Контакты
Подписка
МЕНЮ
Контакты
Подписка

Биометрия на страже банков

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Биометрия на страже банков

А.Ф. Стеблева
Директор по маркетингу НПО "Информация"

Финансовая сфера относится к числу наиболее перспективных для внедрения биометрических технологий, возможности которых могут быть использованы здесь с большой эффективностью

Биометрические характеристики

Биометрические системы безопасности позволяют автоматически распознавать человека по его предварительно зарегистрированным физиологическим или поведенческим характеристикам.

В результате многолетних наблюдений и исследований определены наиболее различимые биометрические признаки (характеристики) людей. Физиологические биометрические признаки человека - отпечаток пальца, черты лица, рисунок кровеносных сосудов пальца или ладони, геометрия руки, радужная оболочка глаза, ДНК и другие. Вес и рост также являются физиологическими характеристиками, но их нельзя считать уникальными, так как они могут изменяться со временем. Свойство неизменности на протяжении длительного времени не присуще и многим поведенческим характеристикам, таким, к примеру, как голос, походка, подпись, динамика печати на клавиатуре. Не каждая из перечисленных биометрических характеристик универсальна, то есть может быть измерена у любого человека. Ведь бессмысленно определять особенности печати на клавиатуре у людей, незнакомых с компьютером, или снимать отпечаток конкретного пальца у человека, у которого этот палец отсутствует, либо записывать голос людей с травмами органов речи. Измеримость различных биометрических признаков также играет свою роль. Например, по статистике около 5-7% населения нашей планеты не имеют (из-за возраста, расовой принадлежности, рода занятий и пр.) машинно-считываемых отпечатков пальцев. Биометрические характеристики, в отличие от носимых идентификаторов (удостоверений, карточек) или паролей, нельзя украсть или передать другому человеку, тем не менее проблема подделки существует и здесь. Известно, что некоторые сканеры отпечатков пальцев принимают пластиковую или резиновую копию пальца за подлинник, а изображение радужной оболочки глаза оригинала, нанесенное на контактную линзу, способно "обмануть" отдельные системы распознавания. Устойчивость к подделкам идентификационной системы зачастую влияет на выбор и способ применения биометрических систем. Одна из самых важных характеристик биометрических систем - точность, то есть способность системы достоверно различать биометрические характеристики, принадлежащие разным людям, и надежно "узнавать" "своих". В биометрии эти параметры называются ошибкой первого рода (False Reject Rate, FRR), когда система не узнала "своего", и ошибкой второго рода (False Accept Rate, FAR), когда система пропустила чужого, то есть приняла "чужого" за "своего".

Важное дополнение к системе безопасности

Выбор отраслей, наиболее перспективных для внедрения биометрии, с точки зрения аналитиков, зависит, прежде всего, от сочетания двух параметров: безопасности (или защищенности) и целесообразности использования именно этого средства контроля или защиты. Основные позиции по соответствию этим параметрам, бесспорно, занимают финансовая и промышленная сфера, правительственные и военные учреждения, медицинская и авиационная отрасли, закрытые стратегические объекты. Именно данной группе потребителей биометрических систем безопасности важно не допустить неавторизованного пользователя из числа своих сотрудников к неразрешенной для него операции, а также важно подтверждать авторство каждой операции.

Как известно, охрана банков всегда требовала применения самых современных специальных средств, но если до недавнего времени проблема заключалась в охране объекта от внешних вторжений, то сегодня чрезвычайно важно противостоять внутренним угрозам. С развитием технологий параллельно повышается вероятность не только внешних атак, но и внутренних сбоев в работе всех банковских систем. Многие зарубежные аналитики утверждают, что российский бизнес уделяет недостаточно внимания оценке внутренней уязвимости. Решение проблемы за счет использования только программных и аппаратных средств с целью минимизирования потерь сейчас уже не может считаться эффективным и надежным. Большая часть усилий и финансов расходуется на антивирусные программы, тогда как западные компании, считая интерес к антивирусным программам первой линией обороны, переключили свое внимание на авторизацию, аутентификацию и аудит. Необходима слаженная и четко спланированная работа всех служб (охраны предприятия, отдела кадров, противопожарной, информационной безопасности). Современная банковская система безопасности уже не может обходиться не только без привычных средств, гарантирующих защищенность объекта, но и без биометрии. Использование биометрических технологий в банке дополняет существующую систему безопасности в двух основных направлениях: подъем уровня безопасности и повышение удобства использования для его сотрудников и клиентов.

Способы идентификации

Идеальная схема идентификации совмещает три типа идентификаторов: носимые (карточки, ключи), знания (пароль, коды, способ использования) и биометрические идентификаторы. Первые два типа широко распространены в банках, а из биометрических идентификаторов активно используется только подпись (в чистом виде она не является биометрическим идентификатором, так как отсутствует ее автоматическое распознавание).

Развитие мирового рынка выдвигает на первое место так называемые "три большие биометрии": это цифровое изображение лица (3D и 2D), отпечаток пальца и изображение радужной оболочки глаза.

Определяющим фактором применимости биометрии в банках является социальная приемлемость метода. Не секрет, что отпечатки пальцев ассоциируются у населения с криминалом и вызывают психологическое напряжение. Именно поэтому сканеры отпечатков пальцев часто используются банками исключительно для внутреннего контроля сотрудников при совершении тех или иных операций. Для смягчения неприятного эффекта от возникновения ассоциаций с использованием отпе-чатка пальца в правоохранительных органах, возможно, стоит заменить термин "отпечатки пальцев" на более нейтральное выражение "изображение пальца".

По соответствию социально приемлемому фактору на первое место выходят, безусловно, бесконтактные технологии, при которых пользователь имеет минимальное взаимодействие с устройством. Лидирующую позицию здесь занимает цифровое изображение лица - биометрика. Эта технология, в частности, была признана Международной организацией гражданской авиации (ICAO) обязательной для паспортновизовых документов нового поколения, при этом два других биометрических параметра - отпечатки пальцев и изображение радужной оболочки глаза - являются дополнительными, и каждое государство может включать их в паспортно-визовые документы по своему усмотрению. Что касается банковской сферы, то здесь в последнее время на рынок бесконтактных технологий выходят и сканеры рисунков вен.

Биометрия в банковской сфере

Рассмотрим подробно основные позиции применения биометрии в банковской сфере. При отсутствии достоверной статистики будем по-дразумевать под биометрическими устройствами использование "трех больших биометрий" с теми или иными принципиальными оговорками.

Служба физической безопасности На ряд помещений банка традиционно и закономерно распространяется ограничение права доступа как для сотрудников, так и для клиентов. Банк предоставляет своим клиентам беспрепятственный проход в разрешенные для их доступа помещения.

В том случае, если клиенту следует подтвердить свою личность, использование биометрии приходит на помощь и оказывается более дружественным способом авторизации, чем предъ-явление карточки или ввод PIN-кода, ведь последние способы напрямую связаны с человеческим фактором. Можно потерять карточку, забыть PIN-код или, что тоже случается, передать их "по дружбе" другому лицу. С помощью биометрических систем безопасности можно ограничивать или разрешать доступ:

  • для сотрудников - в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов;
  • для клиента - к своей ячейке;
  • для особо важных клиентов - в ряд специальных помещений.

    При этом биометрия решает следующие задачи:

  • существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом;
  • создает психологический барьер для потенциального злоумышленника;
  • документально подтверждает факт прохода в охраняемые помещения каждой личности.

К примеру, один из швейцарских банков начал использовать биометрическую систему контроля доступа, основанную на трехмерной технологии распознавания лица и радужной оболочки глаза, которая полностью исключила риск потери, кражи и несанкционированного использования ключей. Сканеры радужки установлены в этом банке для ограничения доступа в хранилище. Биометрическая система контроля доступа, основанная на трехмерной технологии распознавания лица и радужной оболочки глаза, может работать без идентификационных карт, ключей и PIN-кодов и обеспечивать безопасный доступ в здание нескольким тысячам сотрудников.

Биометрические сканеры, способные распознавать трехмерное изображение лица, используются для физического доступа, а также для контроля времени прихода сотрудников. Сотрудник отдела кадров сканирует трехмерное изображение лица человека, а алгоритм переводит его в цифровой биометрический шаблон. Система делает несколько сканирований лица, сравнивает их с базой сохраненных образов и через полторы секунды выдает ответ. Система не зависит от освещенности объекта, в котором она установлена, нечувствительна к внешним изменениям, так как воссоздает твердотельную маску лица и способна различать даже однояйцевых близнецов. Кроме того, эту систему невозможно обмануть.

Служба информационной безопасности

Согласно результатам недавних исследований, треть пользователей записывает пароли, а это означает, что любые носители информации о пароле (как правило, это обычный листок бумаги, оставленный в ящике стола) могут быть доступны другим лицам. Большинство экспертов приходит к выводу, что компаниям следует использовать новые методы обеспечения безопасности, в частности биометрию. К примеру, Федеральный совет США по надзору за финансовыми учреждениями (Federal Fi-nancial Institutions Examination Council - FFIEC) рекомендует американским банкам применять двухфакторную аутентификацию и отойти от общепринятой системы авторизации при помощи ввода пароля и логина, так как эта система слишком неустойчива к попыткам взлома. Американская банковская ассоциация заявила, что потери банков из-за операций с PIN в 2004 г. составили 43 млн долларов. Основные рекомендации заключаются в использовании биометрических технологий, причем по прогнозам разработчиков, биометрические сканеры и вычислители вскоре будут встраиваться непосредственно в компьютер. Использование биометрической идентификации в службе информационной безопасности банка, в первую очередь, позволит ограничить доступ к компьютерам (рабочим станциям и серверам), к базам данных либо их частям, обеспечит контроль личности оператора в реальном режиме времени. Следует отметить, что многие банки для обеспе-чения информационной безопасности выбирают сканеры отпечатков пальцев. Определяющим фактором в этом случае выступает невысокая стоимость устройств по сравнению с другими технологиями.

Процедура идентификации выглядит таким образом: сотрудник предъявляет отпечаток пальца сканеру и по результатам распознавания получает права доступа к информационным ресурсам. Идентификацией по отпечатку пальца могут заменяться пароли не только для входа в сеть, но и для доступа к документам, обрабаты-ваемым прикладными программами, другими приложениями (в том числе специфичными для финансовой сферы), а также к защищенным ресурсам Интернета.

Процедура распознавания занимает не более 1,5 с; цифровые модели отпечатков пальцев централизованно хранятся и обрабатываются на программном сервере идентификации; при этом восстановить реальный отпечаток из его цифровой модели невозможно.

Служба финансовой безопасности

Использование биометрии в банкоматах и терминалах оплаты поможет существенно снизить уровень мошенничества при снятии денег со счета, сделает более доступной работу с карта-ми в банкоматах (например, для людей преклонного возраста, которые далеко не всегда могут запомнить PIN-код).

Единственным способом авторизации пользователя в банкоматах является PIN-код. Правила платежных систем запрещают записывать эти цифры (по крайней мере, рядом с картой или с пометкой, что это PIN-код). В том случае, если держатель забыл PIN-код, воспользоваться можно только рассчитавшейся картой, если она не требует авторизации PIN-кодом при выполнении такой операции. В данном случае подтверждением личности будет подпись, которую, как правило, никто не сличает. Разумеется, широкое применение биометрии в этой сфере требует взаимодействия с международными платежными системами, однако воз-можно введение локальных проектов (зарплатных, пенсионных), призванных снизить уровень потенциальных потерь, а также повысить удобство пользования.

При расчетно-кассовом обслуживании, выдаче наличных средств и прочих операциях в отделении банка, которые требуют подтверждения личности клиента, биометрия способна решить ряд насущных вопросов. К примеру, клиент сможет выполнить требуемую операцию на основании такой идентификации, а не только на основании его удостоверения личности, а операционист получит доступ к записи в базе данных, хранящей информацию об этом клиенте. Такой подход может снизить уровень мошенничества с подложными документами и усилить внутренний контроль: получить информацию о кли-енте можно только при его личном присутствии; задачу подтверждения личности клиента будет решать биометрическая автоматика. Банк заинтересован в снижении рисков при выдаче кредитов. Здесь предлагается в качестве идентификатора клиента наравне с паспортными данными использовать трехмерное изображение его лица. В этом случае появится возможность оперативно (в течение нескольких минут) провести проверку и выяснить, не являлся ли этот клиент заемщиком банка ранее, а если являлся, то оценить его кредитную историю. Таким образом, решается вопрос с предоставлением клиентом подложных документов, а для недоб-росовестных заемщиков устанавливается психо-логический барьер.

Кроме того, в случае невозврата кредита, биометрические данные заемщика можно передать в правоохранительные органы в качестве улики, если даже установлено, что заемщик пользовался подложными документами. Особое значение имеет биометрия для защиты банковской тайны. Не секрет, что значительная часть угроз, направленных против защищаемой информации, исходит от сотрудников банков. При использовании биометрических методов защиты сотрудник, обращаясь к информации, которая составляет банковскую тайну, обязан будет предъявить свое лицо для авторизации. Кроме непосредственно биометрической идентификации будет производиться и обычная видеозапись. Данное решение окажется полезным при проведении расследований, связанных с утечкой информации.

Служба маркетинга

Клиент обязательно оценит заботу, которую проявляет о нем банк, использующий биометрические технологии, что, наверняка, скажется и на росте клиентской базы, и на увеличении среднего размера вкладов. Открытый и безопасный банк можно рекомендовать друзьям и знакомым. Открытый - благодаря избранной политике, безопасный - потому что он использует биометрию.

Предложение пройти простую процедуру биометрической регистрации (трехмерного фото-графирования) с целью защиты личных данных, а также процедуру последующей авторизации для доступа к своему счету станут для клиента свидетельством заботы банка о сохранности его средств, убедят сделать выбор именно в пользу этой финансовой организации. Можно также авторизовать клиента в отделении "со слов": сегодня для этого, как правило, используется некое кодовое слово ("девичья фамилия матери"), однако данный метод не лишен недостатков (слово и всю остальную информацию могут подслушать, ею может воспользоваться недоб-росовестный операционист). Предварительная биометрическая идентифика-ция клиента сразу при входе в отделение позво-лит уделять особое внимание важным клиентам, тем самым повышая их лояльность к банку. Такая же предварительная идентификация даст возможность заранее "подгружать" необходимые данные для типовых операций, которые обычно совершает этот клиент. В допустимых законом случаях возможно анонимное обслуживание клиентов (например, ряд банков ведут проекты "детских банков", где сум-мы средств незначительны, но дети учатся поль-зоваться банковской системой, средствами конкретного банка).

Путь к позитивному отношению

Еще три года назад повсеместное введение биометрии в банках сдерживали два фактора: неуверенность потребительского рынка в наличии желания пользоваться биометрией и отсутствие единых стандартов. Однако сегодня эти барьеры успешно преодолеваются.

По данным многочисленных опросов общественного мнения, ситуация кардинально изменилась: потребители проявляют позитивное отношение к биометрии, их привлекают банки, предлагающие широкий круг высокотехнологичных защитных и удобных функций и, в частности, возможность биометрической иденти-фикации. Опросы показывают, что потребители рассматривают эти функции как позитивные, даже если не планируют часто ими пользоваться. В результате опроса, проведенного маркетинговой информационной группой TNS по запросу компании Trustе, более половины американских потребителей поддерживают появление биометрической идентификационной информации на кредитных и дебетовых картах. Из 1025 потребителей в США 64% согласились бы на размещение биометрической информации на кредитных картах, в то время как 62% хотели бы этого для дебетовых платежных карт. Следует упомянуть и о другом немаловажном факте, а именно: о значительных сдвигах, которые происходят в области изменения и утверждения единых стандартов. Например, российский проект об изменении международного биометрического стандарта на ци-фровое изображение лица поддержали 30 стран мира. Под цифровым изображением лица теперь будут понимать формат данных, включающий в себя как обычную двухмерную, так и трехмерную фотографию лица. Международный подкомитет по стандартизации в области биометрии при ISO (The International Organisation for Standardisation) утверждает и другие поправки в области биометрии. В скорейшем принятии новых стандартов заинтересованы не только финансовые и промышленные корпорации, но и правительства многих стран: США, Европейского союза, Японии, Австралии и других государств.

Опубликовано: Журнал "Системы безопасности" #1, 2007
Посещений: 12623

  Автор

 

Стеблева А. Ф.

Директор по маркетингу НПО "Информация"

Всего статей:  2

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций