Чем опасна биометрия в сбербанке
Почему оплата по биометрии — это безопасно
Оплачивать покупки по Face ID или Touch ID — это удобно. Минимум взаимодействий: не нужно вводить номер карты и CVV. Но даже биометрические данные можно подделать. Выяснили, как компании и банки борются с таким мошенничеством.
Как работает биометрия и как её обманывают
Биометрические данные — это ваши уникальные биологические и физиологические характеристики: лицо, голос, рисунок отпечатка пальца или радужной оболочки глаза. Их используют для идентификации пользователя при оплате или оказании услуг удалённо. Например, с помощью биометрических данных вы можете оплачивать покупки картой, не прикладывая пластик к терминалу, полностью бесконтактно.
Чтобы система начала вас узнавать, нужно согласиться на обработку биометрических данных и сдать их. Каждый раз при использовании ваше изображение будут сравнивать с контрольными данными, которые вы сдавали впервые. Аналогично айфон при первой активации запоминает мимику вашего лица и отпечаток пальца, а потом каждый раз ищет сходства с первой версией.
Обмануть биометрию сложнее, чем получить доступ к контрольным вопросам или кодам из СМС для подтверждения оплаты. Самый простой и дешевый способ — подменить реального человека его фотографией или спроектировать 3D-модель лица, но это дорого и долго.
Мошенничество такого рода называется спуфингом.
Как компании защищают от взлома
Перед тем, как одобрить операцию, система проверяет, кто перед ней — реальный человек или его фотография. Такие методы защиты называются «liveness detection». Они бывают аппаратные и программные.
Аппаратные методы — значит с использованием дополнительного оборудования: инфракрасных, термальных, 3D-камер, дополнительных датчиков. Это дорого, но эффективно. Их внедряют производители мобильных телефонов, от чего цена устройств растёт и становится доступна не всем. В этом минус таких методов.
Есть и другие способы — программные. Не требуют дополнительного оборудования и работают на всех устройствах с Face ID. Чтобы отличить реальное лицо от поддельного, система просит пользователя что-нибудь сделать: моргнуть, повернуть голову, улыбнуться. Она анализирует человеческое лицо как 3D-объект, поэтому фотография проверку не пройдёт.
Программные методы называются «активными», потому что требуют участия пользователя. Их можно обойти, используя видеозапись или 3D-имитацию лица и мимики, но такие реплики дороги в производстве. Минус программных методов в том, что они всегда требуют дополнительного пользовательского участия.
В других случаях система использует плоское изображение и анализирует текстуры, тени и свет. Эти методы называются «пассивными», потому что незаметны пользователю.
Какие методы используют банки
Банки подходят к проблеме комплексно — используют и аппаратные, и программные средства защиты. На каждом устройстве с биометрией есть специальное оборудование:
- Бесконтактный датчик расстояния. Оплата с помощью биометрии происходит только когда клиент стоит прямо перед устройством. 3D-камера. Создаёт объёмное изображение и анализирует микромимику. Благодаря ей оплата по фото не пройдёт. NIR-камера ближнего инфракрасного диапазона. Она видит даже при плохом освещении, определяет температуру тела и подтверждает, что перед устройством действительно живой человек.
Расскажем на примере Сбербанка. На программном уровне он использует около 15 методов проверки. Часть из них реализована в приложении Сбербанк Онлайн. При сдаче биометрии в мобильном приложении вас попросят, например, повернуть голову влево, вправо, моргнуть.
Кроме основных liveness-методов, Сбербанк пользуется дополнительной защитой: шифрует данные (использует двустороннее TLS-шифрование) и проверяет подозрительные операции (фрод-мониторинг). Оплата всегда проходит через защищённый канал связи. Это исключает перехват данных от устройства до внутренней системы банка. Подозрительные операции по месту, времени и сегменту рынка строго контролируются и проверяются службой безопасности — банк связывается с клиентом, чтобы убедиться, что карта не захвачена мошенником.
Подробнее о том, какие ещё способы безналичной оплаты существуют, читайте в нашем спецпроекте.
Почему вам опасно связываться с биометрической системой удаленной идентификации в банках
В России скоро можно будет брать кредит, открывать счет, лишь показав себя камере смартфона (компьютера) и сказав несколько слов в его микрофон. Но в этих технологиях скрываются большие проблемы.
Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег.
Фигуры умолчания
Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров.
Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих.
По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100. Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается. Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает.
О чем они даже не задумывались
Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность. Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации. «Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем. То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества.
А вот еще сюрприз
По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен?
Что же вам делать
Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный. Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД». А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных).
Спецслужбам пригодится
Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми». Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам. Пусть это и утешает любителей новых технологий.
Редакция «Клерка» получила информацию от источников в ФНС о том, что в 2022 году налоговики начнут массово снимать расходы компаний.
Чтобы подготовить вас к непростому 2022 году, «Клерк» оперативно разработал уникальный курс по защите при налоговых проверках. Записаться и получить подарок тут.
Клиент нараспашку. Для чего Сбербанк собирает ваши биометрические данные и как это можно запретить
На что только не идут банки, чтобы официально получить биометрические данные своих клиентов. Например, Сбербанк на днях объявил о пилотном проекте — оплате в некоторых кафе по взгляду, без использования карты или телефона. Звучит очень продвинуто, но стоит ли доверять банку? Чем опасна биометрия и как запретить ему обработку вашего изображения и голоса.
Собственно, глава Сбербанка Герман Греф никогда не скрывал того, что в базе Сбербанка уже находятся «миллионы» образцов биометрических данных клиентов — без каких-либо официальных разрешений. Впрочем, даже он признаёт, что нынешние биометрические технологии недостаточно совершенны и 100% гарантий правильности идентификации пока не существует. Тем более что удобства дистанционной идентификации по видеоизображению, фотографии или голосу оценили не только банкиры, но и киберпреступники. Впрочем, несмотря на признание проблемы, в Сбербанке (как и других российских банках) от сбора биометрических данных не отказались, а наоборот — интегрировали эту опцию в большинство своих технологических процессов по работе с гражданами. И потихоньку легализуют данные, собранные ранее без всяких разрешений.
Например, нередко, вставив карту в терминал и подтвердив операцию, клиент даёт одновременно согласие на сбор своих биометрических данных. Это происходит, если клиент не удосужился прочитать текст, который выдал ему терминал в своём маленьком окошке (это и есть согласие), а введя ПИН-код, его подтвердил. Справедливости ради стоит уточнить, что согласие через терминал встречается нечасто, в большинстве случаев именно в Сбербанке граждане сами целенаправленно предоставляют свои биометрические данные в надежде на более удобное и простое обслуживание. Например, когда есть необходимость протестировать «будущие» технологии.
Чем опасно предоставлять биометрические данные
Традиционно россияне воспринимают сбор любой персональной информации с насторожённостью, и даже среди тех, кто передал свои биометрические данные добровольно, сейчас появилось много сомневающихся в правильности такого решения. И не без оснований. Проблема в том, что неясно, как именно в дальнейшем будут использованы эти данные. Особенно это актуально после того, как столичные суды в период самоизоляции стали штрафовать по данным камер наблюдения, хотя оштрафованные вовсе не давали разрешения на сбор и обработку своих биометрических данных столичному правительству. Кроме того, существует риск, что по биометрическим данным смогут получить кредиты мошенники.
Биометрия в банках: что это, зачем и к чему приведет
Что такое биометрические данные
Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности. К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.
Зачем банки собирают биометрию
Российские банки собирают биометрические данные клиентов в двух направлениях: для собственных целей, чтобы повысить безопасность, удобство и скорость обслуживания клиентов, а также для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков без посещения офиса за счет удаленной идентификации. В двух этих случаях сдача биометрии для клиентов является добровольной.
Собирать данные в ЕБС (изображение лица и цифровой слепок голоса) по закону должны все банки, однако услуги через ЕБС (открытие счета, выдача кредита и проведение платежей) пока оказывают только несколько кредитных организаций:
Скоро к этому списку должны добавится Росбанк, «Русский Стандарт» и РНКБ. Собственные биометрические проекты реализуют не все участники рынка: из крупнейших игроков это делают Сбербанк, ВТБ, Альфа-банк, Почта Банк и «Хоум Кредит».
Способы использования биометрии кредитными организациями
Как происходит сбор биометрии
Для регистрации в ЕБС необходимо один раз посетить отделение банка с паспортом и СНИЛС, а также иметь подтвержденный аккаунт на сайте госуслуг. Если человек еще не является клиентом банка, ему надо открыть счет. Для сдачи своих данных клиент подписывает согласие на их обработку, после чего сотрудники производят запись образца голоса и делают фотографию. Для записи необходимо прочитать три последовательности цифр. Процедура длится не больше десяти минут. В перспективе сдать данные для ЕБС можно будет в МФЦ или в специальном мобильном приложении, рассказал представитель «Ростелекома».
Процедура сдачи биометрии для собственных систем в каждой кредитной организации может отличаться. Например, ВТБ записывает образцы голоса при общении с оператором. Во время записи разговор может вестись на любую комфортную для пользователя тему, чтобы система могла зафиксировать и записать корректный слепок.
Какими законами регулируется сбор биометрии
В настоящее время работа Единой биометрической системы регулируется двумя законами: «Об информации, информационных технологиях и о защите информации», а также «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Согласно им, использование ЕБС в новых сферах может определяться только отдельными законодательными актами.
На рассмотрении в Госдуме сейчас находится законопроект о расширении сферы деятельности ЕБС, его принятие позволит использовать систему без необходимости внесения изменений в отраслевое законодательство, а также приведет к появлению внебанковских сервисов, предоставляющих услуги через ЕБС.
Почему немногие хотят сдавать биометрию в банке
Россияне пока с настороженностью относятся к ЕБС: по последним данным «Ростелекома», на август 2020 года в ЕБС было зарегистрировано около 150 тыс. пользователей. Внутрибанковским проектам клиенты передают свои данные охотнее. Так, Сбербанк собрал около 1 млн данных клиентов (точную цифру банк не раскрывает, но всего у него насчитывается 94 млн клиентов), ВТБ — более 130 тыс. У Почта Банка внутреннюю биометрическую идентификацию по изображению лица прошли все клиенты. Несмотря на то, что сдача биометрии является добровольной, отказавшемуся фотографироваться клиенту будет доступен ограниченный перечень услуг, поскольку банк иначе не сможет гарантировать безопасность всех операций, объяснил 100%-ную сдачу биометрии представитель Почта Банка.
Небольшое число клиентов, готовых воспользоваться услугами ЕБС, связано с недостаточной информированностью граждан о такой возможности, считает представитель «Хоум Кредит». По мнению Емельянова из Почта Банка, чтобы применение биометрических шаблонов стало массовым, нужно, чтобы технология вышла широко за пределы банковской индустрии. Как пояснил представитель «Ростелекома», после принятия законопроекта о сферах применения биометрии появятся новые массовые сервисы: оплата по биометрии, дистанционная сдача экзаменов в образовательных учреждениях, сервисы для нотариусов, судопроизводства, а также другие продукты, которые сейчас находятся на стадии проработки — технической и нормативной.
Еще одна причина — сильно преувеличенные страхи, связанные с возможными утечками биометрических данных, добавляет Емельянов. С точки зрения безопасности ЕБС хорошо продумана, говорит руководитель проектов департамента технологического развития СКБ-банка Альберт Усенко. Записанные фото и голос хранятся в виде математической модели, поэтому ее попадание в руки злоумышленников ничего им не даст, объясняет он: «Ценность представляет связка биометрического контрольного шаблона и набор персональных данных пользователей. Поэтому биометрический контрольный шаблон хранится в ЕБС, а набор персональных данных храниться в Единой системе идентификации и аутентификации (ЕСИА). Они обе расположены в разных местах и никак напрямую между собой не связаны».
Биометрические системы — это надежный и апробированный механизм повышения защищенности дистанционного взаимодействия клиентов с организациями, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Однако, по его мнению, биометрия должна быть дополнительным, а не единственным фактором проверки или подтверждения личности клиента, поскольку фото, видео и голос человека не являются «секретами», как пароли и кодовые слова, а значит, в теории могут быть собраны и использованы без ведома клиентов.
Партнер технологической практики KPMG в России и СНГ Оксана Борисова также видит эффективность применения биометрии в защите от мошенников и считает, что несмотря на риски, ее лучше сдавать для обеспечения безопасности операций и настраивать многофакторное подтверждение проведения операции.
«Наиболее частым сценарием хищения денежных средств является получение данных клиента, необходимых для идентификации и проведения операций в удаленных каналах обслуживания. На сегодняшний день клиент может выбрать различные способы идентификации: обычный PIN-код или пароль, отпечаток пальца, распознавание голоса, проверка с помощью видео и т.д. Ни один из способов не обеспечивает 100%-ную защиту от действий злоумышленников, биометрия — не исключение. Однако использование биометрии в качестве второго или третьего фактора аутентификации может значительно повысить безопасность данных и улучшить клиентский опыт, потому что клиенту не требуется запоминать сложные пароли», — считает Борисова.
Что касается ЕБС, то, по мнению руководителя группы по оказанию услуг компаниям финансового сектора Deloitte Максима Налютина, сдача биометрии важна только в том случае, если клиент собирается активно открывать счета и новые продукты в банках, где он ранее не обслуживался, особенно в условиях эпидемиологических ограничений.
Влияние пандемии на будущее биометрии
Под влиянием пандемии COVID-19 технология начала развиваться быстрее. «За последние полгода по биометрии было предоставлено столько же услуг, сколько за предыдущие полтора года», — пояснил представитель «Ростелекома». Он объяснил это тем, что пандемия сформировала тренд на бесконтактные и дистанционные технологии.
«В сложном 2020 году, когда возникла необходимость перевода всех видов банковских и прочих услуг в дистанционный формат, биометрия стала особенно востребованной. Например, мы наблюдали спрос на использование удаленной идентификации, чтобы стать клиентами банка через мобильное приложение, воспользоваться рядом финансовых услуг, зарегистрироваться и подтвердить учетную запись на портале госуслуг с помощью биометрии», — рассказал директор по инновациям банка «Ак Барс» Дамир Галиев.
ВТБ с помощью голосовой биометрии в контакт-центре уже планирует предоставлять сервисы и услуги, которые ранее были доступны только в офисе, например, разблокировка карт, говорит старший вице-президент банка Чугунов.
Согласно Глобальному исследованию KPMG по банковскому мошенничеству за 2019 год, 67% банковских лидеров инвестируют в инструменты с использованием физической биометрии — голос, отпечатки пальцев, распознавание лиц. Наиболее передовые организации уже вкладываются в развитие более сложной поведенческой биометрии, которая представляет собой сбор уникальных для каждого пользователя набора характеристик, позволяющих составить профиль пользователя и отсеивать мошенников.
Если смотреть на мировой опыт применения биометрии, прежде всего она используется для услуг регистрации новых клиентов в банках и верификации существующих, рассказал руководитель аналитического отдела «Ассоциации ФинТех» Никита Ломов: «Несмотря на то, что пользователи с осторожностью соглашаются на предоставление биометрических данных, мировой опыт показывает, что их использование значительно упрощает процесс взаимодействия клиентов с банками».
Самые известные мировые примеры, по его словам, это:
По аналогии со странами Азии, в России могут начать развиваться сервисы мгновенной оплаты покупок или услуг по индивидуальным чертам лица, считает Ломов:
«Также в ряде европейских стран активно выпускаются биометрические банковские карты, позволяющие пользователям совершать безлимитные операции, для подтверждения которых нужно приложить палец к специальному чипу на карте. Правда, адаптацию данного решения российскими банками предсказать сложно в силу высокого проникновения в России более удобного способа бесконтактной оплаты смартфоном Apple Pay, Android Pay, Samsung Pay и прочих».
Может ли банк тайком сделать фото для биометрии и как отказаться от снимка?
Не всем нравится, что банк хранит их снимок. Кто-то беспокоится, что попадёт в биометрическую базу данных и за ним начнут следить, кто-то боится утечки данных и череды подставных займов, а кто-то просто не хочет (я сегодня плохо выгляжу). «Я ж не в фотоателье пришла», — заявляют недовольные клиенты. Возникает вопрос, можно ли отказаться от фотографирования.
Для вашей же пользы
Телефончик в кредит? Фото: zen. yandex.ru
Видимо, наступил момент, когда банкам надоело разбираться с дефолтами, недовольными владельцами паспортов и полицией — в отделения банков и на торговые точки поставили камеры. С тех пор каждый кредит оформляется с фотографией. Это не защищает на 100% от мошенников, но облегчает поиски злоумышленника.
Сбор биометрии
Пару лет назад по стране прокатилась очередная череда скандалов — клиенты банков жаловались, что их фотографируют не только для оформления кредита, но и при открытии вклада или дебетовой карты.
Как раз в это время появился закон о биометрии. Люди забеспокоились, что сейчас без их согласия фотографию поместят в банк данных и будут использовать. Как — никто не знает, но неизвестность пугает.
Сдавайте биометрию. Фото: akm.ru
«Открытие» комментирует необходимость создания снимков так:
Во-первых, согласно требованиям законодательства в рамках 115-ФЗ (закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»), банки обязаны идентифицировать своих клиентов, при этом выбор необходимых для этого сведений и документов остается на усмотрение самих кредитных организаций. Таким образом, фотографирование клиентов необходимо для соблюдения регуляторных требований в части идентификации клиентов
Банк ссылается на регуляторные требования и говорит о том, что фото — один из методов идентификации клиента.
В Почта-банке объяснили необходимость фотографирования защитой от мошенников и сослались на Гражданский кодекс, согласно которому при заключении договора банковского обслуживания клиенту открывается счёт на условиях, согласованных сторонами.
Договором на открытие банковского счёта предусмотрена процедура аутентификации клиента по фотографии. Таким образом, принимая оферту банка о заключении договора банковского счёта, клиент соглашается и на фотографирование
Сейчас в большинстве банков подобная практика ушла в прошлое. При открытии вклада или дебетовой карты фото не требуется.
За последний год закон о биометрии был усовершенствован. Согласно последним поправкам, банк не может взять биометрические данные под видом других услуг. Например, кредитная организация не может вас сфотографировать во время оформления кредита и передать данные в единую биометрическую систему.
Давайте разграничим. Банк может делать фото для идентификации клиента — снимок будет храниться в информационных системах банка. Либо фото делается для единой биометрической системы — передаётся вместе с записью голоса в федеральное хранилище. Во втором случае клиент подписывает согласие, а сотрудник банка разъясняет суть процедуры.
Если вас до сих пор гложут сомнения и вы думаете, что банк в 2019 году поместил ваше фото в банк биометрических данных, то проверьте информацию о себе на сайте ЕБС. В случае чего сведения можно удалить.
Можно отказаться от фотографии?
Если снимок делается для оформления кредита, то надо понимать, что программа может быть настроена так, что заявка без фото не уйдёт. Клиентоориентированный менеджер в ответ на возмущения клиента вызовет для консультации руководителя отделения, начальника службы безопасности, юриста и прочих важных людей в костюмах. Но станут ли они под вас менять существующее программное обеспечение и внутренний регламент?
Кроме этого, нормы Гражданского кодекса говорят о том, что никто никого не может обязать заключать договор.
Юридический портал «Право» приводит слава партнёра юрфирмы «Рустам Курмаев и партнёры» Дмитрия Горбунова:
Принцип свободы заключения договора предполагает, что ни одна из сторон не может принуждать другую к его заключению, так что если клиент не хочет предоставлять свою фотографию, а банк несогласен заключать договор в отсутствие обязательных к предоставлению данных, то они могут просто этот договор не заключать
Одним словом, вы можете отказаться от фотографирования и долго объяснять свои права, цитируя наизусть ст. 152.1 Гражданского кодекса РФ. Но банк вам откажет в обслуживании.
С биометрией иная история. Вы можете её не сдавать, и банк не вправе из-за этого отказывать в обслуживании. Однако законодательство меняется. Уже идут разговоры о внедрении услуг, которые без биометрии предоставляться не будут.