Что такое биометрические данные: Зачем банки собирают наши биометрические данные?

Что такое биометрические данные: Зачем банки собирают наши биометрические данные?
Май 28 2021
alexxlab

Содержание

Зачем банки собирают наши биометрические данные?

И безопасно ли это?

Летом прошлого года банки начали собирать биометрические данные клиентов и передавать их в Единую биометрическую систему (ЕБС). Разработана она была «Ростелекомом» по инициативе Минкомсвязи и Центрального банка. Необходима система для того, чтобы банки могли предоставлять услуги клиентам дистанционно. Недавно стало известно, что Центробанк планирует обязать банки оказывать услуги при помощи ЕБС.

Эксперты рассказали, как ЕБС упростит нашу жизнь и безопасно ли ее использование.

«Ростелеком»: cотрудника банка мошенник обмануть может, ЕБС – нет

Что такое Единая биометрическая система и зачем она нужна?

Это цифровая платформа, которая является одним из элементов механизма удаленной идентификации (распознавания) человека по его биометрическим характеристикам.

Единая биометрическая система обрабатывает два типа данных – изображение лица и голос. Это позволяет определить живого человека и распознать имитацию его биометрии.

Цель внедрения ЕБС – повышение доступности финансовых услуг, а затем и иных в первую очередь для людей из отдаленных регионов и маломобильных граждан. Для получения услуги не потребуется личное посещение, ее смогут предоставить удаленно, через Интернет.

Сбор и хранение биометрических данных – это безопасно?

При разработке ЕБС были заданы повышенные требования к безопасности и комфорту граждан при дистанционном получении услуг. Биометрия, в отличие от других методов удаленной идентификации, является уникальным «ключом», который нельзя потерять и крайне сложно подделать. Другие способы идентификации недостаточно надежны. Всегда есть вероятность потери и взлома пароля или токена1.

Человека нетрудно обмануть: мошенник может прийти в банк и открыть счет по чужому паспорту.

Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10-7. Это значит, что система распознает человека с вероятностью 99,99%. Более того, используется дополнительная связка с логином и паролем от Портала госуслуг. Поэтому мошеннику гораздо проще явиться в банк и выдать себя за другого человека.

Для обеспечения информационной безопасности реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных человека (Ф.И.О., паспортных данных, СНИЛС и др.), включенных в базы Единой системы идентификации и аутентификации (Портал госуслуг).

Как пользоваться Единой биометрической системой?

Процесс состоит из двух этапов.

1) Регистрация в системе. Необходимо один раз прийти в банк для открытия счета. Сотрудник банка поможет зарегистрироваться на Портале госуслуг, если вы этого еще не сделали. После этого сотрудник «снимет» ваши биометрические данные – сделает фото и запись голоса – и загрузит их в Единую биометрическую систему.

Адреса отделений банков, в которых можно сдать биометрию, доступны на сайте bio.rt.ru. Количество банков, участвующих в проекте, постоянно растет. Среди них Почта Банк, Тинькофф Банк, Банк Хоум Кредит, Альфа-банк, Совкомбанк и др.

2) Удаленная идентификация. После регистрации в ЕБС вы сможете дистанционно получить услуги любого банка, работающего с системой. Для этого нужно ввести логин/пароль Портала госуслуг и произнести сгенерированную системой короткую контрольную фразу, глядя в камеру смартфона или компьютера.

Руководитель департамента развития онлайн-каналов Альфа-банка Дамир Баттулин: возможно оказание всех банковских услуг с применением ЕБС

Альфа-банк производит сбор биометрических данных для ЕБС более чем в 100 отделениях по всей стране.

Одной из основных изначальных задач внедрения Единой биометрической системы было уравнять в части привлечения клиентов возможности банков небольших и с развитой филиальной сетью. Благодаря ЕБС клиенту не нужно будет ехать в отделение интересующей его кредитной организации для получения услуги. Достаточно сдать биометрические данные в ближайшем банке и оформить банковский продукт через Интернет.

Можно говорить о том, что уже сегодня банки имеют возможность оформлять новых клиентов полностью удаленно, посредством ЕБС. И потенциально все банковские услуги могут быть оказаны с применением биометрической идентификации. Но разработка новых продуктов и процессов требует времени. Сейчас этот рынок находится в стадии становления. Пока банки предлагают клиентам самые простые продукты с удаленной идентификацией посредством ЕБС – дебетовые карты и депозиты.

Нужно отметить, что использование ЕБС безопасно, поскольку риски доступа посторонних лиц к биометрическим данным клиентов учитываются всеми участниками системы. Кроме того, ЦБ контролирует соблюдение стандартов информационной безопасности и постоянно их дорабатывает.

Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности: биометрические технологии используют уже и в Африке

Повсеместное внедрение биометрических технологий, которые с каждым годом становятся все совершеннее и доступнее, уже давно перестало быть привилегией экономически развитых стран. Например, в Индии и Киргизии реализуются государственные программы обязательной биометрической регистрации населения, а в банках Нигерии применяют национальную систему биометрической идентификации.

В то же время во многих странах использование технологий биометрической идентификации жестко регламентируется, а иногда и ограничивается. Например, согласно ст. 9 (1) Общего регламента ЕС о защите данных обработка биометрических данных для однозначной идентификации физического лица должна быть запрещена, кроме некоторых случаев, установленных в ст. 9 (2) этого регламента. Схожая норма зафиксирована в ст. 11 российского Закона о персональных данных: за исключением отдельных случаев, биометрические данные человека могут обрабатываться только при наличии его письменного согласия.

Замечу, что в действующем законодательстве закреплены права и свободы субъектов персональных данных. И для их соблюдения использование технологий биометрической идентификации, включая создаваемые и поддерживаемые государством системы, должно строиться на принципах добровольности участия и возможности его прекращения по желанию человека.

Лев Глухов, адвокат, партнер KDS legal: любой способ идентификации личности таит в себе риски

Использование биометрических данных для идентификации человека – неизбежность уже даже не завтрашнего, а сегодняшнего дня. Развитие информационных технологий позволяет внедрять новые способы взаимодействия людей друг с другом, с организациями и государством. И общество должно активно двигаться в этом направлении.

Однако использование биометрических технологий рождает массу вопросов: как и кому собирать данные? Кто будет обеспечивать их защиту? За чей счет?

Сейчас данные собирает МВД России, которое занимается паспортизацией. Роскомнадзор обеспечивает функционирование усиленных квалифицированных электронных подписей, при этом их выдачу осуществляют частные компании. ЦБ РФ начинает курировать работу по созданию единого банка биометрических данных для кредитных организаций. Но цель у них едина – идентификация человека и его волеизъявления. Тяжело судить, создаст ли это разнонаправленное движение проблемы в будущем. Возможно, нужно объединить все способы идентификации под контролем одной государственной структуры.

Что касается рисков использования ЕБС, подобная идентификация, как и любая иная, не требующая личного присутствия человека, таит в себе опасности. Для примера возьмем усиленную квалифицированную электронную подпись. Недавно в прессе появилась информация о случае мошенничества: квартира была продана с использованием скомпрометированной электронной подписи.

Риски имеются в любом способе идентификации личности. Полагаю, в биометрической системе их не больше, чем в существующих.


1 Токен – устройство, которое используется для идентификации его владельца и безопасного удаленного доступа к информационным ресурсам. Это может быть физическое устройство. Часто они оформлены в виде брелоков и предназначены для хранения, например электронной подписи или биометрических данных. Существуют и программные токены, которые выдаются пользователю после авторизации и являются ключом для доступа к той или иной службе. В банковской сфере токены используются для электронного удостоверения личности клиента, получающего доступ к банковскому счету.

Зачем собирают биометрические данные россиян

Многофункциональным центрам (МФЦ) дадут право собирать биометрические данные россиян — фотографии или видеозаписи лиц и образцы голосов. Благодаря этому граждане смогут оформлять справки и выписки, не посещая центры госуслуг лично. Такие планы сейчас вынашивает Министерство экономического развития. Как всё это будет работать, разбиралась «Парламентская газета».

Улыбнитесь, вам дадут справку

Минэкономразвития 11 февраля опубликовало уведомление о разработке законопроекта, но сам документ пока не представлен публике. Так что сейчас известно немного: МФЦ смогут собирать фотографии и запись голоса человека, а затем с их помощью подтверждать его личность, чтобы предоставить какую-либо услугу удалённо. Кроме повышения доступности услуг, это сократит и время их получения, отмечают в Правительстве.

Хранить биометрические данные будут в Единой биометрической системе (ЕБС), а передаваться — по каналам связи, защищённым криптографическими алгоритмами. ЕБС работает с 2018 года, создавалась она при участии Минкомсвязи и Банка России. В этой же системе проводится проверка соответствия голоса и лица человека с «эталонами», которые он сдал для регистрации в системе.

Сейчас этой системой пользуются кредитные организации.
Клиент связывается с банком по телефону или Интернету, произносит проверочные фразы, глядя в камеру смартфона или компьютера. Программа сравнивает видео и голос с образцами и сообщает степень совпадения. Так происходит распознание и подтверждение личности, после чего компания выполняет запрос клиента (совершает перевод, открывает счёт и так далее). Такие возможности сейчас предлагают около десятка банков.

Предположительно, такой же алгоритм будет задействован для удалённого предоставления государственных и муниципальных услуг через МФЦ. Использовать эту возможность или нет — добровольный выбор граждан. Для обработки биометрии центры будут обязаны взять письменное согласие человека. Кстати, это бесплатно.

«Сегодня, чтобы заказать какую-то справку, нужно лично посетить МФЦ. Благодаря нововведению граждане смогут получать удалённо абсолютно разные услуги: оформлять документы и справки, заказывать выписки и так далее», — сказал «Парламентской газете» зампред Комитета Госдумы по информационной политике, информационным технологиям и связи

Андрей Свинцов.

К слову, наличие биометрии в МФЦ может работать и в обратную сторону, допускал ранее экс-глава Комитета Госдумы по информполитике Леонид Левин: «Будет создан цифровой профиль, благодаря которому вы сможете прийти, например, в МФЦ не имея при себе документов, удостоверяющих личность, показать себя и назвать кодовое слово — и этого будет достаточно для получения услуг или справочных документов».

Биометрические данные: что это и как защищено

Закон «О персональных данных» определяет биометрию как сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых его можно идентифицировать.

Кроме голоса и изображения человека, к таким данным относятся отпечатки пальцев и ладоней, радужная оболочка глаз и ДНК. Однако в Единой биометрической системе могут храниться только голос и фото. Также в базе содержатся идентификаторы организации, которая внесла данные, и человека, чьи данные внесены, а также его контакты (номер телефона и адрес электронной почты).

Закон об удаленной биометрической идентификации граждан был принят в 2017 году. В нём прописан алгоритм сбора биометрии и её дальнейшее применение для установления личности клиентов.

Требования к сбору, хранению и обработки информации в ЕБС закреплены в Законе «Об информации, информационных технологиях и о защите информации». Там же определено, что для получения биометрии при удалённой идентификации банк или другая организация должны применять шифровальные (криптографические) средства.

По закону компания не по умолчанию применяет «шифровальщика», то есть человек может отказаться от этого. Если при этом он говорит по смартфону или планшету, то в идентификации ему будет отказано. Если же связь ведётся через персональный компьютер, тогда организация должна предупредить человека о рисках — и если человек настаивает на отказе, то компания идентифицирует его, но эта процедура уже не будет защищена.

Безопасность биометрических и других персональных данных сегодня остаётся главным вопросом, подчёркивает Андрей Свинцов. Ведь наряду с развитием технологий совершенствуются и мошеннические приёмы, отметил он.

Андрей Свинцов. Фото: пресс-служба Государственной Думы

«Поэтому нужно внедрять более сложные системы подтверждения личности. Биометрические данные — это и отпечатки пальцев, и сетчатка глаза, также может быть дополнительная верификация через мобильные приложения, через пароли, через электронную подпись», — полагает парламентарий.

Не стоит пренебрегать многоступенчатой системой доступа, добавил он. Чем больше степеней защиты, тем лучше. «Внедрение всё более защищённых форматов для работы с «электронными версиями» наших органов власти должно синхронизироваться с возможностью этих органов обеспечивать безопасность и достоверность данных», — заключил Свинцов.

Сбербанк собрал биометрические данные миллиона людей

«Мы собираем биометрию вовсю», – рассказал предправления Сбербанка Герман Греф. По его словам, в биометрической базе Сбербанка находятся уже «миллионы» образцов биометрических данных клиентов (точную цифру он не назвал).

Система Сбербанка «в значительно более продвинутой стадии», чем государственная Единая биометрическая система (ЕБС), которую создают ЦБ и «Ростелеком», уверен Греф: в ЕБС сейчас «значительно меньше» образцов. К октябрю биометрию в ЕБС сдало около 2000 человек, говорил представитель «Ростелекома».

Отрыв Сбербанка в биометрической гонке отчасти можно объяснить агрессивными продажами. С января, если биометрических данных нет в системе, обслуживание клиентов будет начинаться с их сдачи, заявил на днях супруге редактора «Ведомостей» менеджер отделения Сбербанка (она передала банку слепок голоса и изображение лица). Это же заявил корреспонденту «Ведомостей» менеджер другого отделения банка. Представитель Сбербанка заверил, что у сотрудников нет KPI по сбору биометрии, а «обслуживание клиентов, не желающих регистрировать биометрические данные, будет проходить привычным образом», но объяснить поведение сотрудников не смог.

ЕБС заработала в конце июня. Она позволит россиянам, сдавшим биометрию в одном банке, удаленно открывать счета, брать кредиты или делать переводы в любом другом. По закону собирать данные в ЕБС обязаны все банки: в 20% отделений – к концу 2018 г. и во всех – к концу следующего.

Греф уверяет, что Сбербанк «вовсю собирает» биометрию и для ЕБС. На вопрос, чем объясняется колоссальный разрыв числа образцов в системе Сбербанка и ЕБС, его представитель ответить не смог. В четверг банк сообщил, что закончил пилотную стадию и начинает сбор данных для государственной системы.

Активно собирать данные в свою систему Сбербанк начал намного раньше, осенью. В своем приложении он анонсировал скорое начало распознавания по лицу в банкоматах, мобильном банке и офисах.

С помощью своей биометрической системы Сбербанк планирует оказывать услуги и сторонним организациям, рассказал Греф на прямой линии с сотрудниками банка. Один из них спросил, смогут ли клиенты Сбербанка подтверждать учетную запись в ПФР, налоговой инспекции, ГИБДД через «Сбербанк онлайн». «Это уже сделано. Называется у нас «Сбер ID», – ответил Греф, добавив, что «Сбер ID» используется в сервисах не только банка, но и партнеров. «Сбер ID» будет работать через биометрическую систему, но не государственную, а ту, которую создает Сбербанк, уточнил Греф: «Сбер ID» в середине 2019 г. будет доступен для всех партнеров Сбербанка, любой клиент-юрлицо сможет подключиться к этой системе.

Быстрое наполнение системы Сбербанка вызывает опасения, говорил менеджер банка из топ-10. По его словам, сложно будет мотивировать людей, однажды сдавших данные Сбербанку, передать их еще раз – теперь для ЕБС, а на нее многие банки возлагают надежды, они вложили в нее много ресурсов.

Количество точек, где клиенты могут сдать данные в ЕБС, пока не так велико, объясняет «постепенность» наполнения базы Елена Медведева из «Хоум кредита». Влияет и то, продолжает она, что пока не так много продуктов и услуг, которые банки предоставляют клиентам с удаленной идентификацией. Спрос на эту услугу есть и будет расти, говорит первый вице-президент Газпромбанка Елена Новоселова. ЕБС будет наполняться быстрее, если с ее помощью можно будет получать не только банковские услуги – например, замену прав, получение документов и выписок без личного визита в МФЦ, каршеринг, перечисляет она.

«Почта банк» не считает, что системы банков помешают ЕБС. Многие банки используют свои биометрические платформы, говорит член правления «Почта банка» Святослав Емельянов, они помогают лучше распознавать клиентов и повысить безопасность: например, предотвратить выдачу кредита или чужого вклада мошенникам. Внутренние платформы банков имеют другие цели по сравнению с ЕБС, с помощью которой человек, не являющийся клиентом банка, может открыть в нем счет, подчеркивает он. По закону удаленно открыть счет можно только с помощью ЕБС и «частные» платформы банков не подходят, заключил он.

Представитель ЦБ на вопросы «Ведомостей» не ответил.

Как защитить биометрические данные пользователей от криминального использования

Биометрия — единственный метод идентификации, который «привязывает» цифровые учетные записи к конкретному человеку. Из-за этих уникальных свойств биометрические данные стали ценным товаром для мошенников.


О том, что могут сделать компании, чтобы защитить биометрические данные своих клиентов и в целом повысить доверие к биометрической идентификации, рассказывает Александр Горшков, директор по развитию Iris Devices (резидента «Сколково»).

Кража биометрических данных

Когда злоумышленники копируют электронный пропуск, подбирают пароль или применяют скимминг пластиковой карты, все эти вещи можно заменить и таким образом предотвратить возможное мошенничество. 

С появлением биометрических технологий процесс идентификации упростился. Но проблема в том, что, в случае кражи, изменить биометрические признаки не получится.  

Первые существенные хищения были выявлены три-четыре года назад:

2016 В Гане похищены биометрические данные избирателей.
2017 Украдены биометрические данные филиппинских избирателей.
У американской компании Avanti Markets, похищены отпечатки пальцев покупателей. Утечка данных из индийской биометрической системы Aadhaar.
2018 В Зимбабве похитили отпечатки пальцев и фотографии избирателей.Компрометация биометрических данных миллиарда граждан Индии.
2019 В открытый доступ попала многомиллионная база отпечатков пальцев из южнокорейской компании Suprema. Похищены записи голоса клиентов Сбербанка.

К сожалению, даже самая лучшая многоуровневая защита от взлома имеет уязвимости, и возникновение подобных инцидентов неизбежно.
 

Как сделать биометрическую идентификацию безопасной

Чтобы исключить или минимизировать возможный ущерб, нужно своевременно выявлять попытки имитации чужой биометрии — обнаруживать подделку в реальном времени и подтверждать или опровергать, что данные представлены истинным обладателем.  

Проверка на живой/неживой с использованием многофакторной идентификации значительно повышает безопасность и делает кражу любого элемента персональных данных несущественной. 

Уже есть концепции, которые объединяют биометрические данные с другими элементами безопасности. Такие решения создают более надежные цифровые учетные записи, и самих по себе украденных биометрических признаков становится недостаточно для совершения противоправных действий. 

Мультиспектральная проверка на живой/неживой

В основе одного из эффективных подходов к обнаружению подделки биометрических признаков лежит мультиспектральная регистрация, что значительно усложняет применение поддельных биометрических данных для идентификации. 

При этом методе сравниваются невидимые в обычных условиях оптические характеристики исследуемого материала с известными характеристиками живого объекта. Используются несколько источников света различных спектров для получения информации с поверхности и из глубины живой ткани, вплоть до капиллярных сосудов. 

Для своевременного реагирования применяются нейросетевые алгоритмы машинного зрения, которые можно оперативно адаптировать при выявлении новых типов угроз и подделок.

Многофакторная идентификация

Обеспечить качественную и надежную идентификацию пользователей можно, реализовав многофакторное решение, когда регистрируются несколько биометрических и не биометрических признаков личности.

Строгая идентификация с помощью двух или более факторов принципиально безопасней.

Важно использовать сочетание нескольких надежных способов идентификации, чтобы пользователь сам мог выбрать наиболее приемлемые и удобные для него.

Отменяемая биометрия

Мы не можем изменить свои биометрические данные, но можем поменять алгоритм хранения и работы с ними. Для этого разрабатываются специальные решения под общим названием «отменяемая биометрия». 

Эта технология основана на преднамеренном повторяемом искажении биометрических данных на основе предварительно выбранного преобразования. Биометрический сигнал одинаково искажается как при регистрации, так и при каждой идентификации.

Такой подход позволяет использовать для каждой записи свой метод, что препятствует перекрестному сопоставлению. 

Кроме того, если экземпляр преобразованной биометрии скомпрометирован, достаточно изменить алгоритм конвертации, чтобы сгенерировать новый вариант для повторной регистрации. 

Для обеспечения безопасности используются необратимые функции. Таким образом, даже если алгоритм конвертирования известен и имеются преобразованные биометрические данные, то восстановить по ним исходную (не искаженную) биометрию не получится.

Преобразования могут применяться как в области сигнала, так и в области признаков. То есть либо биометрический сигнал преобразуется непосредственно после его получения, либо обрабатывается обычным образом, после чего преобразуются извлеченные признаки. 

Алгоритм преобразования допускает расширение шаблона, что позволяет увеличить надежность системы.

Примеры преобразований на уровне сигнала включают в себя морфизацию сеткиили перестановку блоков. Измененное изображение не может быть успешно сопоставлено с исходным образом или с аналогичными изображениями, полученных с другими параметрами преобразования.

Преобразование изображения на основе морфинга изображения. 

Источник: «Enhancing Security and Privacy in Biometrics-Based Authentication Systems» by N. K. Ratha, J. H. Connell, R. M. Bolle


На рисунке представлена оригинальная фотография с наложенной сеткой, выровненной по лицевым признакам. Рядом с ней — фотография с измененной сеткой и результирующее искажение лица.  


Преобразование изображения на основе скремблирования блоков

Источник: «Enhancing Security and Privacy in Biometrics-Based Authentication Systems» by N. K. Ratha, J. H. Connell, R. M. Bolle

На рисунке на модель нанесена блочная структура, выровненная по характерным точкам. Полученные блоки затем скремблируются случайным, но повторяемым образом.

Разработаны решения, генерирующие стабильный и повторяемый биометрический код для создания так называемого истинного биометрического хеширования. Алгоритм позволяет генерировать стабильный биометрический код при различных условиях окружающей среды и естественного шума датчиков во время биометрического сканирования. Это ограничивает ошибки регистрации. В результате система работает с высокой производительностью и надежностью. 

Энтропия, генерируемая системой, ограничивает риски появления разных людей с некоторыми сходствами и создание одинаковых стабильных кодов.

Таким образом, использование только стабильных битов из биометрического сканирования создает стабильный код, который не требует сохраненный биометрический шаблон для аутентификации. 

Процесс регистрации выглядит так:

  • Биометрическое сканирование захватывает изображение;
  • Алгоритм извлекает из изображения стабильные и воспроизводимые векторы;
  • Генерируется открытый и закрытый код. Закрытый код хешируется;
  • Симметричные или асимметричные криптографические ключи выдаются из сгенерированного биометрического хэш-кода;
  • В случае асимметричных криптографических ключей — открытый ключ сохраняется, закрытый ключ стирается из системы. Никаких биометрических данных не хранится ни в одном случае.


Верификация осуществляется следующим образом:

  • Биометрическое сканирование захватывает изображение;
  • Алгоритм извлекает те же стабильные функции, что и при регистрации;
  • Публичный код сообщит системе «где находятся функции» для поиска частного кода;
  • Создается один и тот же закрытый код, для аутентификации выдаются одни и те же хэш и криптографические ключи.


Блок-схема с симметричными криптографическими ключами


Блок-схема с асимметричными криптографическими ключами


Чтобы преобразование было повторяемым, перед его началом биометрический сигнал должен быть надлежащим образом зарегистрирован. Эта проблема частично решена с помощью ряда методов, описанных в научной литературе.


Как достичь максимума и обеспечить доверие к биометрической идентификации

К сожалению, необходимо принять тот факт, что любые персональные данные, в том числе и биометрические, не могут быть полностью защищены от хищения.

Максимум, что можно сделать — это проектировать системы, которые обесценивают украденные данные.

Ряд биометрических характеристик являются публичными. Например, наше лицо можно сфотографировать, а голос — записать на диктофон. Для обеспечения доверия пользователей к биометрической идентификации необходимо обеспечить надежность и безопасность используемых систем за счет:

  • Шифрования данных на биометрических терминалах для защиты от взлома;
  • Биометрической идентификации в режиме реального времени с проверкой на живой/неживой;
  • Использования мультиспектральных и мультимодальных решений;
  • Быстрой адаптации алгоритмов к появлению новых уязвимостей;
  • Применения алгоритмов, которые обесценивают украденные биометрические данные.

Чтобы отношение пользователей к системам биометрической идентификации стало доверительным, лучше предлагать  решения, в которых для подтверждения личности надо, например, посмотреть непосредственно в объектив камеры или на определенную метку. Это устранит опасения на счет скрытой слежки и несанкционированного контроля.

   

Источник: rb.ru

Биометрия в Сбербанке — что это такое, можно ли отказаться, отзывы

В 2019 году большая часть российских банков, лидирующие позиции в которых занимает Сбербанк, заложили основы сбора биометрических данных граждан. Основная цель внедрения системы цифровой идентификации — оказывать большинство банковских услуг дистанционно. Рассмотрим преимущество новой технологии и рассеем безосновательные опасения граждан.

Содержание

Скрыть
  1. Что такое биометрические данные?
    1. Зачем Сбербанк собирает биометрические данные?
      1. Какие данные собирает Сбербанк?
        1. Как отказаться от биометрии в Сбербанке?
          1. Прохождение биометрии
            1. Как использовать биометрию?
              1. Безопасность передачи данных

                  Что такое биометрические данные?

                  Биометрические данные включают в себя любые параметры человека, выраженные в абсолютных значениях. Данные могут быть:

                  • уникальными, то есть полученными с рождения, такими как отпечаток пальца, радужная оболочка глаза, молекула ДНК, рисунок вен ладони;
                  • динамическими, то есть приобретенными и меняющимися в течение жизни, такими как слепок лица и голоса, почерк, походка.

                  Биометрические данные — уникальные характеристики особенности внешности человека, позволяющие безошибочно установить личность.

                  Уже в скором времени привычно будет, пользуясь услугами Сбербанка, идентифицироваться в различных системах не с помощью бумажной фотографии и паспорта. А с использованием электронного снимка высокого качества и уникальных характеристик голоса.

                  Зачем Сбербанк собирает биометрические данные?

                  С 2018 года Сбербанк все больше уходит в цифру, начав сбор биометрических данных. Биометрия в Сбербанке позволит клиентам получать доступ к большему количеству банковских услуг дистанционно. Цифровая идентификация выгодна как банку, так и пользователям:

                  • для банков — это прежде всего снижение издержек и возможность предоставлять услуги удаленно;
                  • для клиентов — это возможность получать услуги удаленно после первичной идентификации в одном из офисов любого банка.

                  При этом, при удаленном получении услуг особенно это актуально для жителей страны, которые живут в труднодоступных местах и в малонаселенных пунктах.

                  До 1 июля 2019 года каждый первый счет в каждом новом банке необходимо было открывать с помощью очной явки. Теперь достаточно однократно явившись в отделение:

                  • сделать фото;
                  • записать голос, — чтобы все отставшее время взаимодействовать с банком удаленно.


                  К слову сказать, Тинькофф Банк с 2011 года собирает биометрические данные:

                  • голосовые данные через сотрудников колл-центра, принимающих телефонные звонки от клиентов;
                  • базу фотографий через курьерскую службу, доставляющую банковские продукты.

                  Требования к качеству информации, которая будет использоваться в Сбербанке более жесткие:

                  • голос в отличие от стандартного процесса, когда представители Тинькофф банка отцифровывали телефонный трафик, здесь записывается с помощью микрофона;
                  • изображение лица проверяется по множеству заданных параметров;
                  • применяется двойная идентификация.

                  Главное преимущество для клиента — удобство обслуживания в банках, которое сводится к общению по телефону. Кроме того, так как банк снижает затраты, то можно надеяться на снижение кредитных ставок и увеличение депозитных ставок.

                  В настоящее время при звонке в контактный центр, оператор запрашивает паспортные и личные данные, кодовое слово. Иногда люди опасаются в телефонном разговоре передавать собственные данные. Кроме того, эта процедура передачи данных занимает много времени. К тому же можно допустить ошибку. 

                  Благодаря биометрии, система мгновенно распознает по голосу и безошибочно идентифицирует клиента. Даже если голос изменился в результате болезни, индивидуальный тембр сохранится. Если система не распознает голос, то:

                  • включится “модуль аномалий”, блокирующий мошенников;
                  • идентификация будет происходить по стандартной схеме.

                  Какие данные собирает Сбербанк?

                  Центральный Банк РФ разработал законопроект, согласно которому российским банкам рекомендовано собирать биометрические данные россиян и вносить в Единую Биометрическую Систему (ЕБС), доступную всем кредитным организациям. Прежде всего:

                  • изображение лица;
                  • голосовые слепки.

                  Фотография производится по особой технологии — делается фотографический объемный слепок лица для безошибочной идентификации при личном обращении в банк.


                  Запись голоса производится при помощи микрофона. Все данные обрабатываются в высокотехнологичных программах.

                  Идентифицировать личность будет техника, а человек исключается из системы распознавания. Используют именно голос и изображение лица, потому что их при установлении личности посредством удаленных сервисов:

                  • подделать сложнее;
                  • использоваться легче.

                  Следует знать, что биометрию в любое время можно пересдать. Эксперты даже рекомендуют обновлять свою запись в базе данных с периодичностью один раз в три года.

                  Как отказаться от биометрии в Сбербанке?

                  После того как представитель Сбербанка разъясняет особенности системы, клиент дает добровольное согласие на предоставление собственных биометрических данных.

                  Отказаться от предоставления биометрических данных можно:

                  • на начальном этапе никаким образом, не обосновывая собственный отказ;
                  • после того как согласие было дано.

                  Потребуется выбрать любой способ:

                  • написать заявление в отделении и отозвать согласие на биометрию;
                  • отправить онлайн-заявку через личный кабинет на сайте Госуслуги.

                  Прохождение биометрии

                  Пройти биометрию можно при личном посещении банка или используя банкомат. Порядок, следующий:

                  • Гражданин, являющийся клиентом, предъявляет паспорт гражданина РФ и карту, эмитированную Сбербанком.
                  • Подача заявления происходит через сервис Госуслуги, поэтому потребуется открыть личный аккаунт на сайте Госуслуги.
                  • Клиент дает согласие на сбор биометрических данных, подписывая собственноручно распечатанный документ или используя платежную карту.
                  • Начинается сбор биометрии:
                  • делается фотография в формате паспорта;
                  • записывается голос, для чего произносятся вслух цифры от 0 до 9, от 9 до 0, а также в случайном порядке.
                  • Клиент получает уведомление в СМС о том, что:
                  • данные внесены в единую биометрическую систему;
                  • получает право обслуживаться дистанционно.

                  По отзывам тех, кто уже прошел процедуру биометрии, процесс сдачи может занять значительное количество времени в связи с тем, что техника может подвести.

                  Как использовать биометрию?

                  После того как в системе ЕБС будет создана учетная запись, привязанная к паспорту, клиент может получать удаленный доступ к банковским услугам, притом не только в Сбербанке, но и в других кредитных учреждениях — участниках системы.

                  При звонке в колл-центр не нужно будет передавать какие-либо данные, сразу после произнесения первого слова, система распознает голос клиента и поприветствует его, назвав по имени и отчеству.

                  При желании получить кредит или открыть вклад дистанционно, потребуется:

                  • Указать логин и пароль, полученный при регистрации в единой системе идентификации и аутентификации.
                  • Показать в камеру лицо.
                  • Назвать кодовое слово.
                  • Дождаться результатов идентификации.
                  • Оформить требуемый банковский продукт.

                  Безопасность передачи данных

                  Вопрос безопасности является для большинства пользователей ключевым. Но специалисты уверяют, что биометрические технологии сами по себе во много раз надежнее, чем действующие способы идентификации личности. Ведь, обмануть компьютер гораздо сложнее, чем человека — это проверено на практике.

                  К тому же разработчики программы учитывают все нюансы и возможные проблемы, и стремятся свести их к минимуму:

                  • записывают биометрию без привязки к персональным данным;
                  • голос и слепок лица проверяются одновременно по множеству параметров.

                  Биометрия в Сбербанке — это первый этап. Надо быть готовым к внедрению биометрической технологии в такие сферы, как медицина, образование, страхование, торговля.

                  Откройте для себя наши биометрические предложения

                  IDEMIA предлагает широкий спектр биометрических решений использует такие технологии, как распознавание отпечатков пальцев , мультимодальное распознавание , объединяющее отпечатки пальцев и узоры вен, распознавание лица и распознавание радужной оболочки глаза .Он отражает наш непревзойденный опыт в области биометрии, накопленный за долгие годы предоставления решений для многих различных секторов.

                  IDEMIA предлагает различные биометрические решения и компоненты, включая портативные терминалы, датчики, программное обеспечение, мобильные приложения и автоматизированные шлюзы управления. Практически все эти продукты предназначены для сбора, хранения и обработки (путем сравнения данных) биометрической информации, а также для получения результата или санкционирования действия.

                  Что такое биометрия? | UpGuard

                  Биометрия — это технический термин, обозначающий измерения и расчеты тела, а также характеристики человека.Биометрическая аутентификация — это форма идентификации и контроля доступа.

                  Поскольку биометрические идентификаторы уникальны для отдельных людей, они считаются более надежными для проверки личности, чем традиционные системы идентификации на основе токенов, такие как паспорт, а также системы идентификации, основанные на знаниях, такие как пароль. Однако есть проблемы с конфиденциальностью и другие недостатки использования биометрии.

                  Для чего используются биометрические данные?

                  Биометрические данные используются для идентификации или аутентификации человека по физическим характеристикам.Использование биометрии зависит от уникальности, постоянства и собираемости конкретного измеряемого признака, например отпечаток пальца.

                  После измерения признака оперативную информацию можно сравнить и сопоставить с биометрической базой данных.

                  Обычно системы биометрической идентификации используют:

                  • Правоохранительные органы: Отпечаток пальца, отпечаток ладони и распознавание лиц.
                  • Пограничный контроль: В электронных паспортах используются функции распознавания отпечатков пальцев, лица, радужной оболочки глаза или голоса.
                  • Здравоохранение: Национальные удостоверения личности для программ удостоверения личности и медицинского страхования используют отпечатки пальцев для идентификации.
                  • Компании, выпускающие кредитные карты: Компании, выпускающие кредитные карты, могут использовать распознавание голоса, чтобы определить, является ли человек по телефону тем, кем они себя называют.

                  Индийская программа Unique ID Authority of India Aadhaar является одним из примеров того, как страна широко использует биометрическую идентификацию. Это многоступенчатая программа биометрической аутентификации, которая включает сканирование радужной оболочки глаза, отпечатки пальцев и распознавание лиц.После регистрации биометрические данные привязываются к смарт-карте, которая выдается каждому из 1,2 миллиарда жителей Индии.

                  Как работает биометрия?

                  Если вы когда-либо использовали технологию распознавания лиц для разблокировки Apple iPhone, вы использовали биометрическую аутентификацию. Apple записывает вашу биометрическую информацию, в данном случае ваше лицо, и сохраняет ее на вашем телефоне в качестве биометрического шаблона, а затем сравнивает ее с текущей информацией каждый раз, когда вы разблокируете свой телефон.

                  Перед использованием биометрических систем необходимо зарегистрировать человека. В процессе регистрации собираются измерения признака и сохраняются в базе данных в виде биометрического шаблона. Затем шаблон сравнивается с живыми биометрическими данными при последующем использовании. Когда вы получаете новый iPhone и добавляете свое лицо в FaceID, вы выполняете процесс регистрации.

                  После регистрации биометрические системы, как правило, работают в одном из двух режимов:

                  1. Биометрическая аутентификация: Однозначное сравнение захваченных биометрических данных с биометрическим шаблоном человека для подтверждения того, что это лицо является тем лицом, на которого они претендуют быть.Это похоже на вход в учетную запись с именем пользователя и паролем.
                  2. Биометрическая идентификация: Схема сравнения «один ко многим» для идентификации неизвестного человека. Если система может сопоставить биометрический образец с сохраненным шаблоном в пределах допустимого порога, личность идентифицируется. Примером биометрической идентификации является использование шаблона набора злоумышленником или IP-атрибуции в рамках цифровой криминалистики.

                  Чтобы биометрическая система считалась надежной, крайне важно обеспечить безопасность хранения и поиска.

                  Насколько распространены биометрические технологии?

                  Биометрическая аутентификация и идентификация все чаще используются в системах безопасности, бытовой электронике и приложениях для точек продаж.

                  Этому способствуют две вещи: безопасность и удобство. Благодаря биометрии не нужно запоминать пароли и терять токены безопасности. Однако, если биометрические данные скомпрометированы, их невозможно изменить, в отличие от пароля.

                  Что можно использовать для биометрии?

                  Существует множество различных аспектов физиологии, химии или поведения, которые можно использовать в качестве биометрических данных.Выбор биометрических данных должен учитывать следующие семь факторов:

                  1. Универсальность: Каждый, кто пользуется системой, обладает данной чертой?
                  2. Уникальность: Достаточно ли различаются ли признаки у людей в соответствующей популяции, чтобы их можно было отличить друг от друга?
                  3. Постоянство: Меняется ли характеристика со временем?
                  4. Измеримость: Насколько легко получить или измерить признак?
                  5. Производительность: Насколько точна, быстра и надежна используемая технология?
                  6. Приемлемость: Насколько хорошо люди из соответствующей группы населения примут технологию и свои биометрические данные, которые собираются и оцениваются?
                  7. Обход: Насколько легко подделать черту артефактом или заменителем?

                  Тем не менее, правильное биометрическое использование очень зависит от приложения.То, что может быть приемлемым риском для телефона потребителя, может быть неприемлемым для Министерства внутренней безопасности США или полиции Нью-Йорка.

                  Типы биометрии

                  Биометрические идентификаторы подразделяются на физиологические характеристики и поведенческие характеристики:

                  • Физиологические характеристики: относятся к форме тела.
                  • Поведенческие характеристики: относятся к поведению человека.

                  Примеры физиологических характеристик:

                  • Отпечатки пальцев: Сканеры отпечатков пальцев стали повсеместными в последние годы благодаря широкому распространению на смартфонах.
                  • Сканирование радужной оболочки глаза: Форму глаза человека можно использовать в качестве биометрических данных.
                  • ДНК: ДНК в основном используется правоохранительными органами для идентификации подозреваемых.
                  • Образцы вен: Образцы вен можно использовать для сканирования отпечатков пальцев или радужной оболочки глаза.
                  • Геометрия руки: Некоторые биометрические системы безопасности используют геометрию руки для идентификации человека.
                  • Отпечаток ладони: Отпечатки ладони, как и отпечатки пальцев, можно использовать как часть системы безопасности.
                  • Лицо: Технология распознавания лиц часто используется для пограничного контроля.
                  • Подпись: Сканеры цифровой подписи используются на кассах и в банках.
                  • Voice: Измеряет уникальные звуковые волны в вашем голосе, когда вы разговариваете с устройством.

                  Примеры поведенческих характеристик:

                  • Образец набора: У каждого свой стиль набора текста, который может включать скорость набора текста и время, необходимое для перехода от одной буквы к другой.
                  • Физические движения: Походка человека может использоваться для идентификации неавторизованного человека в здании, добавляя второй уровень аутентификации для особо уязвимых мест.
                  • Шаблоны навигации: Движения мыши и использование трекпада уникальны для отдельных людей и относительно легко распознаются с помощью программного обеспечения.
                  • Шаблоны взаимодействия: То, как вы открываете приложения, насколько низкий уровень заряда батареи, как часто вы берете телефон, — все это потенциально уникальные идентификаторы.

                  Насколько надежны биометрия?

                  Биометрические измерения основаны на статистических алгоритмах, поэтому они не могут быть надежными на 100% при использовании в одиночку. Это побудило многие организации использовать биометрию как часть своей стратегии глубокой защиты.

                  Где пользователю нужно что-то знать (пароль), иметь что-то (код двухфакторной аутентификации) и быть чем-то (отпечаток пальца). Если у пользователя отсутствует какая-либо из этих трех частей информации, он не сможет войти в систему.

                  И хотя биометрические данные сложнее украсть, отпечатки пальцев или голосовые записи могут быть украдены с устройств, серверов или программного обеспечения, которое анализирует их.

                  Также существует вероятность ложных срабатываний и ложных отрицаний:

                  • Ложные срабатывания: Биометрические системы принимают биометрические данные, несмотря на то, что они поддельные. Например, считыватель отпечатков пальцев может подтвердить отпечаток пальца, снятый со стекла, в качестве ложного срабатывания.
                  • Ложноотрицательные: Биометрические системы отклоняют биометрические данные, несмотря на то, что они исходят от одного и того же человека.

                  Что такое мультимодальная биометрическая система?

                  Мультимодальные биометрические системы используют несколько датчиков или биометрию для преодоления ограничений одномодальных (одна точка биометрических данных) систем.

                  Например, системы распознавания радужной оболочки глаза могут быть повреждены из-за старения радужной оболочки глаза, а электронное распознавание отпечатков пальцев может ухудшиться из-за износа отпечатков пальцев.

                  В отличие от одномодальных систем, мультимодальные системы не ограничиваются целостностью одного идентификатора, и маловероятно, что ограничения будут накладываться на несколько идентификаторов одновременно.

                  Мультимодальные системы могут использовать один и тот же маркер (например, несколько сканирований радужной оболочки глаза) или информацию из разных биометрических данных (например,грамм. отпечаток пальца, сканирование радужной оболочки глаза и распознавание голоса).

                  Безопасна ли биометрия?

                  Когда дело доходит до биометрических данных, существуют серьезные проблемы с безопасностью:

                  • Сбор биометрических данных представляет собой огромный риск для кибербезопасности. Это связано с тем, что биометрические данные представляют собой информацию, позволяющую установить личность (PII), которая может быть украдена при утечке данных или случайно раскрыта при утечке данных. Хранение биометрических данных представляет собой киберриск, потому что это привлекательная цель для потенциальных злоумышленников, которые могут продавать их в темной сети для кражи личных данных или использовать в рамках кибератак или корпоративного шпионажа.Хорошая новость заключается в том, что большая часть личных данных или личной информации, как правило, находится в центре внимания групп информационной безопасности. Однако по мере того, как биометрия становится все более распространенной, вполне вероятно, что она станет доступной в большем количестве мест (например, у сторонних поставщиков), которые могут не обеспечивать такой же уровень безопасности.
                  • По мере того, как биометрия становится все более обычным явлением, люди будут больше полагаться на нее, а не на более разумные меры безопасности.
                  • Биометрические данные нельзя изменить, что делает их более уязвимыми, чем другие методы аутентификации.Как только отпечаток пальца скомпрометирован, вы не сможете его изменить.
                  • Некоторые биометрические данные могут дублироваться, например, преступник может снять отпечаток пальца со стекла.
                  • Не существует единого закона, который предписывает, как следует хранить биометрические данные и что считать личным. Это означает, что ваши права могут отличаться от страны к стране и даже от штата к штату.
                  • Сторонние поставщики и их поставщики могут иметь доступ к биометрическим данным и не иметь надлежащих методов обеспечения безопасности.Это известно как риск третьей стороны и риск четвертой стороны. Неизменность биометрических данных означает, что управление рисками поставщиков, структура управления рисками сторонних производителей, политика информационной безопасности, политика управления поставщиками и оценка рисков кибербезопасности более важны, когда вы или ваши поставщики обрабатываете биометрические данные. Рассмотрите возможность автоматизации управления рисками поставщиков и поиска поставщиков с помощью SOC 2.

                  Как защитить биометрические данные

                  Существуют распространенные способы защиты биометрических данных, в том числе:

                  Каковы преимущества биометрии?

                  К преимуществам биометрии относятся:

                  • Трудно подделать или украсть, в отличие от методов аутентификации, основанных на знаниях или токенах.
                  • Универсальный и встречается у всех людей.
                  • Уникальный, позволяющий различать людей.
                  • Измеримый, допускающий изменения с течением времени.
                  • Проста в использовании и удобна.
                  • Немногое в жизни человека.
                  • Не подлежит передаче.
                  • Биометрические шаблоны не занимают много места.

                  Каковы недостатки биометрии?

                  К недостаткам биометрии можно отнести:

                  • Биометрические системы дороги в установке и обслуживании.
                  • Если биометрические данные записаны не полностью, они могут не идентифицировать или аутентифицировать пользователя.
                  • Базы данных, содержащие биометрические данные, могут быть взломаны, что приведет к утечке информации, позволяющей установить личность (PII), и конфиденциальных данных. Цена взлома данных никогда не была выше при оценке средней общей стоимости в 3,92 миллиона долларов. Практически невозможно узнать, куда пропали данные после того, как они были раскрыты, поэтому так важно предотвратить утечки данных. Фактически, одна из крупнейших утечек данных была связана с Aadhaar и раскрыла 1.Биометрические данные 1 миллиарда человек.
                  • Ошибки могут вызывать ложное принятие.
                  • Если пользователь травмирован или поврежден, биометрическая аутентификация может не работать, например датчик отпечатков пальцев не будет работать, если вы потеряете палец.
                  • Многие страны, включая США, планируют поделиться биометрическими данными с другими странами.

                  Как UpGuard может предотвратить утечку собственных и сторонних данных

                  Нет никаких сомнений в том, что кибербезопасность важнее, чем когда-либо прежде.Вот почему такие компании, как Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar и NASA используют UpGuard для защиты своих данных и предотвращения утечки данных.

                  Мы являемся экспертами в области утечки данных. Фактически, наши исследования утечки данных были опубликованы в New York Times, Bloomberg, Washington Post, Forbes, Reuters и Techcrunch.

                  UpGuard BreachSight может помочь бороться с типосквоттингом, предотвращать утечки и утечки данных, избегать штрафов со стороны регулирующих органов и защищать доверие ваших клиентов с помощью рейтингов кибербезопасности и постоянного обнаружения уязвимостей.

                  UpGuard Vendor Risk может свести к минимуму время, которое ваша организация тратит на управление отношениями с третьими сторонами, за счет автоматизации анкетирования поставщиков и постоянного мониторинга состояния безопасности ваших поставщиков с течением времени, сравнивая их с отраслью.

                  Каждый поставщик оценивается по более чем 50 критериям, таким как наличие SSL и DNSSEC, а также риск взлома домена, атаки типа «злоумышленник в середине» и подмена электронной почты для фишинга.

                  Каждый день наша платформа присваивает вашим поставщикам рейтинг кибербезопасности из 950 баллов.Мы даже можем предупредить вас, если их счет упадет.

                  Забронируйте демо сегодня.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *