Биометрия может быть опасна для ваших денег!
Лента новостей
Минкомсвязи приказало улучшить качество собираемых банками биометрических данных. Какие подводные камни подстерегают нас на пути «биометризации всей страны»?
Качество биометрических данных для банков оставляет желать лучшего, к таким выводам пришло Минкомсвязи. Как банки собирают биометрию и насколько все это безопасно, особенно в свете мошенничеств с электронными цифровыми подписями?
Ситуация: у человека в банке взяли биометрию, то есть его сфотографировали, записали образец его голоса, попросив произнести несколько цифр, и данные внесли в общую базу. Когда система заработает, клиент сможет удаленно совершать любые операции: оформить кредит, перевести деньги на другой счет, в том числе в другом банке. Достаточно иметь либо смартфон, либо компьютер с веб-камерой, чтобы система узнала пользователя.
А теперь реальность, о которой сообщил «Коммерсантъ». Когда человека фотографировали, за его спиной была видна реклама банка, например лицо известного актера. Что будет думать система, кто из них двоих клиент — тот, кого и хотели сфотографировать, или актер? Скорее всего, выдаст ошибку. Или взять запись голоса. По идее это надо делать с помощью хорошего микрофона. Но вот как сбор биометрии происходит в одном из крупных банков, рассказывает москвичка Дарья.
«Менеджер попросил меня посчитать от нуля до девяти и обратно на картридер, это у них такой «микрофон». Сфотографировал на веб-камеру, и, полагаю, позади меня все-таки виднелись другие люди и, собственно, само отделение. Уточнила по поводу голоса. Сказали, что в любом случае идеальной тишины не будет, а тембр голоса аппарат при таких условиях все-таки распознает и достаточно только этого».
Впрочем, Минкомсвязи вроде взялось за дело и выпустило приказ. Там и характеристики микрофона, и требования, чтобы на фото обязательно были оба уха, подбородок и макушка, и еще много пунктов.
Интересно, коснется ли это Сбербанка? Он собирает биометрию самостоятельно, без помощи регуляторов, у него своя платформа. Еще вопрос: попадут ли данные «Сбера» в единую базу? Ведь без участия крупнейшего банка она будет, мягко говоря, неполной.
Тут два аспекта. Первый: президент «Сбера» Герман Греф считает, что его система более продвинутая, чем та, которую запустили ЦБ и «Ростелеком». Второй же аспект, скорее, материальный: Сбербанк в обозримом будущем рискует лишиться части клиентов, которые смогут легко уйти в другие банки. Ситуацию комментирует младший директор по банковским рейтингам агентства «Эксперт РА» Иван Уклеин.
Иван Уклеин младший директор по банковским рейтингам агентства «Эксперт РА» «Даже в отдаленном поселении, где есть хотя бы один банк, у человека не будет уходить много затрат, времени, сил, денег. Достаточно будет иметь какое-то устройство с выходом в интернет, один раз пройти идентификацию и получить доступ к очень широкому набору финансовых услуг. Крупнейший банк чуть ли не единственный на текущий момент игрок, которому все это не очень выгодно».
Следующий момент касается безопасности. Практика показывает, что мошенники часто идут на шаг вперед. Сегодня банки собирают биометрию, а кто-то, возможно, уже придумал, как этим воспользоваться. Даже не нужно наставлять на человека пистолет, чтобы заставить его идентифицироваться по голосу, лицу и перевести деньги.
Есть современные технологичные способы фальсификации. Они пока, скорее, на уровне экспериментов, но они уже есть, поясняет ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
Сергей Голованов ведущий антивирусный эксперт «Лаборатории Касперского» «Есть какие-то методы обхода, то есть распознавания, например, отпечатков пальца, которые для телефонов используются. Либо те же самые камеры, которые умеют распознавать лица. Естественно, можно сделать какую-то маску, и камеры тебя узнают. Но поймите, что все эти технологии часто имеют просто академический интерес. Можно взять 3D-принтер, напечатать на нем отпечаток пальца. Да, можно, но это все единичные случаи».
Но дело не только в технологиях. Взять недавние примеры мошенничества с электронной цифровой подписью. Оказывается, кто-то, имея на руках скан паспорта, может получить цифровую подпись за другого человека. Почему бы не допустить, что кто-то, сговорившись с сотрудником банка в каком-нибудь небольшом отделении маленького города, не сдаст биометрию за чужого человека, а потом представится системе и переведет деньги себе или возьмет кредит и так далее?
Это будет даже похлеще, чем ЭЦП. Уведенную на чужое имя недвижимость или бизнес есть шансы вернуть. Снятые в банкомате деньги — практически невозможно. И, наверное, об этом в первую очередь надо задумываться регуляторам, прежде чем строить цифровизацию в отдельно взятой стране.