Аршином общим как измерить

Летом 2018 года должна заработать Единая Биометрическая Система (ЕБС), обязательная для использования банками. Как именно банки будут идентифицировать клиентов и насколько этот процесс упростит взаимодействие с ними клиентов, подробно анализируют эксперты Центра технологических изменений и инноваций банка «Открытие».

Единая Биометрическая Система — это логичное продолжение уже работающей Единой Системы Идентификации и Аутентификации (ЕСИА), предоставляющее те же функции, но с большей достоверностью (про интеграцию различных систем с ЕСИА можно прочитать, например, здесь).

С июля 2018 года банки будут дистанционно предоставлять пользователям, прошедшим биометрическую верификацию, услуги по открытию текущих счетов и вкладов, выдаче кредитов, осуществлению переводов и платежей.

То есть теперь, дистанционно авторизовавшись, можно будет можно не только оплатить штраф ГИБДД, но и взять потребительский или ипотечный кредит.

Технически ЕБС — это платформа, войти в которую можно через дистанционные каналы банка (мобильный или интернет-банк). Пользователь вводит логин и пароль ЕСИА, а также делает видеозапись лица и аудиозапись голоса.

Эти данные после проверки и предварительной обработки (например, из видео выделяется самый удачный кадр) передаются в ЕБС. В ответ приходит процент совпадения биометрических образцов с шаблоном, закреплённым за учётной записью ЕСИА. Из неё же система берёт паспортные данные и, при получении подтверждения от ЕБС передаёт их банку.

Упрощённая схема обмена данными между ЕСИА, ЕБМ и ИС банка

Звучит просто. Но для того чтобы проверить биометрические данные, их надо сначала собрать, а для этого требуется выполнение следующих требований:

  • Биометрические слепки должны сниматься в особых условиях, а именно — в банке, аккредитованном Банком России. Первоначальная идентификация сотрудниками банка должна позволить защититься от мошенников или недобросовестных пользователей.

  • Банк может снять слепки лица и голоса только у своего клиента. Впрочем, никто не запрещает стать клиентом только для этой операции.

  • Требуется провести идентификацию в системе ЕСИА для соотнесения полученных биометрических слепков с уже имеющимися персональными данными человека.

  • Собранный фото- и аудиоматериал должен отвечать длинному перечню технических требований, а также пройти проверку специальной библиотекой контроля качества. Она гарантирует, что полученные слепки могут быть использованы для создания эталонного шаблона.

Требования к качеству фотографий и аудиозаписей прописаны самым подробным образом (см. врезки №1 и №2) и весьма высоки. Так, при реализации проекта «Открытия» по получению клиентами переводов после распознавания системой банка их лица наши сотрудники столкнулись с тем, что каждая четвёртая фотография непригодна для идентификации пользователей. Это было связано с двумя ключевыми факторами.

Врезка №1

Фотография, полученная в результате биометрической идентификации, должна соответствовать следующим требованиям:

  • расстояние между центрами глаз не менее 120 пикселей;
  • поворот и наклон головы должны быть не более 5 градусов от фронтального положения;
  • допустимые отклонения изображения лица от фронтального ракурса не более 8 градусов;
  • лицо должно быть равномерно освещено;
  • не допускается наличие световых артефактов или отражения вспышки от очков;
  • лицо полностью видимо, без элементов маскировки;
  • разрешение изображения не менее 640 на 480 пикселей (цветное);
  • нейтральное выражение лиц (отсутствие явной мимики, оба глаза открыты, рот закрыт);
  • должен быть изображен только один человек, наличие других людей в кадре не допускается;
  • фон должен: быть однородным и не должен содержать текстуры с прямыми или кривыми линиями, которые могут внести искажения в результаты автоматического обнаружения лица; иметь однородную цветовую палитру или быть одноцветным, с последовательным изменением яркости от светлой к темной только в одном направлении (рекомендуемый цвет фона — серый, светло-голубой, белый, кремовый);
  • граница между головой и фоном должна чётко прослеживаться (исключение составляет очень большой объём волос);
  • не должно быть теней, видимых на заднем плане изображения лица.

Врезка №2

Аудиозапись должна соответствовать следующим требованиям:

  • отношение сигнал-шум для звука не менее 15дБ;
  • глубина квантования не менее 16 бит;
  • частота дискретизации не менее 16 кГц;
  • контейнер/формат: RIFF (WAV);
  • код сжатия (Compression Code): PCM/uncompressed (0x0001);
  • количество каналов в записи голоса: 1 (моно-режим) канал;
  • длительность записи голоса для текстозависимого алгоритма распознавания по голосу зависит от размера используемого словаря;
  • не допускается использовать шумоподавление;
  • на записи должен присутствовать голос одного человека;
  • запрещено получение БКШ путем перекодирования фонограмм, записанных с помощью технических средств телефонной сети общего пользования (ТфОП).

Во-первых, большинство веб-камер на рабочих местах сотрудников в банковских отделениях выдают картинку разрешением лишь 352 на 288 пикселей.

Во-вторых, планировка офисов не учитывает требования по освещённости и уровню шума.

Очевидно, что запуск ЕСБ требует серьёзных затрат на переоснащение рабочих мест, так как не любая веб-камера позволит сотруднику сделать снимок необходимого качества, да и не всякое рабочее место отвечает требованиям по освещённости.

Для примера приведём одну из фотографий, которая была отбракована. Расстояние между центрами глаз — 25 пикселей, размер фотографии – 352 на 258. Фон неоднородный, содержит прямые и кривые линии, несколько доминирующих цветов палитры, а также имеет отражение лица
А вот для сравнения фотография, которая отвечает всем требованиям

Для повышения качества распознавания нужно использовать профессиональное оборудование, звук записывать в безэховой камере, а видео снимать в фотостудии — но в то же время оснащение банковских отделений подобными новшествами вряд ли окупится.

Поэтому банкам в ближайшее время потребуется самостоятельно определить, в каких частях отделений и какое оборудование разместить, чтобы полученные биометрические слепки были пригодными для использования, а затраты на изменение не свели на нет будущую прибыль.

Кому нужна ЕБС

Если смотреть глобально, то ЕБС нужна и банкам, и экономически активным людям. Например, она может стать подспорьем для представителей микро- и малого бизнеса — особенно для людей, которые занимаются предпринимательской деятельностью в значительном удалении от городов.

Например, человеку, занимающемуся фермерством, владельцу удалённой турбазы. Впрочем, и городскому жителю найдётся польза от этой системы — с отсутствием необходимости лично ходить в офис можно будет выгоднее пользоваться банковскими услугами, не ограничивая свой выбор географическим присутствием. Например, представим себе такую ситуацию:

  • в Санкт-Петербурге учится студент Василий, которому предстоит стажировка в одном из китайских вузов;

  • в Москве есть офис банка К, предоставляющий самые выгодные условия по конвертации рубля в юань и переводам из России в КНР;

  • путешествие из Санкт-Петербурга в Москву стоит денег и крайне неудобно для студента, собирающегося лететь в Китай самолётами авиакомпаний-лоукостеров с пересадками в Европе.

С внедрением ЕБС Василий сможет открыть счёт и обменять рубли на юани, не приезжая лично в банк К, экономя время и деньги.

Другой пример — в Калининграде местный банк в честь своего десятилетнего юбилея предлагает открыть вклад под 10% годовых. Благодаря удалённой идентификации любой житель нашей страны сможет воспользоваться условиями данной акции.

Сравнительно небольшие банки смогут значительно расширить свою клиентскую базу, предлагая индивидуальные продукты и оказывая не банковские услуги, ориентируясь на целевые сегменты потенциальных клиентов без увеличения филиальной сети.

Например, «Банк для начинающих финансистов», предлагающий при открытии вклада подарочную подписку на профильные издания или «Дайв-банк» с повышенным кэшбеком на снаряжение для подводного плавания и клубной скидкой на услуги дайв-клубов. Вдобавок, это стимулирует развитие цифровых банков, которые за счёт использования достижений в сфере финтеха будут предлагать уникальные услуги, привлекательные для розничных клиентов.

С другой стороны, крупные банки смогут заработать за счёт использования эмитированных ими биометрических слепков названными выше банками. Появится возможность привлечь новых клиентов из сегмента малого и среднего бизнеса, которые раньше были вынуждены пользоваться услугами локальных кредитных организаций.

ЕБС определённо пойдёт на пользу банковской сфере. По мере увеличения числа людей, записавших свои биометрические слепки в ЕБС, будет расти и банковская конкуренция в области дистанционного банковского обслуживания, для которого удалённая идентификация является краеугольным камнем.

Ожидается, что средняя плата за идентификацию не будет превышать 100 рублей, что значительно меньше услуг курьера или содержания дополнительного офиса, которые требуются для выполнения требований регулятора в настоящее время. Тем не менее в подобных условиях банки сохранят заинтересованность в развитии внутренних биометрических систем для собственных клиентов, так как это будет дешевле обращения к ЕБС.

Мифы и реальность о биометрии в целом и ЕБС в частности

Миф: если я простужусь и сядет голос, то провести верификацию будет невозможно.

Реальность: при распознавании голоса исследуется около ста параметров, в том числе скорость речи, расстановка пауз, интонации. Поэтому изменение тембра голоса снизит точность, но всё равно позволит корректно подтвердить личность.

Миф: макияж и изменение стрижки, в том числе усов и бороды, мешает распознаванию.

Реальность: при распознавании лица в основном учитываются области вокруг носа и глаз. Поэтому девушкам следует избегать сложного многослойного макияжа, так как он может значительно снизить вероятность корректной идентификации.

Миф: если злоумышленник получит изображение лица и запись голоса человека, то он сможет оформить на него кредит или отмывать через его вклад деньги.

Реальность: помимо того, что мошеннику нужно получить доступ к учётным данным ЕСИА, заснять материал, отвечающий высоким техническим требованиям, ему ещё придётся справиться с системой liveness-detection. Эта система проверяет, человек ли перед ней или нет.

Как правило, требуется или выполнить какие-то действия: ввод деформированного текста, выбор всех картинок с заданным изображением, либо биометрическим — нажатие кнопки «я не робот» включает в себя анализ поведенческой биометрии, а при распознавании лица или голоса требуется совершить определённую последовательность действий. Ниже показан образец проверки лицевой биометрии с тестового стенда.

При этом существует множество сценариев, которые запрашиваются у пользователя, поэтому обмануть такую систему крайне сложно. Кроме того, потребуется ещё обмануть систему распознавания речи.

Помимо того, что в неё будет встроен механизм подтверждения реальности пользователя, подобная система сама по себе уже довольно давно успешно отличает искусственный голос от естественного.

Подводя итог: за счёт использования liveness-detection системы будут защищены и от специфичных целенаправленных атак.

Что будет, если кто-то по фальшивым документам зарегистрирует на меня свои лицо и голос?

После первого же обращения будет произведена проверка, и лицо, и голос мошенника попадут в чёрный список, что в дальнейшем позитивно скажется на снижении рисков мошенничества в банковской сфере.

Важно отметить, что при отправке на регистрацию биометрического эталона в ЕБС передаются в том числе и данные о сотруднике банка, выполнявшем сбор биометрических слепков. Это делается для проведения расследований в случае «внутреннего мошенничества».

Миф: если для проведения удалённой биометрической верификации потребуется специальная аппаратура, то пользы для рядового пользователя от неё нет.

Реальность: рабочие группы тщательно прорабатывают этот вопрос, и главная задача — сделать возможной верификацию с использованием бюджетных смартфонов. В идеальных условиях будет достаточно даже упомянутого разрешения 0.3 МП, и по мере улучшения качества аппаратной составляющей будет легче пройти верификацию. Ожидается, что для большинства пользователей это не станет проблемой.

Миф: для регистрации нужно сначала зарегистрироваться в ЕСИА, дождаться подтверждения учётной записи и только после этого можно заносить данные в ЕБС.

Реальность: клиенту не обязательно иметь учётную запись в ЕСИА. Сотрудник банка может провести регистрацию в отделении и сразу после этого начать сбор биометрических данных. Понадобится всего одно обращение в банк для получения доступа к этим системам.

Централизованное внедрение системы ЕБС — это полезное решение, способствующее развитию банковского сектора. Благодаря совместно продуманным и единым для всех участников правилам и требованиям будет создан унифицированный механизм по удалённой идентификации.

Такое было бы невозможно в случае, если бы крупные банки создавали подобные решения самостоятельно — помимо того, что такой подход потребовал бы значительного увеличения расходов. Ведь помимо переоснащения офисов, интеграции с внутренними системами и дообучения сотрудников потребовалось бы искать подрядчиков и оплачивать лицензии на предлагаемые ими продукты.

Кроме того, межбанковская интеграция подобных систем была бы затруднена и главное достоинство — возможность привлекать новых клиентов — было бы потеряно. А банки, не входящие в десятку лучших, скорее всего, были бы вообще исключены из этого процесса.

Разумеется, несмотря на все подготовительные работы, можно ожидать, что на первых этапах использования обнаружатся подводные камни — какие-то клиенты будут плохо распознаваться, какие-то банки будут ставить слишком высокие пороги для разрешения совершения операций и так далее.

Найдутся и те, кто будет против этой инновации и постарается отстраниться от активного участия в ЕБС и перестройке процессов под удалённую идентификацию. Однако прогресс не остановить, и, так или иначе, биометрические идентификация и верификация займут своё место в жизни людей и банков.

0
4 комментария

Комментарий удален модератором

Развернуть ветку
Денис Давыдов

(частное мнение человека, интересующегося IT, госрегулированием и киберпанком)
Вопрос очень интересный. Технически, существуют способы обмануть нейросети. Выше есть ссылка на перевод статьи о том, как учёные обманывали и заставляли компьютер "видеть" и "слышать" то, чего нет. Однако liveness-detection пока что не позволит этим воспользоваться. В будущем - посмотрим. На каждую силу действия всегда находится своя сила противодействия.
Так же можно найти способ по внесению заведомо ложных данных в систему, но это сложно (как минимум, потребуется найти двух безбашенных сотрудников кредитной организации, которые подпишутся под тем, что данные верны) и уголовно наказуемо (для всех участников).
Самое же простое решение - не пользоваться системой, так как это не обязательно. Кроме того, желательно вообще не заходить в банки, магазины, общественный транспорт, так как везде есть камеры. Также стоит отказаться от соцсетей, компьютера и телефона - поведенческую биометрию собирают все, кому не лень - от поисковиком до МФО (кстати, сейчас не удастся взять микрозайм даже имея куда более веские "доказательства" своей личности, например - фото с паспортом в руках. Люди, которые дают деньги, очень заинтересованы в их возвращении). Наконец, стоит сложным "противолодочным зигзагом" уйти в тундру, заниматься сельским хозяйством. Белок и медведей слежке за гражданами пока не научили.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Иван Марков

Пока еще нет, к 1 июля банки теоретически обязаны внедрить.

Ответить
Развернуть ветку
Михаил Ляпин

Эксперты протухшего банка )

Ответить
Развернуть ветку
Алексей Тарасов

| Кому нужна ЕБС

ФСБ. Уверен, идею практически тотальной биометризации руками банков спустили они. На самом деле, гениальная идея какого-то умного сукина сына ), а не так топорно как работает Китай.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
1 комментарий
Раскрывать всегда