IdTech не для всех

Есть много проблем в части выполнения требований безопасности, сбора данных и высокой стоимости внедрения новых технологий. Тем не менее регулятор и участники рынка настроены оптимистично, считая, что эти затраты окупятся в ближайшем будущем. О том, что даст Единая биометрическая система (ЕБС) банкам и их клиентам, о практических аспектах подключения к системе и устранении киберугроз, а также о новых горизонтах бизнеса, которые открывает эта технология, говорили на практической конференции «IdTech-2018: идентификация и биометрия в финансовой отрасли, практика и перспективы», которая собрала более 100 банкиров и экспертов по удаленной идентификации.

Сейчас к системе биометрической идентификации уже подключились свыше 100 банков, а цифровой образ можно создать в 130 городах России (чуть более 10% общего числа). Несмотря на усилия Ассоциации банков России, в Законе прописана обязанность всех банков с лицензией работать с физлицами начиная с 31 декабря 2018 года, собирать данные биометрии минимум в 20% своих отделений.

Это послужило причиной официального письма председателю Центробанка Эльвире Набиуллиной со стороны АРБ, заявил исполнительный вице-президент этой организации Эльман Мехтиев. «Закон сильно отошел от первоначальной идеологии проекта, где сбор биометрии был правом, а не обязанностью банков, — напомнил он. — Изначально мы предполагали в качестве операторов сбора данных Почту России и “Яндекс”».

Глава мегарегулятора допустила, что от обязанности сбора биометрических данных могут быть освобождены малые банки и банки с базовой лицензией, но, как уточнила руководитель проекта департамента финансовых технологий ЦБ РФ Ангелина Акименко «решение пока не принято». Она подчеркнула, что в обсуждениях на рабочей группе сами банки заявили, что не готовы доверять биометрии, собранной через МФЦ или РЦ. «Объективно требования к банкам в части первичной идентификации максимально жесткие, в том числе по сверкам с черными списками экстремистов и террористов, — заявила она. — Мы внимательно мониторим процесс и, если увидим, что такого большого числа отделений не требуется, снизим требования».

Также менеджер ЦБ отметила, что банки получат выгоду не только от сокращения операционных издержек, для них предусмотрена комиссия со стороны оператора (Ростелекома) за каждое использование собранных ими биометрических данных. Это будет неплохим подспорьем для окупаемости внедрения новой системы. Пока цена для банка с одним отделением составляет примерно 6,5 млн рублей и колеблется в зависимости от степени развития информационных систем в банке.

Конечно, такие расходы банки не радуют, но есть и иная точка зрения на эти инвестиции. «Затраты, которые банки вынуждены нести при внедрении ЕБС, — это затраты, которые они не сделали пару лет назад, — уточнил гендиректор компании IDSystems Андрей Федорец. — Взять гостированную сеть. По идее, ее должны были создать все, как только банки стали операторами персональных данных». По его мнению, «внедрение в банке ЕБС отбивается одним ипотечным кредитом».

Тем не менее, если посмотреть на сбор биометрических данных под иным углом, то они открывают банкам широкие перспективы для заработка, считает Эльман Мехтиев. «Если мы выстраиваем собственные процессы с помощью биометрии, то почему мы не можем выступить центром идентификации для других бизнесов? Банки могут стать провайдерами идентификации, — заявил он. — Мы создаем систему и даже не замечаем, что можем на ней зарабатывать». Нужно только выстроить юридическую систему между клиентом, банком и теми структурами, которым эти данные необходимы.

Сталкиваются банки и с чисто техническими сложностями. Так, в приказе ЦБ № 321, который устанавливает технические требования к процессу сбора биометрических данных, перечислен список обязательного оборудования, у части которого отсутствуют спецификации, так как производители их не раскрывают. Проблему приходится решать в ручном режиме, переговорами непосредственно с производителями, рассказал директор офиса «Единая биометрическая система» компании «Ростелеком» Олег Ковпак.

Дистанционные сервисы по открытию счета, вклада или получению кредита пока реализованы только крупнейшими банками: Почта Банк, Банк Хоум Кредит, Совкомбанк, Тинькофф Банк, Альфа-Банк. Видно, что отсутствие в этом списке лидеров рынка в лице ВТБ и Сбербанка сказывается на числе людей, заинтересовавшихся биоидентификацией.

На данный момент число биометрических учетных записей в ЕБС едва перевалило за три тысячи (из них более тысячи — это клиенты Почта Банка). Число услуг, оказанных при помощи новой системы, исчисляется несколькими десятками. При этом сами банкиры отмечают, что клиенты, которые сдают биометрию, — это не совсем та аудитория, на которую система изначально была ориентирована. Это самые продвинутые клиенты, чаще из крупных городов, которые не обделены финансовыми услугами. «Те люди, которые сейчас получают биометрию, — это новаторы, им неважно получить продукт в банке, им важно опробовать новую технологию», — сказал руководитель Центра развития электронных продуктов и сервисов для розничных клиентов Альфа-Банка Сандип Шарма. Еще один пласт сдавших биометрию — это сотрудники банков, финансовых и IT-организаций, которые ее тестируют.

Важнейшей темой при внедрении ЕБС становится кибербезопасность системы — как в целом, так и каждого ее участка. «Если биометрические данные будут хотя бы один раз скомпрометированы, то у клиента появится масса проблем, — отметил директор по бизнес-развитию направления биометрических систем ЦРТ Андрей Хрулев. — Поэтому так важна максимальная защищенность системы». Он подчеркнул, что атаке может подвергнуться практически любое звено, которое участвует в цепочке передачи данных биометрических характеристик, — начиная с устройства ввода, куда пользователь смотрит и говорит, и заканчивая самой биометрической моделью в хранилище.

Развитие технологий не только облегчает жизнь банкирам и их клиентам, но и несет новые риски. Так, недавно на Международном хакерском конгрессе в Германии один программист продемонстрировал рабочий макет подушечки пальца министра обороны Германии Урсулы фон дер Ляйен, созданный по нескольким фотографиям политика. «Сам факт того, что, используя публичную информацию, можно создать фейк, который будет имитировать биометрические характеристики, — подчеркнул Андрей Хрулев, — это скандальный пример, но он может затронуть и иные биометрические характеристики». Также он напомнил о развитии технологий спуфинга, и не только голосового. Буквально на днях в КНР презентовали цифровую модель телевизионного ведущего, полностью копирующую реального человека, включая поведение. По мнению А. Хрулёва, выход — в максимально полном использовании технологий Liveness detection, построенных на принципах мультимодальности, когда на базовые решения можно будет при необходимости «прикручивать» новые алгоритмы для защиты от новых атак.

Именно такой подход заложен в систему безопасности ЕБС, заверил представитель оператора системы Олег Ковпак. «Даже среди организаций, специализирующихся на безопасности, мало кто может сейчас приблизиться к взлому системы», — подчеркнул он. Безопасность данных помимо прочего обеспечивается их раздельным хранением и сквозным шифрованием в соответствии с Законом о персональных данных и с использованием отечественных криптоалгоритмов.

Основные требования к безопасности системы также перечислены в приказе ЦБ № 321, но со стороны банков остаются вопросы по их практической реализации, отметил О. Ковпак. «Сейчас мы ведем активные консультации с уполномоченным органом в лице ФСБ России и готовим типовой продукт по информационной безопасности, чтобы банки могли бесшовно интегрировать его в свои информационные системы», — заявил он.

А вот по мнению А. Федорца, главная опасность для безопасности системы — это переход к оказанию на ее основе нефинансовых услуг, к примеру медицинских: «Получается, что в районной поликлинике должна быть установлена стойка с оборудованием по безопасности. Не только дорогостоящим, но и сложным в использовании. Один из приборов требуется включать с привлечением трех человек. А кто в поликлинике сисадмин? Студент. Два других, наверное, будут главврач и завхоз. В итоге использование оборудования сведется к тому, что его будут обслуживать низкоквалифицированные лица. Это значит, что с широким внедрением мы можем убить доверие и снизить надежность защищенных контуров системы».

Тем не менее без широкого обслуживания не обойтись. Практически все участники дискуссии отметили, что без расширения списка услуг внедрение ЕБС будет буксовать. Особенно важно внедрять обязательные для граждан госуслуги, от получения паспорта до смены водительских прав, считает руководитель направления новых технологий интернет-кредитования Хоум Кредит банка Елена Медведева. «Ходить по госучреждениям — не самое приятное времяпрепровождение. Множество людей присоединится к ЕБС как только поймет, что это избавит их от таких визитов», — уверена она.

Это подтверждается практикой Беларуси. Там межбанковская система идентификации (МСИ) действует уже два года. При этом резкий рост числа зарегистрированных пользователей произошел тогда, когда с ее помощью люди смогли получать удаленный доступ к выпискам из своей кредитной истории, рассказала заместитель председателя правления компании «Единое расчетное и информационное пространство» Наталья Штевнина. Однако эта система строится на обмене данными о клиентах банков с другими банками после валидации их в госорганах (по физическим лицам в АС «Паспорт» МВД РБ, по юридическим в ЕГРЮЛиИП Минюста РБ). Также на данный момент участники МСИ — только банки и небанковские кредитные организации. Такая конфигурация во многом вызвана компактностью страны, где действуют всего 24 банка и 23 небанковских кредитных организации. Тем не менее сейчас уже начинается разработка биометрической идентификации. Она будет предназначена для первичной регистрации при ДБО, обслуживании клиентов при личном обращении без документов и для высокорисковых и крупных операций по ДБО. Может она использоваться банками и для построения бизнес-стратегий, основанных на принципе KYC, в перспективе системы биометрической идентификации стран ЕврАзЭс должны быть интегрированы, считает Н. Штевнина.

О мировой практике биобанков рассказала завкафедрой философии образования МГУ Елена Брызгалина. Сейчас есть несколько моделей банков, собирающих биоматериал. Из них наиболее интересны бизнесу персонифицированные биобанки, так как они могут служить основой для принятия управленческих решений. Они будут востребованы страховщиками, банкирами, медиками и т.д. Это ставит массу этических вопросов. «Мир ищет баланс между персонификацией и деперсонификацией, — заявила Е. Брызгалина. — Мы идем по пути биометрии достаточно быстро технологически, но не вырабатываем модель соотношения персональной автономии и общественного блага, приемлемую для нашей страны». В своем выступлении она раскрыла, что мир стоит на пороге технологических трансформаций привычных понятийных границ по линиям «человек — животное» (люди-химеры, «пара-люди»), «человек — машина» (кибергизация, имплантируемые нейроинтерфейсы, киборги, гриндеры), «норма — паталогия» и даже по линии «жизнь — смерть».

Это все часть новой технологической революции, которая способна изменить основы человеческой философии, думает Илия Димитров, исполнительный директор Ассоциации электронных торговых площадок. Основные параметры нового мира, по Илие Димитрову, следующие: тотальная цифровизация, новые материалы, новая система управления. В нем экономика станет персонализированной и прогностической. «Будут ли современные компьютеры константой нового мира? Нет. Его основой будет квант, а в перспективе и фотон», — считает он. Это изменит всю систему аутентификации и систему восприятия

«Я не верю что присутствующие на рынке информационные гиганты выживут на горизонте 5–10 лет, — заявил Илия Димитров. — Их не будет. Вообще никого не останется. Все потому, что они про текст и цифры, а мир — это образы. Человек — существо, которое мыслит образами. Мы входим в мир прогностический, квантовый, где материя сливается с управлением».