Закроют личико: биометрию россиян защитят от утечек и подмены
В "Ростелекоме", который выступает оператором единой биометрической системы (ЕБС), нашли способ защитить слепки лица и голоса россиян от утечек с помощью криптографического модуля, рассказали "Известиям" в компании.
Это актуально в период активного внедрения идентификации в банковских приложениях по биометрии — функционал должен быть реализован к 1 января 2022 года. К готовящейся технологии уже проявили интерес крупнейшие кредитные организации, узнали "Известия". Недостаточная защита такой чувствительной информации грозит утечкой данных или мошенничеством с подменой слепков, опасаются эксперты.
Криптозащита
По требованиям ЦБ к 1 января 2022 года банки с универсальной лицензией, у которых есть приложения для работы с физлицами, должны реализовать открытие счетов по биометрии. Если гражданин ранее сдавал слепки лица и голоса в ЕБС, он сможет стать клиентом любой кредитной организации без посещения офиса.
Реализовать функционал можно с помощью отдельного приложения "Биометрия", которое уже защищено по всем требованиям регуляторов, пояснили "Известиям" в "Ростелекоме". Его представитель подчеркнул, что это наиболее простое с точки зрения запуска решение, однако пользователю для открытия счета придется установить на смартфон сразу две программы: приложение ЕБС и банка, услугами которого он хочет воспользоваться.
Другой вариант — встраивание идентификации по биометрии непосредственно в приложение кредитной организации, но в этом случае придется сертифицировать собственное решение по информационной безопасности, разъяснили в "Ростелекоме". Этот путь может занять несколько лет, он достаточно дорогой и трудозатратный. Чтобы облегчить задачу, компания разрабатывает отдельный криптографический модуль для защиты биометрии.
— Банк сможет реализовать сервис удаленной идентификации в своем ПО без необходимости сертифицировать приложение банка. Клиенту, в свою очередь, не придется скачивать на смартфон утилиту ЕБС. В ближайшее время планируется начать пилотные проекты по внедрению модуля в банках, в продажу решение поступит до конца 2021 года, — заявили в "Ростелекоме".
Криптомодуль обеспечивает безопасность канала связи, чтобы мошенники не могли перехватить слепки лица и голоса: он защищает биометрию от утечки и от подмены во время передачи данных. Кроме того, технология проверяет, что приложение не было взломано и злоумышленники не пытаются пройти идентификацию вместо пользователя.
ЕБС заработала в России в июле 2018 года. Сдать туда слепки лица и голоса можно более чем в 13 тыс. отделений около 230 банков. На январь 2020 года, по подсчетам ЦБ, в базе хранилось только 160 тыс. образцов.
В работе пилотной группы по внедрению криптографического модуля безопасности принимают участие Росбанк и Ак Барс Банк, а также вендор по дистанционному обслуживанию Абсолют Банка, рассказали "Известиям" их представители.
— Поскольку криптомодуль будет готов, скорее всего, к концу года, то Абсолют Банк первоначально рассматривает для подключения приложение ЕБС как наиболее быстрый и наименее затратный способ выполнить требование регулятора. Когда решение будет готово, мы заменим им приложение "Биометрия" или оба пути будут работать параллельно, — сообщил директор департамента розничных продуктов Виталий Костюкевич.
Решение для крупных
Аналогичного подхода придерживаются в ОТП-банке: приоритетным остается сценарий встраивания модуля биометрии непосредственно в контур мобильного приложения для улучшения клиентского опыта, но вопрос в сроках реализации этого проекта. К варианту открытия счетов через собственное ПО также склоняются в "Открытии" и "Дом.РФ". Для обеспечения безопасности кредитные организации рассматривают решение оператора ЕБС.
В ВТБ, Почта Банке и ПСБ, которые уже запустили открытие счетов онлайн по слепкам лица и голоса, идентификация проходит через единое приложение "Биометрия", рассказали "Известиям" в этих банках. Такой вариант также рассматривает крымский РНКБ.
Биометрическая идентификация несет риск подделки данных с использованием фотографий человека из открытых ресурсов — с помощью нейронных сетей мошенники могут сгенерировать подходящий биометрический слепок, рассказал "Известиям" замдиректора департамента аудита Digital Security Александр Романов. По его словам, источником проблем также может служить человеческий фактор: при заведении слепка клиента в ЕБС оператор может, например, ошибиться в формировании шаблона.
Пока в России осведомлены об уязвимостях биометрических систем и невозможности полного перехода на них в условиях постоянных нарушений информационной безопасности, отметил директор по развитию бизнеса IT-компании КРОК в коммерческих банках Александр Филиппов. По его оценкам, срок в один год достаточен для подключения к ЕБС любого банка, даже небольшого — с ограниченными финансовыми и технологическими ресурсами.
Небольшие финансовые организации могут нарушить сроки подключения, но это коснется меньшинства клиентов — не более 10%, поскольку основной потребительский спрос сконцентрирован в крупнейших организациях, оценил руководитель направления исследований Центра исследования финансовых технологий и цифровой экономики Сколково–РЭШ Егор Кривошея.
— Крупные же банки, в которых есть риски, связанные со скоростью интеграции сторонних решений, с утечкой интеллектуальной собственности или необходимостью совершения дополнительных действий со стороны клиента, скорее всего, предпочтут вариант с открытием счета через собственное приложение, тогда криптографический модуль станет необходимым решением для защиты, — подчеркнул эксперт.
В ЦБ оперативно не ответили на запрос "Известий" о рекомендациях по безопасной интеграции ЕБС в мобильные приложения банков.