Статья Пришло время использовать биометрические технологии в бизнесе Вы часто летаете самолетами? Тогда вам не нужно рассказывать о том, сколько неудобств причиняют постоянно усложняющиеся процедуры установления личности и пропускного контроля в аэропортах! Причем неудобства эти могут быть как явными (очереди, ожидание), так и «скрытыми». Вы прогуливаетесь по аэропорту в ожидании посадки и знаете, что каждый ваш шаг фиксирует система видеонаблюдения. А значит, полученные записи могут быть просмотрены сотрудниками службы безопасности или обработаны автоматизированной системой распознавания лиц, чтобы сравнить ваш портрет с базами данных контрабандистов и подозреваемых в совершении терактов. Проверяя ваш паспорт, сотрудник иммиграционной службы может получить доступ к биометрической информации, которая записана на крошечном микрочипе, скрытом в обложке документа. В зависимости от аэропорта вас также могут попросить пройти через устройство, сканирующее радужную оболочку глаза или распознающее лицо. Но и это далеко не все. Перед посадкой в самолет от пассажира могут потребовать пройти процедуру полного сканирования тела с использованием волн миллиметрового диапазона, позволяющих получить сверхточное изображение. А в конце путешествия, возможно, предложат сдать отпечатки пальцев. В США эта процедура уже стала стандартной. Все эти меры контроля вызывают множество споров. Особенно среди правозащитников, оперирующих постулатами неприкосновенности частной жизни. Тем не менее общественное мнение в отношении биометрических систем постепенно меняется. И речь идет не только о средствах обеспечения безопасности. Да, наш мир полон новых рисков. И процедуры контроля становятся все более строгими, навязчивыми. Однако современные технологии биометрии способны обеспе- чить более высокий уровень надежности и комфорта. А главное, спектр их применения постоянно расширяется — вплоть до появления биометрических бизнес-приложений. В чем преимущество биометрии? Прежде всего в том, что использование неопровержимых (или по крайней мере более надежных) методов идентификации может существенно сократить процедуры проверки личности и решить множество связанных с этим вопросов. Не случайно в последнее время многие организации все чаще начинают применять биометрические комплексы, считая их не только более удобной формой автоматической проверки личности и персональных данных, но и полноценной заменой другим, менее надежным (а как правило, и более хлопотным, обременительным) способам идентификации. Очевидный простор для применения биометрии открывается там, где требуется соблюдение повышенных мер контроля. Общественные перевозки и криминалистика, системы доступа на объекты жизнеобеспечения — классические примеры. Но с тем же успехом более надежные методы идентификации используются и в таких сферах, как медицина или финансовые услуги. Массовое распространение Интернета, повсеместное присутствие сервисов дистанционного банковского обслуживания и электронной торговли, феномен социальных сетей — это не только новые возможности, но и новые опасности. Не случайно одной из наиболее актуальных тем во всем мире сегодня становится киберпреступность. На повестке дня стоят весьма острые вопросы, связанные с риском хищения персональных данных и финансовым мошенничеством. Противодействие этим угрозам с очевидностью требует совершенствования системы верификации личности. В противном случае придется довольствоваться менее надежными, а возможно, и более неудобными (зачастую даже оскорбительными!) методами борьбы с этими угрозами. В частности, может применяться анализ характера операций. Что выбрать — личный визит в отделение банка или мгновенную операцию по своему счету через Интернет? Явиться в медицинское учреждение только для того, чтобы подтвердить свою личность, хотя выписку из своей истории болезни или рентгеновский снимок вам могли бы отправить по электронной почте? Полагаем, ответы очевидны. Так есть ли способ сделать нашу жизнь и безопасной, и удобной одновременно? Разумеется. Именно в этом и заключается потенциал биометрии. Биометрия — наиболее практичный способ обеспечения баланса между комфортом и безопасностью для всех организаций, которым в силу специфики их работы требуется сверхнадежная система идентификации, не требующая чрезмерных расходов, но обеспечивающая при этом максимальную экономию времени потребителя. Разумеется, еще не все задачи решены, так что по-настоящему широкое применение биометрии для установления личности потребует преодоления ряда технических и практических препятствий. Это в равной степени относится к государственным структурам и к бизнесу. Но это уже детали. Главное состоит в другом. Общество как никогда готово сегодня согласиться на введение биометрических документов. Частично — из-за обострения проблем безопасности во всем мире. Отчасти — благодаря совершенствованию самих технологий биометрической идентификации. Свою роль в изменении общественного сознания играет и все более активное применение биометрических удостоверений личности (в частности проездных документов) в разных странах мира. По данным опроса, проведенного компанией Unisys, одним из ведущих поставщиков биометрических решений, в Великобритании сегодня 56% потребителей уже не возражают против предоставления биометрических данных в целях установле- Авторы Стивен Дэвис, старший менеджер практики оказания консультативных услуг компании «Эрнст энд Янг», Лондон, Великобритания Шеймус Рейли, директор практики управления ИТ-рисками и оказания аудиторских услуг компании «Эрнст энд Янг», Лондон, Великобритания Биометрические технологии получили широкое признание благодаря очевидному эффекту, который был достигнут с использованием таких решений службами безопасности и государственными структурами Для того чтобы перейти к повсеместному использованию биометрии для установления личности, необходимо преодолеть некоторые препятствия как технического, так и практического свойства ния личности при совершении розничных покупок и финансовых транзакций. 95% британцев готовы к этому (а также к сканированию отпечатков пальцев) при работе с банками и государственными службами. Общество становится все более зрелым. И это шанс для всего рынка биометрических систем. А согласно результатам международного исследования, выполненного Unisys, количество граждан, готовых применять биометрию, колеблется от 50% в Германии до 66% в Австралии. Сканирование отпечатков пальцев стало сегодня наиболее широко распространенным биометрическим методом, оставляя позади не только сканирование лиц и анализ голоса, но и использование PIN-кодов. Дополнительное внимание к этим технологиям обеспечило введение биометрических паспортов и удостоверений личности. Государственные инициативы, призванные убедить общественность в преимуществах биометрии с точки зрения безопасности, а также усилия, направленные на упрощение регистрации биометрических данных, принесли результаты. В то же время возросла обеспокоенность растущей опасностью незаконного присвоения информации и мошенничества, что вызывает вполне справедливые требования общественности переходить к более надежным формам идентификации. Сегодня биометрические технологии быстро эволюционируют благодаря финансированию со стороны служб охраны общественного порядка и обеспечения общественной безопасности. За последние пять лет удалось значительно увеличить скорость считывания данных, сократить долю несправедливых отказов в доступе и ложного приема предоставленных данных. Не случайно биометрия уже практически не ассоциируется исключительно с криминалистикой, как это было еще совсем недавно. Нарастает и «эффект масштаба» благодаря повсеместному применению биометриче- ских технологий, что уже оценили многие компании. Крупные заказы, связанные с необходимостью реализации масштабных проектов государственного и муниципального уровня (удостоверения личности, проездные документы и т. п.), не только вызвали снижение цен на такого рода технологические решения, но и стали инструментом популяризации биометрии, прежде использовавшейся лишь в узких сферах и нишах. Показательный пример — переход целого ряда федеральных служб США, таких как Министерство внутренней безопасности, к сканированию отпечатков всех пальцев иностранных граждан, прибывающих на территорию страны. По сравнению с использовавшимся прежде сканированием отпечатка одного пальца, такая процедура позволяет получить более точную информацию и ускоряет регистрацию данных. Еще недавно такие технологии считались слишком дорогостоящими, чтобы обеспечить их широкое применение. Ныне это уже тиражируемые решения. Организации, начавшие использовать биометрические системы безопасности, также сумели сделать весьма любопытные выводы, основываясь на собственном опыте. Современные биометрические сенсоры весьма точны. Отчасти благодаря тому, что испытания первых решений такого рода показали: чрезвычайно важно разработать действительно надежные и эффективные процедуры проверки граждан или клиентов. Иначе смысл прохождения биометрических тестов утратится. Некоторые общественные организации, выступающие за защиту конфиденциальности личной информации, не раз выражали обеспокоенность тем, что биометрические системы контроля могут не срабатывать, затрудняя доступ к тем или иным услугам для добропорядочных клиентов, обладающих подлинными биометрическими удостоверениями личности. Однако эти опасения до сих пор не были подтверждены достаточно серьезными ограничениями. Хотя очевидно, что всем организациям, применяющим биометрию, все-таки необходимо иметь в запасе альтернативные способы установления личности на случай невозможности распознавания или регистрации биометрических данных (в том числе в случае сбоев аппаратного или программного обеспечения). Развитие биометрии открывает новые возможности для многих компаний, рынков и отраслей. Так, ее использование способно повысить точность идентификации клиентов, упростить процедуры проверки и верификации персональных данных для предоставления доступа к услугам, а также усилить безопасность наиболее важных процессов и бизнес-систем. Коммерческая обоснованность применения биометрических технологий Оценивать коммерческую обоснованность применения биометрических технологий следует отдельно, применительно к каждой отрасли. Скажем, при внедрении служебных и общегражданских удостоверений личности решающим фактором становится повышение уровня безопасности. В других случаях (например, при необходимости подтверждения права на получение медицинских и социальных услуг или пособий) борьба с мошенничеством выгодна, прежде всего, с финансовой точки зрения. Так, по расчетам Министерства социальных служб Австралии, подготовившего экономическое обоснование инициативы по введению карт доступа, сокращение случаев мошенничества позволит в течение 10 лет сэкономить от 1,6 до 3 млрд австралийских долларов. Что же касается частного сектора, то здесь наиболее широкое применение биометрические системы могут получить в сфере финансовых услуг. Организации, оказывающие такие услуги, получат в свое распоряжение весьма эффективный инструментарий, позволяющий предотвращать случаи мошенничества и тем самым существенно снизить риски. В финансовом секторе все более актуальной задачей становится и нарастающая борьба с отмыванием денег, что требует внедрения эффективных систем верификации личности каждого клиента. Биометрия могла бы сыграть важную роль в создании таких средств, особенно если бы правительства обеспечили банкам и другим финансовым организациям доступ к общенациональным базам биометрических удостоверений личности (например, в рамках федеральных программ биометрической идентификации). Предотвращение незаконного присвоения персональных данных могло бы стать серьезным двигателем внедрения биометрических технологий, поскольку именно этот риск напрямую влияет на результаты деятельности компаний, непосредственно взаимодействующих с потребителями не только в финансовом секторе, но и, например, в сфере розничной торговли. По приблизительным подсчетам, масштаб убытков, связанных с незаконным использованием персональных данных в США, колеблется от 5 до 50 млрд долларов в год. А по расчетам британского правительства, вызванные мошенничеством в сфере ПнД убытки для страны ежегодно превышают 1,7 млрд фунтов. Для того чтобы реализовать максимально надежные процедуры установления личности, финансовые компании всерьез анализируют перспективы замены (или дополнения имеющихся) документов, содержащих только биографические данные (таких как паспорта и свидетельства о рождении), биометрическими. Эти меры помогут повысить уровень безопасности, не требуя при этом создания новой инфраструктуры идентификации личности. Например, клиент, личность которого уже была установлена с помощью биометрической технологии прежде, сможет представлять меньшее количество документов при открытии счета — или же открыть счет быстрее, поскольку банку потребуется меньше проверок. На первом этапе банки и финансовые организации могли бы ввести в строй биометрические системы исключительно для операций с повышенным риском, а попутно — предложить эту технологию своим клиентам, управляющим крупными счетами, в качестве дополнительной меры безопасности. Так уже поступили некоторые банки, применив программу проверки доступа к счетам CAP (Chip Authentication Program). Использование биометрии в качестве дополнительного метода установления личности — например, при проведении крупных финансовых операций — позволит сократить убытки. Однако и здесь имеются некоторые практические препятствия. Общественная обеспокоенность по поводу незаконного присвоения персональных данных и косвенные убытки потребителя от мошенничества в Интернете ведут ко все более широкому признанию биометрии. Кроме того, компании все чаще проявляют интерес к использованию биометрических систем аутентификации в целях обеспечения безопасности доступа к конфиденциальной информации и уязвимым системам. Биометрия смогла бы заменить пароли или электронные ключи для доступа не только к компьютерным программам (таким как «клиент — банк»), но и к защищенным объектам (включая центры обработки данных или электронные биржевые системы). Тем более что на инфраструктурных и особых объектах государственного значения, таких как электростанции, химические заводы, нефтедобывающие установки, аэропорты, медицинские учреждения или места заключения осужденных, системы биометрической аутентификации не просто используются, но и продемонстрировали свою эффективность. Не случайно одними из первых коммерческих потребителей биометрических решений стали компании, работающие в отраслях с повышенными требованиями к уровню безопасности. Превосходные результаты дали и инициативы, связанные с добровольным внедрением биометрических систем в туризме и на транспорте. В этом смысле показательны, например, такие программы миграционного и пограничного контроля, как Privium (Нидерланды) и IRIS (Великобритания). Эти системы позволяют зарегистрированным лицам использовать автоматические устройства ускоренного пропуска вместо того, чтобы ждать в очередях. Пассажиры, которые часто путешествуют и ценят комфорт, уже отдали должное подобным технологиям. Возможно, общественность еще не готова согласиться на широкое применение биометрии в обыденной жизни (для аутентификации операций и управления персональными данными). Однако ситуация может измениться уже в ближайшие три–пять лет. А значит, не только поставщикам, но и многим другим компаниям (от финансовых учреждений до розничных сетей) пора начинать прорабатывать свои подходы к биометрической аутентификации для того, чтобы вскоре приступить к их реализации. Применение биометрии на практике Несмотря на растущее признание биометрических технологий в обществе, применение биометрической идентификации и аутентификации в публичном секторе требует решения некоторых проблем. Увы, применение биометрии и в административных целях, и в целях паспортного или пропускного контроля все-таки не обходится без накладок. Ряд тестов систем биометрической аутентификации, проводившихся на ранних этапах их внедрения в банковской и туристической отраслях, а также в сфере розничной торговли, показал: созданные комплексы все еще не оправдывают возлагаемых на них надежд. Добросовестные пользователи слишком часто получали отказы в обслуживании, расходы на регистрацию клиентов и внедрение инфраструктур превышали ожидаемые показатели, а сами по себе системы не отличались надежностью и потому не имели шансов завоевать симпатии клиентов. Обеспокоенность по поводу уровня защищенности персональных данных привела к протестам против биометрии со стороны обществ защиты прав потребителей и обществ защиты персональных данных. Да и пресса, как правило, довольно холодно и часто отрицательно отзывалась о такого рода инициативах. Опасения, что личная информация может быть украдена, скопирована или перехвачена, также поставили под вопрос эффективность технологии. Ряд проблем, возникавших на первоначальных этапах внедрения обсуждаемых технологий, удалось преодолеть. В частности, некоторые решения распознают держателя документа по фото, что устраняет необходимость (например, в случае с такими системами, как IRIS) личного присутствия при регистрации данных. Благодаря совершенствованию и повышению точности сканеров удалось уменьшить число ложных отказов систем, а применение более стойких алгоритмов шифрования и понимание того факта, что при правильном применении системы нет необходимости в постоянном хранении и передаче данных, позволили исключить целый пласт рисков, связанных с мошенничеством. Однако каждая организация, планирующая применение биометрических технологий, — и государственная, и коммерческая, должна прежде всего сформулировать ключевые параметры, соответствующие ее потребностям. Тем более что выбор сегодня достаточно широк. Система проверки отпечатков всех десяти пальцев Руководителям предприятий, планирующих использовать биометрию, следует помнить: биометрическая аутентификация — это процесс, основанный на вероятностном подходе, а не на упрощенной системе приема/отказа дает исключительную точность, однако, скорее всего, будет восприниматься как некомфортная покупателями розничных сетей. В свою очередь, распознавание лиц с помощью камер видеонаблюдения практически «незаметно», но коэффициент ложных отказов при использовании подобных решений может достигать 15–20%. Идентификация по отпечаткам пальцев требует «остановки»: человек должен оказаться у сканера для проведения процедуры. Зато в таком случае и коэффициент ложного отклонения запроса (вероятность того, что система не признает подлинности отпечатка пальца зарегистрированного в ней лица) составляет не более 0,01%. Тестирование отпечатков пальцев может подойти при открытии счета в банке или в процессе подтверждения финансовой транзакции. Со своей стороны, системы видеонаблюдения, позволяющие распознавать лица, пока больше применяются для опознания подозреваемых, чем при организации доступа в защищенные помещения. Компании, планирующие использовать биометрию, должны понимать, что биометрическая аутентификация — это процесс, основанный на вероятностном подходе, а не на упрощенной системе приема/ отказа. Биометрической системы, которая всегда давала бы достоверные результаты, пока не создано. Так что организации должны сами искать баланс между коэффициентами приема и отказа, который соответствовал бы их потребностям. Понимая, что повышение коэффициентов приема может привести к повышению вероятности ложного результата. Критериями для достижения баланса станут целевые коэффициенты приема и отказа, установленные самой организацией в зависимости от технологий, которые она использует (уровня значимости операции или бизнес-процесса), а также других доступных методов аутентификации. Так что при управлении системой биометриче- ской идентификации нужно руководствоваться спецификой соответствующего бизнес-процесса. Необходимо также обеспечить безопасность биометрических сведений. Любой биометрический метод основан на сравнении шаблона или информации (ключа) с базой данных. На всю подобную информацию, скорее всего, будут распространяться правила, установленные в отношении персональных данных. А значит, придется следовать жестким требованиям в части использования, сбора и хранения таких сведений. Компаниям придется предпринимать дополнительные меры предосторожности, чтобы в максимальной степени защитить данные от возможного перехвата и незаконных манипуляций. После аутентификации биометрическая информация должна удаляться, если в ней больше нет необходимости. Кроме того, организация, планирующая ввести биометрическую систему, должна обратить особое внимание на процесс регистрации. Вся цепочка биометрической аутентификации будет надежна только при условии, что процесс регистрации хорошо продуман. Если мошенники, крадущие персональную информацию, или другие преступники смогут использовать фальшивые документы для создания поддельного биометрического удостоверения или аннулировать содержавшиеся в нем данные, будущее такого рода технологических решений может оказаться под вопросом. А вот эффективность локальных решений, скорее всего, очевидна. Если количество пользователей системы ограничено, а их персональная информация уже проверена компанией, регистрация может проводиться на основе базы данных отдела кадров или руководства (например, для доступа к отдельным помещениям или системе ИТ). Однако если система является общественной, то потребуется тщательная проверка всех данных для того, чтобы убедиться в подлинности документов пользователя. Вопросов все еще немало. И нет ничего удивительного в том, что методы проведения проверок с помощью коммерческих биометрических систем все еще находятся в процессе разработки. Наряду с регистрацией придется также уделять внимание объединению различных методов проверки персональной информации. Недостаток двойных систем аутентификации — например, электронных ключей и программ CAP (Chip Authentication Program) в банковском секторе — заключается в неудобстве использования нескольких идентификационных устройств в одном процессе. Если клиентам придется обращаться к нескольким схемам биометрической идентификации, созданным различными поставщиками услуг, спрос на подобные решения так и останется низким, а компании не увидят каких-либо улучшений в системе безопасности и не почувствуют эффекта масштаба. Вот почему сотрудничество между поставщиками услуг определенной отрасли или же между частным сектором и государством с целью общего использования баз данных с биометрической информацией является одним из основных условий широкого распространения биометрических систем. В то же время клиенты должны предоставлять лишь ограниченное количество данных, необходимых компании, а для хранения персональной информации необходимо использовать минимальное количество баз. Кроме того, компаниям придется обеспечивать соответствие используемых ими биометрических данных национальному законодательству, а также учитывать местные культурные особенности: например, в некоторых странах потребуется два отдельных сканера — один для мужчин, другой для женщин. Однако прежде всего организации должны понимать: биометрическая система — хороший вариант, но она не решает всех проблем. Эта технология может стать лишь частью общей стратегии управления рисками. Выводы Биометрия уже успешно применяется в различных областях, включая использование национальных удостоверений личности и проездных документов, организацию транспортных перевозок, а также отрасли с повышенными требованиями к уровню безопасности. должный уровень безопасности хранения данных. Компании должны активно рассматривать варианты использования данной технологии для того, чтобы снизить риски, сделать биометрическую систему более эффективной и удобной, а также обеспечить Финансовые организации должны рассматривать возможность использования биометрической технологии (в краткосрочной и среднесрочной перспективе) с целью сократить убытки, связанные с хищением Рис. 1. Три модели использования биометрии Большинство масштабных биометрических программ можно отнести к одному из трех видов в зависимости от их объема Отраслевые программы Государственные программы Масштабное применение биометрии в частном секторе, вероятно, потребует межотраслевого сотрудничества. Например, взаимодействие между организациями розничной торговли, изготовителями карточек и финансовыми организациями необходимо в случае, если будет решено использовать биометрические данные вместо PIN-кода или в дополнение к нему в кредитных картах. Программы организаций Развертывание масштабных государственных биометрических программ (например, по использованию общегражданских удостоверений личности) открывает возможности для сотрудничества между отраслями и государственными структурами для оказания услуг в рамках данных программ. Проекты будут осуществляться при поддержке правительства, как в случае с британской Системой автоматического таможенного досмотра (Automated Clearance System), разработанной совместно с компанией BAA. Некоторые организации разрабатывают собственные решения — в частности для контроля доступа сотрудников к особо важным или секретным площадкам и помещениям. Программы организаций также могут быть направлены на проверку крупных операций (либо операций с высоким уровнем риска) с определенной клиентской базой, а также на достижение соответствия национальному и международному законодательству. Источник: анализ «Эрнст энд Янг» персональных данных при проведении крупных операций. В долгосрочной перспективе, по мере того как доверие клиентов будет усиливаться, могут появиться и другие возможности для применения отраслевой или государственной биометрических программ. Прежде всего компаниям необходимо следить за развитием данных технологий и думать не только о повышении безопасности существующих систем, но и о том, как обеспечить себе конкурентное преимущество в ближайшем будущем (см. рис. 1). При использовании любой из схем — совместимых баз данных или ряда баз, сведенных в одну сеть, — клиент должен предоставлять свои данные минимальному числу поставщиков услуг. В противном случае возрастут расходы и риски для безопасности персональной информации. Во избежание этого компании должны сотрудничать с поставщиками, регулирующими органами и государством, чтобы создать модель интегрированной системы биометрической идентификации.