курс цб на 20.10: USD 65.814 EUR 75.3241
криптовалют: BIT 6384.2$ ETH 200.12$
Архив / 2018 / ЖУРНАЛ ПЛАС №6 / 408 просмотров

Как избежать ошибок при выборе биометрического решения

Универсального алгоритма биометрической идентификации не существует, поскольку каждый метод идентификации разрабатывается для наилучшего решения конкретной задачи.

На отечественном ИТ-рынке сегодня присутствует множество компаний, предлагающих решения в сфере биометрической идентификации. Первопроходцам в этой области надо было доказывать заказчику, что метод работает и с его помощью можно получить положительный результат. Теперь такие доказательства не требуются. Зато обостряется борьба между разработчиками биометрических алгоритмов и интеграторами, которые предлагают услуги по внедрению. Как понять, какое решение лучше? Достаточно ли использовать «государственную» биометрию – так в некоторых банках называют Единую биометрическую систему? Идеального решения нет, как нет идеального автомобиля или напитка. Попробуем разобраться в этом вопросе, исходя из задач, которые требуется решать.

Александр Горшков, директор по развитию компании «Прософт-Биометрикс»
Александр Горшков,
директор по развитию
компании «Прософт-Биометрикс»

Впервые биометрическую идентификацию в банках стали применять примерно пять лет назад для борьбы с кредитными мошенниками. Ранние алгоритмы сильно отличались от современных как по точности идентификации, так и по скорости обработки информации. Несмотря на это, применение принципов биометрической идентификации заемщика и участие человека в принятии решения о выдаче кредита имели заметный успех в выявлении внешних и внутренних мошенников. Со временем алгоритмы стали совершенней, а число банков, использующих биометрическую идентификацию, увеличилось. В криминалистике задолго до идентификации по лицу применялась идентификация по отпечаткам пальца, однако необходимость кооперативного взаимодействия и законодательные ограничения не позволили массово использовать этот метод.

Основное преимущество биометрической идентификации по лицу заключается в том, она не только бесконтактна, но и некооперативна (не требуется действий со стороны субъекта). Зависимость точности идентификации от внешних условий компенсируется изменением скоринговых баллов при оценке заемщика и возможностью получить более развернутую информацию о нем из профилей в социальных сетях.

Лицевая биометрическая идентификация для кредитных заемщиков применяется в бюро кредитных историй «Эквифакс», в Сбербанке, Почта Банке, «Хоум Кредит» Банке, Тинькофф Банке и некоторых других.

Достаточно ли использовать «государственную» биометрию – как в некоторых банках называют ЕБС?

Многообразие предлагаемых решений в сфере исключительно лицевой биометрии усложняет процедуру выбора. Этот вопрос обсуждался на форуме All-over-IP в декабре 2017 года. Кроме того, данная тема получила широкое освещение в выступлении автора настоящей статьи на прошедшем в мае 9-м Международном ПЛАС-Форуме «Дистанционные сервисы, мобильные решения, карты и платежи 2018».

Биометрическая идентификация развивается вслед за усложнением действий правонарушителей. Следующим узким местом, где мошенники могли получить данные для доступа к финансовым счетам клиентов, стал контакт-центр. Для борьбы с новым видом фрода банки стали тестировать и внедрять голосовую биометрическую идентификацию. Такие внедрения были анонсированы в Сбербанке, ВТБ, банках «Восточный» и Тинькофф. Предложить что-либо иное для противодействия телефонному мошенничеству сложно. Как вариант, возможно внедрение в контакт-центрах видеозвонков или идентификация клиентов по индивидуальному строению ушной раковины с помощью фронтальной камеры, но это сложно, дорого и применимо только в случае IP-связи. К тому же не у всех пока есть техническая возможность воспользоваться такой услугой.

Businessman Fingerprint scan for biometric authentication to unl

Создаваемая в России Единая биометрическая система включает два вида модальности – лицо и голос, – однако их неудобно использовать для подтверждения оплаты. Подмигивание и покачивание головой для подтверждения того факта, что оплату проводит живой человек, что в процессе не используются фотография или видеозапись, смотрится комично. А дополнение голосовой идентификацией не только не повышает уровень безопасности, но и увеличивает время транзакции. Поэтому для подтверждения финансовых операций по картам платежные системы Visa и Mastercard в свое время выбрали биометрическую идентификацию по отпечатку пальца.

Кооперативная биометрическая идентификация по отпечатку пальца или рисунку вен ладони может успешно применяться для предотвращения внутреннего мошенничества

Тем не менее бимодальная идентификация по лицу и голосу стала достаточно распространенной. Клиенту банка надо произнести цифры одноразового пароля: живой это человек или аудиозапись, программа определяет, соотнося движения губ с произносимыми цифрами. Такая технология сейчас разрабатывается в России. Гонконгский Баптистский университет (HKBU) представил аналогичное решение на 46-й Международной выставке изобретений в Женеве, ведутся исследования в Массачусетском университете и канадской компании AimBrain.

Это хорошее решение, однако все еще не идеальное. Представьте, что вам придется произносить цифры одноразового пароля в офисе. Если делать это тихо, система не сможет вас идентифицировать, а если громко – это будет мешать другим сотрудникам. В качестве альтернативы можно использовать биометрическую идентификацию по радужной оболочке глаз. Тем более что смартфоны с такой функцией стали массово выпускаться. Например, Microsoft Lumia 950 & 950 XL, ZTE Axon Mini, Fujitsu NX F-04G, Vivo X5Pro и ZTE Grand S3, Samsung Galaxy S7 или LG G5.

Особые требования предъявляются к системам дистанционного обслуживания юридических лиц. Во-первых, в больших компаниях финансовые операции зачастую выполняют несколько сотрудников. Во-вторых, в этом случае неприемлемы физические упражнения с поворотом головы, подмигиванием и другими действиями, призванными подтвердить, что операция выполняется живым человеком, а не его виртуальным клоном. Бывает, что крайне важные финансовые операции выполняются в самый последний момент, и для их успешного проведения важна каждая секунда. Но если использовать биометрическую идентификацию без проверки выполнения платежной операции живым человеком, риск мошеннических платежей возрастает многократно – систему могут взломать или запустить вирус.

54

Так как сотрудник, подтверждающий отправку платежных поручений, на рабочем месте находится перед компьютером, а следовательно, и перед камерой, для подтверждения платежного поручения при помощи биометрической идентификации достаточно включить ее для захвата изображения. В этом отношении более функционально и надежно использовать именно кооперативную  биометрическую идентификацию, требующую непосредственного взаимодействия с субъектом. Подтверждение финансовой операции путем поднесения руки к сканеру рисунка вен ладони или приложения пальца для идентификации по отпечатку будет естественным действием для сотрудника.

Также кооперативная биометрическая идентификация по отпечатку пальца или рисунку вен ладони может успешно применяться для предотвращения внутреннего мошенничества. Например, для организации доступа к документам кредитного комитета и информационным системам, для подтверждения финансовых операций и т. д.

Как известно, зачастую мошеннические действия приводят не только к финансовым, но и к существенным репутационным потерям. Приведу информацию из открытых источников о нескольких случаях хищения средств из депозитарных ячеек различных банков в Москве:

  • 10 октября 2017 года в отдел полиции Замоскворечья обратился предприниматель с заявлением о краже свыше одного миллиона долларов из ячейки в Международном фондовом банке;
  • 31 октября 2017 года – кража 22 млн рублей из депозитария на Тверской;
  • 1 ноября 2017 года –  400 тыс. евро (27,6 млн рублей) из депозитария на улице Кедрова;
  • 22 ноября 2017 года  – сразу три кражи. Снова из депозитария на Тверской: 150 тыс. долл. и 10 тыс. швейцарских франков (13 млн рублей); 23 млн рублей у пенсионера. На Зоологической улице из депозитария было похищено еще 22 млн рублей;
  • 10 января 2018 года поступило заявление от пенсионера. Пропали 400 тыс. долларов (почти 23 млн рублей) из ячейки кредитной организации на улице Кедрова.
При наличии сложных внешних условий стоит обратить внимание на идентификацию по радужной оболочке глаз

Исключить подобные случаи можно, реализовав доступ к депозитарным ячейкам с применением биометрической идентификации. Для этого целесообразно использовать более сложное, но и более точное решение – бимодальную биометрическую идентификацию, которую практически невозможно обмануть.

Как она работает? На входе в помещение с депозитарными ячейками клиенты и сотрудники банка идентифицируются по лицу. После необходимых проверок (сравнение с данными из «черного списка», уточнение срока действия договора и времени доступа клиента к ячейкам, разрешения сотруднику находиться в помещении депозитария и т. д.) осуществляется верификация клиента по венам ладони для разблокировки доступа к конкретной ячейке. Далее человек может открыть ее своим персональным ключом. Несколько банков уже используют отечественные электронные депозитарии с функцией разблокировки индивидуальных ячеек. В некоторых предлагаемых у нас зарубежных решениях для уменьшения стоимости оборудования реализуется посекционная разблокировка.

Стоит обратить внимание на скрытые финансовые потери, которые можно исключить при помощи биометрической идентификации. Это проблема так называемых «подснежников» или «мертвых душ», т. е. фиктивных сотрудников, клиентов или покупателей, которые существуют только в отчетах и для которых выделяется финансирование с целью его последующего присвоения. В открытой прессе достаточно примеров многомиллионных хищений: махинации могут выполняться не только с «подснежниками» среди сотрудников, но и с картами и счетами умерших граждан. Например, такое хищение на 6 млн рублей обнаружили в одном из банков Красноярска.

Применение биометрической идентификации целесообразно не только при кредитовании граждан, но и для других финансовых операций, а учет рабочего времени сотрудников позволит организациям избежать колоссальных потерь. Для решения задач последней категории наиболее распространены два способа биометрической идентификации: по отпечатку пальца и по венам ладони. При наличии сложных внешних условий стоит обратить внимание на идентификацию по радужной оболочке глаз или мультимодальный вариант, но пока эти методы еще дороги во внедрении.

Какие схемы и технологии в реальности получат наибольшее распространение и будут максимально востребованы рынком, покажет время. Журнал «ПЛАС» будет вместе со своими читателями следить за развитием событий!

Читайте в этом номере: