Метод шиббалета
30 июня 2018 года вступил в силу принятый Госдумой в минувшем декабре закон о создании механизма удаленной аутентификации* клиента кредитной организации. Это означает, что теперь россияне смогут пользоваться любыми банковскими услугами (от открытия счета до оформления займа) дистанционно, без физического присутствия в офисе компании. Для этого необходимо единожды внести свои биометрические данные (изображение лица и образец голоса) в систему, после чего можно авторизовываться на сайтах разных банков (каких именно – определяет Центробанк) и удаленно пользоваться их услугами.
Процесс подтверждения личности на страничке финансовой организации занимает несколько минут: необходимо поднести камеру своего смартфона (планшета) к лицу или использовать ноутбук с веб-камерой и произнести требуемую системой фразу. Если биометрические данные совпадают, клиент получает доступ к услугам. Предпосылкой к появлению такого способа идентификации был, вероятно, метод шибболета* – речевой пароль, примета для опознания выдающего себя за другого.
Двухфакторная идентификация – не панацея, но достаточно надежная защита от несанкционированного проникновения. Наличие косметики, очков, бороды и другие незначительные изменения внешности, по словам разработчиков софта – дочерней компании «Ростелекома» – «РТ Лабс», не повлияют на работоспособность системы. А существенные трансформации потребуют новой сдачи биометрических данных. Со вторым же параметром ситуация обстоит несколько сложнее. Во-первых, на сегодняшний день немому человеку воспользоваться системой удаленной идентификации, судя по всему, не удастся. В будущем разработчики планируют исправить этот недочет. Во-вторых, голос человека может меняться в зависимости от возраста, состояния здоровья, гормонального фона и ряда других факторов. И если речь идет о простуде и легкой хрипоте, система вполне справится с идентификацией, в отличие от, например, операции на связках, после которой придется пройти повторную регистрацию.
По словам директора по цифровой идентичности ПАО «Ростелеком» Ивана Берова, на сегодняшний день лицо и голос – самые распространенные и доступные для массового использования биометрические модальности, другие требуют специального считывающего оборудования. В дальнейшем «Ростелеком» планирует внедрять новые перспективные способы биометрической идентификации.
«С точки зрения сохранности персональных данных, при грамотной реализации этого сервиса проблем быть не должно – единая обезличенная база контрольных точек и голосовых модуляций не имеет прямых идентификаторов, указывающих на конкретного человека. Однако если безопасность системы не будет серьезно проработана, наличие таких данных в руках злоумышленников, конечно, может создать угрозы для физических лиц. Если мы вспомним, первая попытка идентификаций по лицу человека была взломана очень быстро благодаря использованию обычной фотографии. Современные технологии – инфракрасные датчики, которые строят модель лица по контрольным точкам – достаточно надежны», – сообщил «ГЧ» директор проектного направления международной компании по предотвращению и расследованию киберпреступлений Group-IB Антон Фишман.
Мой голос - мой паспорт
Дистанционная идентификация, во-первых, позволит маломобильным группам населения или проживающим в районах с невысоким банковским покрытием пользоваться требующимися услугами. Во-вторых, освободит и без того загруженных городских жителей от необходимости выкраивать время для поездки в офис финансовой организации. В перспективе этот механизм распространится и на другие сферы услуг – нотариальные, страховые, медицинские.
Затраты на приобретение оборудования для проведения идентификации в офисах – покупка камер и микрофонов, требования к которым установлены в концепции проекта, возьмут на себя банки. На сегодняшний день некоторые из них уже приступили к сбору биометрических данных клиентов. Одним из первопроходцев стал ВТБ.
«Первые офисы банка, в которых можно будет пройти эту процедуру, начнут работать в Москве и Санкт-Петербурге. До конца года ВТБ обеспечит необходимым оборудованием порядка 200 розничных отделений по всей России, полностью всю сеть – в 2019 году», – рассказал «ГЧ» руководитель департамента цифрового бизнеса – старший вице-президент ВТБ Иван Пятков.
«Банк «Открытие» планирует внедрить данную систему позднее. Массовое подключение скорее всего растянется на 2-3 года, по мере появления тиражных решений и предложений по переоборудованию офисов «под ключ», облегчающих процесс интеграции с системой», – сообщил «ГЧ» член правления и руководитель IT-блока банка «Открытие» Сергей Русанов. В рамках внутренней программы организация уже сейчас оперирует биометрией: в 2017 году банк первым в мире запустил денежные переводы по фотографии клиента в мобильном приложении. В основе технологии – нейросетевая система распознавания лиц.
Сбербанк пока не готов запустить систему биометрической идентификации клиентов. «В связи с тем, что в настоящий момент выпущены не все нормативно-правовые акты, полномасштабный процесс закупки и поставки оборудования в отделения запустить невозможно», – сообщила РБК пресс-служба банка. Ожидается, что в течение второго полугодия в ряде отделений будет запущена «опытная эксплуатация регистрации» и до конца 2018 года постепенно систему растиражируют по всей России.
Справедливости ради, следует отметить, что технология будет доступна только в тех локациях, где имеется интернет, а это далеко не 100 % территории нашей необъятной Родины. В первом квартале 2018 года доля пользователей глобальной сети в России составила 80 %. К 2024 году, по плану «Информационная инфраструктура» программы «Цифровая экономика РФ», показатель должен возрасти до 97 %. «Дорожная карта» охватывает и учреждения – к этому же сроку 100 % образовательных и медицинских организаций должны быть подключены к интернету. На эти цели комитет Госдумы по бюджету и налогам, в котором интересы Воронежской области представляет Сергей Чижов, предусмотрел 4,9 миллиардов рублей в 2018 году. В нашем регионе подключение к интернету с помощью оптоволокна уже осуществили в 133 учреждениях здравоохранения, планируется еще в 156.
Перехитрить нейросеть
Плохая новость для мошенников: внедряемая в России биометрическая идентификации оснащена специальными liveness-технологиями, отличающими живого человека от подделки. Но, поскольку пока нельзя говорить о том, что система прошла «боевое крещение», многие сомневаются в безопасности технологии. Эксперты полагают, что обычные смартфоны не смогут обеспечить защищенную передачу биометрических данных. Кроме того, имея слепок голоса, можно синтезировать речь с помощью специальных устройств – вокодеров.
Возможно, именно из-за опасений в надежности существующих технологий, рабочая группа по регулированию цифровой экономики при правительстве представила законопроект, предлагающий ввести девять идентификаторов, в числе которых электронная подпись, дактилоскопические данные, а также номер мобильного телефона. Сейчас последний не является юридически значимой альтернативой удостоверения личности, однако в будущем, по мнению авторов проекта, он мог бы упростить доступ к онлайн-услугам, упразднив ручной ввод паспортных данных или предоставление скана.
Сторонники такого нововведения обращаются к общемировым тенденциям: «Если говорить в целом, то в мире уже получила распространение технология Mobile ID, с помощью которой производится идентификация личности и подтверждение цифровой подписью различных электронных документов и услуг. Универсальная технология Mobile Connect также открывает новые возможности для пользователей любых цифровых сервисов. Она позволяет проходить авторизацию по номеру телефона без необходимости придумывать и запоминать логины и пароли. Востребованность этой технологии доказывает то, что ее уже опробовали 105 миллионов человек по всему миру. Важно, что решение не только максимально облегчает процесс идентификации, но и гарантирует безопасность операций с мобильного телефона, – рассказал «ГЧ» коммерческий директор макрорегиона «Черноземье» Tele2 Владимир Поваров. – Мы поддерживаем эту инициативу и считаем, что она может стать одной из основополагающих баз для развития цифровой экономики РФ».
Концепция законопроекта, которая предполагает использование номеров мобильных телефонов россиян для подтверждения личности при оказании ряда дистанционных услуг будет подготовлена в ближайшее время. Уточняется, что число приобретаемых человеком SIM-карт не будет ограничено и каждая станет полноценным удостоверением личности. Однако пока совершенно не ясно, как технически будет реализована эта идея, что делать тем, у кого нет смартфонов, как поступят с уже присвоенными абонентскими номерами, «серыми» симками. Сегодня SIM-карты для идентификации людей не слишком широко используются в разных странах. Причина заключается в том, что такая система не защищена в достаточной степени – ее легко подделать.
«Номер телефона может быть использован как второй фактор при аутентификации субъекта, но не как самостоятельный. Во-первых, в случае потери телефона им может воспользоваться злоумышленник. Во-вторых, телефон можно «заразить» и от имени пользователя отправлять смс и совершать вызовы. И никто не отменял человеческий фактор: мошенник может прийти в офис оператора сотовой связи и по поддельному паспорту либо вступив в сговор с оператором получить симку на тот же номер взамен якобы «утерянного». Кроме того, сам протокол сотовой связи имеет уязвимости, позволяющие перехватывать и подменять сообщения и звонки», – поделился своим мнением с «ГЧ» Антон Фишман.
НЕМНОГО ИЗ ИСТОРИИ
Федот, да не тот
Печати, родовые имена и гербы служили для идентификации задолго до появления первых документов, удостоверяющих личность. В Средние века обращали внимание и на элементы одежды: эполеты, аксельбанты, лампасы могли пролить свет на происхождение, род деятельности, место жительства и фамилию своего владельца. Путешественникам выдавались специальные дорожные грамоты, послам – верительные. Асоциальный контингент – фальшивомонетчиков, воров, шулеров – клеймили, выжигая раскаленным железом определенные буквы или символы. Учитывая «точность» перечисленных способов идентификации, выдать себя за другого было не слишком сложно. В противном случае история обошлась бы без Лжедмитриев.
Первые «бумажные» удостоверения личности появились во Франции в качестве меры по борьбе с бродягами. С середины XV века их стали выдавать всем гражданам, к XVIII столетию удостоверения личности имели все европейцы и россияне. В 1721 году Петр I ввел обязательные пашпорта для крестьян, чтобы контролировать их перемещения по уездам. Отмена крепостного права потребовала ускорить процесс паспортизации населения для контроля миграционных процессов. К концу XIX века документы, удостоверяющие личность, визуально приблизились к современным.
Обвести вокруг пальца
И хотя отпечатками пальцев на глиняных табличках «подписывали» различные государственные документы еще в Персии XIV века, термин «дактилоскопия» возник только в 1877 году благодаря англичанину Уильяму Гершелю. Двумя десятками лет назад, работая в Индии, он начал фиксировать отпечатки пальцев каждого работника на обратной стороне трудового контракта. Таким образом, Гершель отличал сотрудников от мошенников, которые могли претендовать на роль служащих в день выплаты зарплаты. Широкое применение идентификация по отпечаткам пальцев получила только в первой половине XX века и активно используется по сей день, при этом технология не раз себя дискредитировала. Сканеры отпечатков пальцев обманывали и с помощью воска, клея и даже желатина (на заметку жителям одной стран Африки, где после установки банкомата с функцией дактилоскопии участились случаи нападения на людей, которым отрезали пальцы). К слову, сейчас за рубежом внедряются новые алгоритмы распознавания отпечатка, включающие проверку температуры и пульса, но говорить о беспрецедентной надежности дактилоскопии пока преждевременно.