Идентификация в Сбербанке, что это?

Биометрия в Сбербанке – это сбор физиологических характеристик клиента, открывающий ему новые возможности в использовании банка. Сегодня технология находится на стадии тестирования. В будущем голосовая и лицевая идентификация позволят людям проводить банковские операции в считанные секунды не выходя из дома.

Биометрия, технологии цифровой эпохи

Биометрия – инновационная система идентификации человека. В сфере банковских услуг данная технология позволяет клиентам дистанционно пользоваться рядом услуг. В число услуг входят открытие счетов и вкладов, получение кредитов, перевод денег. В России банки используют биометрические технологии недавно.

Биометрические данные объединяют в себе уникальные физиологические характеристики субъекта. К ним относятся:

  • Отпечатки пальцев;
  • Рисунки вен;
  • Радужная оболочка глаза;
  • Голосовые интонации;
  • Подпись;
  • ДНК.

Совокупность сведений позволяет безошибочно установить личность человека. Сейчас данная технология применяется при пересечении границ Европы. Таможенники проверяют у путешественников отпечатки пальцев, которые те оставляют при оформлении загранпаспорта. Вероятность подделывания изображения стремится к нулю.

При считывании биометрии используют сканеры, сенсоры или альтернативные считыватели. Процедура работает в следующем порядке:

  1. Гражданин оставляет свои характеристики (голосовая запись, подпись), после чего информация попадает в специальную базу.
  2. Приборы конвертируют полученную информацию в уникальный цифровой код.
  3. Когда гражданин проходи проверку, оставленные им сведения система сравнивает с хранящимися в базе.
  4. При успешном прохождении проверки коды полностью совпадают друг с другом.

Выделяют следующие виды биометрии:

  • Изображение лица. Для лицевого распознавания применяются нейросетевые сканеры. Технология встраивается во многие современные смартфоны и хорошо знакома потребителю. Помимо производителей телефонов, эту функцию используют банковские организации;
  • Голос. Человеческие голоса обладают неповторимыми интонациями, высотой тона и модуляциями. Невозможно полностью повторить особенности речи другого человека. Чтобы предотвратить мошеннические махинации, запись состоит из случайного набора слов;
  • Отпечатки пальцев. Дактилоскопия используется везде – при оформлении паспорта, получении доступа к мобильному банкингу, разблокировке смартфона. Передовые разработки позволяют распознавать ребра трения пальцев бесконтактным способом;
  • Радужка глаза. Цветная сосудистая оболочка глаза состоит из мельчайших деталей, создающих сложнейший рисунок. Рисунок (трабекулярная сеть) остается неизменным на протяжении жизни. Распознавание по радужке глаза считается одним из самых надежных и составляет конкуренцию методу дактилоскопии.

Польза, вред или опасность

Введение биометрической системы преследовало одну главную цель – увеличение надежности и безопасности идентификаций. Физиологические свойства позволяют людям проходить проверку за считанные секунды без лишних документов. Электронно-аналитические приборы распознают пользователя в течение 3-4 секунд. Биометрические данные нельзя потерять или забыть. Гражданин всегда имеет их при себе – в отличие от паспорта и других документов.

Вокруг биометрических данных сосредоточено большое количество мифов. В число главных заблуждений входят следующие:

  • Миф 1. Сканеры радужной оболочки используют лазер, вредный для глаз. На практике камера делает черно-белые снимки с помощью не инвазивного инфракрасного излучения. Излучение не проникает в глаз, а потому безопасно для здоровья;
  • Миф 2. Биометрическая информация (например, дактилоскопия) передаются в полицию и спецслужбы. Идентификационные структуры не хранят полный отпечаток – они создают его математический образ или шаблон. Шаблон шифруется так, чтобы восстановление исходного изображения оказалось невозможно;
  • Миф 3. Биометрия бесполезна для детей. Распространено заблуждение о том, что сканы не распознают маленькие пальцы. Указанный недостаток сканеров выявили несколько лет назад и установили его. Сегодня отпечатки пальцев детей используют школы Британии – для доступа к библиотеке;
  • Миф 4. Биометрические характеристики крадут хакеры. Биометрические базы хранят информацию в зашифрованном виде. Если злоумышленник решит взломать базу, он получит коды без ключей к расшифровке. Физиологические характеристики людей носят закрытый характер.

Биометрический подход нельзя назвать совершенным. Несмотря на свои успехи, новейшие технологии обладают рядом недостатков, к числу которых принадлежат:

  • Высокие требования к оборудованию. Каждая точка системы должна содержать биометрический сканер, мощный процессор и набор интерфейсов для передачи кодов. Большие габариты техники, низкая эргономика и высокая стоимость препятствуют быстрому распространению биометрических методов;
  • Проблемы с обслуживанием. Высокотехнологичная техника требует особого подхода. Одни приборы оказываются недостаточно надежными. Другие не работают в конкретных условиях или не поддерживают режим эксплуатации. С расходами на поддержку механизмов распознавания готовы мириться не все компании;
  • Нестабильность работы. Биометрия работает с динамическими характеристиками, поскольку человеческое тело изменчиво. Физиологические показатели носят вероятностный характер. В единичных случаях устройства для распознавания могут выдавать ошибку без объективных причин.

Как пройти биометрию в Сбербанке

Российские банки (Сбербанк и Тинькофф) закупили более 10 тысяч биометрических банкоматов в 2019 году. Терминалы самообслуживания оснащены функцией распознавания лиц. Чтобы получить возможность использовать банкоматы, клиенту Сбербанка необходимо действовать в таком порядке:

  1. Установить мобильное приложение Sberbank Online.
  2. Сдать голосовой образец (сосчитать от 1 до 10).
  3. Открыть фронтальную камеру и медленно повернуть голову от правого плеча к левому.
  4. Сдать дактилоскопию (не всякое устройство предусматривают эту функцию).

Биометрия собирается только при согласии пользователя и носит добровольный характер. Прохождение процедуры позволит клиенту Сбербанка совершать банковские операции без использования пластиковой карты. Для совершения платежей, снятия наличных или перевода средств субъект проходит быструю идентификацию и приступает к операции.

В начале 2019 года Sberbank подготовил более 2500 отделений к сбору биометрических сведений. Решение создать Единую биометрическую систему принадлежит Центробанку. ЕБС даст гражданам возможность получать услуги в любом отделении компании удалено.

Для сдачи биометрии пользователь проходит несколько этапов:

  1. Регистрируется в Единой системе идентификации и аутентификации (ЕСИА).
  2. Получает адреса банков, уполномоченных собирать биометрические параметры.
  3. Приходит в отделение банка и сдает шаблоны лица и голоса.

Сегодня проект Ростелекома и Центробанка по удаленной идентификации поддерживают российские банки. К их числу принадлежат Совкомбанк, Почта Банк, Хоум Кредит и Сбербанк. Помимо использования подхода ЦБ Герман Греф, принял решение о запуске собственной схемы сбора материалов.

Что будет если голос или лицо изменится

Методы распознавания голоса и лица составляют две разные группы идентификации:

  • статическая – отвечает за физиологические параметры, принадлежащими человеку на протяжении жизни. К таковым принадлежат лицевая геометрия, отпечатки пальцев, фрагмент генетического кода и т.д.);
  • динамическая – охватывает физиологические параметры, носящие временный характер. Такие черты человек демонстрирует при выполнении обыденного действия, к примеру – написании подписи, проговаривании фраз.

Алгоритмы определения голосовых особенностей субъекта не зависят от незначительных изменений. Главное значение при записи имеет основной тон или базовая частота основного тона (ЧОТ). ЧОТ – наиболее низкий тон, свойственный человеческому тембру. С годами данный параметр не меняется за исключением случаев, в которых тембр меняется из-за травмы или других серьезных физиологических изменений.

Форманты создают специфический и уникальный тембр. В его формировании участвуют разные факторы – носовые ходы, гайморовы пазухи, легкие и бронхи. Форманты складывают области спектра звука с наибольшей концентрацией энергии. На указанный критерий время также не оказывает влияния, поскольку он статический. Единственными проблемами для аудио идентификации выступают следующие:

  • Изменение характеристик из-за болезней, связанных с дыхательными путями;
  • Шумовая обстановка вокруг пользователя (шумы и реверберация).

Человеческое лицо меняется с течением времени. Задача биометрического метода состоит в том, чтобы найти универсальные критерии, неподвластные возрастным изменениям. Лицевое сканирование проходит в 2D и 3D формате. При 3D моделировании структура выделяет такие «стратегически» важные точки, как брови, глаза, губы, нос и рассчитывает расстояние между ними. Готовый шаблон составляют неизменные характеристики, такие как:

  • Глубина глазных впадин;
  • Форма черепа;
  • Форма надбровных дуг;
  • Высота и ширина скул.

Совокупность данных позволяет технологии распознавать гражданина даже при наличии помех. В числе помех могут быть ношение бороды, очков, головных уборов и появление шрамов. Данный факт не означает, что субъект может сделать один снимок на всю жизнь. Однако одного шаблона хватает на 3-5 лет использования. Эксперты рекомендуют проходить плановую пересдачу биометрических характеристик раз в несколько лет.

Как отозвать биометрические данные

В соответствии с № 152-ФЗ «О персональных данных» гражданин имеет право отозвать свое согласие на обработку персональных данных. Для отзыва необходимо написать заявление в организацию, где человек ранее давал согласие. Заявление предусматривает свободную форму, но содержит ряд обязательных пунктов:

  • Полное наименование организации;
  • Адрес отделения (если организация банковская);
  • Юридический адрес и фактический адрес отделения;
  • Информация о заявителе: Ф.И.О., адрес регистрации, серия и номер паспорта.

Подавать заявление рекомендуется лично – в двух экземплярах. Одно из заявлений с пометкой о регистрации документа остается у заявителя (на случай непредвиденных обстоятельств). Когда до оператора доходит заявление, он прекращает работу с биометрическим данными и уничтожает их (по возможности). Срок, отводящийся организации на эту задачу, составляет тридцать дней (на основании п. 5 ст. 21 № 152-ФЗ). Исключение составляют случаи, при которых биометрия требуется оператору для свершения правосудия или защиты жизни.

Отзывы клиентов

Николай

Обращался в отделение Сбербанка для сдачи биометрических характеристик. Операция понадобилась мне для того, чтобы проходить удаленную идентификацию при открытии вкладок в других банках. Но на практике оказалось, что после прохождения «замеров» проводить дистанционные действия можно только в пределах Сбера. Никто из сотрудников не уточнил эту особенность, имевшую для меня первостепенное значение. Надеюсь, что в будущем банк будет информировать клиентов лучше и подобных ситуаций не возникнет.

Ангелина

В банк я обращалась, чтобы привязать карту к новому телефонному номеру. Но после долгого общения с сотрудником компании и проверок через СМС-сообщения мне пришло оповещение о том, что мой код для подтверждения согласия на биометрическую обработку принят. Сотрудница на мои возражения не сказала ничего конкретного. В итоге я отказалась от этой процедуры, но эффект оказался неприятным. Зачем сотрудникам скрывать сбор биометрической информации о клиентах и зачем она нужна – непонятно.


В 2018 году в России вступил в действие закон о биометрической идентификации. В банках идёт внедрение биометрических комплексов и сбор данных для размещения в Единой биометрической системе (ЕБС). Биометрическая идентификация даёт гражданам возможность получать банковские услуги дистанционно. Это избавляет их от очередей и технически позволяет «посетить банк» в любое время суток.
Удобства дистанционной идентификации по фотографии или голосу по достоинству оценили не только клиенты банков, но и киберпреступники. Несмотря на стремление разработчиков сделать технологию безопасной, исследователи постоянно сообщают о появлении новых способов обмана таких систем.
Так может, не стоит соглашаться на предложение приветливого операциониста пройти биометрическую идентификацию в отделении банка? Или всё-таки воспользоваться преимуществами новой технологии? Разбираемся в этом посте.

В чём проблема?

У биометрической идентификации есть особенности, которые отличают её от привычной пары логин/пароль или «безопасной» 2FA:

  1. Биометрические данные публичны. Можно найти фотографии, видео- и аудиозаписи практически любого жителя планеты Земля и использовать их для идентификации.
  2. Невозможно заменить лицо, голос, отпечатки пальцев или сетчатку с той же лёгкостью, как пароль, номер телефона или токен для 2FA.
  3. Биометрическая идентификация подтверждает личность с вероятностью, близкой, но не равной 100%. Другими словами, система допускает, что человек может в какой-то степени отличаться от своей биометрической модели, сохранённой в базе.

Поскольку биометрические данные открывают не только турникеты в аэропортах, но и банковские сейфы, хакеры и киберпреступники всего мира усиленно работают над способами обмана систем биометрической идентификации. Каждый год в программе конференции по информационной безопасности BlackHat неизменно присутствуют доклады, связанные с уязвимостями биометрии, но практически не встречается выступлений, посвящённых разработке методов защиты.
В качестве основных проблем, связанных с биометрической идентификацией, можно выделить фальсификацию, утечки и кражи, низкое качество собранных данных, а также многократный сбор данных одного человека разными организациями.

Фальсификация

Публикации, связанные с различными способами обмана систем биометрической идентификации, часто встречаются в СМИ. Это и отпечаток пальца министра обороны Германии Урсулы фон дер Ляйен, изготовленный по её публичным фотографиям, и обман Face ID на iPhone X с помощью маски, нашумевшая кража 243 тысяч долларов с помощью подделанного нейросетью голоса генерального директора, фальшивые видео со звёздами, рекламирующими мошеннические выигрыши, и китайская программа ZAO, которая позволяет заменить лицо персонажа видеоролика на любое другое.
Чтобы биометрические системы не принимали фотографии и маски за людей, в них используется технология выявления «живости» — liveness detection — набор различных проверок, которые позволяют определить, что перед камерой находится живой человек, а не его маска или фотография. Но и эту технологию можно обмануть.

Внедрение фальшивого видеопотока в биометрическую систему. Источник
В представленном на BlackHat 2019 докладе «Biometric Authentication Under Threat: Liveness Detection Hacking» сообщается об успешном обходе liveness detection в Face ID с помощью очков, надетых на спящего человека, внедрения поддельных аудио- и видеопотоков, и других способов.

X-glasses — очки для обмана liveness detection в Face ID. Источник
Для удобства пользователей, Face ID срабатывает, если человек надел солнцезащитные очки. При этом количество света в глазах уменьшается, поэтому система не может построить качественную 3D-модель области вокруг глаз. По этой причине, обнаружив очки, Face ID не пытается извлечь 3D-информацию о глазах и представляет их в виде абстрактной модели — чёрной области с белой точкой в центре.

Качество сбора данных и ложные распознавания

Точность идентификации сильно зависит от качества биометрических данных, сохранённых в системе. Чтобы обеспечить достаточное для надёжного распознавания качество, необходимо оборудование, которое работает в условиях шумных и не слишком ярко освещённых отделений банков.
Дешёвые китайские микрофоны позволяют записать образец голоса в неблагоприятных условиях, а бюджетные камеры — сделать фото для построения биометрической модели. Но при таком сценарии значительно возрастает количество ложных узнаваний — вероятность того, что система примет одного человека за другого, с близким по тональности голосом или сходной внешностью. Таким образом, некачественные биометрические данные создают больше возможностей для обмана системы, которыми могут воспользоваться злоумышленники.

Многократный сбор биометрии

Некоторые банки начали внедрение собственной биометрической системы раньше, чем заработала ЕБС. Сдав свою биометрию, человек считает, что может воспользоваться новой технологией обслуживания в других банках, а когда выясняется, что это не так, сдаст данные повторно.
Ситуация с наличием нескольких параллельных биометрических систем создаёт риск, что:

  • У человека, дважды сдавшего биометрию, скорее всего, уже не вызовет удивления предложение повторить эту процедуру и в будущем он может стать жертвой мошенников, которые будут собирать биометрию в своих преступных целях.
  • Чаще будут происходить утечки и злоупотребления, поскольку увеличится количество возможных каналов доступа к данным.

Утечки и кражи

Может показаться, что утечка или кража биометрических данных — настоящая катастрофа для их владельцев, но, в действительности, всё не так плохо.
В общем случае биометрическая система хранит не фотографии и записи голоса, а наборы цифр, характеризующие личность — биометрическую модель. И теперь поговорим об этом подробнее.
Для построения модели лица система находит опорные антропометрические точки, определяющие его индивидуальные характеристики. Алгоритм вычисления этих точек отличается от системы к системе и является секретом разработчиков. Минимальное количество опорных точек — 68, но в некоторых системах их количество составляет 200 и более.
По найденным опорным точкам вычисляется дескриптор — уникальный набор характеристик лица, независимый от причёски, возраста и макияжа. Полученный дескриптор (массив чисел) и представляет собой биометрическую модель, которая сохраняется в базе данных. Восстановить исходное фото по модели невозможно.
Для идентификации пользователя система строит его биометрическую модель и сравнивает с хранящимся в базе дескриптором.
Из принципа построения модели имеются важные следствия:

  1. Использовать данные, похищенные из одной биометрической системы для обмана другой — вряд ли получится из-за разных алгоритмов поиска опорных точек и серьёзных различий в результирующей модели.
  2. Обмануть систему с помощью похищенных из неё данных тоже не получится — для идентификации требуется предъявление фотографии или аудиозаписи, по которой уже будет проведено построение модели и сравнение с эталоном.

Даже если база хранит не только биометрические модели, но и фото и аудио, по которым они построены, обмануть систему с их помощью «в лоб» нельзя: алгоритмы проверки на «живость» считают ложными результаты с полным совпадением дескрипторов.

Методы проверки liveness для лицевой и голосовой модальности.

Таким образом, использование утекших биометрических данных не поможет киберпреступникам быстро получить материальную выгоду, а значит, они с большей вероятностью будут искать более простые и надёжные способы обогащения.

Как защититься?

Вступившая в действие 14 сентября 2019 года директива Евросоюза PSD2, также известная как Open Banking, требует от банков внедрения многофакторной аутентификации для обеспечения безопасности удалённых транзакций, выполняемых по любому каналу. Это означает обязательное использование двух их трёх компонентов:

  • Знания — какой-то информации, известной только пользователю, например, пароля или контрольного вопроса.
  • Владения — какого-то устройства, которое имеется только у пользователя, например, телефона или токена.
  • Уникальности — чего-то неотъемлемого, присущего пользователю и однозначно идентифицирующего личность, например, биометрических данных.

Эти три элемента должны быть независимыми так, чтобы компрометация одного элемента не влияла на надёжность других.
Применительно к банковской практике это означает, что проведение операций по биометрическим данным должно обязательно сопровождаться дополнительными проверками с помощью пароля, токена или PUSH/SMS-кодов.

Использовать или нет?

У биометрической аутентификации имеются большие перспективы, однако опасности, которые приходят в нашу жизнь вместе с ними, выглядят весьма реалистично. Разработчикам систем и законодательным органам стоит изучить результаты новейших исследований уязвимостей биометрических систем и оперативно доработать как решения по идентификации, так и нормативные акты, регулирующие их работу.
Банкам необходимо принять во внимание ситуацию с deepfakes и другими способами обмана биометрических систем, используя сочетание традиционных способов идентификации пользователя с биометрическими: пароли, 2FA и usb-токены всё ещё могут принести пользу.
С клиентами банков ситуация сложная. С одной стороны, биометрическая идентификация разрабатывалась для их удобства как попытка расширить возможности для получения банковских услуг в любое время с минимальными формальностями. С другой — в случае успешной атаки рискуют своими деньгами именно они, а регуляторы и разработчики биометрических систем ответственности за взломы не несут.
В связи с этим, логичная рекомендация клиентам банков — не торопиться со сдачей биометрических данных, не обращать внимание на агрессивные призывы. Если же без биометрической идентификации никак не обойтись, то используйте её совместно с многофакторной аутентификацией, чтобы хотя бы частично снизить риски.

Многие банки требуют от своих клиентов сдавать биометрические данные в обязательном порядке. Просто для того, чтобы открыть вклад или дебетовую карту, от граждан требуют фотографии и записи образцов голоса, в случае отказа указывают на дверь.

Центробанк РФ и Росфинмониторинг указывают на добровольность, а не обязательность сдачи биометрии, но при этом как то неуверенно и двусмысленно реагируют на нежелание банков обслуживать отказников.

С одной стороны, контора экс-подчиненной Грефа по Минэкономразвития, а ныне-действующая глава Центробанка РФ Набиуллина, фактически находящаяся вне контроля властей РФ, в рамках ФЗ-482 имеет полномочия определять перечень сведений о гражданах-клиентах банков, порядок проведения идентификации граждан (в том числе госорганами и частными организациями), а также оперативно получать их и хранить.

Так что банковский беспредел, получивший зеленый свет благодаря законотворчеству цифролоббистов-всего лишь первая ласточка.

Законотворцы и органы госбезопасности забыли напрочь, но с них не стоит брать пример и забывать имеющие высшую юридическую силу статьи Конституции РФ о достоинстве личности, свободе и личной неприкосновенности, неприкосновенности частной жизни, личной и семейной тайне. Как и о том, что никто не должен подвергаться пыткам, насилию, другому жестокому или унижающему человеческое достоинство обращению или наказанию. Никто не может быть подвергнут без добровольного согласия медицинским, научным или иным опытам (п.2 ст.21 Конституции РФ).

Таким образом, отказаться от биометрии Вы очень даже вправе. По закону. Пока.

Спасибо за внимание!

Москва, 17.09.2020, 11:23:02, редакция ПРОНЕДРА.РУ, автор Иванна Федорова.

Наверняка многие слышали о возможности оформления новых биометрических паспортов, которые пришли на замену документам старого образца.

Многие граждане осведомлены о том, какими преимуществами обладает биометрический паспорт. Но в этой статье мы поговорим о недостатках биометрических паспортов и какие опасности они собой представляют. А также о том, на что нужно обратить внимание в первую очередь при обращении в государственные органы.

Что такое биометрический паспорт

Биометрическим паспортом называют специальный документ, который служит удостоверением личности и гражданства своего собственника. В биометрический паспорт встраивают специальный чип. На данном чипе содержится информация о владельце: ФИО, дата рождения, номер паспорта и срок действия документа.
Другими словами, в чипе содержится информация, которая содержалась в документах старого образца. При необходимости на чип вносят другую информацию, такую как рисунок радужки глаза владельца, отпечаток пальца или цифровую подпись. Помимо всего прочего, в биометрическом паспорте указана специализированная международная отметка, которую ставят на титульной странице документа.

Она подтверждает то, что документ является подлинным. Над созданием характеристик биометрического паспорта работали сотрудники международной компании ICAO. В отличие от документа старого образца, биометрические паспорта действуют на протяжении десяти лет.

Получить биометрический паспорт может любой гражданин, достигший 20 лет. Для лиц младше 20 лет предусмотрена возможность оформить документы на получение паспорта старого образца. Интересный факт, что в большинстве европейских стран обязательным условием для въезда является предоставление паспорта, в котором будет встроен электронный чип с информацией о владельце.

Поэтому, если гражданин планирует в ближайшее время оформить или заменить имеющееся у него удостоверение личности, лучше всего сразу подавать заявку на получение паспорта нового образца.

В чем опасность документа нового образца

Основная опасность биометрического паспорта кроется в «прозрачности» его владельца, что должно подтверждаться соответствующими государственными специалистами. Это значит, что помимо ФИО и прочих биометрических характеристик, сотрудники госорганов могут получить информацию о возможных зависимостях, вредных привычках и даже сексуальной ориентации владельца документа нового образца.

Например, взяв пробу волос, сотрудники специализированной лаборатории могут провести процедуру ДНК-анализа, получив обширную информацию о владельце документа. Результаты этого анализа могут послужить причиной отказа в оформлении медицинской страховки.
На сегодняшний день биометрические паспорта имеются у 100 000 граждан. Это связано с тем, что многие граждане хотят свободно ездить в США и в страны Европы, которые пускают на свою территорию граждан, имеющих биометрический паспорт с чипом.

Врачи массово выступают против оформления биометрических паспортов, так как сканирование радужки глаза может негативно сказаться на зрении граждан. Сами представители государственных служб утверждают, что процесс оформления биометрического паспорта не причиняет вреда здоровью.

Врачи с таким заявлением не согласны. По словам медиков, в зависимости от продолжительности и интенсивности воздействия сетчатка глаза подвергается повреждениям, что может привести к ухудшению зрения.

Записи созданы 8837

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх