Биометрические данные для системы регистрируются в отделениях банков согласно строгому регламенту. В этом посте мы расскажем, как мы реализовали сбор биометрии в Промсвязьбанке и постараемся развеять мифы, связанные с этим процессом.
В то время, как другие отрасли занимались на разных уровнях внедрением биометрии, банковская сфера могла только несмело с ней экспериментировать. Законодательство жестко ограничивает банки в вопросах идентификации личности физического лица и порядке предоставления услуг. За рубежом тем временем стартовали банковские кейсы крупных вендоров биометрических решений. Компания Nuance, например, собрала и успешно использует десятки слепков голосовой биометрии.
Лед тронулся, когда в России был запущен федеральный проект «Цифровая экономика». 31 декабря 2017 года президент подписал 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Первым этапом проекта «Цифровая экономика» было выбрано создание национальной биометрической платформы — Единой биометрической системы — государственной базы биометрических шаблонов граждан РФ. Вместе с этим с целью развития экономики был логично запущен проект «Удаленная идентификация клиентов банков».
Мы подключились к проекту с самого его начала, на уровне рабочей группы при Минкомсвязи и ЦБ РФ. Так мы получили время не только разобраться в самом процессе, но и хорошо продумать свои действия и скоуп работ по внедрению процесса. Кроме того, используя свои знания, можно было повлиять на концепт проекта, а также на формирование требований, которые в дальнейшем этот процесс будет предъявлять всем банкам.
Как мы собираем биометрию
Оценив документацию и комментарии партнеров из Ростелекома, Минкомсвязи и ЦБ, мы разделили сервис на четыре основные части.
АБС PSB-Retail – банковская система по обслуживанию физических лиц, в которой в том числе хранятся персональные (не биометрические) данные клиентов. Для этого проекта мы ее доработали и интегрировали с внутрибанковскими сервисами и порталом регистрации биометрических данных
Портал регистрации — основной элемент системы, включающий АРМ (автоматизированное рабочее место) оператора центра обслуживания. О нем расскажем подробнее.
Коннектор между порталом и СМЭВ (системой межведомственного электронного взаимодействия) — программный продукт, формирующий запросы и передающий их в СМЭВ для обработки государственными сервисами ЕСИА и ЕБС. Эту часть для нас сделал внешний вендор, который уже создавал для банка транспортные решения, в том числе и по взаимодействию со СМЭВ.
ЕСИА и ЕБС — государственные сервисы, Единая Система Идентификации и Аутентификации, Единая Биометрическая Система. Создаются и обслуживаются Ростелекомом. По ним мы получали всю документацию, описания, с ними банк взаимодействует через СМЭВ.
АРМ регистрации биометрических данных
Портал регистрации данных был полностью разработан на стороне банка. С одной стороны, он должен четко взаимодействовать со всеми частями системы, перечисленными выше, и аппаратными средствами сбора данных. С другой — обеспечивать должный уровень безопасности обработки персональных и биометрических персональных данных и использовать для проверки образцов предоставляемую Ростелекомом библиотеку контроля качества.
Мы решили не использовать толстые клиенты, а создать веб-решение для простого развертывания на рабочих местах, централизации хранения и обработки данных и возможности гибкой доработки решения.
Наш продукт получил название АРМ ПАК «Регистратор. PSB-BIO» — Автоматизированное Рабочее Место Программно-Аппаратного Комплекса «Регистратор. BIO» для Промсвязьбанка. С аппаратной частью комплекса все было понятно — необходимо соответствовать требованиям к оборудованию (они перечислены в этом посте). А программную часть мы разработали сами. Начали с проработки функциональности — приложение должно уметь:
- получать данные из стороннего приложения (в нашем случае это АБС Банка);
- предоставлять удобную среду для регистрации биометрии — с подсказками для оператора;
- максимально автоматизировать весь процесс получения биометрических образцов;
- отправлять данные для формирования запроса в коннектор и получение ответа через банковскую шину данных;
- учитывать требования безопасности в работе с персональными и биометрическими персональными данными;
- логировать действия системы, ее пользователей и администратора;
- учитывать специфику требований к оборудованию, так и к ПО.
Процесс регистрации берет начало в АБС банка, для чего мы написали на бэке API для получения данных из сторонних систем. После того, как АБС сформирует поручение на регистрацию клиента, осуществляется вызов URL портала с передачей необходимых данных.
Теперь оператор АРМ начинать процесс регистрации. Он видит в портале карточку клиента с данными, которые будет использоваться в работы с ЕСИА и ЕБС. Здесь можно выбрать, какой адрес клиента будет использоваться при регистрации в ЕСИА (регистрации или проживания), а также указать информацию для доставки пароля (телефон или e-mail).
Далее автоматически создается запрос на поиск учетной записи клиента в ЕСИА. По результатам поиска сервис выдает возможные к использованию ВС ЕСИА. ВС — вид сведений, протокол передачи сведений определенного вида между информационными системами поставщика и потребителя. Если обнаруживается несколько учетных записей и ни одна не имеет статус подтвержденной, оператор сам выбирает, с какой работать.
Если учетная запись предусматривает несколько видов сведений, то оператор выбирает какой-либо из них под контролем сотрудника, имеющего полномочия контролера центрального офиса. Так мы перестраховываемся от отправки некорректных данных и исключаем возможность мошенничества на этом этапе.
После одобрения набора отправляемых данных оператор отправляет запрос в ЕСИА по выбранному виду сведений. В ответ СМЭВ подтверждает отправку запроса, и оператор получает OID учетной записи клиента в ЕСИА.
Теперь, при получении согласия клиента на регистрацию в ЕБС, мы начинаем собирать данные.
Сначала оператор настраивает корректное положение камеры относительно клиента. Ему помогает АРМ, выводя предварительный показ кадра с отметками расположения лица (перекрестье), угла наклона головы. Также показывается числовая информация: разрешение, размер изображения, угол наклона головы и расстояние между глаз. Вместе с этим идут подсказки для оператора.
После настройки положения камеры оператор нажимает кнопку старта съемки. Сервис делает снимки, проверяет их соответствие требованиям Ростелекома и выводит информацию оператору — пройдена проверка или нет, что надо сделать клиенту (опустить подбородок, повернуть голову и т.д.).
Завершив этот этап, АРМ автоматически переходит к записи образцов голоса. Клиент трижды повторяет случайно сгенерированную последовательность цифр от 0 до 9 в трех стандартных последовательностях. После каждой записи библиотека контроля качества проверяет ее. Кстати, эту библиотеку разработали сотрудники Промсвязьбанка.
Затем в записях проставляется начало и конец, они объединяются в одну и отправляются в ЕБС. После прохождения контроля у контролера центрального офиса биометрические образцы передаются в коннектор для формирования и подписания пакета, передачи в СМЭВ и далее в ЕБС.
После получения ответа от ЕБС на экран оператора выводится карточка окончания регистрации. А клиенту по результатам регистрации приходит сообщение из ЕСИА.
Вот так происходит регистрация данных в Промсвязьбанке для Единой биометрической системы.
Распространенные заблуждения
Мы знаем, что новая система вызывает у некоторых людей вопросы. Прокомментируем несколько популярных:
«Банки будут владеть моими данными и мошенничать». Нет, банки просто не получают доступа к биометрическим данным клиентов и физических лиц. Банки регистрируют физическое лицо (клиента в ЕСИА), отправляют в ЕБС фотографию и запись голоса надлежащего качества. Мошенничество невозможно без биометрических шаблонов ЕБС, которые на стороне банков не создаются. В процессе идентификации в ЕСИА банки не участвуют, а только получают итоговый статус этой идентификации.
«Мои данные будут использовать посторонние». Мы часто слышим реплики типа «за меня кредит другой возьмет», «жена с моим фото будет иметь доступ к моим счетам». Нет. Технология биометрии предусматривает проверку методом Liveness — то есть проверяется, что на другом конце находится живой человек. Для этого непредсказуемо меняется порядок произнесения фраз или цифр, а также оценивается движение человека, мимика, движение губ при верификации лица. Такие мультимодальные биометрические признаки повышают надежность метода.
«За нами следят и поэтому всех обязывают сдавать данные». Нет, сдача биометрии — дело исключительно добровольное. Конечно, со временем те, кто имеют учетные записи в ЕСИА и ЕБС, смогут получать больше интересных предложений и услуг и значительно быстрее. Но решение о сдаче биометрии остается всегда за клиентом.
Комментарии (34)
Sabubu
28.11.2018 19:20+7А почему авторизация должна происходить через единую гос. систему, давайте подумаем? Почему банки не могут сами сделать свою, частную систему? Потому, что государство хочет получить в свои руки банк биометрических данных. Да, поначалу там будет не много данных, но мы же знаем возможности государства. Завтра оно начнет каких-нибудь бюджетников пересаживать на эту систему в добровольно-принудительном порядке, как пересадило их на карты «мир», а послезавтра введет проверку биометрических данных на вокзалах.
А после-послезавтра оно начнет, например, распознавать лица участвующих в митингах.
Сомневающиеся, наверно, скажут, что такого не было. Вообще-то было, комсомольцев обучили использованию FindFace.
Ну и насколько надежно в нашей стране защищены данные — мы помним из недавней статьи на Хабре про торговлю ПД. Даже паспортные данные Петрова-Боширова выложили в сеть. Вы готовы такому государству доверить и биометрические данные?
Ну и что касается законов — можно еще вспомнить, как частную СМС-переписку Каца выложили в сеть и никто за это так и не ответил. То же самое может произойти и с вашими данными.herrjemand
28.11.2018 23:43Тут больше вопрос "Зачем государству моя биометрика?". Есть много централизованных государственных систем федеральной аутентификации, но они не собирают открытую биометрику.
Лично я не против биометрических систем аутентификации, но не тех где биометрика открыто передается. Гораздо лучше иметь PKI решения со встроенной биометрикой, которая не покидает девайс. Но в таком случае товарищу майору не на что будет любоваться *)
staticlab
29.11.2018 11:43А почему авторизация должна происходить через единую гос. систему, давайте подумаем?
Потому что так захотело государство :)
Почему банки не могут сами сделать свою, частную систему?
Потому что им это не нужно :)
stanislavkulikov
29.11.2018 12:25А после-послезавтра оно начнет, например, распознавать лица участвующих в митингах.
У вас паспорт есть или водительское удостоверение? Значит ваша фотография уже есть у государства. А чем принципиально отличаются собираемые сейчас данные от тех, которые всегда были у государства?
Всё намного проще — это очередной распил. В очередной раз РосТелеком сделал некую систему и заставляет всех ею пользоваться.Sabubu
29.11.2018 20:58Как я понимаю, качество фотографий из паспорта довольно плохое и они хранятся в аналоговом виде. Ключевые точки на них выделять тяжело, плюс они если и отсканированы, то каким-нибудь дряным сканером низкого разрешения. А тут — качественное крупное фото лица, плюс образцы голоса (удобно идентифицировать людей на аудиозаписях).
Ну сами подумайте, почему храниться данные должны в одном месте, подконтрольном государству? Банки и сами могли бы сделать свои частные системы, если бы им нужно было.lostpassword
30.11.2018 11:22Только у трёх разных банков будет три разные системы — соответственно, и в три раза больше геморроя при регистрации. Ещё и интерфейсы разные сделают. Нафиг-нафиг. Пусть уж лучше всё в одном месте лежит.
staticlab
30.11.2018 11:51Банки и сами могли бы сделать свои частные системы, если бы им нужно было.
Условный Тинькофф просит условный Сбербанк: "А давайте вы сделаете в своих отделениях систему сбора биометрии, чтобы потом ваш клиент смог удалённо стать нашим клиентом".
jevius
28.11.2018 19:59+1Лучше бы это была статья «Как мы защищаем биометрические данные клиентов». Охотников вас таких собирать куча, все горазды. А как слив — так отвечать никто не хочет.
sanaf
29.11.2018 08:39В общем случае — это не к банку вопрос, банки собранные данные не накапливают (по крайней мере, если хитрый менеджмент банка не пытается финтить ушами).
oteuqpegop
29.11.2018 08:45ИМХО. Я думаю, основная проблема здесь даже не реализация, потенциально допускающая злоупотребления этими данными со стороны оператора, а порочность такой концепции в целом, пока для логина разрешается использовать недоверенные устройства. Нет надежного способа проконтролировать, что кто-то логинится по лицу с голосом через смартфон, а не по их записи через рутованный смартфон или эмулятор. Проблемное место — не ростелекомовские сервера, не устройства добропорядочных юзеров, а именно эта возможность записи. Всякие случайные последовательности цифр, наклоны головы и прочее — только немного усложняют получение злоумышленником валидной записи, принципиально ничего не мешает скрытно записывать юзера достаточно долго, чтобы получить записи всех возможных вариантов и состряпать из них нечто, проходящее проверку. То есть, в случае пароля/токена юзеру достаточно не вводить/вставлять их куда попало, а если что — легко отозвать; в вашей схеме же появляется дополнительный большой геморрой для юзера по постоянной ежедневной защите неотзываемых биометрических данных (которые совсем не предназначены для этого, в отличие от пароля/токена!) от всех вокруг — никогда не садиться за недоверенные компьютеры с вебкамерой, не произносить чисел в публичных местах, надевать балаклаву в присутствии незнакомых людей — я утрирую, но суть понятна. Если юзер обнаружил, что смартфон, с которого он биометрически логинился несколько раз, скомпрометрирован, то юзер может тушить свет и переводить все деньги в заграничные банки, которые не дадут злоумышленнику их снять по биометрии, так, что ли? Дальше это все будут успешно эксплуатировать, юзеры будут бузить, вам придется ставить костыли, чтобы хотя бы поломать рабочие методы фейковой аутентификации, и в итоге это все окажется дороже, чем выдавать каждому вместе с паспортом токен с неизвлекаемым ключом.
joyfolk
29.11.2018 21:03+2Даже скрытно записывать достаточно долго скорее всего не обязательно. С учетом прогресса во всяких штуках вроде GAN, можно ожидать, что подобная биометрия в ближайшее время будет взламываться по совсем небольшим семплам голоса и фото/видео. И если сейчас полно историй, когда кредиты людям выдают по копиям чужого паспорта, то страшно представить к чему приведет повсеместное внедрение биометрии.
Immz
29.11.2018 21:23Цитата: «Если учетная запись предусматривает несколько видов сведений, то оператор выбирает какой-либо из них под контролем сотрудника, имеющего полномочия контролера центрального офиса. Так мы перестраховываемся от отправки некорректных данных и исключаем возможность мошенничества на этом этапе.»
Вопросы:
1. На каком основании оператор выбирает с какой учетной записью работать? Точнее, почему система не может выбрать сама нужную учетную запись? Для чего здесь ручная операция?
2. Контролер офиса не дорогое ли удовольствие? От какого вида мошенничества вы пытаетесь подстраховаться?YAZART Автор
29.11.2018 21:301. Не совсем корректно сформулированно, поясню, идет речь о том, что, если у клиента например две равнозначные(например ожидающие подтверждения) учетные записи, но с разными сведениями по ним (допустим одна найдена по СНИЛС, а другая по номеру телефона), то операционист уточнит какую УЗ подтверждаем. Ручная операция здесь потому что нельзя однозначно определить какой учетной записью хочет пользоваться клиент.
2. Контроллер офиса выполняет не только обязанности по контролю регистраций в ЕСИА и ЕБС. Мошенничество может быть например если операционист и клиент в сговоре, то они чисто теоретически могут зарегистрировать биометрические данные клиента под чужими например паспортными данными.
IgorZhukov
29.11.2018 21:30Добрый день.
Вопрос1.У вас рабочее место по снятию биометрии через WEB-решение цепляется на сервер обработки и подписания образцов в центральном офисе банка? А как вы тогда будете выполнять требование по защите канала связи по КС3 от рабочего места в офисе до сервера подписания? Весь трафик офиса будете координаторами шифровать?
Вопрос 2. Как решали проблему в проведением тематических исследований по ИБ серверов в центральном офисе?staticlab
29.11.2018 23:37HTTPS же.
IgorZhukov
30.11.2018 09:52В требованиях ЦБ к сбору жёстко прописано соответствие каналов связи спецификации КС3, т.е две сертифицированные ФСБ железки (например VipNet Coordinator) с обоих концов канала связи, которые шифруют трафик с образцами по ГОСТ. НTTPS тут не прокатит- придут и взгреют.
lostpassword
30.11.2018 11:24Там в соседней теме Ростелеком вроде как сумел договориться с трёхбуквенными, чтобы они сделали некоторые послабления для мобильного приложения. Может быть, и тут навстречу пойдут.
dddumkopf
29.11.2018 21:30Фотография на фоне другого сотрудника и комнатных растений? Серьёзно?
staticlab
29.11.2018 23:38Лицо же видно чётко. Система распознавания фон игнорирует.
dddumkopf
30.11.2018 06:27Есть чёткие требования — только ровный одноцветный фон. Регламентируется даже, кажется, цвет.
По крайней мере мы собираемся купить белый экран.staticlab
30.11.2018 08:59Возможно. Такие требования были изначально, потом к моменту запуска от них вроде как отказались, а теперь, скорее всего, посмотрев на результаты, решили это требование вернуть...
dddumkopf
30.11.2018 09:03Нет, ну при всём уважении, эта весёленькая зелень и чьи-то плечи на заднем плане — ну сильно не комильфо.
YAZART Автор
30.11.2018 00:26Да, фотографии сделаны, исключительно с целью демонстрации интерфейса, а не соответствия всем требованиям изображения, из которого формируются биометрические образцы.
stanislavkulikov
Т.е. теперь имея фотографию и сэмпл голоса можно получить доступ к личному кабинету клиента?
YAZART Автор
Нет, биометрическая идентификация с помощью ЕБС используется для того, чтобы не клиент банка со сданными биометрическими данными смог бы удаленно стать клиентом банка, пройдя идентификацию через ЕБС
staticlab
Интересно было бы знать, почему заминусовали ответ.
stanislavkulikov
Вопрос в следующем. Клиент вашего банка может авторизоваться только по биометрическим данным, без логинов/паролей/смс и т.п.? Если да — то это очень большая дыра в безопасности, вся проблема которой расписана ниже.
staticlab
Нет же. Биометрическая аутентификация нужна только при удалённой регистрации клиента в банке. После этого новый клиент получает логин-пароль, и заходит в личный кабинет уже по ним.
Дело в том, что банк не может просто так зарегистрировать клиента. До сих пор нужно было, чтобы сотрудник банка вживую его увидел, сличил с фотографией в паспорте. Потому-то в Тинькоффе и работают курьеры.
Официально, проект биометрической аутентификации заключается в том, что уже клиент какого-то банка РФ сдаёт свою биометрию, и она привязывается к его учётке на Госуслугах. После этого он может стать клиентом другого банка РФ, аутентифицировавшись на Госуслугах (типичный OAuth), при этом помимо логина-пароля от Госуслуг ему придётся показать лицо на камеру и сказать пару фраз. Затем Госуслуги передадут банку паспортные данные и степень совпадения биометрии. Если банку коэффициент понравится, то он такого человека зарегистрирует у себя.