Сейчас банковским сообществом ведется активная работа в сфере применения биометрии:
1. Не так давно анонсирована возможность пилотного запуска единой биометрической базы ЦБ (http://www.rbc.ru/finances/19/01/2017/587e2c689a79470b502835ba).
2. Подготовлен проект изменений к ФЗ-115 – профильному закону Росфинмониторинга по идентификации клиентов кредитных организаций.
3. Подготовлен проект изменений ФЗ-152.
4. Готовится концепция национальной биометрической платформы.
5. Ведутся работы по созданию платформы и тестового сервиса биометрической идентификации клиента кредитной организации в каналах дистанционного обслуживания с целью открытия счетов (аутентификация через ЕСИА).
У процесса внедрения новых решений в целом и биометрии в частности есть свойственная всему новому инерционность, но сервисы аутентификации изменятся очень быстро с акцентом на мультимодальную биометрию с контролем компрометации. При этом, разумеется, механизмы двухфакторной аутентификации также будут актуальны. Пример: обычная web-камера (идентификация по лицу) + ПИН.
Компрометировать АИС путем хищения хранимых эталонных биометрических образцов возможно. При этом важно не забывать того факта, что банки будут осуществлять сбор биометрических шаблонов (и образцов) и это большая инвестиция банков, поскольку требует отвлечения операционистов (ФОТ, инфраструктура) на регистрацию субъекта ПДН в НБП. Представим себе, что хранение биометрических образцов в НБП не осуществляется, хранятся и обрабатываются только вектора (математика), алгоритм и протоколы обмена компрометированы.
Что при этом должно послужить средством формирования новых биометрических ключей в сжатые сроки? Мало кто захочет в тот же день пройти повторную процедуру регистрации, а это вызовет большой резонанс. Более того, все алгоритмы эволюционируют в плане качества и точности решения задач верификации и идентификации. В отсутствие биометрических образцов переход на более современные алгоритмы становится невозможен, поскольку обратное преобразование вектора невозможно. Нет необходимости оберегать систему путем отказа от хранения данных, есть необходимость обеспечивать надлежащий уровень защищенности АИС, в рамках целевой архитектуры, согласованной ФСТЭК.
Школы могут быть разными, но есть требования регулятора и функциональные требования к АИС, которые должны быть выполнены ее разработчиком.
На тему различных способов организации информационного обмена и интерпретации результатов есть ГОСТ Р 54411-2011/ISO/IEC/TR 24722:2007 на мультимодальные системы для интерпретации результатов обработки каждой модальности. В вашем случае модальность одна, но решения принимались по мерам схожести и логике выполнения операций. Этот подход можно реализовать с любой другой модальностью.
Мы исходим из требований стандартов ГОСТ/ISO и регуляторов – ФСТЭК России и профильного (8-го, ИБ) центра ФСБ России к хранению и обработке персональных данных (ФЗ-152). Есть положительное заключение ФСТЭК России по системной архитектуре платформы, модели угроз и нарушителя. Положительное решение регулятора вселяет в нас разумный оптимизм. Что касается подхода, то даже если биометрические образцы похищены злоумышленником (что само по себе уже крайне плохой факт), ему также необходимо знать, каким образом осуществляется преобразование биометрического образца в эталонный биометрический шаблон (алгоритм, сборка). Без этой информации в АИС «сырые» данные не имеют широкого практического применения. Алгоритмы (протоколы обмена) меняются даже при подозрении на компрометацию системы. Собственно, все эти подходы нам и согласовал профильный регулятор.
Также важно отметить, что хранить эталонные биометрические образцы требуется для обеспечения ряда организационных и технических задач. Таких как расширение используемых биометрических алгоритмов по одной модальности, что позволяет эволюционно развивать платформу, повышая качество идентификации и верификации, предоставлять функции аналитики для определения эффективности биометрических алгоритмов на эталонной базе, давать пользователю возможность «глазами» сравнить биометрические образцы и т.д.
PS. Спасибо за приведенную ссылку. Было бы очень интересно ознакомиться с практической реализацией указанного вами подхода с использованием нейросетевого преобразователя (при использовании изображения лица) уровня промышленного образца, аналогичного нашему решению, со стойкостью СКЗИ, аналогичной классу КС1.
Статья написана с широким охватом и функциональных, и технических аспектов работы современных мультимодальных биометрических систем. К сожалению, в одной статье нет возможности в деталях осветить все технические вопросы – как это работает, как это защищается, и какова статистическая эффективность работы алгоритмов. Далее мы будем публиковать более детальные кейсы и технологические подробности.
Для оценки точности работы алгоритмов (FAR / FRR / TPR / TNR) мы используем большие размеченные массивы данных (например, web-фото, фото паспортов и много других) и на их базе строим ROC-curves для оценки эффективности применительно к массиву данных определенного качества. У нас есть сводные тесты почти всех российских разработчиков и ряда лидеров NIST(FRVT 2013). Это очень интересная для анализа информация, но открыто делиться ею мы не можем в силу наличия соглашений о конфиденциальности. Наш подход к оценке качества работы алгоритмов сугубо математический.
Приятно контактировать с человеком, который хорошо понимает ключевые технические аспекты применения биометрических систем. Мы готовим новые статьи, в них будет больше технических деталей, а также практических (и уже реализованных) сценариев применения.
Мы делаем акцент на разработке платформы (интегрирующей технологии) и разработке прикладных бизнес-решений. С учетом динамики улучшения качества алгоритмов и постоянной смены лидеров в сфере отдельных биометрических разработок (особенно это касается 2D-изображения лица), считаем, что ключевыми задачами являются компетентная оценка качества алгоритма (NIST, свои аналитики и инженеры), интеграции и формирование справедливой стоимости для бизнес-решений, включающих данную конкретную разработку.
Алгоритмы используем разные, в том числе несколько – по изображению лица. Приходите на выставку, можно будет обсудить в деталях.
Акцент на защищенность информационной системы в соответствии с требованиями регуляторов сделан осмысленно, поскольку утрата и компрометация биометрических персональных данных не то же самое, что утрата пароля. К примеру, в мире большое внимание данной проблеме (защите биометрических ПДН) уделяет ISO, а у нас ФСТЭК. Вопрос очень чувствительный, от качества его проработки зависит доверие к информационной системе.
В банковской сфере есть большое количество сценариев применения, в том числе в плане антифрода. Мы отдельно подготовим статью по банковским решениям, где осветим уже работающие решения, а также те, которые будут запущены в ближайшем будущем.
Большинство корпоративных заказчиков готовы нести затраты на СКЗИ, поскольку в современном мире биометрические решения предоставляют очень большие конкурентные преимущества. Это касается не только банков.
Практически все признаки (за исключением ДНК) подвержены изменениям – физиологическим, механическим. Именно по этой причине будущее за системами в которых содержится совокупность мод, а обновление мод (обогащение АИС данными) происходит при каждой успешной аутентификации.
Организационных киллер-фич скоро будет две – национальный биометрический центр и получение услуг (коммерческих, государственных). Технологическими киллер-фичами будут именно мультимодальные платформы, которые сдвинут тему радикально вперед. Не зря же Apple приобрели PrimeSense и активно ведут интеграцию решения, патентуют технологии 3D-идентификации/верификации и т.д.
1. Не так давно анонсирована возможность пилотного запуска единой биометрической базы ЦБ (http://www.rbc.ru/finances/19/01/2017/587e2c689a79470b502835ba).
2. Подготовлен проект изменений к ФЗ-115 – профильному закону Росфинмониторинга по идентификации клиентов кредитных организаций.
3. Подготовлен проект изменений ФЗ-152.
4. Готовится концепция национальной биометрической платформы.
5. Ведутся работы по созданию платформы и тестового сервиса биометрической идентификации клиента кредитной организации в каналах дистанционного обслуживания с целью открытия счетов (аутентификация через ЕСИА).
У процесса внедрения новых решений в целом и биометрии в частности есть свойственная всему новому инерционность, но сервисы аутентификации изменятся очень быстро с акцентом на мультимодальную биометрию с контролем компрометации. При этом, разумеется, механизмы двухфакторной аутентификации также будут актуальны. Пример: обычная web-камера (идентификация по лицу) + ПИН.
Что при этом должно послужить средством формирования новых биометрических ключей в сжатые сроки? Мало кто захочет в тот же день пройти повторную процедуру регистрации, а это вызовет большой резонанс. Более того, все алгоритмы эволюционируют в плане качества и точности решения задач верификации и идентификации. В отсутствие биометрических образцов переход на более современные алгоритмы становится невозможен, поскольку обратное преобразование вектора невозможно. Нет необходимости оберегать систему путем отказа от хранения данных, есть необходимость обеспечивать надлежащий уровень защищенности АИС, в рамках целевой архитектуры, согласованной ФСТЭК.
Школы могут быть разными, но есть требования регулятора и функциональные требования к АИС, которые должны быть выполнены ее разработчиком.
На тему различных способов организации информационного обмена и интерпретации результатов есть ГОСТ Р 54411-2011/ISO/IEC/TR 24722:2007 на мультимодальные системы для интерпретации результатов обработки каждой модальности. В вашем случае модальность одна, но решения принимались по мерам схожести и логике выполнения операций. Этот подход можно реализовать с любой другой модальностью.
Также важно отметить, что хранить эталонные биометрические образцы требуется для обеспечения ряда организационных и технических задач. Таких как расширение используемых биометрических алгоритмов по одной модальности, что позволяет эволюционно развивать платформу, повышая качество идентификации и верификации, предоставлять функции аналитики для определения эффективности биометрических алгоритмов на эталонной базе, давать пользователю возможность «глазами» сравнить биометрические образцы и т.д.
PS. Спасибо за приведенную ссылку. Было бы очень интересно ознакомиться с практической реализацией указанного вами подхода с использованием нейросетевого преобразователя (при использовании изображения лица) уровня промышленного образца, аналогичного нашему решению, со стойкостью СКЗИ, аналогичной классу КС1.
Для оценки точности работы алгоритмов (FAR / FRR / TPR / TNR) мы используем большие размеченные массивы данных (например, web-фото, фото паспортов и много других) и на их базе строим ROC-curves для оценки эффективности применительно к массиву данных определенного качества. У нас есть сводные тесты почти всех российских разработчиков и ряда лидеров NIST(FRVT 2013). Это очень интересная для анализа информация, но открыто делиться ею мы не можем в силу наличия соглашений о конфиденциальности. Наш подход к оценке качества работы алгоритмов сугубо математический.
Приятно контактировать с человеком, который хорошо понимает ключевые технические аспекты применения биометрических систем. Мы готовим новые статьи, в них будет больше технических деталей, а также практических (и уже реализованных) сценариев применения.
Мы делаем акцент на разработке платформы (интегрирующей технологии) и разработке прикладных бизнес-решений. С учетом динамики улучшения качества алгоритмов и постоянной смены лидеров в сфере отдельных биометрических разработок (особенно это касается 2D-изображения лица), считаем, что ключевыми задачами являются компетентная оценка качества алгоритма (NIST, свои аналитики и инженеры), интеграции и формирование справедливой стоимости для бизнес-решений, включающих данную конкретную разработку.
Алгоритмы используем разные, в том числе несколько – по изображению лица. Приходите на выставку, можно будет обсудить в деталях.
Спасибо за комментарий!
Акцент на защищенность информационной системы в соответствии с требованиями регуляторов сделан осмысленно, поскольку утрата и компрометация биометрических персональных данных не то же самое, что утрата пароля. К примеру, в мире большое внимание данной проблеме (защите биометрических ПДН) уделяет ISO, а у нас ФСТЭК. Вопрос очень чувствительный, от качества его проработки зависит доверие к информационной системе.
В банковской сфере есть большое количество сценариев применения, в том числе в плане антифрода. Мы отдельно подготовим статью по банковским решениям, где осветим уже работающие решения, а также те, которые будут запущены в ближайшем будущем.
Большинство корпоративных заказчиков готовы нести затраты на СКЗИ, поскольку в современном мире биометрические решения предоставляют очень большие конкурентные преимущества. Это касается не только банков.
Практически все признаки (за исключением ДНК) подвержены изменениям – физиологическим, механическим. Именно по этой причине будущее за системами в которых содержится совокупность мод, а обновление мод (обогащение АИС данными) происходит при каждой успешной аутентификации.
Организационных киллер-фич скоро будет две – национальный биометрический центр и получение услуг (коммерческих, государственных). Технологическими киллер-фичами будут именно мультимодальные платформы, которые сдвинут тему радикально вперед. Не зря же Apple приобрели PrimeSense и активно ведут интеграцию решения, патентуют технологии 3D-идентификации/верификации и т.д.