Функционирует при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации
Финансы Ваше лицо сохранит ваши деньги, но не все

Ваше лицо сохранит ваши деньги, но не все

1 554
pixabay.com
Источник:

Банки выполняют «пятилетку за три года», делая доступным сбор биометрических данных клиентов. Сами клиенты пока не спешат. А эксперты по безопасности тем более: лицо или голос могут и украсть.

С 30 июня 2018 года в банковской системе России работает удаленная идентификация клиентов. Это «чек-ин» с помощью биометрических данных, чтобы граждане могли дистанционно открывать счета или вклады, получать кредиты и осуществлять переводы.

По задумке Банка России, биометрические данные клиента – изображение лица и голос – сохраняются в Единой биометрической системе (ЕБС). И все: можно «торговать лицом» (и голосом), совершая банковские операции. Правда, эксперты по интернет-безопасности пока скорее качают головами: хакеры бегут впереди и этого паровоза.

Биометрия российского розлива

Биометрические данные это результаты измерений, которые выполняются в цифровом представлении чего-либо уникального для человека, измеряются координаты особых точек изображения и расстояния между ними. Например, для человеческого лица такими особыми точками будут кончик носа, углы рта и глаз, мочки ушей и т. п. Взаимное расположение таких точек уникально для каждого человека. В Банке России говорят, что в качестве идентификации в банках России будет также использоваться и голос человека.

Чтобы получать услуги банка дистанционно, клиенту необходимо один раз прийти в уполномоченный банк с паспортом и СНИЛС и пройти процедуру так называемой первичной идентификации. Банк зарегистрирует клиента в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС).

Предполагается, что на сайте или в мобильном приложении банка клиент выберет нужную услугу, войдет в ЕСИА , произнесет написанную на камеру последовательность цифр или букв, которая одновременно запишет изображение его лица и передаст соответствующие биометрические параметры, и воспользуется нужной ему услугой. И все это бесплатно и откуда угодно, обещает регулятор всех российских банков.

Банки, да не все

Пока сдать биометрические данные можно не во всех банках. По данным Центробанка, с лета сбор такой информации доступен более чем в 400 точках банковского обслуживания в 140 городах России. До конца 2018 года сервис должны предоставлять не менее 20% структурных подразделений банков страны в каждом регионе присутствия, к 30 июня 2019 года 60%, а до конца 2019 года 100%.

ЦБ даже опубликовал 8 октября интерактивную карту, по которой можно найти все отделения в городах РФ, где сдать данные голоса или биометрию лица можно уже сегодня. В настоящий момент на карте отмечены точки банковского обслуживания в 81 субъекте РФ. В Петербурге таких отделений пока немного – 12. Больше всего у «Почта Банка» – 5. По два у «Совкомбанка» и у «Газпромбанка», по одному у ВТБ, банка «Санкт-Петербург» и у Хоум Кредит банка.

Правда, очередей на сдачу голосов и лиц не видно. Например, в банке Хоум Кредит «Фонтанке» рассказали, что на всю Россию свои биометрические данные банку сдали около 50 человек. Остальные кредитные организации пока вообще предпочли промолчать о статистике. В ЦБ также пока не имеют данных о том, сколько россиян оцифровались за три месяца с момента старта «продажи билетов в матрицу».

Опасно ли «терять лицо»

В мире современных технологий риск, связанный с передачей биометрии, один, но большой: утечка персональных данных. Уже не секрет, что персональные данные в руках умелых хакеров могут принести много неприятностей их владельцам.

«Если забытый или украденный пароль можно сменить, аппаратный ключ заменить, то единожды украденные параметры голоса или лица, отпечатки пальцев и т. п. человек сменить не может», – предупреждает директор по развитию компании «Информзащита» Михаил Савельев.

В Банке России утверждают, что ЕБС надежно защищена от взлома и утечек «с помощью российских криптографических средств». Биометрические данные физических лиц будут храниться в зашифрованном виде в обезличенной форме отдельно от других идентификационных данных, таких, как Ф.И.О., паспорт, СНИЛС и др. «Для надежности и безопасности при проведении идентификации будет использоваться алгоритм, позволяющий проверять, что перед камерой находится живой человек, – говорит банковский регулятор. – При удаленной идентификации у пользователя появится окно для видеозаписи и случайно сгенерированная последовательность цифр и букв, которую нужно будет прочитать вслух на камеру».

Однако эксперты по безопасности напоминают, что до сих пор биометрическая идентификация всерьез использовалась только в «идеальных» с точки зрения безопасности условиях: на пограничных переходах, в контролируемых зонах организаций с высоким уровнем безопасности и т. п. «Сейчас же предлагается использовать для получения биометрических данных смартфоны и персональные компьютеры обычных граждан, регулярно становящихся жертвами вирусных эпидемий, передавать эти данные по каналам связи общего пользования, где они легко перехватываются хакерами, и обрабатывать их в корпоративных информационных системах, уровень защищенности которых сегодня весьма далек от идеала, – говорит директор Positive Technologies по методологии и стандартизации Дмитрий Кузнецов. – Различные способы обхода биометрической идентификации демонстрируются исследователями регулярно: перехват и подмена изображения непосредственно в операционной системе устройства пользователя, перехват и повторное использование биометрических данных при их передаче по Сети, взлом информационных систем с подменой образцов и т. п.».

Даже если клиенты будут изначально подтверждать свою личность в отделениях банка, абсолютно безопасной такую идентификацию назвать нельзя. Одна из проблем, которая, по мнению Дмитрия Кузнецова, может свести на нет все достоинства биометрической идентификации, – это уязвимости программного кода как приложений мобильного банкинга, так и самих мобильных операционных систем. По статистике Positive Technologies, лишь в 8% систем мобильного банкинга отсутствуют серьезные уязвимости, 56% систем слабо защищены из-за наличия в них уязвимостей высокого уровня опасности. «В подобных системах нарушители способны получать доступ к счетам клиентов и выполнять операции с ними в обход механизмов защиты, в том числе в обход биометрической идентификации», – утверждает Дмитрий Кузнецов.

В Positive Technologies говорят, что нормативное требование об обязательном проведении анализа и устранении уязвимостей программного кода включено в нормативные документы Банка России, но это требование вступает в силу только в 2020 году. «На сегодняшний день практика проведения такого анализа принята только некоторыми крупными банками, основная масса кредитных организаций такие исследования не проводит», – предупреждает Дмитрий Кузнецов.

«ЕБС, по сути, становится единой точкой идентификации клиента, которой все банки должны доверять. В случае, если злоумышленники проникнут в саму ЕБС, то они смогут выдавать любые ответы от ее имени, – резюмирует Михаил Савельев. – К сожалению, в наши дни подобные взломы не редкость. Хакеры регулярно проникают в защищенные банковские системы. Но одно дело, когда речь идет об инцидентах в масштабах одного банка. В случае проблем с ЕБС масштабы инцидента могут быть достаточно велики».

Предупреждения о светлом завтра, которое легко становится чёрным, небезосновательны. Эксперты международной компании, которая специализируется на предотвращении кибератак, Group-IB, отчитались 9 октября, что сейчас хакеры наращивают свои успехи в противостоянии с защитой российских банков. Ежемесячно взламывают 1 – 2 российских банка, растёт преступная выручка от атак на сервисы банковских карт. Ущерб российской финансовой сферы от атак киберпреступников впервые достиг отметки 2,96 млрд рублей (https://www.fontanka.ru/2018/10/09/074/).

«Безопасные» страшилки

Пока биометрика более или менее известна «массовому пользователю» по сервисам Google Play и App Store. Они используют отпечаток пальца для подтверждения личности. Такую возможность, в качестве дополнительного способа идентификации, уже поддерживают и мобильные приложения многих банков.

«Существуют системы, которые используют только фото или 3D-сканирование лица с различными уровнями безопасности. В некоторых случаях удавалось легко обмануть систему распознавания лиц на мобильных телефонах вскоре после её введения, – рассказал директор департамента по исследованиям угроз Avast Михаил Салат. – Если говорить о распознавании голоса, то здесь тоже есть определенные риски. Так, можно записать аудио голоса и с помощью инструментов машинного обучения сгенерировать нужный текст с любым голосом».

А Михаил Савельев и вовсе считает, что для получения биометрических данных таких систем нет необходимости взламывать систему. «Например, чтобы получить образец голоса кого бы то ни было, достаточно этому человеку просто позвонить и сделать запись голоса, – говорит Савельев. – Для создания 3D-модели лица необходимо лишь несколько фотографий, которые часто и с указанием места работы можно найти в социальных сетях».

В «Информзащите» рассказали один из самых известных случаев «работы хакеров» – это взлом системы AADHAAR индийского Агентства по уникальной идентификации (UIDAI). «В Индии на основе украденных данных несколько предприимчивых мошенников смогли незаконно получать субсидируемые правительством продукты питания», – поделился Михаил Савельев.

Специалист технического сопровождения сервисов ESET Russia Андрей Ермилов вспомнил о случае взлома системы предоставления доступа по отпечаткам пальцев. «В результате атаки злоумышленники смогли добавлять новые отпечатки и предоставлять их обладателям максимальные привилегии в системе», – пояснил Андрей Ермилов, рассказывая о неудачном зарубежном опыте биоидентификации.

Биобудущее

Тем не менее у России в смысле биоидентификации планы грандиозные: в дальнейшем Единая биометрическая система должна стать национальной платформой для удобного и безопасного доступа граждан к государственным и коммерческим услугам. Самыми перспективными отраслями являются: финансовый сектор, нотариат, получение государственных и муниципальных услуг, здравоохранение, образование, ретейл, e-commerce. Технический директор Check Point Software Technologies Никита Дуров говорит, что специалисты уже продумывают механизмы защиты от хакерских атак, чтобы злоумышленники не смогли атаковать мобильное приложение и подменить, а затем использовать полученные данные пользователя, чтобы совершить операцию. Но главным риском все так же остается человеческий фактор. «Люди по-прежнему попадаются на фишинговые атаки и различные уловки злоумышленников», – печально констатирует уровень цифровой грамотности сограждан Никита Дуров.

Тем не менее в «Совкомбанке» рассказали «Фонтанке», что уже «в ближайшее время планируют начать предоставлять услуги через удаленную идентификацию посредством ДБО (системы дистанционного банковского обслуживания через которые, по данным Group-IB, хакеры уже научились создавать новые тематические ресурсы для бухгалтеров и гендиректоров. – Прим. ред.)». А в банке ВТБ, не рассказывая о количестве граждан, осмелившихся на биометрию, «видят интерес среди населения к данному сервису» и «ожидают, что со временем он будет только расти, поскольку уже в 2019 году сервис позволит без посещения офиса ВТБ стать клиентом банка и дистанционно оформить интересующий продукт».

«Биометрия является самым передовым механизмом защиты от мошенничества», – добавили в банке, президент которого Андрей Костин второй месяц регулярно говорит о дедолларизации российской экономики.

Николай Нелюбин, специально для «Фонтанки.ру».

ПО ТЕМЕ
Лайк
LIKE0
Смех
HAPPY0
Удивление
SURPRISED0
Гнев
ANGRY0
Печаль
SAD0
Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter
Комментарии
2
Присоединиться
Самые яркие фото и видео дня — в наших группах в социальных сетях