Насколько безопасна удаленная идентификация? - «Финансы»

Насколько безопасна удаленная идентификация и аутентификация, и придется ли банкам предпринимать дополнительные меры для обеспечения сохранности данных пользователей ЕСИА? Этот важный вопрос Bankir.ru решил изучить накануне запуска пилотного проекта ЕСИА.

Вот-вот в России стартует пилотный проект, в ходе которого 11 кредитных организаций будут тестировать Единую систему идентификации и аутентификации (ЕСИА). Технология удаленной идентификации позволит гражданам открывать счета и вклады, а также получать кредиты и осуществлять разные другие операции в любом банке удаленно через интернет. Для этого надо только авторизоваться в ЕСИА через логин и пароль, и использовать собственные биометрические данные – голос, лицо или отпечатки пальцев.

По оценке Министерства связи и массовых коммуникаций, на данный момент в ЕСИА зарегистрировались 50 млн россиян. На данном этапе регистрация дает доступ к государственным услугам в электронном виде. Интерес к возможности пользоваться такими сервисами без личных визитов очевиден: с начала этого года количество пользователей Единого портала государственных и муниципальных услуг выросло на 10 млн человек, и сейчас на портале регистрируется более 1,5 млн новых пользователей в месяц.

Банки намерены изучить вопрос

Существует большая вероятность, что создание ЕСИА привлечет злоумышленников

По данным «Лаборатории Касперского», на данный момент нет эффективных схем монетизации учетных записей, похищаемых у пользователей портала Госуслуг. «Поэтому существует большая вероятность, что создание ЕСИА привлечет злоумышленников. Возможно, атаки выйдут на новый уровень: кража личности - это гораздо серьёзнее, чем списанные с карты несколько тысяч рублей, - полагает руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention Денис Горчаков. Более того, это будут атаки не только на пользователей, в зоне риска окажутся и операторы, которые будут работать с пользовательскими данными, и администраторы систем ЕСИА.

Когда ЕСИА начнут пользоваться банки, вопросы безопасности станут еще более актуальными. «Новая система аутентификации как и любое другое нововведение, затрагивающее аспекты информационной безопасности, безусловно повлияет на устоявшиеся в банках правила»,  - считает замдиректора департамента аудита защищённости Digital Security Глеб Чербов. Пользователей новой системы нужно будет дополнительно информировать о правилах безопасного использования новой системы и потенциально возможных рисках, касающихся нового механизма авторизации.

В правительстве ведутся обсуждения по формированию самого определения «больших пользовательских данных», которыми будут профили в ЕСИА

ЕСИА задаст высокий уровень требований к безопасному сбору, передаче и хранению пользовательских данных, который будет ожидаться и от компонентов системы, и от компаний, которые будут с ней работать. Повлияет ли введение удаленной идентификации на политики безопасности банков пока неясно. «Насколько мне известно, в рамках создания ЕСИА этот вопрос ещё прорабатывается. Параллельно в правительстве ведутся обсуждения по формированию самого определения «больших пользовательских данных», которыми, несомненно, будут профили в ЕСИА», - поясняет Денис Горчаков.

В Райффайзенбанке отмечают, что одна из задач пилотного проекта ЕСИА – изучение возможных рисков, потенциальных уязвимостей и проработка решений для их устранения. «Образцы биометрии будет хранить национальная биометрическая платформа, вопрос хранения банком биометрических данных ещё до конца не решен», - поясняет директор по инновациям банка «Открытие» Алексей Благирев.

Эксперты указывают на то, как легко украсть биометрические данные. «Украсть» отпечатки пальцев, голос, лицо, глаза можно гораздо проще, чем тот же пароль. Достаточно сфотографировать человека или скачать его фотографии из соцсетей.  Или просто поговорить с ним в течение 20 минут, чтобы злоумышленник получил исходные данные для создания биометрического клона своей жертвы. И дальше все зависит от того, насколько грамотно спроектирована архитектура системы удаленной идентификации и заложена ли в нее способность бороться с клонированием или подменой биометрических идентификаторов, - предупреждает эксперт по информационной безопасности Алексей Лукацкий.

Как обеспечить сохранность данных

Банк России активно предпринимает шаги для обеспечения сохранности данных пользователей, повышая требования к безопасности АБС и банковской инфраструктуры. По мнению Дениса Горчакова, эти шаги правильные, и в данном вопросе Россия ничуть не отстает от европейского нормотворчества. Самое важное для банков – следовать этим рекомендациям. «Финансовым учреждениям необходимо учитывать требования к безопасности создаваемых систем ещё на этапе их проектирования, не разделяя IT-составляющую и бизнес-процессы», - говорит он. При этом рекомендуется применять комплексный подход, сочетающий традиционные способы защиты и современные технологии для анализа поведения пользователя, данных об устройстве, оценки возможных рисков и подозрительных процессов.

Идентификационные параметры выглядят в информационной системе как нолики и единицы и методы их защиты будут стандартными

Введение ЕСИА не потребует новых мер. «Как это ни парадоксально, но каких-то особых механизмов защиты от ЦБ, банков или ЕСИА не требуется - защите подлежат такие же идентификационные параметры как и любые другие. Они выглядят в информационной системе как нолики и единицы и методы их защиты будут стандартными», - указывает Алексей Лукацкий. По его оценке, у ЦБ есть немало требований по защите информации, которые можно будет применить и к базам биометрической информации - защита каналов связи, разграничение доступа к базам данных, принцип минимума привилегий, защита интернет-периметра и т.п. Основные требования будут предъявляться к разработчикам систем биометрической/удаленной идентификации, поскольку именно они должны будут предложить способы защиты от подмены и клонирования идентификационные параметров, а банки должны будут проводить гораздо более серьезное тестирование, чем раньше. «Ведь жизненный цикл таких систем длиннее, чем у традиционных антивирусов или средств защиты периметра. Да и масштаб их внедрения тоже совершенно иной. Поэтому необходимо будет больше внимания уделять именно процессу планирования систем удаленной идентификации», - отмечает Алексей Лукацкий.  

Крупнейшие игроки начали с голоса

В настоящее время банки уже начали внедрять биометрию. В частности, Сбербанк разрабатывает собственную единую биометрическую систему для внутренних потребностей. Она позволит использовать различные виды биометрии в разных каналах обслуживания. Частью этой системы будет технология голосовой биометрии, поставщиком которой выбрана та же компания, что поставляет ЕСИА  - дочка «Ростелекома» ОАО «РТ Лабс».

Сбербанк планирует начать использовать голосовую биометрию для всех розничных клиентов к концу 2017 года, а для корпоративных клиентов - в  2018 году

Голосовая биометрия будет использоваться в Сбербанком в процессе разговора оператора с клиентом, чтобы удостовериться в личности звонящего. Голос в качестве пароля придет на смену использующемуся сейчас номеру паспорта и другим личным данным. Сбербанк планирует начать использовать голосовую биометрию для всех розничных клиентов к концу 2017 года, а для корпоративных клиентов - в  2018 году. Голосовые отпечатки клиентов Сбербанк начнет собирать с августа этого года, чтобы к концу года аутентифицировать по голосовой биометрии в контактном центре 30% клиентов, а уже через год после внедрения данной технологии выйти на 80%.

ВТБ24 также сделал ставку на голосовую идентификацию. В начале 2017 года банк завершил пилотный проект по голосовой идентификации клиентов, звонящих в контактный центр. Целью пилота была оценка применимости технологии в банковском секторе и проверка того, насколько можно доверять биометрической верификации по голосу. В итоге пилота ключевые подразделения банка пришли к выводу, что целесообразно использовать биометрию для однозначной верификации клиента.

«Технология распознавания по голосу позволяет создать удобный для клиента и достоверный для банка процесс подтверждения операций, что может в разы увеличить как объем проверяемых операций, так и минимизировать риски клиентов и банка. Голосовая верификация в перспективе может привести к существенному сокращению расходов», - поясняет старший вице-президент, директор департамента клиентского обслуживания ВТБ24 Наталья Смирнова.