В одно касание
АрхивКогда речь заходит об ИТ-решениях в сфере безопасности платежей, на ум сразу же приходят защищенные каналы передачи данных, генераторы одноразовых паролей, разнообразные токены и т. п.
Когда речь заходит об ИТ-решениях в сфере безопасности платежей, на ум сразу же приходят защищенные каналы передачи данных, генераторы одноразовых паролей, разнообразные токены и т. п. Наряду с этим биометрические разработки в массовом сознании обычно связываются с госпроектами (особенно после повального перехода стран на паспорта нового типа) и в лучшем случае - с контролем доступа в помещения. Меж тем биометрия активно внедряется в финансовую сферу, причем в самых разных регионах.
Палец-кредитка
В ноябре прошлого года сингапурский Citibank анонсировал запуск "первого в мире" биометрического платежного сервиса. Клиентам, владеющим кредитными картами Platinum, банк предложил бесплатный сервис - возможность оплачивать покупки и услуги, просто прикладывая палец к сканеру. Соответствующими ридерами уже обзавелись некоторые сингапурские заведения, среди которых магазины (в том числе специализированные - например, компьютерные и музыкальные), рестораны, кинотеатры и клубы. Благодаря уже сложившейся инфраструктуре, фактически отпадает необходимость носить с собой кредитную карту для повседневных нужд.
Зарегистрироваться в новой системе кардхолдеры могут самостоятельно, с помощью пяти биометрических киосков, которые банк установил в разных районах города. Процесс занимает несколько минут. Клиент должен предъявить кредитку и удостоверение личности, а затем пройти сканирование отпечатков пальцев. Передача данных в банковский сервер осуществляется в защищенном режиме. В заключение пользователь получает семизначный идентификационный номер, которым будет подтверждать биометрические транзакции.
Поскольку обладателей "платиновых" кредиток сравнительно немного, очередей не возникло. Но если этот или иной банк задумают развернуть аналогичный сервис для держателей карт более распространенного типа (а к тому все и идет), может понадобиться гораздо больше киосков. Но лиха беда начало. Руководитель Citibank Singapore в речи, посвященной запуску биометрического сервиса, отметил, что этот проект свидетельствует о переходе банка и его клиентов на новый уровень доверия, и назвал его важнейшей вехой не только для Citibank, но и для всей индустрии кредитных карт.
Если речь действительно идет о новой странице в истории финансовых транзакций, то ключевую роль в нарождающемся бизнесе наверняка будет играть американская компания Pay By Touch. Основанная пять лет назад, она занимается разработкой финансовых инструментов с использованием биометрической идентификации (ее технологии и взял на вооружение Citibank). В этом году компания сосредоточилась на вертикальных рынках: медицина, интернет, АЗС и мобильные сервисы.
В США с именем Pay By Touch связано большинство соответствующих проектов. Правда, там компания работает в основном с магазинами и предлагает потребителям оставлять дома кошельки с наличными и пластиковыми картами, обходясь при расчетах указательным пальцем. Таким образом, оплата производится без участия кассира. Вместо него есть регистратор, который учитывает приобретенные товары. Затем покупатель прикладывает палец к специальному полю и вводит свой код в системе.
В сентябре 2006 года к Pay By Touch подключился трехмиллионный пользователь. Им стала чикагская учительница и мать троих детей Мэри Родригес. Компания с размахом провела приуроченную к круглой цифре маркетинговую акцию. 27 сентября сделали корпоративным праздником, Родригес получила $1000 на свой кошелек в системе, меньшими суммами поощрены прочие счастливчики, подключившиеся в тот же день. Сама невольная героиня в интервью призналась, что ей стало интересно, "как это работает", да и дети говорили, что Pay By Touch - "крутая система".
К сожалению, разделить восторг Родригес россиянам в обозримом будущем не грозит, так как компания работает преимущественно на американском рынке и лишь недавно начала тестировать свой британский сервис (один проект в Сингапуре не в счет).
Между тем Мэри завела аккаунт в продовольственном магазине сети Jewel-Osco, и, надо сказать, место для подключения было выбрано ею совсем не случайно. Pay By Touch заключила договор на установку оборудования в этой торговой сети, насчитывающей около двухсот точек, в том числе супермаркеты и аптеки. Очень довольная сделкой, Pay By Touch постаралась широко осветить ее в прессе. Еще бы, ведь это относительно крупный заказ, до сих пор количество подключившихся к системе магазинов исчисляется несколькими тысячами.
Тем более что привлечением дополнительных покупателей дело не исчерпывается. Разработчик предусмотрительно позволяет продавцам сэкономить, предоставляя магазинам счета в своей системе с минимальной платой за пользование. Дошло до того, что Pay By Touch стали считать угрозой для бизнеса другие американские приемщики платежей, которые тоже были вынуждены снижать комиссию в магазинах, подключившихся к системе. Торговые сети подливают масла в огонь, призывая тех, у кого есть чековый счет в банке, переходить на Pay By Touch. Используемая последней банковская онлайн-система для электронных чеков и прямых депозитов требует от торговых сетей выплачивать лишь 15 центов за перевод плюс небольшие комиссионные самой компании, что существенно дешевле тарифов любого эмитента кредитных карт.
Жмите, Шура, жмите
Несколько лет назад широко обсуждались попытки исследователей из Университета Саутгемптона создать биометрические способы идентификации в банкоматах, дополняющие защиту PIN-кодом. Ученые предлагали не просто использовать отпечатки пальца, а учитывать индивидуальную динамику и силу нажатия клавиш. Стоит отметить, что проверка динамики уже кое-где используется, однако идентификацию по силе нажатий пока практически никто не применяет. Эту ситуацию должны были изменить новые датчики, разработанные в университете, которые используют полимерные материалы двух видов. Один при сжатии меняет свое электрическое сопротивление, а при деформации второго появляется разность потенциалов. По изменению сопротивления или напряжению можно рассчитать силу нажатия.
Более надежным оказался меняющий сопротивление полимер, на базе которого уже создан прототип новой системы аутентификации. Впрочем, до массовой эксплуатации технологии было далеко и тогда, и сейчас. Помимо солидных инвестиций, которые потребует внедрение этой разработки, ее эффективность авторизации пока составляет только 92,3%, а значит, система будет непозволительно часто путать кардхолдера и злоумышленника. В то же время решения на базе распознавания отпечатков пальцев и радужной оболочки глаза показывают эффективность 99,9%.
Допсервисы
В этом году Pay By Touch решила в очередной раз порадовать своих партнеров-ритейлеров, запустив сервис, который представляет собой инструмент для потребительского таргетинга aka персонализированного маркетинга, как это называют в самой компании. Речь идет о промо-обращениях к каждому покупателю (с учетом его предпочтений) непосредственно в магазине, где, если верить опросам, принимается до 70% решений о покупке. Классической попыткой повлиять на это решение является раздача разнообразных купонов, которая, впрочем, относится к рискованным маркетинговым затеям, поскольку нечасто способствует росту продаж.
Теперь Pay By Touch грозится совершить настоящий переворот в розничной торговле, дав магазинам возможность изучать поведение и историю покупок каждого посетителя, запрашивая информацию из базы компании. Очевидно, что дело выглядит весьма сомнительным с точки зрения приватности и даже попахивает нехорошими юридическими последствиями для всех его участников.
Однако организаторы предусмотрительно "подстелили соломки", сделав чтение персональной рекламы добровольным занятием. На входе в магазин устанавливается киоск со сканером, и любой желающий, прежде чем приступить к шопингу, может приложить палец и прочитать появившееся на экране сообщение с информацией о персональных скидках на последние пятнадцать товарных позиций, которые он приобретал ранее. (До анализа списка предыдущих покупок и предложения схожих групп товаров дело пока не дошло.) Впервые сервис был запущен в супермаркете одного из пригородов Нью-Йорка.
Не перенебрегает компания и онлайном. Минувшей осенью Pay By Touch представила технологию TrueMe, без ложной скромности охарактеризовав ее "первой безопасной системой подтверждения личности в Интернете". Суть в том, что пользователи могут проходить идентификацию в электронных платежных системах, просто приложив палец к специальному сенсору. Это избавляет от необходимости запоминать и/или хранить где-либо свои логины, пароли и номера счетов.
Обработка данных с использованием технологии происходит следующим образом. Сенсорное ПО считывает дактилоскопическую информацию и шифрует ее, комбинируя с идентификационным номером ридера, после чего отправляет на сервер Pay By Touch. Кодирование производится непосредственно в памяти сенсора, и данные даже не остаются в компьютере.
Получив запрос на аутентификацию, сервер дешифрует пользовательские данные, проверяет соответствие отпечатка пальца номеру сенсора (впрочем, можно зарегистрировать несколько пользователей на один ридер), после чего данные по SSL-соединению переправляются на нужный клиенту веб-ресурс. При получении подтверждения от последнего система разрешает доступ. В качестве "приятной мелочи" TrueMe-сенсор можно использовать не только для идентификации, но и для защиты данных на собственном компьютере.
Компания прочит TrueMe светлое будущее, полагая, что технология появилась очень вовремя, если учесть непрерывно растущее количество краж конфиденциальной информации, в том числе карточных реквизитов. Подключение к TrueMe - бесплатное для пользователей системы Pay By Touch. Сейчас компания старается привлечь к технологии внимание сервисов интернет-банкинга, ЭПС и владельцев сайтов, предоставляющих информацию с парольным доступом, и оказывает B2B-услуги.
Интересно, что к TrueMe уже проявила интерес фирма Lenovo, которая сертифицировала Pay By Touch сенсоры, использующиеся в модулях безопасности ноутбуков ThinkPad. Кроме того Pay By Touch обещает оснастить TrueMe-ридерами миллионы пользователей ПК, параллельно лицензируя технологию другим производителям сенсоров.
Проекты
Агентство Unisys, опросив в прошлом году полторы тысячи респондентов, сообщило, что по сравнению с 2005-м количество людей, благосклонно относящихся к биометрической идентификации в повседневной жизни, выросло на 5%. При этом 10% респондентов из Азиатско-Тихоокеанского региона выразили готовность имплантировать соответствующий чип в тело. Главной причиной благосклонного отношения людей к внедрению биометрических технологий является вовсе не тезис о повышенной безопасности, превозносимый компаниями до небес, а просто-напросто стремление к удобству или, проще говоря, лень. Комфорт в качестве решающего фактора указали 83% опрошенных.
Более свежие данные, опубликованные в феврале этого года, показывают, что за использование биометрии в платежной индустрии высказываются 69% американцев и 92% британцев. Многие хотели бы видеть соответствующую опцию в своих банковских картах. Видимо, опираясь на этот пока не очевидный спрос, компания SmartMetric в нынешнем году объявила о завершении работ над ПО для биометрических карт (см. врезку), которое среди прочего позволит кардхолдерам пересылать деньги с одной карты на другую в онлайн-режиме.
Карта с ридером
Первая кредитная карта SmartMetric со встроенным считывателем отпечатков пальцев будет стоить около 70 долларов. Как ожидается, она получит распространение в первую очередь среди активных интернет-покупателей, поскольку сильно упрощает приобретение товаров в онлайне и повышает безопасность транзакций, так как воспользоваться картой может только ее владелец. В чип карты, помимо всего прочего, вносится информация об адресе доставки. В комплекте с картой идет специальный адаптер, который подключается к компьютеру. Предполагается, что для совершения покупки пользователю достаточно будет приложить палец к ридеру на карте, после чего зашифрованные данные уйдут на сервер интернет-магазина. Кроме идентификационной информации и реквизитов, передаваемый пакет данных будет содержать достаточно сведений для автоматического заполнения формы заказчика.
Эта функция реализована по принципу работы файлообменных сетей. Обмен данными с банками осуществляется в формате смарт-карт EMV, поддерживаемом всеми международными платежными системами.
Идентификация клиента обеспечивается интегрированным в карту чипом и ридером отпечатков пальцев. Чтобы получить деньги, пользователь должен подключить карту к компьютеру через USB-порт и прикоснуться к сенсору. После этого отправитель платежа получает "зеленый свет" для начала транзакции. Как утверждает разработчик, распознавание занимает не больше секунды, и в то же время этот способ позволяет на сегодняшний день обеспечить наибольшую безопасность онлайн-транзакций. Обналичить деньги потом можно в банкомате.
Кстати, использование биометрии в банкоматах получает широкое распространение в азиатских странах. Например, Национальный банк Омана обзавелся ридерами смарт-карт, оснащенными сканерами отпечатков пальцев, что позволило существенно упростить обслуживание клиентов, в первую очередь неграмотных, избавившись от очередей и армии консультантов. Вместо ввода PIN-кода оманским кардхолдерам теперь достаточно приложить палец.
Аналогичные проекты запущены в Индии и Пакистане. Индийский резервный банк реализует на базе биометрии спецпрограмму "Приобщайся к финансам" для клиентов с небольшим уровнем дохода, жителей отдаленных сельских районов и социально незащищенных слоев населения. Читать и писать эта часть индийцев в основном не умеет, так что альтернативная возможность подтверждения личности пришлась весьма кстати.
Проблемная часть
Между тем новый уровень безопасности банковских и других онлайн-транзакций, о котором без устали говорят в Pay By Touch и других компаниях, специализирующихся на поставках биометрического оборудования, довольно часто подвергается сомнению со стороны независимых экспертов. Некоторые из них полагают, что с внедрением новых технологий может получить распространение и новый вид мошенничества - с муляжами, на которые нанесены отпечатки пальцев. Получить исходные "данные" для их изготовления гораздо проще, чем, например, реквизиты кредитки. Отпечатки пальцев остаются на любом предмете, которым пользовалась жертва: стакан, купюры, поручни и пр. Во избежание такого развития событий большинство разработчиков оборудования предусматривают дополнительное подтверждение транзакции PIN-кодом, а самые продвинутые встраивают в ридеры индикаторы "жизненности пальца", такие как проверка пульса или наличия пота.
Практически все производители биометрических систем анонсируют сервис распознавания муляжей, но независимые исследования уже не раз доказывали, что многие из заявлений - просто реклама и для обмана ридеров даже не нужно прибегать к высокотехнологическим ухищрениям. В ходе тестирования некоторые системы давали "добро" после приложения слепков из жевательной резинки. Не лучше обстоят дела с разработками, основанными на других принципах распознавания. Например, ридеры формы лица разрешали доступ после демонстрации фотографий. Что же касается тех компаний, которые действительно применяют технологии распознавания муляжей, то они не скрывают своих методов определения фальшивки, используя данные в рекламных целях. Это тоже не лучшим образом сказывается на безопасности систем, так как злоумышленники уже знают, какой признак "жизненности" им нужно подделать.
Впрочем, по мере распространения биометрических систем в банковской сфере наверняка появятся стандарты безопасности, которые будут предусматривать обязательное использование нескольких признаков идентификации или же комбинацию с другими традиционными средствами установления личности клиента. Однако регулярное обновление систем защиты должно оставаться главной задачей производителей, поскольку очевидно, что создание муляжа, обходящего проверки по любому признаку, лишь дело времени.
Еще один серьезный козырь противников биометрии - это угроза приватности. Pay By Touch уже не раз приходилось парировать атаки правозащитников и клятвенно заверять, что данные клиентов не разглашаются и хранятся на прекрасно защищенных серверах. Возможно, в этой компании ситуация обстоит именно так, но кто поручится, что другие фирмы, решившие заняться процессингом биометрических платежей, будут столь же свято чтить тайну клиентских отпечатков. Всегда найдется "крот", готовый за энную сумму поделиться базами данных с конкурентами или того хуже - со злоумышленниками. И наверняка, при минимальном нажиме со стороны государства, компании сдадут пользовательские данные спецслужбам, что тоже не радует.
Согласно исследовательским данным, потребители с особенным недоверием относятся к ритейлерам, использующим биометрические данные. Готовы дать свое согласие на добавление соответствующей информации в карту покупателя только 27% опрошенных. А 67% полагают, что преступники вполне могут обойти системы защиты, применяемые в биометрии сегодня. В связи с этим наиболее разумным представляется самостоятельный выбор потребителем уровня доверия и определение им самим порогов, в пределах которых будут использованы его данные.