В банк по отпечатку

Алексей Долженков
корреспондент журнала «Эксперт»
9 апреля 2018, 00:00

Вопрос защиты биометрических данных будет самым главным при развертывании системы удаленной идентификации. ЦБ подтвердил: граждане могут отказаться сдавать в систему «слепки» своего голоса и лица

Некоторые банки уверены: биометрическая идентификация клиентов — это, возможно, лучшая технология защиты банков и клиентов от мошенников

Уже в июле этого года после регистрации «слепков» своего голоса и лица в Единой биометрической системе (ЕБС) мы сможем открывать счета в любом банке прямо из дома, а в 2019 году Банк России планирует запустить маркетплейс, через который граждане смогут не только открывать счета в банках, но и покупать ОФЗ и полисы ОСАГО.

По сообщению первого заместителя председателя Банка России Ольги Скоробогатовой, сейчас два банка тестируют технологию удаленной идентификации, а начиная с июля к ЕБС уже можно будет подключиться. Дальше поэтапно это будет распространено на весь финансовый рынок, то есть не только на банки, но и на брокеров, управляющие компании и т. д. Важно отметить, что, по словам представителя ЦБ, биометрическая идентификация будет добровольной — как для физических лиц, так и для самих банков.

Закон об удаленной идентификации был принят в конце 2017 года. Он полностью изменил ситуацию, которая существовала до сих пор: напомним, согласно закону «О противодействии легализации (отмыванию) доходов», открытие счетов и вкладов физическими лицами было возможно только при личном визите в банк. Новый закон позволил открывать счета дистанционно, с использованием биометрических данных, а также сведений, содержащихся в единой системе идентификации и аутентификации (ЕСИА).

Вспомнили о конкуренции

Системы биометрической идентификации позволяют повышать качество обслуживания клиентов, удобство использования различных сервисов, а самим финансовым организаций — экономить время и снижать расходы. В пресс-службе ЮниКредит Банка заявили, что видят пока два перспективных направления использования удаленной идентификации — возможность расширения клиентской базы, не зависящего от увеличения филиальной сети и сети банкоматов, и возможность проведения процедур обновления персональных данных клиентов без личного присутствия и бумажного документооборота.

В пресс-службе банка «Хоум Кредит» добавляют, что биометрическая идентификация клиентов, возможно, лучшая технология защиты банков и клиентов от мошенников. К тому же, по их мнению, использование биометрии сделает получение банковских услуг более доступным и удобным и поможет снизить банковские риски дистанционного обслуживания.

Начальник управления каналов продаж Райффайзенбанка Алексей Капустин подчеркивает, что удаленная идентификация дает преимущества не только банкам, но и клиентам, тем не менее о ее значимом влиянии на бизнес можно будет говорить, только когда значительное число клиентов включится в процесс и предоставит свои биометрические данные.

Однако интересно, что после того, как удаленная идентификация стала государственным инфраструктурным проектом, интерес к ней со стороны многих крупных банков как-то сразу поутих. Возможно, причина в том, что удаленная идентификация может резко увеличить конкуренцию за клиентов в банковском секторе. Ведь после начала работы ЕБС, а позже маркетплейса ЦБ клиенту, чтобы перейти в другой банк, потребуется сделать всего несколько кликов. Тут прогнозы расходятся. Кто-то говорит, что крупные банки, в особенности государственные, заберут себе всех клиентов за счет возможности предоставления более выгодных условий. Кто-то говорит, что наибольшую выгоду получат онлайн-банки, такие как «Тинькофф».

Собственно, Банк России как раз и рассчитывает на улучшение конкурентной среды. Ольга Скоробогатова на ежегодном съезде Ассоциации российских банков в начале апреля рассказала, что есть несколько инфраструктурных проектов национального масштаба, которые дадут всем игрокам финансового рынка новые возможности. «Если вы посмотрите мировые цифры, то 46 процентов клиентов уже не посещают офисы. Это включая все категории клиентов, не только юридических лиц, — сообщила банкирам Ольга Скоробогатова. — Эти показатели растут год от года значительными темпами. Это говорит о том, что мы переходим в иную информационную модель, когда клиенту предоставляют услуги дистанционно, быстро и качественно, независимо от того, где он находится».

Представитель также ЦБ заявила, что на самом деле ключевой вопрос для регулятора — конкуренция. «Очень сложно конкурировать с монстрами, — заявила Ольга Скоробогатова. — Инвестировать столько же, сколько большие игроки, у малых и средних игроков нет ни времени, ни возможности. Поэтому задача государства, регулятора — создать несколько инфраструктурных платформ, которые могли бы позволить участникам рынка пользоваться этими сервисами для своих клиентов за очень низкую плату. Задача не зарабатывать на этих платформах, а создать условия для конкуренции».

Одна из таких платформ — ЕБС, другая — тот самый маркетплейс ЦБ. По словам Скоробогатовой, создаваемый на базе Мосбиржи маркетплейс — это некое единое окно, где физлицо сможет выбрать продукт или услугу в зависимости от тарифов и качества услуги вне зависимости от того, какой банк их предоставляет. Дальше клиент переходит в банк (к брокеру и т. д.), и уже банк непосредственно оформляет сделку. В ЮниКредит Банке «Эксперту» заявили, что пока наблюдают за развитием идеи маркетплейса и не готовы комментировать детальнее. В пресс-службе банка «Ак Барс» добавляют, что, по их мнению, маркетплейс призван обеспечить равный доступ пользователей услуг к финансовому рынку и сформировать предпосылки для развития конкурентной среды и оптимизации финансовых сервисов.

Оценить интерес клиентов и, соответственно, влияние системы удаленной идентификации на банковский сектор довольно сложно. Для сравнения можно взять фондовый рынок, на котором открывать удаленно счета в брокерских и управляющих компаниях можно с 2015 года. Там используется упрощенная идентификация через подтвержденную учетную запись ЕСИА. Как уже писал «Эксперт», по сообщению вице-президента НАУФОР Екатерины Андреевой, только за первую половину 2017 года с помощью онлайн-сервисов граждане открыли 23 тыс. счетов у брокеров и управляющих, тогда как за весь 2016 год было открыто дистанционно 26 тыс. счетов.

Сетчатку не спрячешь

Сейчас кажется, что иного выхода, кроме крайне активной цифровизации, у банков и других финансовых организаций нет: по оценке международных консультантов, к 2025 году банки могут потерять 20–60% прибыли, если не сумеют встать на один уровень с ведущими цифровыми компаниями, внедрив цифровые платформы и цифровые услуги. В «Прогнозе развития российского банковского сектора на 2018 год» S&P Global Ratings сообщается, что российские банки лишь недавно начали осознавать потенциальные риски и возможности, связанные с цифровым преобразованием отрасли. По оценке S&P, средняя доля расходов, связанных с ИТ-системами, в объеме совокупных операционных расходов банков увеличится с 8–10% в настоящее время до 15–17% в ближайшие три года. Для тех же организаций, которые только начинают внедрять цифровой банкинг, первоначальные инвестиции в развитие соответствующих ИТ-систем могут составить до 40% операционных расходов.

Но если банкам финтех обходится дорого, то пользователям он может обойтись еще дороже: уже ясно, что повсеместное внедрение финансовых технологий сопряжено с определенными рисками. Даже Ольга Скоробогатова признала, что вопросы кибербезопасности в 2018 году вышли на первое место и при предоставлении финансовых услуг должна гарантироваться безопасность персональных данных и другой информации клиентов. В случае ЕБС снизить риски собираются так: система будет разделена на две платформы, одна на базе ЕСИА (система будет дорабатываться), другая — на базе биометрической платформы, которая позволит хранить «слепки» голоса и лица, причем обезличенно — без персональных данных. Обе эти платформы будут интегрированы между собой. В пресс-службе банка «Хоум Кредит» уверены, что в ЕБС и ЕСИА данные надежно защищены. Более того, предполагается, что биометрический алгоритм достаточно устойчив к изменению внешности и голоса клиента.

Руководитель отдела консалтинга ГК InfoWatch Мария Воронова предупреждает, что основные риски использования биометрических данных для аутентификации пользователей заключаются в том, что в случае потери или кражи такой информации ее невозможно обновить. Можно поменять пароль, если его украли, или перевыпустить банковскую карту, если она была скомпрометирована. Но отпечатки пальцев или сетчатку глаза «перевыпустить» уже не получится. Компрометация каких-либо биометрических данных приведет к невозможности их безопасного использования в дальнейшем. «Даже при двухфакторной или многофакторной аутентификации, когда для доступа к ресурсу необходимо использовать еще пароль, токен и другие средства авторизации, использование ранее скомпрометированной биометрии крайне нежелательно. Риски утечки подобного рода информации достаточно высоки, биометрические данные сейчас крайне популярны у злоумышленников, что подтверждают и наши наблюдения. Стоит отметить, что биометрические данные относятся к специальной категории персональных данных, и к их защите требуется подходить наиболее тщательно. С учетом развития этого типа аутентификации в России стоит ожидать как роста рынка средств защиты, так и новых случаев утечек», — рассказывает Мария Воронова.

В качестве примеров ГК InfoWatch приводит многократные утечки биометрических данных в Индии. UIDAI (Unique Identification Authority of India), система идентификации граждан и резидентов Индии, сейчас считается крупнейшей мировой базой биометрических данных. В мае 2017 года правительственные организации допустили утечку порядка 135 млн данных. Правда, пока данными завладели не мошенники, а всего лишь ЦРУ (по сведениям портала WikiLeaks). В прошлом году также был зафиксирован случай взлома сети американской компании Avanti Markets, когда киберпреступники предположительно получили доступ не только к платежным данным, но и к биометрической информации клиентов компании.

Руководитель направления Kaspersky Fraud Prevention Александр Ермакович полностью согласен с тем, что, если биометрические данные скомпрометированы единожды, они остаются таковыми пожизненно, а их дальнейшее использование будет сопряжено с серьезным риском. При этом г-н Ермакович отмечает, что риск на самом деле невелик, так как защита данных уже отработана годами. Однако, по его мнению, частичная утечка, скорее всего, вопрос времени. В последние годы мы все чаще слышим о взломах различных сервисов. В Европе эти проблемы, возможно, решат стандарты типа GDPR (General Data Protection Regulation). В России подобных регламентов пока нет, и сложно прогнозировать, когда они появятся. Зато, добавляет представитель «Лаборатории Касперского», большие дополнительные вложения со стороны банков вряд ли потребуются — сохранность биометрических данных обеспечивается теми же способами, что и защита другой персональной информации.