Вот уже почти полгода в России действует государственная Единая биометрическая система (ЕБС), и первые результаты далеко не впечатляют. Напомним, с июля у россиян появилась возможность с помощью биометрии (записи видеоизображения лица и голоса) дистанционно открывать счета в банках и получать другие финансовые услуги. Однако знают об этой возможности далеко не все, а желающих воспользоваться ею и того меньше.
Скромные результаты
Компанией — оператором ЕБС является «Ростелеком». «Сейчас с “Ключом Ростелеком” (название проекта ЕБС в “Ростелекоме”. — “Эксперт”) уже работает сто финансовых учреждений в ста тридцати городах России, — рассказывает директор по цифровой идентичности “Ростелекома” Иван Беров. — Дистанционно открыть счет, вклад или получить кредит уже можно в Почта-банке, банке “Хоум Кредит”, Тинькофф-банке, Альфа-банке, Совкомбанке и других крупных банках. Согласно плану ЦБ, к концу 2018 года каждый банк, подключенный к “Ключу”, должен начать создание цифровых образов граждан в 20 процентах своих отделений. К концу 2019 года услуга должна появиться во всех отделениях российских банков».
Данные о количестве банков, подключенных к ЕБС, о количестве людей, зарегистрированных в системе и воспользовавшихся ею для удаленного получения банковских услуг, «Ростелеком» планирует публиковать в рамках своих квартальных отчетов. Однако сейчас такие данные недоступны, о точных цифрах умалчивают даже банки, активно внедряющие ЕБС. Это неудивительно. «К началу октября в системе участвовало более 50 банков. Но далеко не все они в массовом порядке проводят данную процедуру (сбор биометрических данных. — “Эксперта”). По оценке участников рынка, менее 400 отделений по всей стране готовы предоставлять эту услугу, — поясняет президент АРБ Гарегин Тосунян. — Согласно информации СМИ, по состоянию на конец ноября были собраны данные всего около трех тысяч человек». Четыреста отделений и три тысячи человек по всей стране за почти за полгода — весьма негусто.
Одним из факторов, объясняющих такие скромные показатели, по мнению директора дирекции информационной безопасности группы компаний «Центр финансовых технологий» (один из вендоров, разрабатывающих решения для ЕБС) Алексея Леонова, является отсутствие штрафных санкций для банков. Это позволяет им отсрочить массовый запуск проекта регистрации биометрических данных. «Некоторые банки сегодня не принимают биометрические образцы и находятся как бы в подвешенном состоянии, ожидая, что Банк России сделает отсрочку. Причин для этого много: одни финансовые учреждения не могут зарегистрировать информационную систему в ЕБС и ЕСИА (Единая система идентификации и аутентификации. — “Эксперт”), у других не хватает ресурсов, потому что внедрению сопутствует очень много процессов, требующих автоматизации. Если говорить в целом о готовности финансового рынка к 1 января 2019 года начинать принимать эти данные, то она очень сомнительная. Банковский рынок, скорее, на 80 процентов не готов», — заключает г-н Леонов. Напомним, до конца 2018 года принимать биометрию должны не менее 20% структурных подразделений банков в каждом регионе присутствия, к 30 июня 2019-го — 60% и до конца 2019 года — 100%.
Первые ласточки
Если посмотреть на конкретные банки, то степень готовности к полноценному использованию ЕБС у них на очень разном уровне. Флагманом в этом вопросе является Почта-банк — в настоящее время он собирает биометрические данные граждан (образцы фотографий и голоса) более чем в 120 отделениях в 83 регионах присутствия (30% от сети флагманских отделений). До конца года количество точек банка, оснащенных необходимым оборудованием, увеличится до 400. Член правления, директор по управлению рисками Почта-банка Святослав Емельянов рассказывает, что в интернет-банке и мобильном приложении Почта-банка уже сейчас работает удаленная идентификация на базе ЕБС, которая позволяет стать клиентом Почта-банка, не посещая отделения: открыть счет и получить доступ ко всем продуктам и услугам банка: вкладам, переводам, платежам, кредитам. И несколько счетов по этой технологии в Почта-банке уже открыты.
Банк «Хоум Кредит» 15 июля этого года первым на российском рынке выдал кредит полностью дистанционно. Онлайн-идентификация первого клиента по записи видео и голоса заняла меньше минуты. После этого человек смог дистанционно подписать договор на получение POS-кредита и приобрести пылесос в интернет-магазине. Планируется, что уже в следующем году с использованием новой технологии можно будет оформить большинство продуктов и услуг банка «Хоум Кредит». Пока «Хоум Кредит» принимает биометрические данные в семи отделениях в Москве, Санкт-Петербурге, Казани, Нижнем Новгороде и Екатеринбурге.
Есть также довольно необычный пример Тинькофф -банка». Как рассказывает руководитель отдела предотвращения мошенничества «Тинькофф Банка» Артем Харченко, банк полностью завершил интеграцию с ЕБС еще несколько месяцев назад, а в сентябре 2018 года реализовал процесс удаленного открытия счета с помощью биометрической идентификации. Сейчас банк занимается отладкой внутренних процессов при удаленном открытии счета, чтобы клиентский путь в новом процессе был максимально удобен. «Тинькофф-банк — полностью онлайн-банк без отделений, так что сбор биометрических данных осуществляется с помощью представителей (которые выезжают к клиенту. — “Эксперт”), в удобное для клиентов время в 80 с лишним регионах страны», — объясняет г-н Харченко.
В то же время даже во многих самых крупных банках процесс далек от завершения. Так, пресс-служба ВТБ сообщает, что банк начал сбор биометрических данных своих клиентов в июле 2018 года. На сегодняшний день технология внедрена в офисах Москвы и Санкт-Петербурга, полностью вся сеть будет обеспечена необходимым оборудованием в 2019 году. Альфа-банк, по информации его главного операционного директора Дмитрия Фролова, пока делает только первые шаги в области сбора биометрических данных и собирается увеличить число точек сбора данных в разных регионах страны минимум до 100 до конца 2018 года. В Райффайзенбанке сдать биометрию можно только в одном отделении в Москве, до конца 2018 года банк запустит сбор биометрии в отделениях в других регионах. «Удаленная идентификация — это новшество на российском рынке. Поэтому требуется время, чтобы наладить инфраструктуру, увидеть недочеты и устранить их. Сейчас помимо закупки нового оборудования мы дорабатываем онлайн-заявки для тех, кто придет оформлять продукты с идентификацией через биометрию, меняем внутренние процессы для работы с новой категорией клиентов», — объясняет ситуацию руководитель направления дебетовых карт, пакетов услуг и программ лояльности Райффайзенбанка Ксения Андреева.
Дмитрий Фролов добавляет, что для подключения к системе требуются финансовые вложения в оборудование для сбора биометрии, в программное обеспечение, интегрированное с ЕСИА и ЕБС, а также в обеспечение информационной безопасности. «Вместе с тем мы понимаем, что эти вложения обоснованны и окупятся в ближайшие несколько лет, когда система удаленной идентификации получит широкое распространение за счет своей простоты и удобства для граждан», — говорит главный операционный директор Альфа-банка.
Список точек, где уже сейчас можно пройти первичную идентификацию, обновляется на сайте Банка России. Регулятор надеется, что к концу 2019 года все филиалы всех банков будут оборудованы системой сбора биометрических данных. Однако не все столь же оптимистичны. Так, г-н Тосунян считает: с учетом того, что к концу нынешнего года биометрия должна была собираться уже в четырех тысячах отделений, выполнение долгосрочных планов с точки зрения текущих результатов выглядит маловероятным.
Расходы, расходы, расходы…
Неужели банкам настолько сложно и дорого подключиться к ЕБС? Ответ на этот вопрос будет разным для разных банков. Если информационная система банка оптимизирована для безопасного обмена данных по государственным стандартам, если он имеет большой опыт работы со своими собственными биометрическими системами, а также с удаленными терминалами, если отработаны соответствующие внутренние процедуры, то проблем будет немного. Примером тут служит Почта-банк — государственное участие через «Почту России» и ВТБ предполагает соблюдение соответствующих требований. В результате, по сообщению пресс-службы Почта-банка, стоимость оборудования непосредственно для сбора биометрии составляет около четырех тысяч рублей за комплект (камера, микрофон, тренога, переходники). Стоимость компьютера в данном случае не учитывается — он и так используется для проведения всех операций в отделении. Техническая же подготовка и подключение к ЕБС обошлась в несколько миллионов рублей с учетом привлечения вендоров к выполнению работ.
Для ВТБ стоимость одного комплекта, состоящего из видеокамеры высокого разрешения, микрофона и штатива, не превышает 20 тыс. рублей. Разовые расходы на интеграцию с системами «Ростелекома» тоже незначительны. Кроме того, сообщают в пресс-службе ВТБ, в действующем законодательстве нет требований обеспечить все рабочие места в отделении банка оборудованием для снятия биометрических данных, достаточно одного комплекта на весь офис.
Если же банк использует свои собственные стандарты безопасности (не менее надежные, чем государственные, но свои), если не предполагается работы с удаленными точками присутствия, если опыт работы с биометрией небольшой, если нет отработанных внутренних процедур, то ситуация будет совершенно другой. «Стоимость подключения одного банка к ЕБС оценивается в четыре-пять миллионов рублей плюс 130 тысяч рублей за каждый офис, — рассказывает Гарегин Тосунян. — Но надо понимать, что это только постоянные издержки. А ведь есть еще и переменные, связанные с тем, что, например, в составе банка должно появиться профильное структурное подразделение, ответственное за эту работу». Неудивительно, что при таких расходах некоторые банки не торопятся с внедрением ЕБС.
Поскольку на банки ложатся большие издержки и ответственность за внедрение новой технологии, то логично, что далеко не все они с энтузиазмом в этом участвуют. «Форсирование процесса через штрафные санкции для участников нецелесообразно. Именно этим руководствовалась АРБ, когда направляла регулятору рынка письмо с просьбой освободить малые банки от обязанности собирать биометрию», — говорит глава АРБ.
Чтобы закрыть тему денег, обратимся к оператору ЕБС — «Ростелекому». Регистрация биометрических данных совершенно бесплатна, как для клиента, так и для банка. Однако в дальнейшем при каждой успешной удаленной идентификации пользователя с помощью сданной биометрии банк платит 200 рублей, из которых 100 получает «Ростелеком», а оставшиеся 100 — банк, в котором клиент сдавал биометрию. Впрочем, это соотношение еще может измениться. Сумма распределяется между участниками платформы: банком, который зарегистрировал гражданина в ЕБС, «Ростелекомом» и вендорами, но конкретные тарифы определяются Министерством цифрового развития, связи и массовых коммуникаций. В создание «Ключа» «Ростелеком» вложил в 2017 году 250 млн рублей, а в течение пяти лет планирует инвестировать в развитие системы еще полтора миллиарда.
Неинтересно и тревожно
Если с финансовыми вопросами все более или менее понятно, то с тем, почему люди не идут массово сдавать биометрию, разобраться еще предстоит. Отраслевые специалисты называют разные причины. Ксения Андреева считает, что услуга для рынка и клиентов новая, поэтому и большого спроса пока не наблюдается. Тем не менее в Райффайзенбанке с января 2019 года ожидают роста спроса. «Для наполняемости базы нужна готовность людей сдавать биометрию. На наш взгляд, население плохо представляет себе возможности новой системы, кроме того, есть определенное недоверие к проекту в целом и сомнения в надежности защиты биометрических данных от несанкционированного использования», — рассуждает Алексей Леонов.
Одно время казалось, что в вопросе безопасности данных клиентов можно успокоить. Во-первых, сдача биометрии для них дело добровольное. Если кого и заставляют, то только банки, которые обязаны предоставить такую возможность любому желающему. В прессе появлялась информация, что в Почта-банке сдачи биометрических данных требуют в обязательном порядке. Однако речь тут идет о внутренней системе банка для идентификации клиентов по изображению лица. С помощью этой системы в 2016–2017 годах банк предотвратил несколько десятков тысяч потенциально мошеннических сделок объемом около трех миллиардов рублей. Регистрация же биометрических данных в ЕБС, как и во всех остальных банках, в Почта-банке добровольна.
Во-вторых, довольно много усилий предпринято для обеспечения безопасности на всех этапах процесса — от сдачи данных до их хранения и использования. Так, Иван Беров рассказывает, что для сбора биометрии — создания цифрового образа — банки используют собственное программное обеспечение, которое фотографирует, записывает голос и передает эти данные в «Ключ Ростелеком». К реализации этой задачи каждый банк подходит индивидуально, но каждый должен обеспечить требования регуляторов (Центрального банка РФ и Министерства цифрового развития, связи и массовых коммуникаций) как к качеству собираемой биометрии, так и к безопасности ее передачи в Единую биометрическую систему.
Алексей Леонов добавляет, что каждый участник на своей стороне организует и контролирует защиту данных. Это и защита рабочего места оператора — сборщика биометрических данных (обеспечение доверенной загрузки, контроль доступа, использования средств криптозащиты данных, целостности, предотвращения воздействия вредоносного кода), и защита данных при передаче по каналам связи. «Для построения ЕБС регуляторы предприняли шаги по реализации многоуровневой системы защиты как на стороне участников, так и на стороне оператора системы. Важно отметить, что комплекс необходимых мер по предотвращению утечки данных был запланирован еще на этапе проектирования системы, а сегодня уже реализован в режиме промышленной эксплуатации», — отмечает он.
Еще один очень важный момент: в «Ключе» (ЕБС) биометрические данные — голос и лицо — используются совместно с учетной записью на сайте «Госуслуг». Благодаря этому точность распознавания измеряется как 1:10 000 000. Хранятся биометрические данные также надежно, как и используются: раздельно и в обезличенном виде. Биометрический шаблон находится в защищенном хранилище «Ростелекома». Персональные данные (фамилия, имя, отчество, паспортные данные, СНИЛС) хранятся отдельно в базе ЕСИА.
Биометрические образцы проверяет специальный модуль системы. Сначала видео, снятое пользователем, обрабатывается алгоритмами двух вендоров — отдельно изображение лица и голос. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если хотя бы один из них не идентифицировал человека, то включается «модуль аномалий». Он анализирует причины расхождений и в случае обнаружения мошеннических действий направляет уведомление в банк. За несколько секунд мошенника блокируют.
Если же предположить, что у злоумышленника оказались биометрические данные (например, через фишинг), то, по словам Алексея Леонова, это еще не означает, что он может легко воспользоваться украденными данными. Для этого необходимо обойти защиту при процедуре удаленной аутентификации (фактически сломать защиту в этих процессах), получить доступ, в том числе к ЕСИА, так как всегда работает связка ЕСИА + ЕБС. Защита в ЕБС еще более сильная и многоуровневая, чем, например, в системах интернет-банкинга.
К тому же, рассказывает Иван Беров, даже если утечка произойдет, злоумышленники смогут получить доступ только к «цифровым слепкам», то есть не к фотографиям и записи голоса, а к цифровому коду, обработанному биометрическим алгоритмом. По такому коду невозможно восстановить фотографию или голос.
Нужно понимать, рассказывает аналитик ГК InfoWatch Сергей Хайрук, что любая система обработки биометрических данных работает не с исходной биометрией, а с ее упрощенной моделью, которая основана на статистической повторяемости элементов узора. Классификация опирается на определенное количество параметров. Анализ данных может строиться по принципу наличия либо отсутствия этих параметров у конкретного человека. В случае компрометации данных приходит в негодность шаблон, в соответствии с которым биометрические данные субъекта сравниваются с эталонной информацией. При использовании нового шаблона прежняя биометрическая информация остается вполне пригодной для идентификации ее владельца. «Если происходит утечка большого объема биометрических данных, потребуются затраты на обновление алгоритмов анализа. Однако при массовой компрометации данных эта процедура будет неизбежно сделана. Если же будет скомпрометировано небольшое число биометрических данных, то ситуация хуже: такой инцидент может остаться незамеченным администраторами системы хранения данных, и алгоритм для обработки биометрии пострадавших не будет изменен. В этом случае биометрическая информация может использоваться злоумышленниками довольно продолжительное время — до тех пор, пока сами пострадавшие либо третьи лица не обнаружат, что при помощи их скомпрометированных данных совершаются противоправные действия», — разъясняет г-н Хайрук.
По его мнению, говорить о конкретных рисках на данный момент сложно. Однако за рубежом уже есть примеры реализации таких рисков — например, в индийском городе Сурат арестовали двух владельцев магазина, которые на основе украденных данных смогли незаконно получать субсидируемые правительством продукты питания.
Стоит отдельно упомянуть, что «Ростелеком» будет продолжать совершенствовать «Ключ», который обладает самообучающимся модулем, и может выявлять попытки мошенничества, анализировать их и предотвращать в дальнейшем. Работа платформы подразумевает анализ существующих биометрических алгоритмов и возможность добавления новых.
Недавно ЦБ рассказал об опасениях ФСБ, что банки сейчас не способны выполнить требования службы по защите биометрических данных граждан. Что интересно, эти требования соответствуют уровню защиты информации, являющейся государственной тайной, возможно, еще применяются при обеспечении безопасности президента РФ, и больше нигде на практике не применяются. Они не используются ни в ЕСИА, где данные граждан хранятся в более или менее явном виде, ни при обмене данными с налоговой, ни в системах обмена информацией между министерствами и ведомствами. Более того, нет отработанной схемы внедрения технических решений такой защиты в информационные системы. Кроме того, один из компонентов этой системы защиты поставляет единственное в России предприятие — ФГБУ НИИ «Восход». Правда, требования по информационной безопасности должны быть исполнены к концу 2019 года, к тому же ФСБ не является для банков контролирующим органом.
Узкая сфера
Что получает клиент банка после регистрации в ЕБС? Дистанционная биометрическая идентификация фактически заменяет личный визит с демонстрацией паспорта. Она также частично выполняет функцию электронной цифровой подписи для банковских операций — как если бы мы оставили свой отпечаток пальца на договоре банковского обслуживания в офисе.
Однако большую часть банковских услуг мы уже сейчас получаем через мобильное приложение или онлайн-банк — без всякой биометрии. Банки не только позволяют открывать дополнительные счета, класть деньги на депозит и оставлять заявку на кредит, некоторые банки даже выдают кредит онлайн, совсем без посещения офиса. С появлением же в этом году электронных закладных даже ипотечные кредиты могут быть выданы полностью онлайн.
Получается, что все, от чего нас спасает ЕБС, — это один визит в банк при открытии первого счета в новом банке. Вряд ли российским гражданам требуется открывать счета в новом банке больше нескольких раз в жизни, а достаточно большой части населения вообще хватает счета в Сбербанке. Отсюда и низкий спрос у населения на регистрацию биометрических данных.
Здесь можно провести параллели с ЕСИА — именно в ней хранятся личные данные пользователей портала «Госуслуги». В 2017 году количество зарегистрированных пользователей портала достигло 65 млн человек. Кроме того, ЕСИА, часто вместе с электронной цифровой подписью, используется для открытия брокерских счетов, в том числе индивидуальных инвестиционных счетов (ИИС). Брокеры радостно рапортуют, что к концу 2017 года количество ИИС, открытых на Московской бирже, достигло 302 тысяч. Ранее Национальная ассоциация участников фондового рынка (НАУФОР) сообщала, что доля счетов, открываемых онлайн, у брокеров уже составляет от 25 до 100%, с использованием учетной записи на «Госуслугах» открывается 60% брокерских счетов. Теперь представим себе, что дистанционное открытие брокерского счета было бы единственной услугой ЕСИА. В этом случае мы не только не увидели бы на «Госуслугах» 65 млн пользователей — количество открытых ИИС тоже не достигло бы 302 тысяч. Полезность ЕСИА очевидна каждому, кто пытался получить загранпаспорт, оплатить налоги, продлить водительское удостоверение — именно возможность получение множества услуг с помощью ЕСИА и делает систему такой популярной.
Вывод напрашивается только один: нужно увеличивать количество услуг, которые можно получить удаленно с помощью биометрии. Такого же мнения придерживается и президент — председатель правления Почта-банка Дмитрий Руденко: «Чтобы применение биометрических шаблонов стало массовым, нужно, чтобы технология вышла за пределы банковской индустрии. Важно, чтобы другие отрасли тоже подключились к процессу, чтобы люди могли с помощью биометрического шаблона получить различные услуги и сервисы — как государственные, так и негосударственные. Вот тогда эта технология станет массовой, миллионной».
В принципе, с этим согласны и представители многих других банков и компаний, которые также планируют расширять количество доступных с помощью ЕБС услуг.
Уже сейчас в создании программных решений для ЕБС участвуют не только банки. ГК ЦФТ, которая является одним из вендоров ЕБС, предлагает цифровую платформу «ЦФТ-Госуслуги», которая, в частности, позволяет регистрировать клиентов банков в ЕБС c последующей идентификацией для предоставления услуг дистанционно. «Решение ЦФТ полностью соответствует потребностям рынка и отвечает требованиям законодательства РФ. Мы также разрабатываем облачное решение, позволяющее банкам подключаться к ЕБС через него. Сейчас согласовываем решение с регуляторами, — рассказывает Алексей Леонов. — Еще мы работаем над реализацией функционала по регистрации в ЕБС юридических лиц, а также онлайн-взаимодействия как с государственными (ГИС ГМП, ПФР, МВД и так далее), так и с коммерческими электронными сервисами. Продолжится и развитие решения по удаленной идентификации клиентов — физических лиц».
В самом «Ростелекоме» отмечают, что по мере накопления данных станет возможным расширение сферы применения ЕБС — от телемедицины до дистанционного обучения. «В России получение электронных государственных услуг уже качественно реализовано, но все еще остаются услуги, на которые можно только подать заявку. А потом гражданину нужно ехать, показывать паспорт, подтверждать свою личность и после этого забрать документ. Когда появится возможность дистанционно подтвердить свою личность не логином и паролем, а биометрией, государство сможет предоставлять услуги дистанционно. Дистанционно можно будет также менять оператора сотовой связи, получать рецепты или проходить обучение», — считает Иван Беров.
В пресс-службе Банка России также сообщают, что сегодня с помощью удаленной идентификации можно дистанционно открыть счет или вклад в банке, получить кредит и осуществить перевод, но этот инструмент совершенствуется и в дальнейшем будет активно развиваться не только для применения в финансовой сфере, но и для получения государственных услуг, услуг нотариата, операторов связи и иных.