Самые удачливые аферисты уже давно не выходят за пределы всемирной паутины и совершают ограбления, взламывая базы данных. Их главные союзники – слабые места в настройках безопасности. Те, кто не думает о защите на два шага быстрее, чем хакеры, рискуют оказаться их добычей. Более того, каждый провал в организации системы электронных хранилищ теперь может иметь по-настоящему катастрофические последствия. Дело в том, что все больше компаний используют биометрическую идентификацию, которая является ключом для проведения финансовых операций. Следует ли волноваться финтех-компаниям и носителям биометрической информации?
Каков масштаб бедствия
По последней информации, системы биометрической идентификации, включая электронные паспорта, визы, водительские удостоверения и другие документы, имеют уже более 80 стран мира. Почти 1,2 млрд человек предоставили свои данные для хранения лишь в одной из них – индийской Aadhaar. Китайская структура социальной оценки граждан к 2020 году превысит и эту астрономическую цифру. В ней уже через два года будут храниться биометрические данные 1,3 миллиарда граждан КНР. И это сведения только о людях, уникальная информация о которых может стать достоянием хакеров, что приведет к непредсказуемым последствиям в финансовой, миграционной и социальной сферах.
Если же считать банкнотами, то еще полтора года назад биометрические системы сформировали рынок, который оценивался почти в $14,45 млрд. Треть этой суммы – стоимость оборудования, необходимого для считывания информации. Его безопасная работа тоже напрямую зависит от качественной защиты считываемой информации. В целом понятно, какие суммы денег превратятся в пыль, если эксперты проиграют хакерам хоть один раунд борьбы за безопасность. И это еще только начало. Консалтинговая компания J’son & Partners предрекает рынку стремительный рост. В 2022 году его объем составит уже более 40 млрд рублей с увеличением на 18,6% в год.
Какие части тела под угрозой
Статистика агентства J’son & Partners Consulting за 2016 год свидетельствует, что среди всех видов биометрической информации лидируют отпечатки пальцев. Сейчас ситуация не изменилась: половина компаний используют именно их, чтобы подтвердить платежную операцию, удостоверить личность или открыть доступ к счетам. Еще четверть массива биометрии – это изображение лица. Остальной объем распределился между такими данными, как ДНК, радужная оболочка глаза, геометрия ладони и рисунок вен. Несмотря на небольшую долю последних трех источников, именно за ними перспектива рынка. Возможно, одна из причин тому – отсутствие наработанных схем взлома таких паролей.
Кто же является основными хранителями биометрических данных пользователей? Естественно, государство тут в первых рядах. Национальные биометрические системы нацелены практически полностью перевести граждан на электронные паспорта, ID-карты, водительские удостоверения. Вторыми в списке идут индустрия туризма и миграционный сектор. Перемещение людей по миру тоже вскоре должно подчиниться биометрии для всеобщего удобства. Уже сегодня используются электронные визы, «умные гейты» в аэропортах, биометрические киоски самообслуживания пассажиров.
Так в чем реальная опасность массового перехода на биометрию? Тем, что темпы ее внедрения и распространения опережают скорость подготовки финансовой отрасли к такому переходу.
Уже сейчас финансовая отрасль является третьим по величине пользователем систем с этим видом идентификации. Подобное стало возможно из-за активного внедрения в структуру взаиморасчетов мобильных устройств. Банки, страховщики, платежные компании довольно быстро восприняли этот тренд и развивают его с учетом своей специфики и своих рисков. Но не мобильными технологиями едиными живут биометрические данные в финансовом секторе. Уже в ближайшее время ожидается их распространение на банкоматы, терминалы самообслуживания, корпоративные системы распознавания. Перспективным направлением считается внедрение биометрических касс при совершении розничных покупок в магазинах. В России получит развитие дистанционное обслуживание с удаленной идентификацией пользователя в социальных учреждениях.
Прогресс уже не остановим, и через четыре года согласно данным Juniper Research число смартфонов с биометрическими функциями составит около 760 миллионов штук. Развитие технологии предполагает, что на смену отпечаткам пальцев придет микс биометрических сведений. Мобильное устройство будет одновременно считывать голос пользователя, его лицо, отпечатки пальцев и, например, радужную оболочку глаза. Казалось бы, это должна быть более надежная система идентификации, которую крайне сложно взломать. Но развивается не только технология, но и способы обойти ее защиту.
Что делать с уязвимостями
Любое совершенствование защиты данных – это вызов для хакеров, которые точно захотят ее взломать. И раз завтрашний день за биометрией, то стоит задуматься о такой антифрод-системе, которая будет достойна этой технологии. Дело в том, что распознавание – только одна из составляющих системы риск-менеджмента. Любое обновление вследствие развития может нарушить баланс в процессе отлова мошенников, интересующихся счетами и личными данными пользователей. Всякая громкая электронная кража в последние годы базировалась на мельчайших ошибках в методах защиты. Для успешной мошеннической операции хватит и 5% уязвимости системы.
Последние испытания решений биометрической идентификации и аутентификации, работающих вместе с антифрод-системой, дают 90% обнаружения хакерских атак. При этом 0,1% заложен на ложное срабатывание. Методика, которую разработали мы, гарантирует уже выявление 97%+ фрода. Показатели выше среднего объясняются сочетанием сразу нескольких проверенных технологий идентификации пользователей. Например, система 3D-Secure позволяет установить личность владельца карты по нескольким показателям – номеру платежного инструмента и дополнительному коду, который банк высылает на мобильный телефон клиента.
Авторизация по контрольной сумме обеспечивает дополнительную безопасность счетов, поскольку предполагает определенное количество денег, зарезервированное на карте во время ее регистрации. При авторизации переводов запрашивают SMS, где прописана эта сумма, известная только пользователю. Платеж подтверждается, только если она указана правильно. Большинство атак отсеиваются уже с помощью этих протоколов. И незачем от них отказываться даже при широком распространении биометрических технологий распознавания.
Биометрия требует от риск-менеджеров совершенно новых знаний и навыков, а они формируются не так быстро. Налаживание автоматического мониторинга придется начинать, если не с начала, то с середины, добавляя новые фильтры. Поэтому лучше заложить пару лет на переходный период, когда биометрия будет работать в связке с уже обкатанными методами защиты данных при реализации платежных стратегий. Полноценная антифрод-система должна учитывать как общую специфику онлайн-торговца, так и индивидуальные особенности платежного поведения его клиентов. Биометрическая идентификация и аутентификация пока не зашла так далеко в своем прогрессе – многоэтапная стратегия риск-менеджмента еще не до конца продумана, поэтому рекомендуем придерживаться традиционных способов защиты своего бизнеса от мошенников, во всяком случае, еще некоторое время.