Bezpieczeństwo systemów biometrycznych w bankowości na przykładzie biometrii naczyń krwionośnych palca Grupa ds. Biometrii, Forum Technologii Bankowych przy ZBP Tadeusz Woszczyński Członek Prezydium, Przewodniczący Grupy ds. Biometrii FTB
Grupa ds. Biometrii FTB Powstała w 2007 roku w celu promowania wykorzystania biometrii w bankowości i administracji publicznej z inicjatywy Remigusza Kaszubskiego (ZBP) i Tadeusza Woszczyńskiego (Hitachi) Członkami grupy są eksperci z firm biometrycznych, kartowych, integratorów systemowych i instytutów badawczych Celem grupy było przygotowanie sektora bankowego do wdrożenia biometrii Wydawnictwa: - Biometria w bankowości i administracji publicznej - Prawne aspekty biometrii Grupa wspiera i edukuje polski sektor bankowy na temat wykorzystania biometrii, przygotowuje materiały eksperckie, promuje wykorzystanie biometrii itd. Grupa wspólpracuje merytorycznie z ministerstwami RP (np. Ministerstwo Gospodarki) Grupa organizuje konferencję Spring Biometric Summit najważniejszą w regionie, coroczną konferencję na temat biometrii w bankowości
Agenda 09.12.2011 Biometria w bankowości Bezpieczeństwo systemów biometrycznych bazujących na biometrii naczyń krwionośnych palca Wnioski
Biometria w bankowości
Biometria w kontekście bankowości W rozwiązaniach bankowych biometria służy przede wszystkim do: weryfikacji tożsamości klienta banku uwierzytelniania transakcji Biometria w bankowości nie służy do identyfikacji osób, ze względu na zastosowania w bankowości, a także ograniczenia technologiczne, dostępne technologie oraz aspekty prawne.
Biometria w banku - zastosowania Kioski informacyjne Bankomaty Biometria w banku Skrytki depozytowe IVR/ Call center Oddział bankowy Bankowość internetowa
Dlaczego biometria w banku? Potrzeba mocnego uwierzytelniania klientów banków Zwiększająca ilość kodów PIN i kart Zwiększający się skimming w bankomatach Problemy z weryfikacją tożsamości w oddziałach - > subiektywna weryfikacja tożsamości (dowód os., podpis, zdjęcie) Duża grupa społeczna wykluczona cyfrowo i finansowo. Karty + PIN nie sprawdziły się w tej grupie społecznej Zwiększająca się ilość fraudów w oddziałach bankowych (zewnętrzne i wewnętrzne) Wciąż nieodpowiedni poziom bezpieczeństwa w kanale elektronicznym (e-banking)
Kluczowe korzyści dla banku i jego klientów z wdrożenia biometrii Najmocniejsza metoda weryfikacji tożsamości i uwierzytelniania transakcji Zwiększenie bezpieczeństwa operacji/transakcji w banku eliminacja fraudów (wewnętrz, zewnątrz banku) Zwiększenie wygody klienta (brak kart/kodów PIN, ergonomia) Zwiększenie szybkości obsługi klienta Umożliwienie dostępu do usług finansowych dla osób wykluczonych cyfrowo i finansowo Promocja banku jako instytucji finansowej Redukcja kosztów
Bankowość kryteria doboru technologii Kryteria doboru technologii biometrycznej w banku: Bezpieczeństwo Wygoda użycia Szybkość działania Odbiór przez klienta banku Koszty wdrożenia vs. Korzyści Zastosowanie Uniwersalność Rozmiar czytnika Referencje w bankowości
Biometria technologie stosowane w bankowości (strona klienta) Technologie Biometryczne w bankach W bankowości podjęto również nieudane próby implementacji następujących biometrii: Biometria odcisku palca (Brazylia, Kolumbia, Afryka itd.) Biometria tęczówki oka (Jordania) Biometria naczyń krwionośnych palca -Bankomaty (Japonia, Turcja, Brazylia, Oman, Polska) - Oddziały (Japonia, Turcja, Polska) - Bankowość internetowa (Polska) - Płatności (Turcja) - Kioski informacyjne (Polska) - Podpis elektroniczny (Polska) Biometria naczyń krwionośnych dłoni -Bankomaty (Japonia, Brazylia, Turcja) Biometria głosowa -Call center (USA, Izrael, Chiny, Hiszpania) Biometria podpisu odręcznego -uwierzytelnianie (Izrael) - podpisywanie (Hiszpania, Polska, USA...)??? - sprawdziła się tylko w zastosowaniach KD
Odcisk palca problem w bankowości? Odcisk palca nie przyjął się w sytemach bankowych Negatywny odbiór przez klientów bankowych Bez odpowiednich zabezpieczeń czytników (np. testowania żywotności) stosunkowa łatwa możliwość fraudów Łatwa przechwytywalność danej biometrycznej (pozostawianie odcisków) Zniszczenia lub zabrudzenia naskórka powoduje dużą liczbę fałszywych odrzuceń Biometria kontrowersyjna prawnie (interpretacja prawna biometrii odcisku palca może być inna niż innych biometrii) Sposób zastosowania przez administrację publiczną i policję negatywnie wpływa na wykorzystanie w bankowości Metoda niehigieniczna
Przechowywane/porównywanie wzorców biometrycznych w systemach bankowych Porównanie wzorców Czytnik Przechowywanie wzorców Serwer centralny banku Zastosowanie Bankomat, oddział, bankowość elektroniczna, POS Karta inteligentna Karta inteligentna Bankomat, oddział Serwer Serwer Bankowość elektroniczna
Krytyczne procesy w systemie biometrycznym w banku Najważniejszym procesem bankowym w systemie biometrycznym jest REJESTRACJA wzorców biometrycznych klienta -> kluczowa jest weryfikacja tożsamości przed rozpoczęciem rejestracji (2 dokumenty ze zdjęciem) -> uzyskanie zgody klienta (rejestracja wzorca musi być dobrowolna) -> weryfikacja biometryczna osoby pobierającej dane biometryczne klienta w celu elminacji fraudu -> edukacja klienta (sposób korzystania z czytników, zalety technologii i korzyści dla klienta, przekazanie broszury informacyjnej) -> pobranie kilku wzorców biometrycznych (np. po jednym palcu z każdej ręki)
ISO 19092 wyznacznik dla banków W 2008 roku ISO opublikowało nowy standard w celu zwiększenia bezpieczeństwa transakcji finansowych. ISO 19092:2008, Financial services Biometrics Security framework, przedstawia wymagania bezpieczeństwa i zarządzania dotyczące technologii identyfikacji biometrycznej w sektorze finansowym. Norma opisuje m.in.: -Definicje - Konieczne zabezpieczenia systemu biometrycznego w tym czytników biometrycznych - Architekturę systemu - Niezbędne procesy - Technologie biometryczne dla bankowości - Audytowanie danych biometrycznych
FISC najlepsze praktyki dot. biometrii w bankowości FISC: Financial Industry Information Systems (Japonia) Wydała zalecenia dotyczące wykorzystanie biometrii przez sektor finansowy Kluczowe aspekty: - definicje - ilość pobieranych danych biometrycznych - zgoda klienta - rejestracja danych biometrycznych - przechowywanie danych biometrycznych - audytowanie systemów biometrycznych - procedury
2011: Biometria a polskie prawo bankowe ekspertyza FTB/ZBP W kwietniu 2011 Forum Technologii Bankowych przy ZBP wydało ekspertyzę: Opinia dotycząca prawnych aspektów biometrii Ekspertyza powstała w wyniku zapotrzebowania polskiego sektora bankowego na opinię dotyczącą prawnej możliwości wdrożenia biometrii Eskpertyza stworzona przez ekspertów Grupy ds. Biometrii FTB. Autorzy główni: Remigiusz Kaszubski, Mariusz Sudoł (UW)
Biometria w banku jak może być odebrana? 51% ankietowanych Europejczyków boi się nielegalnego użycia ich kont bankowych lub kart kredytowych przez osoby niepowołane. 33% ankietowanych jest w stanie zapłacić bankowi wyższą prowizję w zamian za lepszą ochronę konta osobistego. Aż 66% badanych jest zdania, że najlepsza metodą walki z tego rodzaju przestępstwami jest stosowanie przez banki identyfikacji biometrycznej i aż 82% uważa, że jest to metoda bardziej bezpieczna od klasycznych kart. Aż 98% ankietowanych jest zadowolonych z wprowadzenia technologii biometrycznych. 78% badanych potwierdza, że zastosowanie biometrii jest prostsze w użyciu niż użycie klasycznych kart + PIN. Źródło: Information Systems Control Journal, Unisys, Money.pl
Biometria w banku jaka jest akceptowalność klientów? >85% - poparcie klientów jednego z banków komercyjnych na wdrożenie biometrii naczyń krwionośnych do oddziałów >80% - poparcie klientów drugiego z banków komercyjnych na wdrożenie biometrii do oddziałów
Bezpieczeństwo systemów biometrycznych bazujących na biometrii naczyń krwionośnych palca
Finger Vein technologia Biometria naczyń krwionośnych palca (ang. Finger Vein) wykorzystuje unikalny wzorzec naczyń krwionośnych znajdujących się wewnątrz ludzkiego palca. Technologia biometryczna opracowana na potrzeby bankowości w odpowiedzi na brak możliwości implementacji odcisku palca. FAR = 0,0001% FRR = 0,01% FTE = <0,03% Średni czas weryfikacji = <0,5 sek Średni czas rejestracji = 20 sek
Biometria naczyń krwionośnych palca - prywatność Dana osobowa znajduje się wewnątrz ludzkiego ciała Technologia nie funkcjonuje na martwym organiźmie Wzór naczyń unikalny nawet dla bliźniaków Unikalność, uniwersalność, niezmienność udowodniona medycznie i matematycznie Dana praktycznie niemożliwa do pobrania bez wiedzy użytkownika (prywatność) Dana biometryczna wzorzec biometryczny nie jest zdjęciem naczyń krwionośnych a wzorcem utworzonym przy pomocy algorytmu badającego unikalne cechy wzoru naczyń krwionośnych Z danej biometrycznej nie da się odczytać informacji dotyczących użytkownika (stan zdrowia, rasa itd.) Biometria nieinwazyjna, higieniczna Wzorzec biometryczny może być wykorzystany tylko jeśli po drugiej stronie systemu jest żywy jego właściciel
Finger Vein technologia zgodna z prywatnością 20 listopada 2007, CNIL (francuska organizacja rządowa zajmująca się ochroną danych prywatnych, będąca najbardziej restrykcyjną tego typu organizacją w Unii Europejskiej) akredytowała użycie technologii Finger Vein: Finger Vein jest technologią nie prezentującą żadnego określonego ryzyka dotyczącego prywatności danych osobowych (wolność i prawa jednostki indywidualnej) zważając na fakt braku możliwości przechwycenia wzorców biometrycznych człowieka bez jego woli Jest to pierwszy przypadek w historii kiedy CNIL przyznaje pozwolenie na przechowywane danych biometrycznych na serwerze lub czytnikach (dotychczas jedyną możliwością było przechowanie na karcie) 22
Finger Vein zastosowania w sektorze bankowym Bankomaty biometryczne Biometryczne kioski informacyjne Biometryczny oddział bankowy (obsługa klienta, kasy) Bankowość elektroniczna FV w bankowości Biometryczny podpis elektroniczny Bezpieczeństwo systemów IT Fizyczna kontrola dostępu Biometryczne POSy/płatności
Bezpieczeństwo czytników bankowych Finger Vein Wykrywanie żywotności/braku żywotności Logiczne parowanie między czytnikiem a komputerem bądź czytnikiem a pracownikiem banku Biometryczny czytnik bankowy jest zaawansowanym urządzeniem kryptograficznym Blokada antywłamaniowa Szyfrowanie wzorca biometrycznego Szyfrowanie algorytmu Unikalne algorytmy porównujące Szyfrowana transmisja Podpisywanie elektroniczne odpowiedzi czytnika Wiele innych opatentowanych zabezpieczeń 24
Wdrożenia FV: Japonia Ok. 70 tysięcy bankomatów wyposażonych w czytniki Finger Vein (ok. 50%) Ok. 40 tysięcy oddziałów bankowych wyposażonych w systemy biometryczne Finger Vein 15 mln kart inteligentnych (Multos, Java) wykorzystujących Finger Vein Match-on-Card Finger Vein: 81% rynku biometrycznego w sektorze bankowym Zastosowanie biometrii spowodowało drastyczny spadek przestępstw kartowych Ponad 120 banków japońskich wybrało Finger Vein w tym 4 z 5 największych Klienci: największe banki i instytucje finansowe w Japoni w tym m.in. : Japan Post, Mizuho Bank, Resona Bank, SMBC, Bank of Kyoto, HSBC, Bank of Fukuoka, Joyo Bank, Juroku Bank, Bank of Yokohama Od 2005 nie odnotowano przypadku fałszywej akceptacji 25
Wdrożenia FV: Turcja IS Bankasi (największy komercyjny bank turecki - 22 mln klientów) W lipcu 2010 zdecydował się na pełne wdrożenie Finger Vein Od sierpnia 2010 system live dla klientów (usługa Biyokimlik) Wdrożone 3 tys. bankomatów i wszystkie oddziały (1 tys) jesień 2011: rozpoczęcie wdrożenia biometrycznych POS 100 000 terminali 2012: bankowość internetowa
Wdrożenia FV: Polska PBS największy bank spółdzielczy w Polsce Marzec 2010 wdrożenie pierwszego bankomatu biometrycznego w Europie Obecnie wdrożono ponad 70 bankomatów i 60 oddziałów biometrycznych Zastosowania: - biometryczne wypłaty świadczeń społecznych - biometryczne wypłaty lokalne Projekt wielokrotnie nagradzany w Polsce i zagranicą 2012: biometryczny oddział i bankowość internetowa 27
Wdrożenia: Polska Top 10 Bank w Polsce Największy projekt oddziałów biometrycznych w Europie ok 2000 czytników na stanowiskach obsługi klienta Ok. 300 oddziałów Uwierzytelnianie klienta i pracownika banku Cel: zwiększenie efektywności placówki bankowej, zmniejszenie fraudów, promocja banku Oddział bez portfela. Wszystko załatwiane przy pomocy palca System live: wiosna 2012
Wnioski
Wnioski Biometria JEST BEZPIECZNA gdy: - odpowiednio dobiera się technologię biometryczną wg. kryteriów - wykorzystuje się bezpieczne czytniki biometryczne - zapewnia się odpowiedni poziom zabezpieczenia systemu IT obsługującego biometrię - wdroży się odpowiednie procedury wewnątrz banku dotyczące rejestracji, uwierzytelniania i obsługi danych biometrycznych - zapewni się odpowiedni poziom edukacji klienta - zapewni się najwyższy poziom bezpieczeństwa przechowywania danych biometrycznych (wzorców) Biometria JEST POTRZEBNA: stanowi najlepszą i najwygodniejszą metodę uwierzytelniania klientów bankowych ISTNIEJĄ technologie biometryczne zapewniające najwyższe bezpieczeństwo przy jednoczesnych zachowaniu prywatności użytkowników, np. biometria naczyń krwionośnych palca Biometria od wielu lat z sukcesem funkcjonuje w sektorze bankowym. NIE ODNOTOWANO dotychczas błędnej akceptacji i utraty tożsamośći w systemach bazującyh na biometrii naczyniowej Biometria odcisku palca stanowi największy problem z popularyzacją biometrii ze względów na kontrowersje prawne, społeczne i technologiczne
Wnioski przyszłość biometrii Czy należy bać się biometrii? NIE - telefon komórkowy dużo większą ingerencją w prywatność osób - przy racjonalnym zastosowaniu i odpowiednim wdrożeniu biometria NIE STANOWI zagrożenia dla prywatności Cancellable biometrics przyszłość biometrii. Umożliwia kontrolę użytkownika nad swoją daną biometryczną
Dziękuję za uwagę