в середине будущего года он вступит в силу. После этого мы сможем выпустить систему в коммерческую эксплуатацию. Принятие поправок в законодательство — необходимое условие для внедрения Биометрической системы.

— Можете сказать, каких вендоров тестируете?

— Мы проводим тесты при участии Русского биометрического общества (РБО) — единственного профессионального объединения российских производителей биометрического оборудования и разработчиков программного обеспечения. Мы максимально открыты и хотим, чтобы все отечественные компании, так или иначе связанные с биометрическими технологиями, могли участвовать в проекте. Мы работаем не только с крупными компаниями, например, с «Центром речевых технологий» или с компанией VisionLabs, но и с малыми компаниями-разработчиками в регионах, которые тоже готовы принять участие в тестировании. Сейчас мы испытываем решения 20 компаний. Участники, которые успешно пройдут технологическое тестирование, перейдут к сценарному.

— Вернемся к изучению западного опыта. Какие конкретно кейсы легли в основу концепции удаленной идентификации и есть ли в мире проекты, равные по масштабу тому, что сейчас собирается сделать «Ростелеком»?

— Вообще биометрические технологии существуют давно. Так, методы распознавания голоса были широко распространены уже в 1980-х годах. Однако по мере развития цифровых технологий и уровня диджитализации самого населения биометрические технологии становятся все актуальнее. Масштабные проекты по биометрии в основном инициируются государством — это мировой опыт. Сейчас, к примеру, важен вопрос, как биометрические технологии можно использовать в интересах национальной безопасности — это особенно актуально для США и Европейского союза в связи с высоким уровнем миграции и угрозой со стороны террористических организаций. В странах Латинской Америки изучают возможность проведения электронных выборов с помощью биометрических паспортов. В то же время во всех странах, заинтересованных в развитии биометрических технологий, идет исследование возможного коммерческого использования биометрии.

Изначально биометрические технологии в основном были востребованы для контроля рабочего времени или доступа на определенные объекты. Сейчас FinTech получил хороший заряд для максимально широкого использования биометрии даже в повседневной жизни обычных людей. ApplePay или GooglePay позволяют осуществлять платежи с помощью биометрии, почти все последние модели смартфонов дают возможность идентификации владельца по отпечатку пальца, Samsung предлагает идентификацию по радужной оболочке глаза. Десятая модель iPhone вообще распознает владельца на основании биометрии лица.

Мы смотрим на опыт внедрения системы Aadhaar в Индии. Это самая крупная биометрическая система на текущий момент: в ней зарегистрировано более 1,1 млрд человек. Причем она системно значимая и носит национальный характер, т.е. используется не только для обеспечения безопасности, но и вместо бумажных документов, которых там практически нет, или для получения финансовых услуг.

— Если обращаться к мировому опыту, можно ли утверждать, что для таких масштабных проектов везде драйвером служит государство?

— В большей части проектов — да. Безусловно, участвуют и коммерческие компании, но внедрение такой системы весьма дорогостоящее мероприятие. Кроме того, если система затрагивает важные для государства сферы, например, вопросы национальной безопасности, логично, что государство должно контролировать создание и работу биометрической системы.

Так, в Индии есть компании-агенты, собирающие биометрию, но все равно инициатором внедрения этой системы выступило государство, и оно определяет задачи, которые эта система решает.

— Как «Ростелеком» планирует защищать биометрические и персональные данные?

— Защита биометрических данных — это одна из наиболее серьезных задач при разработке системы. Вопрос работы с персональными данными регулируется № 152-ФЗ «О персональных данных», где определены классы систем безопасности, которые должны использоваться при создании такого рода объектов. У нас есть опыт создания инфраструктуры хранения персональных данных граждан для портала государственных услуг — это высоконадежные защищенные, согласно требованиям регуляторов, ЦОДы «Ростелекома». Мы планируем воспользоваться уже существующими наработками и создать защищенное облако в нашем ЦОДе. Для получения биометрических данных мы будем использовать существующую инфраструктуру СМЭВ (Система межведомственного электронного взаимодействия). В Биометрической системе будут храниться только образцы голоса и динамического изображения лица без привязки к паспортным данным пользователя — это необходимо для защиты персональных данных пользователей.

— То есть биометрия будет храниться отдельно.

— Биометрические данные будут храниться в Биометрической системе, а персональные данные — в ЕСИА. И если каким-то образом будет скомпрометирована база данных, злоумышленники не извлекут ничего, кроме изображений и записей голоса. Это очень важно, потому что мы соблюдаем принцип деперсонализации и декомпозиции хранения персональных данных, в соответствии с требованиями законодательства. Безусловно, с коллегами из специальных органов мы будем прорабатывать модель информационных угроз и модель фрод-мониторинга. Здесь нам очень помогают коллеги из банков, за что им большое спасибо, потому что, оказывается, существует множество способов взлома электронных банковских систем, и именно банки обладают необходимой компетенцией для предотвращения этих угроз. Для разработки максимально безопасной системы важна совместная работа надзорных органов, технологической компании и банков. В результате будет разработана концепция обеспечения информационной безопасности проекта.

— Каковы перспективы использования Биометрической системы, для каких отраслей она будет актуальна?

— Биометрическая система удаленной идентификации в первую очередь разрабатывается для банков и финансовых учреждений, но в дальнейшем она может использоваться в различных сферах, где требуется юридически значимое подтверждение личности. Например, сейчас мы рассматриваем возможность использования биометрической идентификации на портале государственных услуг.

В дальнейшем систему можно будет применять, например, в медицине — для удаленной идентификации пациента при постановке диагноза и назначении лечения. При дистанционном образовании система позволит подтвердить личность учащегося, благодаря чему студенты из удаленных районов смогут сдавать экзамены без личного присутствия.

Биометрическая система интересна и для коммерческих организаций из сферы ритейла, где остро стоят вопросы идентификации пользователей при продаже алкогольной и табачной продукции, а также лекарств.

Задачи Биометрической системы не ограничиваются контролем, она выполняет важную функцию повышения доступности социальных услуг. Это прежде всего касается жителей удаленных районов, а также людей с ограниченными возможностями. Благодаря Биометрической системе они смогут получать качественное образование и медицинскую помощь. Проще говоря, Биометрическая система — это универсальный ключ, который дает возможность получать защищенный доступ к множеству цифровых услуг.

— Сможет ли Биометрическая система «Ростелекома» вытеснить традиционные методы идентификации и заменить их?

— Есть такой термин — digital identity (цифровая идентичность). На мой взгляд, скоро все сведется к тому, что атрибуты, ее характеризующие, в том числе биометрическая идентификация, будут использоваться для цифровых транзакций.

Цифровой профиль — один из элементов digital identity. Второй элемент — механика применения. Она должна базироваться на двух важных принципах. Первый: вы, как субъект персональных данных должны иметь возможность управлять согласием на то, кому и зачем вы предоставляете собственные цифровые атрибуты. Второй: необходима цифровая инфраструктура, которая позволит эти атрибуты использовать с вашего согласия. Если посмотреть на успешный опыт Эстонии, которая реализовала для своих граждан возможность открывать бизнес, находясь в любой точке мира, то биометрическая идентификация — это действительно удобно.

При этом нужно помнить, что развитие любой инновационной технологии ставит перед разработчиками и пользователями новые вызовы — в отношении безопасности, доступности, целесообразности применения в отдельных сферах. Биометрическая система неизбежно столкнется с этими вызовами, и это нормально, в этом потенциал для ее развития — решая все новые и более сложные задачи пользователей, коммерческих организаций и государства, система будет становиться все более совершенной.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su