Экспертиза: как внедрить биометрическую идентификацию в банке
Внедрение биометрии будет одной из главных технологических тем года. Процесс уже идет: банки страны внедряют новый способ идентификации. Эксперты ожидают передела на рынке. О том, сколько может стоить биометрия, зачем она небольшим банкам, и как подстегнуть интерес россиян к использованию технологии, CNews рассказывает в своем новом формате «Экспертиза». Разбираться помогал заместитель директора департамента банковского ПО компании R-Style Softlab Максим Болышев.
Как в российских банках внедряется биометрия
Биометрия для россиян – не новость. Последние 7–10 лет ее используют и на уровне государства (биометрические заграничные паспорта), и в личных целях (аутентификация по отпечатку пальца на смартфоне). На технологическом уровне изобретать велосипед не приходится, в стране прижились технологии из дальнего и даже ближнего зарубежья: государственная биометрическая система еще несколько лет назад была внедрена в Белоруссии. Отставание России от самых развитых стран мира эксперты оценивают в год или два. В странах Запада биометрия уже активно применяется и в банковской сфере, и при оказании госуслуг. В России этот процесс только начинается, но, как прогнозируют эксперты, развиваться он будет быстрыми темпами.
«Биометрия, которая начинает работать в России, предназначена для нас с вами, как для конечных пользователей, – рассказывает заместитель директора департамента банковского ПО компании R-Style Softlab Максим Болышев. – На первом этапе она поможет получать финансовые услуги в банках без личного посещения. В дальнейшем нам станут доступны услуги в совершенно разных отраслях, как в финансовых, так и в нефинансовых. Возможно, мы будем в ближайшее время досрочно проходить паспортный контроль в аэропорту или удаленно обращаться к врачу. Поэтому с точки зрения идентификации такие технологии имеют огромные перспективы».
С 1 июня 2018 г. биометрия как технология должна была появиться в российских банках, а с 1 января 2019 г. они должны были распространить ее на 20% своих отделений. Спустя еще полгода охват должен достичь 60% отделений, а завершится процесс к концу 2019 г. Чтобы пользоваться биометрической идентификацией, клиент должен всего один раз прийти в банк с документами. Там будут записаны его голос и фото – биометрические данные. Принятые законы обязывают банки передавать эти биометрические данные в Единую биометрическую систему (ЕБС). Оператором системы стал «Ростелеком».
«Мы работаем на банковском рынке, и в ходе встреч с представителями этого сегмента создалось ощущение, что о биометрии задумались уже все, но до внедрения дело дошло только у 30%. Впрочем, будем надеяться, к концу года 100-процентное покрытие у нас будет. Правда, перед новым годом, когда мы общались с представителями Центробанка, прозвучала идея предоставить отсрочку банкам с базовой лицензией, и эти изменения были сформулированы в законопроект, который вынесен на обсуждение», – добавляет Максим Болышев.
Зачем биометрия самим банкам
Биометрия уравняет возможности банков из топ-10 с банками из топ-400. Фактически пользователи смогут выбирать не конкретную организацию, а понравившийся им продукт, который она предлагает. Если банк работает на розничном рынке с физическими лицами, то его конкретное географическое расположение перестает играть существенную роль: его клиентом может стать практически любой житель России из любого региона. Небольшим банкам будет проще бороться за клиентов, что может существенно изменить рынок.
«Чем интереснее будет финансовое предложение банка, тем больше он сможет привлечь новых клиентов, – уточняет Максим Болышев. – Простой пример: два года назад у нас внедряли новую технологию – ГИС ЖКХ, которая обязала все компании ЖКХ выставлять свои счета централизованно. На текущий момент многие банки к ней подключились, и теперь вы можете в банке, который подключился к ГИС ЖКХ узнать и оплатить начисления из любого региона. До внедрения ГИС ЖКХ оплатить услуги ряда компаний было возможно не во всех банках, потому что прямых договоров банки с ними не заключали и выделенной интеграции не делали (это долго и дорого в связи с количеством и географической распространенностью), а агрегаторы (типа Western Union или Золотая Корона) тоже не обеспечивали взаимодействие с ними. Сейчас же возможности небольшого или среднего банка выравниваются с возможностями Сбербанка, который раньше был практически единственной финансовой организацией, сумевшей обеспечить такое количество интеграций с различными поставщиками услуг. С биометрией будет происходить примерно то же самое».
Впрочем, эксперты считают, что многим небольшим банкам, работающим в основном с юридическими лицами, биометрия не так уж необходима. 90% жителей страны обслуживаются в банках из топ-50, и большая их часть – в Сбербанке. Поэтому можно ожидать, что те компании, для которых физические лица не являются целевой аудиторией, будут внедрять биометрию только ради соблюдения требований законодательства, но не для расширения обслуживания нескольких тысяч человек.
Какие технологии лежат в основе российской биометрии
Разработчиком и оператором ЕБС стал «Ростелеком», а все данные хранятся в облачной защищенной инфраструктуре. Биометрические сведения передаются по каналам связи, защищенным отечественными криптоалгоритмами. Сами решения по проверке качества биометрических данных (голоса и изображения) – тоже российские. Согласно заявлениям менеджеров «Ростелекома», свободное ПО не используется. Практически все требования к технологиям жестко прописаны в законодательстве. Это фактически избавило банки от необходимости самостоятельной разработки.
«Банки пользуются теми наработками, которые предоставляют им «Ростелеком» и компании, которые с ними уже работают. Сами технологии, которые используются для решений по снятию биометрии, определены законом. Поэтому все разработчики предлагают схожие решения», – говорит Максим Болышев.
Эксперты добавляют, что отличия могут быть в процессе установки, скорости работы или интерфейсе, что зависит от предпочтений самих банков.
Насколько биометрия и ЕБС безопасны для банков и их клиентов
Меры по защите данных из ЕБС приняты серьезные и беспрецедентные. Доступа к базе не имеет, по большому счету, никто. Программных сервисов, которые позволили бы извлекать биометрическую информацию из ЕБС, не существует. Поэтому участники рынка сходятся во мнении, что взлома и утечек данных опасаться не стоит. Правда, всегда остаются варианты с подделкой биометрических данных, но это может быть слишком сложно и вряд ли оправданно для мошенников с финансовой точки зрения.
«Вопрос идентификации пользователей – достаточно безопасный, – уверен Максим Болышев. – В стране будет использоваться фактически трехфакторная система аутентификации. Представим себе банк, который закончил внедрение биометрии. Как это работает? В системе ДБО или на сайте организации создается кнопочка «войти» или «стать клиентом». Пользователь ее нажимает, после чего происходит переадресация на сайт госуслуг. Там он вводит логин и пароль и аутентифицируется через ЕСИА. Это раз. А может еще получать SMS-сообщение с одноразовым паролем или уведомление о входе – это два. Дальше он идентифицируется по биометрии: произносит какую-нибудь фразу, или, например, система может попросить его улыбнуться, подмигнуть глазом, потрогать ухо, чтобы убедиться, что там живой человек. Как это подделать? Надо взять из головы человека логин и пароль от сайта госуслуг, подделать его лицо и голос, а еще и получить доступ к его телефону с SMS-сообщением. Таким образом, аутентификация безопасна».
Сами решения, использующиеся в банках, отказоустойчивы, а в крупных банках – еще и катастрофоустойчивы, поддерживают геокластеризацию. Выход из строя даже целого сервера не повлияет на работоспособность системы. Небольшие банки уделяют этому меньше внимания, но и клиентов у них меньше, а потому даже длительное падение системы может остаться незамеченным клиентами.
Как правильно выбрать компанию-интегратора
Самое главное – опыт подобных внедрений. Как правило, это говорит о том, что у компании есть квалифицированные сотрудники, лицензии, умение работать с безопасностью. Таких интеграторов, по мнению самих участников рынка, не больше 10. Но многие банки уже имеют наработанные связи с конкретными интеграторами и не будут менять партнеров для столь большого проекта.
Внедряем биометрию: как выбрать технологию, основные этапы проекта, от чего зависят стоимость и сроки
Ради ускорения процесса некоторые работы придется выполнять параллельно. На первом этапе банку предстоит выполнить административные задачи: написать заявление на доступ к данным, на регистрацию и на получение сертификата. Попутно можно уже начинать выбирать интегратора. В случае, если все документы заполнены верно, их одобрение займет 2–4 недели. Если допущены какие-то ошибки – еще 2–4 недели на повторное заполнение и отправку.
«К этому моменту уже становится понятна стоимость проекта. Она важнее для небольших банков. Затраты можно разбить на несколько частей, – объясняет Максим Болышев. – Первая – железо, которое нужно будет поставить в банк для защиты каналов и обеспечения безопасной нагрузки рабочих станций, и HSM-серверы (Hardware security module – «модуль аппаратной безопасности»). Обустройство одного рабочего места обойдется в 2–2,5 млн рублей. Вторая – системный софт: это еще около 0,5 млн рублей. И третья – само прикладное решение, которое умеет снимать биометрию и передавать ее в «Ростелеком». Тут стоимость может быть очень разной. Чем отличается маленький банк от большого? В маленьком банке биометрией могут заниматься 2–3 человека в единственном отделении. А в большом – десятки тысяч сотрудников по всей стране, а решение может/должно быть интегрировано в единую систему, в которой операционисты обслуживают клиентов. И все оборудование, ПО и лицензии на ПО нужно покупать в соответствующих количествах».
После этого проходят этапы тестирования, внедрения и ввода в промышленную эксплуатацию. Для небольшого банка все они могут занять 1–2 недели. Для крупных организаций сроки будут более значительными и зависят от многих факторов.
Примеры проектов в России
Многие банки имеют единое фронтальное решение. Оно, как правило, интегрировано со всеми внутренними системами и доступно операционисту в едином окне, где он может вести обслуживание по всем направлениям – от кредитования до работы с ценными бумагами. Поэтому банкам принципиально, чтобы и биометрическое решение было легко интегрируемым.
«Решение, которое представляет R-Style Softlab, удовлетворяет всех клиентов, – уточняет Максим Болышев. – Оно состоит из трех частей. Первая – взаимодействие с ЕСИА по созданию и проверке учетных записей. Вторая – это взаимодействие с ЕБС, в которую передаются данные. И третья – фронтальная часть, которую можно либо встроить в продукт, уже имеющийся в банке, либо не покупать вовсе, если банк хочет самостоятельно доработать свой продукт. Подобный проект мы реализовали в крупном банке, у которого есть собственное решение по обслуживанию клиентов».
На рынке существуют решения, которые частично или полностью находятся в облаке. Это упрощает внедрение, потому что банку не нужно покупать оборудование, вместо этого он может пользоваться услугами центров обработки данных. Правда, пока непонятно, пройдет ли такая схема типовые исследования с точки зрения безопасности.
Каким будет будущее биометрии
В обозримом будущем биометрия будет развиваться внутри банковского сектора. В Центробанке говорят о возможности добавления еще одного типа биометрических данных к уже существующим. Эксперты предполагают, что это будет сканирование или радужки глаза, или рисунка вен ладоней. В мире используются и другие варианты, но они пока не столь распространены, куда затратнее и сложнее во внедрении. Например, сканирование сетчатки глаза или считывание ритмов сердца, которые также индивидуальны у каждого человека. Для банков ввод еще одного биометрического показателя обернется дополнительными затратами.
«Есть шанс, что к ЕБС в течение года будет подключен еще кто-то, кроме банковского сектора. Почему? Потому что уже сейчас можно отметить такую проблему – технология создана, но задайтесь вопросом: а зачем сдавать биометрию? Только для того, чтобы стать клиентом банка, не приходя в его офис? Это интересно, конечно, но, по правде говоря, прийти один раз – не так уж и сложно. И потому процесс идет немного медленнее, чем рассчитывали его создатели», – считает Максим Болышев.
Процесс можно подстегнуть как раз расширением функций биометрии. Аналитики говорят, что это может быть любая процедура, которую приходится сегодня выполнять очно: покупка товаров, услуг, билетов, получение документов, выписок. Но по мере развития биометрии можно будет получать все эти услуги с телефона или ноутбука в электронном виде. И именно это, по мнению экспертов, подстегнет рынок.
В заключение мы бы привели пример с автолюбителями, который нам подсказал Максим Болышев: «Если автолюбитель зарегистрирован в ЕСИА и сдал биометрию, то при вождении автомобиля документы, указанные в правилах дорожного движения, можно с собой не возить, при условии что инспекторы ГИБДД смогут на основании биометрии получать всю нужную им информацию об автолюбителе в онлайн – что собственно уже сейчас вполне возможно. Это подстегнет, с одной стороны, практическое применение ЕБС, и мы увидим огромный поток автолюбителей в банки для сдачи биометрии, а с другой стороны – позволить уменьшить коррупцию на дорогах».