Биометрические технологии давно известны в финансовом мире. По крайней мере, об идентификации человека по отпечаткам пальцев известно уже несколько столетий. Но за последние лет двадцать у нас в стране эта тематика то вдруг привлекала внимание общественности, то так же неожиданно исчезала из поля зрения уже не раз.

Как ни удивительно, но часто источником интереса выступали громкие кейсы, связанные с внедрениями либо отечественных биометрических решений, либо продуктов компаний, основанных выходцами из бывшего СССР, в таких мировых гигантах, как Deutchebank или Wells Fargo. Но и отечественные банки не дают «застояться» теме. Так, член правления Почта Банка Павел Гурин рассказал о передовом опыте своего Банка в таком разделе биометрии, как распознавание лиц.

Однако недостаток информации о кейсах приводил к путанице в головах потенциальных потребителей этой технологии в России. Одни считают, что биометрия ― это что-то из области информационной безопасности, а другие надеются использовать ее в качестве маркетингового инструмента. Но вдруг появляются признанные сообществом эксперты и заявляют, что и те, и другие не правы: биометрия в банке ― это про то, как сделать финансовые сервисы удобнее и доступнее для населения.

Но в чем сошлись практически все участники конференции, так это в том, что время очередного «взлета» биометрии, похоже, наступило, а значит, настал этап, когда необходимо собраться вместе и детально разобраться, что же такое биометрия в банке, послушать разработчиков, консультантов, представителей Минкомсвязи, а также поделиться опытом с представителями МФО, телекоммуникационных компаний и обычным розничным ретейлом, то есть со всеми теми, кто занимается массовым обслуживанием населения.

Знать клиента в лицо ― это привилегия

Первым слово на конференции предоставили Буладу Субанову, CEO консалтинговой компании BULAD&CO. Его задачей было напомнить собравшимся, что в каком бы качестве ни использовалась биометрия, приходится учитывать пункты многострадального ФЗ № 152 «О персональных данных». Поскольку речь идет о миллионах частных клиентов, банкирам необходимо иметь четкие ответы на два принципиальных для контролирующих органов и бдительной общественности вопроса.

Во-первых, как и где будут храниться персональные данные? Во-вторых, как они будут использоваться? Есть еще третий вопрос, который и задать-то, собственно, некому. Вокруг ФЗ № 152 за последние десять лет сломано немало копий, и пока «юристы спорят», финансовые ретейлеры не всегда могут понять, под каким именно регулированием находится, например, распознавание лиц в отделении среднего банка, где собралось, скажем, десять человек: это ФЗ № 152 и(или) ФЗ № 54 «О собраниях, митингах, демонстрациях, шествиях и пикетированиях»?

Однако юристы спорят, а жизнь идет, появляются разработки и даже первые кейсы их внедрения в России. Поэтому Булад Субанов предложил на примере RecFaces ― поставщика облачных решений в сфере многофакторной биометрической идентификации человека ― обсудить бюджетные и технологические проблемы.

Что касается затрат и сроков окупаемости, то надо четко понимать, что мир движется в сторону платформенных решений. Поэтому, во-первых, в инфраструктуру проекта должны включаться те решения, которые не превосходят по своему функционалу некоего минимума, необходимого для решения конкретной поставленной задачи, а во-вторых, и устройства, и программное обеспечение должны быть унифицированы в рамках платформы, а потому не надо требовать чего-то дополнительного для совместной в рамках платформы работы.

Например, нет никакого смысла использовать дополнительный к основному на рабочем столе компьютеру ноутбук за 700 долларов лишь для того, чтобы с помощью встроенного в него 3-D сканера лица определять, находится сотрудник на рабочем месте или нет. Для этого есть более дешевые решения. Зато, если на входе в офис установлена камера наблюдения, то ничто не должно препятствовать тому, чтобы интегрировать ее в IT-инфраструктуру компании и сличать поступающие с нее фотографии лиц сотрудников с хранящимися с базе данных HR-департамента.

Поэтому, по мнению докладчика, RecFaces, использующая технологии всех четырех мировых лидеров систем распознавания видеоизображений с камер (Axis Communications, Toshiba, Schneider Electric и Artec 3D) на базе платформы Intel, уже тестируется в пилотных проектах в Москве и регионах. Во всех этих случаях в зависимости от сценариев применения полученных данных биометрия используется по-разному: идентификация, маркетинг, борьба с мошенниками, а также выявление хулиганов и террористов.

Питерские технологии покорили США

Заместитель технического директора санкт-петербургской компании ЦРТ Алексей Рыбаков напомнил отечественным банкирам, что их зарубежные коллеги используют биометрию чаще всего для повышения уровня клиентского сервиса. Об этом он сообщил в ходе своего доклада «VoiceKey: платформа биометрической аутентификации по голосу».

«Сегодня ЦРТ является ведущим мировым разработчиком инновационных систем в сфере высококачественной записи, обработки и анализа аудио- и видеоинформации, синтеза и распознавания речи», ― обратился к залу г-н Рыбаков, имея в виду последние внедрения компании в американском Wells Fargo и белорусском Приорбанке, входящем в группу Райффайзенбанка. Тем самым он перевел обсуждение видеобиометрии в речевую плоскость.

Как оказалось, технологических проблем и здесь хватает. Как это ни парадоксально, одной из их причин стал технический прогресс, а именно перевод всех телекоммуникаций и записи звука исключительно в цифровой формат. Связисты всегда отличались от других «технарей» тем, что пытались на всем сэкономить, первыми столкнувшись с массовым спросом на ограниченную емкость каналов передачи голосовой информации, поэтому одними из первых и перешли на «цифру».

По этой причине «цифровой» звук в отличие от «аналогового» не содержит в своем спектре некоторых компонент, присущих естественному голосу. Кроме того, IP-пакеты в сетях связи имеют неприятное свойство пропадать или приходить с задержкой. Чтобы решить проблемы и предложить рынку продукт достойного уровня, нужна мощная математическая школа, которой, как известно, гордится Санкт-Петербург. Этим объясняется и тот факт, что отечественная криптография и биометрия имеют серьезный рыночный потенциал на мировом рынке.

Но, по словам докладчика, использовать только голос в качестве идентификатора недостаточно. Современные системы, базирующиеся на искусственном интеллекте, и хакеры, обладающие серьезной финансовой поддержкой, способны взломать любую голосовую биометрию при использовании синтезаторов звука и генераторов осмысленных фраз.

Именно это послужило толчком к разработке сервисов, использующих анализ фото и видео, но, в отличие от изложенного в предыдущем докладе, не как основного средства идентификации, а как дополнительного к голосу. Рассказывая о своей платформе VoiceKey, докладчик привел несколько вариантов ее использования, например, в мобильном банкинге.

Человек звонит в банк по какому-то поводу. Система на том конце провода на основе разных практик с высокой точностью определяет личность звонящего и в зависимости от уровня конфиденциальности запрашиваемой информации применяет второй фактор, часто персонализированный и несущий в себе некие ключевые фразы. Человеку необходимо запустить приложение на своем смартфоне, которое включает камеру. Далее система в текстовом виде предлагает озвучить слова, появляющиеся на экране. Анализатор по мимике лица и совпадению с озвученным текстом выдает банку положительное или отрицательное заключение на текст по аутентификации.

Но, как указывал докладчик в самом начале, вся эта процедура нужна не для управления счетом в банке по причинам, о которых говорилось выше, а для того, чтобы избавить людей не обращения по всяким мелочам в отделения банков. Подобная бизнес-практика использования VoiceKey была замечена операторами колл-центров, где совместно с IVR ― системой предварительно записанных голосовых сообщений, выполняющей функцию маршрутизации звонков, превратила этот бизнес в практически безлюдный. А значит, этот сервис стал доступен из облака и нашел массовое применение, причем не только в финансовом сегменте.

Фотография выдает мошенника

Николай Бочаров, заместитель генерального директора по продажам группы Equifax, перевел конференцию в русло обсуждения борьбы с кредитным фродом еще на этапе скоринга. Об этом он рассказал в рамках своего выступления «Применение биометрических технологий в борьбе с мошенничеством. Современные методы и опыт рынка».

К несчастью для мошенников, их деятельность началась не сегодня. Во многих банках и МФО уже хранятся коллекции фотографий их клиентов, а в компаниях наподобие Equifax вся эта информация собрана воедино, добавлена информация из баз данных мошенников и т.д. Поэтому, приходя в банк, будущий заемщик вынужден пройти процесс фотографирования.

Если у человека чистые кредитная история и помыслы, то проблем с кредитом быть не должно, лишь бы была финансовая гарантия возврата денег. Что делать, если гражданин пришел в банк впервые и там нет его фотографии? Современные технологии дают ответ на этот вопрос, но о тонкостях технологии, по понятным причинам, докладчик предложил банкирам пообщаться тет-а-тет.

«Пальчики» могут помочь при отсутствии связи

Хотя большинству присутствующих показалось, что идентификация по отпечаткам пальцев непригодна из-за простоты фальсификации и отжила свой век, оказалось, что это не совсем так. Об этом рассказал Александр Ефремов из департамента электронной коммерции и развития электронных каналов Банка Москвы в докладе «Биометрическая верификация для банковских карт».

Он вернул аудиторию в те времена, когда универсальной электронной карты еще не было, но активно развивалась объединенная расчетная система (ОРС). Именно тогда в Краснодарском крае было эмитировано, по словам докладчика, 30 тыс. социальных карт на базе этой системы. В чип этих карт было заложено биометрическое приложение, позволяющее надежно хранить цифровой отпечаток пальца (хэш). Кроме того, вся инфраструктура банкоматов и т.д., была адаптирована под использование второго фактора идентификации (после ПИН) в виде отпечатка пальца пользователя.

Кроме достижения надежности системы 99% с лишним на практике была доказана справедливость тезиса о том, что банкоматная сеть в курортном регионе, находясь по разным причинам офлайн, практически без особых рисков может выдать клиенту с такими картами некую сумму денег.

Приняли резолюцию

Развернувшаяся в ходе конференции дискуссия показала, что в рамках одного мероприятия, пусть даже качественно подготовленного, но проводимого впервые за многие годы, невозможно достичь консенсуса. Кое в чем делегаты пришли к согласию, а вот идей, по которым не был достигнут консенсус, стоит коротко коснутся.

Во-первых, это мнение Константина Соловьева, и.о. председателя правления платежной системы «Лидер», что в данном случае, касающемся биометрии, стоит вмешаться государству. Дело в том, что для полноценного использования накопленных в разных организациях и банках данных необходим обмен ими между всеми. Но при этом банк рискует допустить утечку клиентской базы, а значит, не заинтересован в обмене. Поэтому государству стоило бы задуматься о создании некоего цифрового паспорта на каждого гражданина страны, а также о том, как построить инфраструктуру, чтобы по запросу безопасно передать кредитной организации все то, что ей по закону можно получить.

Сергей Потанин, начальник управления информационной безопасности Банка «Союз», коснулся того, что использование «недоверенных» устройств и ПО западного происхождения сводит на нет все достижения биометрии. Никто не стал спорить с ним о том, возможно ли после легитимной аутентификации пользователя злоумышленнику осуществить удаленный перехват управлением мобильным устройством и сколь угодно долго от имени того самого легитимного клиента осуществлять платежи. Все это возможно!

Но это, как и информационная безопасность в целом, ― комплексная, хоть и частная проблема. В рамках конференции по биометрии ее невозможно обсудить. Так что, хотя это и не в правилах мероприятий, организуемых «Б.О», банкиры приняли решение собраться еще раз в конце года и продолжить общение на данную тему.