«Нужен кредит? Сделай селфи для банка!»

— Первой отраслью, в которой планируется применить Биометрическую систему «Ростелекома», будет банковский сектор. Анализ международного опыта разработки и запуска подобных систем позволяет утверждать, что внедрение системы биометрической идентификации существенно снижает для банков риски некорректной идентификации и повышает надежность антифрод-систем. Банки получат возможность удаленно идентифицировать клиентов при открытии им новых счетов, смогут сократить расходы на содержание сети офисов обслуживания.

— Сейчас популярны термины «цифровая платформа» и «сквозные цифровые технологии». Они подробно описаны в утвержденной программе «Цифровая экономика Российской Федерации». Удаленная биометрическая идентификация есть не что иное, как сквозная цифровая технология, универсальная для любой отрасли экономики. Как только отрасль готова к использованию цифровых сервисов, зачастую возникает потребность удаленной идентификации пользователей. Сейчас банковская отрасль наиболее подготовлена для внедрения технологии удаленной биометрической идентификации.

— Процедура биометрической идентификации требует первичной личной явки: для ее прохождения клиенту необходимо один раз прийти в банк и сдать биометрические данные. Биометрические данные передаются в Биометрическую систему, при этом персональные данные клиента вносятся в Единую систему идентификации и аутентификации. В дальнейшем клиент сможет воспользоваться этими данными для дистанционного получения различных услуг с помощью своего компьютера или смартфона.

— В Биометрической системе мы планируем использовать идентификацию по двум модальностям: по голосу и лицу. Представьте: человеку достаточно сделать селфи, чтобы открыть банковский счет. Удобно.

Почему именно эти модальности? Все достаточно просто — сочетание именно этих двух модальностей дает высокую степень гарантии распознавания при относительно невысокой стоимости оборудования для их внедрения.

Для сравнения возьмем технологию распознавания по отпечатку пальца. Сканер, который его снимает, принадлежит вендору — производителю смартфона, он не аккредитован финансовыми организациями как способ идентификации, т.е. пользователь может использовать его только на своем устройстве. Кроме того, у этого способа есть ряд физических ограничений: например, если телефон заблокирован, идентификация по отпечатку пальца уже недоступна, а также из-за низкой чувствительности сканера вы не сможете использовать этот способ идентификации, если у вас холодный или мокрый палец.

Мало кто знает, но система безопасности банка, которая определяет допустимые лимиты для операции внутри мобильного банка, привязана к типу идентификации, которую использует клиент. Если это отпечатки пальцев — доверия меньше, если используется логин и пароль — больше, если клиент позвонил в контакт-центр — еще больше. Биометрическая система станет единым стандартом идентификации для любых банковских операций, что упростит взаимодействие банка с клиентом.

— Безусловно. Современные мировые практики позволяют предположить, что жизненный цикл такого биометрического профиля — около 5 лет. При этом важно понимать, что пока участниками этой системы смогут стать люди, достигшие 18 лет, потому что до этого возраста биометрические параметры постоянно изменяются, а после эти процессы идут значительно медленнее. Не стоит забывать, что бывают несчастные случаи или болезни, в результате которых у человека могут измениться голос или лицо. В таких случаях система предложит ему обратиться в соответствующую организацию и пройти регистрацию еще раз.

— Одной из наиболее перспективных биометрических технологий является распознавание человека по радужной оболочке глаза. Я соглашусь с мировыми экспертами, которые считают, что айрис (лат. iris — радужная оболочка глаза) обладает наибольшим потенциалом, потому что это просто и надежно. Радужная оболочка глаза не меняется в течение жизни, на нее не влияют ни мороз, ни стресс — просто зрачок расширяется. Однако сейчас массовое применение этой технологии ограничено стоимостью оборудования для такой идентификации — для этого нужны специальные камеры с высоким разрешением. Дорогостоящее оборудование требуется и для распознавания по уникальному рисунку вен на ладонях.

Исходя из этих данных, а также из мирового опыта использования биометрических систем мы выбрали оптимальные модальности, которые вместе дают максимальную гарантию качественного распознавания личности и которые максимально доступны как для банков, так и для обычных пользователей.

— Вы можете дистанционно обратиться в любую кредитную организацию, указанную в списке Центрального банка. Список банков, которые смогут проводить удаленную идентификацию клиентов, определяется Центробанком на основе требований, изложенных в федеральных законах. Здесь все достаточно прозрачно и никакого ограничения круга банков не предвидится.

Как будет проходить взаимодействие с банком с помощью цифрового биометрического профиля? Вы на каком-то сайте или через контекстную рекламу находите понравившееся предложение, попадаете на сайт банка и видите кнопку «Получить услугу удаленно». После нажатия этой кнопки вам будет предложено пройти биометрическую идентификацию. Если ваши биометрические данные совпадают с теми, которые вы сдавали ранее, вы сразу сможете открыть счет или положить деньги на депозит. Если у вас нет учетной записи в ЕСИА, не сданы биометрические данные или вы не зарегистрированы и пытаетесь попасть в систему под другим аккаунтом, вы увидите следующие информационные сообщения: «Уважаемый пользователь, зарегистрируйтесь» и список ближайших отделений банка, где можно пройти биометрическую идентификацию.

— Разработка Биометрической системы инициирована Центральным банком и Министерством связи и массовых коммуникаций РФ, «Ростелеком» в этом проекте выступает технологическим партнером этих ведомств.

«Ростелеком» имеет исключительную экспертизу в области облачных решений федерального уровня. Уже несколько лет оператор является единственным исполнителем проекта по созданию инфраструктуры электронного правительства. Биометрическая система будет использоваться в качестве дополнительной системы идентификация пользователей на портале государственных услуг в Единой системе идентификации и аутентификации (ЕСИА). Таким образом, Биометрическая система сделает портал госуслуг более доступным для граждан, а сам портал госуслуг получит новый инструмент подтверждения личности пользователей.

— Существует дорожная карта, включающая несколько важных этапов. Первый — утверждение концепции — уже пройден. Готов также интерфейс для сервиса регистрации гражданина в ЕСИА. Параллельно мы начали тестирование ПО и оборудования вендоров биометрических технологий. Уже завершен этап технологического тестирования, в ближайшее время перейдем к сценарному.

Разница в том, что при технологическом тестировании проверяется математическая модель работы системы, а в сценарном испытании участвуют живые люди. В рамках сценарного тестирования мы будем прорабатывать различные механизмы атак на систему, инсценировать попытки ее взлома. Это необходимо, для того чтобы в будущем клиенты могли безопасно пользоваться системой и доверять ей. С этой целью мы разрабатываем актуальную динамическую модель отражения любых видов угроз.

— Сейчас мы реализуем ключевой этап проекта — тестируем вендоров систем биометрии. Начиная с января мы приступим к опытной эксплуатации платформы, которая продлится вплоть до вступления в силу обновленного 115-ФЗ. В конце сентября законопроект прошел первое чтение в Государственной Думе РФ и получил единогласную поддержку депутатов. В ближайшее время ожидаем второго чтения. Если законопроект будет принят и подписан президентом, ориентировочно в середине будущего года он вступит в силу. После этого мы сможем выпустить систему в коммерческую эксплуатацию. Принятие поправок в законодательство — необходимое условие для внедрения Биометрической системы.

— Мы проводим тесты при участии Русского биометрического общества (РБО) — единственного профессионального объединения российских производителей биометрического оборудования и разработчиков программного обеспечения. Мы максимально открыты и хотим, чтобы все отечественные компании, так или иначе связанные с биометрическими технологиями, могли участвовать в проекте. Мы работаем не только с крупными компаниями, например, с «Центром речевых технологий» или с компанией VisionLabs, но и с малыми компаниями-разработчиками в регионах, которые тоже готовы принять участие в тестировании. Сейчас мы испытываем решения 20 компаний. Участники, которые успешно пройдут технологическое тестирование, перейдут к сценарному.

— Вообще биометрические технологии существуют давно. Так, методы распознавания голоса были широко распространены уже в 1980-х годах. Однако по мере развития цифровых технологий и уровня диджитализации самого населения биометрические технологии становятся все актуальнее. Масштабные проекты по биометрии в основном инициируются государством — это мировой опыт. Сейчас, к примеру, важен вопрос, как биометрические технологии можно использовать в интересах национальной безопасности — это особенно актуально для США и Европейского союза в связи с высоким уровнем миграции и угрозой со стороны террористических организаций. В странах Латинской Америки изучают возможность проведения электронных выборов с помощью биометрических паспортов. В то же время во всех странах, заинтересованных в развитии биометрических технологий, идет исследование возможного коммерческого использования биометрии.

Изначально биометрические технологии в основном были востребованы для контроля рабочего времени или доступа на определенные объекты. Сейчас FinTech получил хороший заряд для максимально широкого использования биометрии даже в повседневной жизни обычных людей. ApplePay или GooglePay позволяют осуществлять платежи с помощью биометрии, почти все последние модели смартфонов дают возможность идентификации владельца по отпечатку пальца, Samsung предлагает идентификацию по радужной оболочке глаза. Десятая модель iPhone вообще распознает владельца на основании биометрии лица.

Мы смотрим на опыт внедрения системы Aadhaar в Индии. Это самая крупная биометрическая система на текущий момент: в ней зарегистрировано более 1,1 млрд человек. Причем она системно значимая и носит национальный характер, т.е. используется не только для обеспечения безопасности, но и вместо бумажных документов, которых там практически нет, или для получения финансовых услуг.

— В большей части проектов — да. Безусловно, участвуют и коммерческие компании, но внедрение такой системы весьма дорогостоящее мероприятие. Кроме того, если система затрагивает важные для государства сферы, например, вопросы национальной безопасности, логично, что государство должно контролировать создание и работу биометрической системы.

Так, в Индии есть компании-агенты, собирающие биометрию, но все равно инициатором внедрения этой системы выступило государство, и оно определяет задачи, которые эта система решает.

— Защита биометрических данных — это одна из наиболее серьезных задач при разработке системы. Вопрос работы с персональными данными регулируется № 152-ФЗ «О персональных данных», где определены классы систем безопасности, которые должны использоваться при создании такого рода объектов. У нас есть опыт создания инфраструктуры хранения персональных данных граждан для портала государственных услуг — это высоконадежные защищенные, согласно требованиям регуляторов, ЦОДы «Ростелекома». Мы планируем воспользоваться уже существующими наработками и создать защищенное облако в нашем ЦОДе. Для получения биометрических данных мы будем использовать существующую инфраструктуру СМЭВ (Система межведомственного электронного взаимодействия). В Биометрической системе будут храниться только образцы голоса и динамического изображения лица без привязки к паспортным данным пользователя — это необходимо для защиты персональных данных пользователей.

— Биометрические данные будут храниться в Биометрической системе, а персональные данные — в ЕСИА. И если каким-то образом будет скомпрометирована база данных, злоумышленники не извлекут ничего, кроме изображений и записей голоса. Это очень важно, потому что мы соблюдаем принцип деперсонализации и декомпозиции хранения персональных данных, в соответствии с требованиями законодательства. Безусловно, с коллегами из специальных органов мы будем прорабатывать модель информационных угроз и модель фрод-мониторинга. Здесь нам очень помогают коллеги из банков, за что им большое спасибо, потому что, оказывается, существует множество способов взлома электронных банковских систем, и именно банки обладают необходимой компетенцией для предотвращения этих угроз. Для разработки максимально безопасной системы важна совместная работа надзорных органов, технологической компании и банков. В результате будет разработана концепция обеспечения информационной безопасности проекта.

— Биометрическая система удаленной идентификации в первую очередь разрабатывается для банков и финансовых учреждений, но в дальнейшем она может использоваться в различных сферах, где требуется юридически значимое подтверждение личности. Например, сейчас мы рассматриваем возможность использования биометрической идентификации на портале государственных услуг.

В дальнейшем систему можно будет применять, например, в медицине — для удаленной идентификации пациента при постановке диагноза и назначении лечения. При дистанционном образовании система позволит подтвердить личность учащегося, благодаря чему студенты из удаленных районов смогут сдавать экзамены без личного присутствия.

Биометрическая система интересна и для коммерческих организаций из сферы ритейла, где остро стоят вопросы идентификации пользователей при продаже алкогольной и табачной продукции, а также лекарств.

Задачи Биометрической системы не ограничиваются контролем, она выполняет важную функцию повышения доступности социальных услуг. Это прежде всего касается жителей удаленных районов, а также людей с ограниченными возможностями. Благодаря Биометрической системе они смогут получать качественное образование и медицинскую помощь. Проще говоря, Биометрическая система — это универсальный ключ, который дает возможность получать защищенный доступ к множеству цифровых услуг.

— Есть такой термин — digital identity (цифровая идентичность). На мой взгляд, скоро все сведется к тому, что атрибуты, ее характеризующие, в том числе биометрическая идентификация, будут использоваться для цифровых транзакций.

Цифровой профиль — один из элементов digital identity. Второй элемент — механика применения. Она должна базироваться на двух важных принципах. Первый: вы, как субъект персональных данных должны иметь возможность управлять согласием на то, кому и зачем вы предоставляете собственные цифровые атрибуты. Второй: необходима цифровая инфраструктура, которая позволит эти атрибуты использовать с вашего согласия. Если посмотреть на успешный опыт Эстонии, которая реализовала для своих граждан возможность открывать бизнес, находясь в любой точке мира, то биометрическая идентификация — это действительно удобно.

При этом нужно помнить, что развитие любой инновационной технологии ставит перед разработчиками и пользователями новые вызовы — в отношении безопасности, доступности, целесообразности применения в отдельных сферах. Биометрическая система неизбежно столкнется с этими вызовами, и это нормально, в этом потенциал для ее развития — решая все новые и более сложные задачи пользователей, коммерческих организаций и государства, система будет становиться все более совершенной.