Приложение СБПэй позволяет проводить оплату по биометрии

Оплата по биометрии может показаться удобной новинкой, будто перенесенной в нашу повседневность из фантастических фильмов. Приложение СБПэй обещает три ключевых преимущества: простоту использования, скорость и высокую безопасность. Но у каждой инновации всегда есть как минимум три стороны: риски, выгоды и способы защиты.

Во-первых, может быть утечка данных. Достаточно вспомнить историю из Эквадора в 2019 году, когда биометрические данные миллионов людей стали достоянием злоумышленников. Как только отпечаток или скан лица окажется в чужих руках, последствия могут быть непоправимыми.

Во-вторых, возможны ошибки идентификации. Технологии развиваются, но они несовершенны: качественная фотография или схожая внешность, как у близнецов, способны ввести систему в заблуждение.

В-третьих, биометрические данные неизменны. Если пароль можно изменить в любой момент, то с украденным отпечатком пальца так не получится. Эта постоянность наших «живых паролей» превращается в уязвимость, ведь вы не в силах перепрограммировать собственную внешность.

Есть три основных выгоды, благодаря которым люди решаются на использование биометрической оплаты:

• Удобство. Не нужно помнить коды, вводить пароли или рыться в кошельке в поисках карты
• Скорость. Оплата одним жестом, прикосновением или взглядом экономит время и упрощает повседневные процессы
• Ощущение снижения угрозы мошенничества. Скопировать лицо или отпечаток куда сложнее, чем узнать ПИН-код. Но и в этом случае нельзя забывать, что чем сложнее барьер, тем изощреннее могут стать методы обмана

Встает вопрос: как же защищают наши данные? И тут нам предлагают сразу три вида «щитов». Во-первых, это единая биометрическая система (ЕБС), в которой обещают высочайший уровень безопасности и непробиваемости. Хотя мы знаем, что любая стена может пасть под натиском опытного «осадного инженера».

Во-вторых, данные хранятся в зашифрованном виде, и для их расшифровки нужны колоссальные усилия.

В-третьих, над всем этим довлеет законодательство, призванное контролировать сбор и использование биометрии.

Но, увы, истории с утечками и взломами данных систем госструктур показывают, что никакие правила не гарантируют стопроцентной безопасности.

Так стоит ли окунаться в мир оплаты по биометрии с головой? Это как получить ультрасовременную машину, которую можно завести взглядом, но каждый день тревожиться о том, что хитрый хакер может перехватить управление.

Прежде чем активировать оплату по биометрии, нужно ответить себе на три вопроса: насколько вы готовы рискнуть ради удобства, что предпримете, если система даст сбой, и стоит ли менять старые надежные способы оплаты на новые, но не до конца отлаженные решения.

В конце концов, технологии — это прекрасно, но разумная доля сомнений еще никому не повредила. И не забывайте о старом добром кошельке с наличкой — он не зависнет и не будет сомневаться, вы ли это на самом деле.

Главное отличие идентификации пользователей по биометрии от других способов состоит в том, что биометрия каждого человека уникальна и она не меняется. Не получится модифицировать ее, как пароль. Информация о каждом биометрическом признаке хранится в виде алгоритма, который переводит отпечаток пальца или радужную оболочку глаза, образец голоса в последовательность символов.

Каждый раз, когда мы демонстрируем палец, глаз, голос, вычисляется новая последовательность и сверяется с эталонной. Далее система принимает решение о совпадении данных и открывает доступ. Если мы говорим об утечке, попасть к посторонним может не сам отпечаток пальца или радужки, а математическая последовательность, из которой сам биометрический признак восстановить не удастся.

Тем не менее риски у ЕБС, как и у любой информационной системы, есть, и они заключаются в нарушении конфиденциальности, целостности и доступности. И если вопрос целостности, неизменности данных уже хорошо отработан, то с доступностью могут быть проблемы. Об этом мы можем судить и по количеству недавних сбоев крупнейших банков. Несмотря на то, что для СБП эта проблема почти не актуальна, стоит продолжать работать в этом направлении.

Минимизировать риски возможно через введение жестких регламентов SLA и контроль за их исполнением всеми участниками, в том числе, госструктурами. В идеале контролировать должна независимая, по-крайней мере, незаинтересованная, организация, а результаты проверок должны быть доступны для ознакомления другим участникам рынка.

Технически вопрос конфиденциальности в настоящее время решается через подтверждение организацией соответствия требованиям того же ГОСТ 57580. Но остаются слабые места.

Во-первых, некоторые организации продолжают оценивать формально, без глубокого анализа процессов на местах. Во-вторых, по-прежнему не всегда удается исключить утечки из-за человеческого фактора — недобросовестных сотрудников. Однако необходимо продолжать настраивать систему так, чтобы контроль происходил на всех уровнях и риски инцидентов нивелировались бы до того, как они серьезно повлияют на процессы.