Оказывается, это начнется только 1 июля

Анна Королева
корреспондент Monocle.ru
29 июня 2018, 12:20

С 1 июля кредитным организациям официально позволено использовать биометрические данные для удаленной идентификации личности. Все, что применялось в этой области до сих пор, было экспериментальным, по другой методике и без законодательной базы. Но аналитики считают новую систему более уязвимой, чем уже используемые

ITAR-TASS Автор: Чернавский Александр
Алло, банк?
Читайте Monocle.ru в

 

ЕБС начинает работу

1 июля 2018 года в России начинает работу Единая биометрическая система (ЕБС). Материалы для нее будут поставлять банки, которые также с 1 июля будут собирать у граждан биометрические данные. Соответствующий закон, который был подписан в прошлом году, только сейчас вступает в силу.

Для начала в проекте принимают участие 20 кредитных организаций.  Как напоминает агентство «Прайм», система будет использовать для идентификации два параметра — голосовой профиль и фотоизображение. При их несовпадении с данными человека, пытающегося воспользоваться банковской услугой, защитные механизмы будут немедленно отказывать в идентификации.

Мало того, к идентификация подключается еще и Единая системы идентификации и аутентификации (ЕСИА). В общем, скучно не будет.

Оператором системы назначен «Ростелеком». Он и обеспечит сбор, обработку и хранение биометрических персональных данных и их проверку. А работ банков в данном направлении поднадзорна ЦБ РФ также, как и в других. В частности, о сможет запрещать банкам проводить удаленную идентификацию в случае, если те чаще одного раза в год нарушат требования обязательного контроля операций с деньгами или иным имуществом.

 

Системка та еще

По словам основателя и технического директора DeviceLock DLP Ашота Оганесяна, биометрические данные для доступа к счетам уже использовались в России некоторыми банками в порядке эксперимента, однако, до сих пор применялись проверенные и доказавшие свою надежность методы: авторизация по отпечаткам пальцев, форме кисти или рисунку сетчатки глаза. Фото лица, как в ЕБС,  используются в США некоторыми банками, но только как дополнительное средство – либо в комплексе с отпечатками пальцев, либо с картой и PIN-кодом. Вообще же на западе биометрия распространена уже довольно широко.

По мнению аналитика, система будет очень удобной, но при этом очень дорогой. Стоимость одной авторизации в ЕБС планируется установить в 200 рублей, это больше, чем весь заработок банка по большинству транзакций, объясняет Ашот Оганесян. Кроме того, вызывает вопрос надежность системы — о ее алгоритмах ничего не известно, даже конкретный список компаний-разработчиков не объявлен. Не проводилось также открытое тестирование системы, но предлагается сразу внедрить ее для управления реальными деньгами. При этом принятый закон приравнивает результаты авторизации в ЕБС к цифровой подписи, то есть оспорить их в случае ошибки будет очень сложно.

 

Глаз да глаз

Помимо непонятной точности системы, добавляет Ашот Оганесян, главная проблема в том, что, скажем, фото сетчатки глаза сложно незаметно получить и сложно воссоздать для сканера. Отпечаток пальца получить значительно легче, но воссоздать для сканирования непросто – производители оборудования постоянно вводят новые средства проверки того, что сканируется живой палец с настоящим (ненанесенным) отпечатком. Получить же фотографию и образцы голоса значительно легче, причем во многих ситуациях человек может даже не заметить съемки.

Все возражения о том, что для записи профиля требуется специальная камера или микрофон, имели бы силу, если бы при проверке использовалось аналогичное оборудование, считает эксперт. Но если при помощи ЕБС вы можете авторизоваться по телефону, значит, тем же телефоном мошенники смогут снять и образец голоса. Все это делает систему крайне уязвимой.

Банки в этом механизме, поясняет заместитель руководителя юридического департамента НЮС «Амулекс» Александр Кожевников, лишь посредники между клиентом и оператором единой биометрической системы — ПАО «Ростелеком». Как и сейчас они регистрируют граждан в ЕСИА или подтверждают учётную запись «Госуслуг». При этом банки при личном визите клиента будут обязаны передавать и обновлять сведения о клиенте в ЕСИА и ЕБС, если, конечно, клиент будет согласен. Не будем лукавить, говорит он, клиент, как правило, просто подписывает согласие под листом с «большим количеством букв» и будет согласен.

Удалить свои биометрические данные из ЕБС, как и другую персональную информацию из ЕСИА, клиент не сможет. Также информация из ЕБС будет доступна МВД и ФСБ через единую информационную систему.

Кроме этого, продолжает Александр Кожевников, вызывает сомнение техническая сторона реализации этого проекта. Смогут ли алгоритмы проверки ПАО «Ростелеком» противостоять другим постоянно развивающимся технологиям обработки (подмены) изображения и звука, реализованными, например, в проектах Faceswap, FakeApp, стартапа Lyrebird, Voco от компании Adobe или разработках китайской компании Baidu — достаточно интересный вопрос.

 

Начнут не спеша

Таким образом, указывает юрист, формирование единой биометрической системы предоставляет возможность облегчить доступ клиентов к услугам банков, снизит операционные расходы банков и создаст мощный инструмент для правоохранительных органов. Однако, он бы не рекомендовал спешить передавать свою биометрию по крайней мере в течение года с момента начала реального использования системы, во избежание «детских» проблем сервиса.

Важно отметить, добавляет Александр Кожевников, что сейчас банки и другие организации вправе обрабатывать биометрию и для внедрения технологий идентификации клиента или сотрудника по голосу не нужна дополнительная воля законодателя. Разница в том, что в случае использования внутренней системы банка вся биометрия хранится в банке. Во втором случае это единая система государственного уровня. Она  вступает в действие с июля.

Юрист подчеркивает необходимость внимательного отношения ко всем попыткам получить наши биометрические данные, например, голос под видом необходимости его привязки к номеру телефона, якобы не для идентификации личности. В этом случае о должном качестве сохранности биометрии речи уже не идёт, указывает Александр Кожевников.

Если все же сосредоточиться на удобствах и применении системы, то они в том, отмечают аналитики, что введение удаленной идентификации позволит клиентам начать пользоваться услугами любого банка без личной явки в банк при условии единоразовой сдачи биометрических данных по параметрам голоса и изображения. Практически это позволит быстро менять обслуживающий банк и выбирать лучшее для себя предложение на рынке, отмечает Елена Веревочкина, управляющий Санкт-Петербургским филиалом Росгосстрах Банка. По ее мнению, клиенты начнут активно сдавать биометрию не ранее второй половины 2019 года, а полное развитие данный проект получит на 3-й год запуска.

Процесс пойдет быстрее в крупных городах, отмечает она, что связано с двумя факторами. Первый - сдать биометрические данные с начала запуска можно будет в ограниченном числе офисов. Второй фактор связан с имеющим место недоверием клиентов к сбору биометрических данных. В обществе не утихают споры о безопасности сбора таких данных и их возможного использования в других целях, такие дискусии могут занять лет десять, как это бывает с некоторыми крупными технологическими новинками.

Ну, что ж, подискутируем, поскольку очевидно, что есть — о чем.