Финансовая сфера

Банковское обозрение


  • Применима ли биометрия для удаленного доступа к финансовым услугам?
23.03.2017 Мнение

Применима ли биометрия для удаленного доступа к финансовым услугам?

С осени 2016 года по настоящее время на банковских форумах идет интенсивное обсуждение возможности применения биометрических способов идентификации клиентов организаций, осуществляющих операции с денежными средствами, в удаленном режиме


О терминологии

Словосочетание «удаленная биометрическая идентификация» в нормативно-правовой базе РФ отсутствует (см., например, «Консультант+»). Есть понятия «доступ» и «удаленный доступ». Заметим, что для удаленного доступа требования выше, чем для доступа в локальной сети. Это понятно: при удаленном доступе кроме более жестких требований к идентификации и аутентификации пользователя добавляются риски незащищенности компьютера, с которого совершается попытка доступа (вирусы, трояны, нерегулярное обновление системного и прикладного ПО и т.д.), к тому же добавляется необходимость защиты канала удаленного доступа.

Также в нормативно-правовой базе отсутствует понятие «удаленная идентификация». Имеется понятие «упрощенная идентификация», введенное в Законе № 115-ФЗ и получившее дальнейшее развитие в Приказе Росфинмониторинга от 17 февраля 2011 года № 59 применительно к анализу рисков операций, совершаемых клиентами. Тем не менее с легкой руки ряда специалистов гуманитарного профиля несколько лет назад термин «удаленная идентификация» появился в ряде статей — словосочетание ведь красиво звучит! При этом заметим, что в настоящее время не существует ни одной общепринятой модели исследования безопасности и надежности идентификации, не говоря уже о соответствующей модели нарушителя. Учитывая, что до настоящего времени практически не исследованы проблемы удаленной идентификации, заявлять, что та или иная технология, используемая при этом, лучше или хуже другой, необходимо осторожно.

Особенности идентификации клиентов в кредитно-финансовой сфере

Исторически сложилось, что организации кредитно-финансовой сферы находятся на передовом фронте борьбы с киберпреступностью. Это не только давление западных поставщиков системного и прикладного ПО, но и хорошо вооруженные передовыми технологиями преступные группировки, а также разного рода злоумышленники. В последние годы число атак на системы банковского обслуживания и системы дистанционного банкинга непрерывно растет. Курс Банка России на обеспечение киберустойчивости и применение риск-менеджмента во всех критичных операциях не подразумевает ослабления требований к обеспечению безопасности обрабатываемой, хранимой и передаваемой информации. Следовательно, применение новых технологий не должно понижать защищенность информационных ресурсов и самой информации. Это — главные особенности кредитно-финансовой сферы.

Применение биометрических методов идентификации

Тем не менее тема возможности удаленной идентификации клиентов банка интенсивно обсуждается, хотя все понимают, что это может привести к снижению защищенности, а любое ослабление требований к безопасности, как правило, грозит новой волной злоупотреблений. Далеко не все эксперты и представители регулирующих органов всецело поддерживают новую инициативу. Согласно Федеральному закону, «банк сначала имеет право отказать клиенту в проведении операции», как сказал на Форуме Finopolis 2016 статс-секретарь Росфинмониторинга Павел Ливадный. В любом случае риск остается на банке — принимает ли он решение об удаленном обслуживании или же использует стандартную процедуру личного присутствия клиента в банке.

Биометрическая идентификация граждан основана на методах математической статистики. Анализ методов биометрической идентификации показывает, что более надежны методы, использующие дорогую аппаратуру, строгое соблюдение регламентов и правил сбора первичной биометрии, хранения образцов, а также развитый математический аппарат сравнения предъявляемых характеристик с образцами хранящихся биоданных. Ориентир на недорогие решения, провозглашенный основными докладчиками конференции 10 февраля, неизбежно означает, что итоговая достоверность результата идентификации клиента, проведенной банком, может оказаться ниже ожидаемого значения. В условиях отсутствия стратегии построения уровней доверия к первичной и вторичной идентификации, а главное — установления доверительного интервала и регламента передачи идентификационных данных от одной организации кредитно-финансовой сферы другой это может привести к повышению рисков нарушения безопасности и надежности идентификации со стороны злоумышленников.

Реклама






Новости Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ