Цифровые технологии для всех

Если в Казахстане разработают платформу, которая свяжет решения отдельных банков по биоэквайрингу и упростит механизм оплаты для клиентов, если казахстанцы смогут пользоваться терминалами любых банков, а информация будет надежно храниться, то цифровые технологии оплаты с помощью биометрии, доступ к кредитам, услуги транспорта, могут стать нашим будущим.

Банки, платежные системы, торговые сети, кафе, транспорт, связь активно внедряют биометрические технологии. 

Биометрические данные, это - сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность: цифровая фотография, отпечатки пальцев или рисунок кровеносных сосудов ладони, изображение радужной оболочки глаз.  Биометрические параметры могут быть: статическими, когда основываются на физиологической или статической характеристике человека, уникальной характеристике, данной ему от рождения и неотъемлемой от него: на ДНК, отпечатках пальцев, радужки глаза и динамическими, когда исходят из поведенческой, динамической характеристики человека, особенностях, характерных для подсознательных движений в процессе какого-либо действия: динамики воспроизведения подписи или набора текста, походки, голоса. 

Биометрические системы прочно вошли во многие сферы: в банки, на транспорт, они используются в большинстве гаджетов. Почти все современные смартфоны можно разблокировать с помощью отпечатка пальца или просто посмотрев на экран. Данные зашифровываются и хранятся на удаленном сервере или в устройстве и считываются при помощи сканеров.

Биометрия также полезна в экстренных ситуациях. Например, в Японии после разрушительного землетрясения и цунами в марте 2011 года много людей лишись всего, в том числе и банковских карточек и документов. Они вынуждены были проходить через долгие процедуры идентификации личности, чтобы снять деньги со своих счетов. После этого в стране создали единую биометрическую систему, которая исключает такую проблему. 

Есть правило «трех У» при определении требований к биометрическим характеристикам. Они должны быть уникальны, универсальны и устойчивы. 

Так как физиологические данные человека уникальны и не могут быть утеряны или подделаны, биометрия используется чаще всего в системах контроля доступа в тех сферах, где безопасность особенно важна. Это защищает от мошенников – они не могут подобрать отпечаток пальца в отличие от цифрового ПИН-кода, это также упрощает многие операции - от процесса покупки до регистрации на авиарейс.

Безопасность биометрических данных в Казахстане

В мире, в развитых странах, биометрия используется уже пару десятилетий. В США выдаваемые паспорта содержат чип с биометрической информацией о владельце документа, в том числе с отпечатками пальцев, уже с 2004 года. В Великобритании нововведение получило широкое применение в 2006, в Германии – в 2010, а в Китае – в 2013 году. Поехать в Европу без биометрического паспорта со второй половины 2024 года больше не получится.

В Казахстане с помощью биометрии можно: дистанционно пройти регистрацию в банке, открыть счет или вклад, оформить кредит, расплатиться в магазинах и кафе, снять деньги в банкомате. Также, Казахстан намерен использовать, по инициативе министерства транспорта, биометрию пассажиров в аэропортах по всей стране. 

Биометрия используется, в первую очередь, в процессах идентификации. Идентификация, это - сопоставление уникальных параметров субъекта с данными, уже хранящимися в системе, для автоматического распознавания конкретного человека. 

Именно в процессе биометрической идентификации идет сбор персональных данных и их обработка. Законом в Казахстане установлены требования к этим процессам. Так, например, обработка данных включает весь круг действий, направленных на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

Сбор персональных данных, не являющиеся общедоступными, возможен обязательно и только по подтвержденному согласию человека. Гражданин дает свое разрешение собственнику или оператору базы данных до того, как сообщит все сведения о себе. Обработка персональных данных запрещена без конкретной цели и с использованием избыточного количества данных. 

Операторы и собственники баз данных обязаны собирать минимально возможный перечень данных для своих целей. Более того, в тексте согласия на сбор и обработку персональных данных должны быть прямо указаны сведения о возможности или невозможности оператора передавать данные третьим лицам и сведения о трансграничной передаче данных или ее отсутствии в процессе их обработки. Однако, часто на практике нельзя отследить незаконную передачу данных в адрес третьих лиц до наступления ущерба.

По закону, отправлять персональные данные на территорию других стран можно только, если эти страны обеспечивают защиту данных, то есть, приняли законы и правила о персональных данных, хотя персональные данные казахстанцев подлежат хранению на территории Казахстана. Если страна не приняли законы, то персональные данные казахстанцев на ее территорию могут быть направлены только с их согласия. 

Если сравнить наше законодательство, еще формирующееся, с общим регламентом по защите данных Европейского Союза (GDPR), то в казахстанских законах и нормативно-правовых актах (НПА) есть ключевые нормы по защите персональных данных, существующие в развитых странах. Однако, применение этих норм, включая вопросы соразмерности санкций за нарушение законодательства в сфере персональных данных, остается не до конца решенным.

Биометрическая идентификация сегодня используется главным образом государственными органами и субъектами финансового сектора. С введением в действие новых законодательных норм, перечень организаций, собирающих биометрические данные и объем таких данных, могут значительно вырасти.

Так, только с 2024 года вводятся в действие некоторые нормы закона «О дактилоскопической и геномной регистрации» и обязательная дактилоскопия граждан РК и отдельных категорий иностранных граждан старше 16 лет. Накоплением и хранением этой информации займется министерство внутренних дел РК. 

Кроме того, операторы сотовой связи регистрируют биометрию своих клиентов в Казахстане при регистрации номера телефона, расторжении договора с оператором, подачи заявления на перенос абонентского номера и оказания услуг сотовой связи, в целом. Будут ли они внедрять искусственный интеллект в разговоры абонентов? - Голосовой помощник в мире уже может самостоятельно принимать звонки, узнавать их цель и присылать расшифровку владельцу. Технологии AI проверяют, синтезированный или живой голос используется при звонке, а Big Data сверит биометрию голоса с базой мошеннических голосов, а также проведет анализ текста звонящего на предмет мошеннических сценариев. 

Несмотря на привычные процедуры передачи данных в адрес банков, в них есть неоднозначные моменты.

Банки часто используют расплывчатые формулировки в типовых соглашениях на сбор и обработку персональных данных, допуская возможность их передачи на территории других стран без указания причин и оснований для этого. Клиент не может изменить типовое согласие и не может отказаться от подписи под ним, потому что тогда банк ему откажет в обслуживании. 

Также, для внедрения и поддержки работы механизмов биометрической идентификации банки привлекают подрядчиков - разработчиков технологий распознавания и идентификации, которые в некоторых случаях являются собственниками соответствующих баз данных. В работе банков есть стандартное положение о возможности передачи персональных данных партнерам банка, что фактически не ограничивает круг этих лиц.

Поэтому, несмотря на наличие у банков политик по защите персональных данных, сами процессы обработки и трансграничной передачи остаются непрозрачными. Гражданин, самостоятельно передавая свои данные в иностранные органы и организации, принимает возможные последствия своих действий, а когда большие массивы данных, переданных физлицами в адрес казахстанского юрлица, хранятся вне территории Казахстана, без соответствующего разрешения, граждане об этом могут не знать вовсе. А ведь возможность восстановления нарушенных прав гражданина при предъявлении требований к локальным казахстанским компаниям намного выше, чем к зарубежным, на которые законодательство Казахстана, не распространяется в достаточной степени.

Применение современных технологий биометрии, безусловно, помогает надежной идентификации граждан и улучшению качества государственных и коммерческих услуг, борьбе с мошенничеством и преступностью. Вместе с тем, сбор и хранение биометрических данных неизбежно поднимают вопросы об их безопасности.

По мере того, как граждане осознают ценность своих персональных данных, в том числе, как цифрового актива, растут их ожидания к ответственности организаций и государства. Интерес к этой теме растет и стоит ожидать роста числа индивидуальных и групповых запросов в госорганы и коммерческие компании с требованиями повышения прозрачности процессов, что потребует роста контроля со стороны государства и усиления норм права и его применения в Казахстане.

Цифровые слепки лиц в банках и МФО

Биометрия в банках - один из вариантов платежных технологий без касания. Вообще, в том или ином виде, биометрия у всех казахстанцев сдана: на машине едем, нас камеры снимают, заходим в алматинское метро, там тоже камеры, в офисах, на улице - везде камеры.

Казахстанские банки собирают биометрические данные клиентов, начиная с 2018 года. Это, в первую очередь, запись голоса и изображение лица. Сдача биометрии исключительно добровольна, происходит при подписании согласия на обработку данных. Биометрия нужна банкам и микрофинансовым организациям, чтобы повысить скорость обслуживания, удобства и безопасность клиентов, дать возможность пользоваться услугами банка без посещения офиса.

Рrodengi.kz направили в банки и их регулятору запрос о том, собирают ли они биометрические данные клиентов, если «да», то с какого года, примерно и для чего. Ожидаемо оказалось, что собирают и хранят, но с технологическими особенностями.

«Мы не храним фотографии клиентов для целей идентификации. Хранится векторный отпечаток, это - своего рода цифровой слепок. Это необходимо для процедур надлежащей идентификации клиента в соответствии с требованиями законодательства», - ответили на запрос Рrodengi.kz в Kaspi.kz.

«Евразийский банк собирает биометрические данные клиентов с 2021 года. Это делается для того, чтобы повысить скорость обслуживания, удобство, безопасность клиентов, дать возможность пользоваться услугами банка без посещения офиса и, в том числе, для предотвращения мошенничества», - ответили в банке.

Использовать биометрию для выдачи микрокредитов онлайн предлагало агентство РК по регулированию и развитию финансового рынка (АРРФР) еще в июле 2023 года. Поэтому Рrodengi.kz спросили в агентстве о том, используют ли МФО сейчас биометрию для этого и является ли такое использование обязательным требованием.

«Да», - ответили в агентстве. - Теперь, «если микрокредит выдается электронным способом, то есть онлайн, то применение биометрии для идентификации клиента является обязательной процедурой» - ответили в АРРФР. 

Мошенники научились обманывать пользователей QR-кодов 

В последние два-три года банки приучали казахстанцев к использованию QR-кодов: объявляли привлекательные акции, начисляли бонусы 10%-ые. В городском транспорте QR-коды тоже применяются широко. Мы так привыкли к QR-кодам, что забываем: с их помощью мошенники умеют обманывать пользователей. Как сканировать такие коды безопасно? 

QR-коды стали частью быта из-за удобства и универсальности. Они встречаются везде, от троллейбусов и упаковок продуктов до меню в ресторанах и билетов на мероприятия. Отсканировав QR-код, можно быстро получить доступ к информации, загрузить приложения, оплатить обед или ужин. Но их плюсы оценили не только обычные пользователи, но и мошенники. 

В чем опасность? Главная угроза при использовании QR-кода, это - фишинг с помощью QR-кодов. Жертва сканирует QR-код, который перенаправляет ее на мошеннический сайт, предлагает залогиниться. Так мошенники получают доступ к учетной записи жертвы. 

Пользователи часто менее осторожны при сканировании QR-кодов, считают их безопасными или не задумываются об этом риске. Злоумышленники стали рассылать такие QR-коды через электронную почту, чтобы обойти традиционные методы защиты от фишинга. Их сложнее анализировать автосистемами безопасности, что усложняет обнаружение и блокировку мошеннических QR-кодов. 

Так же обычно рассылаются и ссылки на вредоносные приложения со спрятанными внутри вирусами или троянами. Чтобы устройство оказалось заражено, пользователь должен их скачать и установить. В QR-код можно записывать не только текстовые строки, но и двоичный код. При этом разместить вирус в самом QR-коде вряд ли получится. Вредоносная программа должна быть очень компактной, а в QR-код может уместиться всего 2953 байта двоичного кода. А вирус надо не только записать, но и каким-то образом заставить сканер QR-кода его запустить. 

То есть, для успешной атаки надо не только уместить код в ограниченный размер двухмерного штрихкода, но и найти такую уязвимость в сканере, которая бы его автоматически запустила. С мошенническими QR-кодами можно встретиться не только в интернете, но и в реальной жизни. Злоумышленник может наклеить свой QR-код поверх реального в меню ресторана, на стенде в музее или на памятнике. 

Что можно предпринять для защиты? Не торопиться. Для безопасности можно, например, визуально сравнить адрес криптокошелька на сайте и в QR-коде, прежде чем переводить криптовалюту. Или, вместо того, чтобы сразу переходить по адресу, распознанному сканером, можно проверить его с помощью сервиса VirusTotal, использующего десятки антивирусов для проверки файлов и ссылок на наличие вирусов, троянов, червей и других типов вредоносного ПО. 

Перед сканированием, можно подойти и всмотреться в QR-код, размещенный на стенде, памятнике или другом объекте, чтобы проверить, не наклеен ли он поверх другого. Стоит пользоваться надежными сканерами QR-кодов: например, QR-сканером, встроенный в мобильное приложение для съемки фото и видео. Если мошенники сумеют убедить установить их собственное приложение для сканирования QR-кодов, то оно, в теории, может подменять не только ссылки, но и, например, адреса криптокошельков. 

Даже, если для работы с конкретным QR-кодом требуется установить отдельное приложение, всегда можно сначала отсканировать его стандартным сканером и посмотреть, что же там внутри. Скорее всего, это будет текстовое сообщение, какая-то ссылка или секретный код для двухфакторной аутентификации и лишь в редких случаях может быть непонятный набор символов.

Для автоматической проверки ссылок через VirusTotal вы можете установить на свой телефон сканер QR-кодов компании Trend Micro, можно использовать пасски или ключи FIDO U2F, которые, точно, защитят вас от фишинговой атаки, даже если вы перейдете по подозрительной ссылке. USB ключи с протоколом FIDO U2F (FIDO1) и пасски (FIDO2) не позволят мошенникам воспользоваться вашей неосмотрительностью, так как позволяют залогиниться только при использовании правильной ссылки.

Использование биометрии – наше будущее

Пожалуй, ближайшее будущее наших банков и МФО - биоэквайринг, возможность, не только доступа к счетам и кредитам, но и оплаты при помощи биометрических данных. 

Из очевидных плюсов биоэквайринга - возможность оплатить покупку в любых обстоятельствах. Даже если забыл и телефон, и карту, твое лицо, или ладонь, или палец всегда с тобой. В результате для продавца - больше успешных завершенных оплат, и, значит, выше прибыль. Для банка введение биоэквайринга, это - снижение риска мошеннических и несанкционированных действий из-за сложности подделки биометрических данных. Они уникальны, универсальны и надежны как средство подтверждения платежа. Однако важно обеспечивать высокую безопасность этих данных и стабильность работы сервисов.

Сначала, в период привыкания к биоэквайрингу, будут, вероятно вводиться лимиты по суммам, как при бесконтактной оплате картой без ПИН-кода. Тогда биометрия превращается из схемы без касания в схему с двухфакторной аутентификацией. Пока, это – та самая реальность, которая позволяет соблюдать баланс рисков. А у каждого эквайера свой аппетит к риску.

Биометрия может выйти на массовый рынок Казахстана, когда доверие у населения к этой технологии укрепится и обработка данных будет мгновенной, ведь граждане привыкли к быстрым оплатам. Доверие, скорость, себестоимость оборудования, которое проверяет биометрию - при наличии всего этого склонность пользователя платить биометрией укрепится. Потом это станет нам так же привычно, как платить картой.

Фото из открытых источников