Безопасность в цифровых каналах. Дополнительная биометрическая аутентификация

Когда мы работаем с Банком в дистанционных каналах – мы совершаем большое количество действий и операций. Среди них есть низко-рисковые, например пополнение мобильного телефона на 100 рублей, а есть высоко-рисковые – решение антифрод системы при проведении платежа, смена личных данных, переводы крупных сумм и пр. Одним из наиболее чувствительных мест является процесс смены мобильного устройства и восстановление доступа к личному кабинету. Не имея физического контакта с пользователем, службе безопасности очень сложно определить кто именно выполняет операцию: клиент или мошенник, получивший всю необходимую информацию, а с ней – и несанкционированный доступ. Перед банками всегда стоит выбор: повысить уровень безопасности, что скорее всего приведет к усложнению клиентского пути или все-таки приоритетной задачей сделать упрощение работы клиента, что конечно же несет за собой большие риски.

На самом деле - помочь решить эту дилемму может дополнительная биометрическая аутентификация. Сперва клиент, находясь в доверенной среде (например перед сотрудником Банка, или пройдя дополнительную верификацию посредством кодовых слов при разговоре с оператором или других данных) предоставляет свои биометрические данные – в первую очередь фотографию своего лица. При этом эталонным примером можно сделать не только фото лица, но и фото в паспорте, который клиент предоставлял при обращении в Банк. Таким образом создается биометрический слепок клиента, который впоследствии помогает защитить от мошеннических атак.

Каждый раз, когда клиент пытается совершить высоко-рисковую операцию, у клиента запрашивается “liveness” на определение живой ли этот человек и фотография для сравнения с эталонными экземплярами биометрических слепков. И теперь каждый раз мы можем проверять клиента на «liveness» и верифицировать его по фото. Это в значительной степени снижает расходы ресурсов. А главное повышает безопасность и улучшает «клиентский путь».

Важно отметить, что некоторые «специалисты» думают, что такой верификации хватает для подтверждения волеизъявления клиента. Это неправда. Биометрическая аутентификация может служить дополнительным фактором, но никак не основным. Ключевым требованием при совершении операций в первую очередь является возможность контроля целостности и авторства подписываемых документов (помечу, что «биометрия» не равно «авторство» в терминологии как технической, так и законодательной). Поэтому выстраивая «подтверждение лицом» с мобильного телефона ни в коем случае нельзя забыть о необходимости проставлять электронную подпись под совершаемым действием.

Так, например, одна компания начала применять биометрические технологии от партнера в платформе мобильной электронной подписи для дополнительной аутентификации пользователей и подтверждения высоко-рисковых операций. Использование интегрированного решения позволяет эффективно противостоять попыткам мошенничества в ДБО, независимо от уровня подготовленности клиентов и используемых ими мобильных устройств!