Как технологии идентификации противостоят киберпреступности в финансовой сфере
С распространением удаленного обслуживания, в том числе интернет-банкинга идентификацию клиента приходится проводить удаленно. Это дает преступникам много лазеек для обмана. Поэтому все чаще в финансовой сфере начинают использовать биометрическую систему идентификации. Поможет ли это безошибочно распознать клиента? В этом разбирались эксперты на митапе финтех акселератора FTh. Их основные аргументы в этой публикации.
Сегодня для идентификации личности существуют следующие биометрические методы.
Статические, которые включают: отпечаток пальца, распознавание по радужной оболочке, сетчатке глаза, геометрии руки и лица, термограмме лица, а также динамические методы: голос, походка, рукописный почерк.
Некоторые из них уже широко применяются. Так отпечаток пальца используется пограничными службами в целях гос. безопасности, банками для подтверждения транзакций в мобильных телефонах.
Однако, как показывает практика, любую биометрическую технологию можно обмануть. Причем на каждый метод найдется несколько способов обмана. Мошенники используют технологии корректировки голоса и визуального образа. А сканер отпечатков пальцев хакеры перехитрили создав из правильного материала трехмерную модель пальца с оригинальным отпечатком. Получается, что анализ визуального и аудиального образа не гарантирует 100% идентификацию личности? Не все так печально….
Статические, которые включают: отпечаток пальца, распознавание по радужной оболочке, сетчатке глаза, геометрии руки и лица, термограмме лица, а также динамические методы: голос, походка, рукописный почерк.
Некоторые из них уже широко применяются. Так отпечаток пальца используется пограничными службами в целях гос. безопасности, банками для подтверждения транзакций в мобильных телефонах.
Однако, как показывает практика, любую биометрическую технологию можно обмануть. Причем на каждый метод найдется несколько способов обмана. Мошенники используют технологии корректировки голоса и визуального образа. А сканер отпечатков пальцев хакеры перехитрили создав из правильного материала трехмерную модель пальца с оригинальным отпечатком. Получается, что анализ визуального и аудиального образа не гарантирует 100% идентификацию личности? Не все так печально….
Уже разработаны технологии следующего поколения, которые используют не поверхностные», а «проникающие» сенсоры (ультразвук, инфракрасное излучение и др.)
Эти методы с высокой вероятностью помогают идентифицировать человека. Именно они могут стать основой взрывного роста биометрических технологий в будущем. Это, например, телефон с датчиком, который определяет, что перед ним рука живого человека, а не муляж.
Однако есть риск, что такие технологии могут не получить широкого распространения по этическим и медицинским аспектам. Ведь при использовании «проникающих» сенсоров присутствуют высокие риски утечки информации о состоянии здоровья человека и интимных параметрах его организма.
Однако есть риск, что такие технологии могут не получить широкого распространения по этическим и медицинским аспектам. Ведь при использовании «проникающих» сенсоров присутствуют высокие риски утечки информации о состоянии здоровья человека и интимных параметрах его организма.
Готовы ли вы ходить в банк, если сотрудники банка будут знать параметры и размеры частей вашего тела?
Комбинированный подход
Ряд онлайн-сервисов, как Airbnb, используют многоступенчатую систему идентификации. Сначала человек вводит логин и пароль, затем загружает скан паспорта (ID) и связывает аккаунт с профилем в Facebook. Или другой пример, когда компания требует не просто загрузить скан паспорта, а еще сделать видео, на котором клиент будет держать в руках оригинальный документ. Каждая такая ступенька повышает точность идентификации. А все компоненты вместе, плюс биометрические данные, дают высокую точность.
Таким образом, точность идентификации заключается в комбинации разных типов данных. При этом в зависимости от того, какой ущерб может нанести операция, сложность идентификации может повышаться или понижаться.
Но и тут есть затруднения. Во-первых, процесс может стать слишком хлопотным для потенциального клиента. Ему будет проще отказаться от сервиса, чем доказывать правдивость своей личности. Во-вторых, возникает вопрос, а не слишком ли много информации о человеке хочет получить банк. И сможет ли банк защитить свою базу данных от хакерских атак?
Финтех стартапы по всему миру сейчас разрабатывают свои решения в области идентификации. Интересный подход предложил стартапа globalID. Суть в том, что человек может самостоятельно собирать данные о себе из разных сервисов, хранить их в приложении globalID на телефоне и использовать для идентификации.
Таким образом, точность идентификации заключается в комбинации разных типов данных. При этом в зависимости от того, какой ущерб может нанести операция, сложность идентификации может повышаться или понижаться.
Но и тут есть затруднения. Во-первых, процесс может стать слишком хлопотным для потенциального клиента. Ему будет проще отказаться от сервиса, чем доказывать правдивость своей личности. Во-вторых, возникает вопрос, а не слишком ли много информации о человеке хочет получить банк. И сможет ли банк защитить свою базу данных от хакерских атак?
Финтех стартапы по всему миру сейчас разрабатывают свои решения в области идентификации. Интересный подход предложил стартапа globalID. Суть в том, что человек может самостоятельно собирать данные о себе из разных сервисов, хранить их в приложении globalID на телефоне и использовать для идентификации.
В приложение можно заливать информацию из разных источников: государственных учреждений, финансовых институтов, социальных сетей, мест учебы, биометрические данные, рекомендации от других лиц. Разные заслуживающие доверия инстанции проверяют информацию о человеке. Например, доверие к паспорту человека зависит от доверия к инстанции, которая этот паспорт выпустила.
Философия проекта заключается в том, что человек - собственник того, что о нем знают другие сервисы. Например, если у тебя высокий рейтинг в Uber, то эта информация будет полезна и другим сервисам, которые хотят что-то понять о твоей личности. Uber считает, что он является владельцем этой информации и не предоставляет ее, как подтверждение личности. А будущее заключается в том, что информация о личности человека в каком-либо сервисе будет принадлежать только этому человеку.
При этом хакер не получит доступ к базе данных GlobalID, поскольку ее просто не будет. Все данные пользователя в шифрованном состоянии хранятся у него на телефоне. Компания знает только, какие данные смог подтвердить человек, но не знает их значений. Если человек хочет передать данные другому, то они обмениваются ключами. Информация в шифрованном виде передается во владение того, кто ее запросил и расшифровывается на месте.
Этим решением смогут воспользоваться и банки. Банк получит нового клиента, но не будет знать о нем ничего, кроме айдентики в Global ID. При этом банк будет знать, что данную личность верифицировали сервисы, которым данный банк доверяет.
Философия проекта заключается в том, что человек - собственник того, что о нем знают другие сервисы. Например, если у тебя высокий рейтинг в Uber, то эта информация будет полезна и другим сервисам, которые хотят что-то понять о твоей личности. Uber считает, что он является владельцем этой информации и не предоставляет ее, как подтверждение личности. А будущее заключается в том, что информация о личности человека в каком-либо сервисе будет принадлежать только этому человеку.
При этом хакер не получит доступ к базе данных GlobalID, поскольку ее просто не будет. Все данные пользователя в шифрованном состоянии хранятся у него на телефоне. Компания знает только, какие данные смог подтвердить человек, но не знает их значений. Если человек хочет передать данные другому, то они обмениваются ключами. Информация в шифрованном виде передается во владение того, кто ее запросил и расшифровывается на месте.
Этим решением смогут воспользоваться и банки. Банк получит нового клиента, но не будет знать о нем ничего, кроме айдентики в Global ID. При этом банк будет знать, что данную личность верифицировали сервисы, которым данный банк доверяет.
Вывод:
Сейчас нет метода 100% идентификации человека. Риски можно значительно сократить за счет комбинации разных подходов идентификации. Среди финтех стартапов идет борьба за лучшее решение этой проблемы. Оно должно помочь банкам в борьбе с киберпреступниками, но при этом не нарушить права и свободы обычных граждан.
Ольга Шавела
Сейчас нет метода 100% идентификации человека. Риски можно значительно сократить за счет комбинации разных подходов идентификации. Среди финтех стартапов идет борьба за лучшее решение этой проблемы. Оно должно помочь банкам в борьбе с киберпреступниками, но при этом не нарушить права и свободы обычных граждан.
Ольга Шавела
Спикерами на митапе выступили:
Сергей Шевкунов
Развивает электронную коммерцию и цифровой банкинг для SME. Помогает финтех идеям и стартапам.
Вадим Славин (онлайн)
Директор платформы аттестаций globalid.net, партнер инвстиционного фонда Monthly Ventures
Иван Веденин
Продакт-менеджер Synpatic, в прошлом креативный директор крауд-платформы Talaka, ментор социальных стартапов.
Александр Астафьев
Основатель стартапа Synpatic
Сергей Шевкунов
Развивает электронную коммерцию и цифровой банкинг для SME. Помогает финтех идеям и стартапам.
Вадим Славин (онлайн)
Директор платформы аттестаций globalid.net, партнер инвстиционного фонда Monthly Ventures
Иван Веденин
Продакт-менеджер Synpatic, в прошлом креативный директор крауд-платформы Talaka, ментор социальных стартапов.
Александр Астафьев
Основатель стартапа Synpatic