"Подводные камни" использования биометрии
О биометрии. Part 2
Среди актуальных задач развития современных цифровых каналов обслуживания особенно выделяются две: обеспечение безопасности средств на счетах клиентов, а также повышение удобства работы пользователей. Одним из возможных путей решения этих задач является использование биометрических технологий. При этом, как продукты любой наукоемкой отрасли биометрические решения сложны, а их использование для защиты ДБО и обеспечения удобной работы содержит множество «подводных камней». И отнюдь не все одни «драгоценные».
Камень первый. Готовых «коробочных» решений для защиты клиентов ДБО с помощью биометрии нет. Необходима сложная и дорогая интеграция — внедрение биометрических технологий в вашу систему ДБО. Обычный пользователь возразит: «Как же так? На наших мобильных устройствах давно уже есть и Touch ID, и Face ID. Биометрия давно уже вокруг нас, и мы давно можем прикладывать пальчик и показывать в камеру лицо и сетчатку глаза!». Да, все верно, возможности есть. Вот только следует четко различать системы, в которых хранение и проверка представленных биометрических данных проводится на смартфоне пользователя, а также системы, в которых данные хранятся и проверяются на стороне банка — в его защищенной серверной инфраструктуре. Эти различные системы решают разные задачи, в частности, защиту клиентов в современных цифровых каналах услуг обеспечивают системы, развернутые в банке. Поэтому мы и говорим о полномасштабном внедрении.
Камень второй. Скомпрометировав один раз свои биометрические данные, пользователь никогда не сможет их заменить. Никогда! Это он и точка! Поэтому не следует забывать, что одной «голой» биометрии для обеспечения безопасности недостаточно. Было бы правильно использовать ее как дополнительный фактор, как еще один компонент системы защиты или часть процесса KYC, но никак не делать ее «фундаментом» обеспечения безопасности.
Камень третий. Биометрия не является «универсальным» средством в обеспечении безопасности. Когда принимается решение о ее использовании, то нужно понимать для чего это делается. В цифровых каналах обслуживания ее можно использовать для идентификации клиентов и как дополнительный фактор аутентификации при выполнении высокорисковых операций. В то же время, категорически не рекомендуется использование биометрических решений для «замены» собой средств электронной подписи. Если попытаться «подписать документ биометрией», то во-первых, не будет обеспечен контроль целостности документа, во-вторых, такая «подпись» должна храниться в базах с документами и использоваться при разборе конфликтных ситуаций, что является прямым путем к компрометации данных. Поэтому биометрия в процессе формирования электронной подписи может использоваться только для доступа к ключам ЭП на устройстве клиента.
Камень четвертый. Как бы то ни было, биометрия пока остается «вероятностным» средством, и, к сожалению, при ее использовании вовсе не исключены ошибки. Именно поэтому банкам необходимо уделить особое внимание качеству выбираемых решений и качеству реализации проекта. Именно поэтому для уменьшения ошибок систем и снижения количества успешных атак злоумышленников, производители оснащают свои решения большим количеством факторов. Это не только возможностью предъявления отпечатков пальцев, сканирования глаз и черт лица, но и представления «реального» видео клиента с «живой» картинкой (Liveness), а также иногда голоса и других данных. Только так можно снизить риски атак с подменой реального изображения фотографией на экране или на бумаге, только так можно уменьшить количество ошибок, когда реальные пользователи не получат доступ к системе.
Вы скажете: «Ничего себе как сложно! Зачем тогда вообще эта биометрия?» Ответим, что с ее использованием банки смогут реализовать в своих цифровых каналах действительно инновационные сервисы.