Роль биометрии в защите банковских данных

Биометрические персональные данные – это информация, характеризующая физиологические и биологические характеристики человека и на основе которой можно установить его личность. Такие признаки, в дополнение ко всем известным отпечаткам пальцев, могут включать топографию лица, руки или пальца, текстуру кожи, структуру радужной оболочки, изображение сетчатки, структуру сосудов кисти, папиллярное строение ладони, динамика рукописной подписи и голоса.

EБС – это база данных, в которой хранятся шаблоны биометрического контроля (эталонные образцы для сравнения). Различные организации и учреждения могут обращаться в EБС для установления личности конкретного гражданина. В качестве образцов используются фотография лица и запись голоса человека. Это связано с наличием инструментов сбора образцов - вам нужны только камера и микрофон, которые есть в любом современном смартфоне.

Уже более года в России действует Единая биометрическая система (ЕБС), которой управляет Ростелеком, а регулирующим органом является Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. Возможности использования EБС чрезвычайно широки, но пока они ограничены только банковским сектором: в ближайшее время будет достаточно использовать приложение на смартфоне или личный счет на сайте банка, чтобы открыть счет, перевести средства или чтобы получить кредит.

С одной стороны, биометрические системы являются крайне полезным и эффективным инструментом, но в то же время существуют некоторые риски, связанные с использованием данных технологий, в частности речь идет о недостаточной безопасности таких методов.

Не существует 100% безопасных систем - всегда есть риски обхода защитных механизмов, меняется только их размер. Поэтому при создании системы защиты информации крайне важно выявлять текущие угрозы и выбирать меры защиты, которые будут их выравнивать. Фактические угрозы, связанные с биометрическими персональными данными, были определены Центральным банком. Это угрозы, связанные со сбором данных в банке и на устройстве клиента при удаленной идентификации, с передачей и хранением данных.

Чтобы защитить собранные биометрические образцы от модификации и кражи до момента передачи в EБС, банкам следует применять ряд мер, которые были определены Центральным банком. К ним относится, например, внедрение различных средств защиты информации. Отправка на EBS происходит с использованием Межведомственной системы электронного обмена, что также исключает возможность замены или компрометации данных во время передачи.

В отличие от сбора биометрических данных, удаленная идентификация используется банками добровольно. Если кредитное учреждение предоставляет эту услугу, оно должно использовать средства шифрования информации и разрешать использование таких средств для клиентов. Если клиент банка проходит удаленную идентификацию с помощью компьютера, он имеет право отказаться от использования средств шифрования. В случае с мобильным телефоном, смартфоном или планшетом использование инструментов шифрования является обязательным, и если вы откажетесь от их использования, человек не сможет пользоваться услугами удаленного банковского обслуживания, где для идентификации требуются биометрические данные.

Защита представляет собой непосредственно процедуру сбора биометрических данных: для идентификации используются две характеристики (изображение и голос), более того, при проверке соответствия выборок контрольным шаблонам в EБС одновременно используются несколько алгоритмов. Все это снижает вероятность ошибки или обмана при удаленной идентификации.

Таким образом, в соответствии с требованиями и рекомендациями регулятора надежная защита данных обеспечивается на всех участках обработки. Особое внимание в настоящее время уделяется защите персональных данных как со стороны государства, так и банков, поскольку утечка может негативно повлиять на восприятие EBU в целом и доверие к банкам в частности. Поэтому можно с уверенностью сказать, что применяемый комплекс мер будет доработан для противодействия возникающим угрозам.