Експлуатаційні вимоги другого рівня
Вважається, що мета вимог другого рівня – скласти план дій, що необхідно реалізувати на практиці між ухваленням рішення про розгортання системи відеоспостереження до практичної реалізації даного рішення. Перше і найважливіше питання, на яке потрібно знайти відповідь після ухвалення рішення про розгортання: «За ким або за чим потрібно спостерігати?». За ним відразу ж постає друге: «Чому за цим необхідно спостерігати?».
Застосування відеокамер залежить від мети спостереження для потреб суспільно-громадської безпеки (стеження за скупченням людей або груп людей (натовпом) і їх пересуванням) до систем за контролем доступу, коли зняте з близької відстані високоякісне зображення використовується для встановлення особистості. Вибір типу відеокамер насамперед залежить від суті тієї діяльності, за якою передбачається вести спостереження.
Для спрощення ситуації і можливості надання рекомендацій для особи, що розробляє специфікацію системи, використовують співвідношення габаритів людського силуету до розміру екрану монітора, який заплановано використовувати. Існує чотири види спеціально розроблених вимог (категорій) співвідношення зображення фігури та екрана, що використовуються при виборі розмірів екрана моніторів. При складанні експлуатаційних вимог замовникові слід вибрати, який вид категорії найкращим чином підходить для спостереження за обраним типом людською діяльності. Далі інсталятор системи повинен підібрати таку модель камери, яка б відповідала вимогам обраного виду категорії.
Британські розробники настанови виділяють такі існуючі види категорій співвідношення зображення фігури та розмірів екрана, які обираються в залежності від величини розмірів проекцій зображень людських силуетів на екран монітора.
1. Категорія моніторингу та контролю – зображення фігури займає як мінімум 5% від висоти екрана, а картина, що відображається, при цьому не переобтяжена «зайвими» об’єктами. За такого рівня деталізації оператор зможе стежити на належному рівні за кількістю, напрямком і швидкістю руху основної маси людей, у лічені секунди визначаючи їх місцеположення.
2. Категорія детектування – фігура займає як мінімум 10% від висоти екрана. Після надходження відповідного сигналу-повідомлення оператор може, перебираючи необхідні зображення з відеокамер стеження, встановити присутність людини в певному місці зони контролю.
3. Категорія розпізнавання – в цьому випадку фігура займає не менше 50% від висоти екрана. При цьому оператор з великою ймовірністю може провести процедуру розпізнання особи і зробити попередній висновок щодо того, спостерігав чи не спостерігав його зображення раніше.
4. Категорія ідентифікація – якщо було б можливо повністю помістити
зображення людської фігури на екран, то вона займала 120% від висоти викори-
стовуваного екрана, причому якість зображення кожного фрагмента загального малюнка фігури суб’єкта має бути достатньою для проведення процедури комп’ютерного розпізнавання особи.
Мета введення цих чотирьох видів категорій – допомогти проектувальнику зробити належний вибір потрібного розміру зображень на екрані для кожної зони контролю, щоб система, що проектується, відповідала вимогам замовника і були б визначені певні відправні параметри. Необхідно зазначити, що не існує стовідсткової гарантії комп’ютерного розпізнавання особистості індивідуума не тільки при висоті зображення фігури менш ніж 50% або 120% від висоти екрана, але й за умови, коли зображення фігури людини може навіть займати більше, ніж 120% екрана. Дуже великий вплив на рівень можливості розпізнання особистості мають такі фактори, як рівень освітленості та кут зйомки об’єкта.
Настанова «Керівництво зі складання експлуатаційних вимог до системи охоронного телебачення» насамперед розроблялась для аналогових систем, тому вона не цілком коректна для цифрових стандартів, які набувають у наш час все більшого поширення. Тому для більшості систем подібна класифікація буде справедливою лише у разі спостереження у реальному часі з використанням стандартної PAL-камери і PAL-монітора, при звичайному розрішенні картини зображення у 576 ТВЛ. Проте ситуація набагато складніша при використанні відео або телекамери з цифровим виходом і комп’ютерного монітора, коли розрішення зображення, яке отримується, стає абсолютно іншим. У такому випадку при спробі поділити зображення за необхідним рівнем деталізації є сенс оперувати поняттям кількість «пікселей на ціль».
Ситуація ще більше ускладнюється, якщо ми маємо справу із зображенням, що вже було заархівоване. В процесі запису та архівації до відзнятої інформації можуть застосовуватися різні технології стискання, які в результаті здатні значно знизити якість зображення у порівнянні з «живою» картиною.
Простіше кажучи, це може призвести до такої ситуації, коли фігура, що займає 50% від висоти екрана, легко може бути впізнана при проведенні розпізнавання у реальному масштабі часу, але при прогляданні збережених у архіві кадрів відеозображень через втрату якості це зробити буде практично неможливо. Тому при виборі та встановленні системи відеонагляду необхідно звертати особливу увагу на якість відтворених архівних відеозображень так само, як і на якість «живої» картинки. У настанові повідомляється, що в наступних версіях документа британським МВС даному аспекту приділятиметься значно більше уваги.
Алгоритм підбору експлуатаційних вимог другого рівня наведений на рис. 8. Дуже стисло розглянемо основні його етапи.
Визначення проблеми. Мета цього етапу – зібрати інформацію для розробника (інсталятора) щодо місцеположення об’єкта та скласти перелік вимог до камер спостереження, які будуть використовуватися. Існуючі основні загрози визначені вже на першому рівні формулювання експлуатаційних вимог, а на другому рівні необхідно провести докладнішу їх деталізацію.
Місцеположення або прив’язка до місцевості. Розроблений ситуаційний план розподіляють на окремі зони (директорії або локації). Такою зоною може бути така ділянка, де існує ймовірність виникнення будь-якої загрози. Це може бути локальна загроза у відриві від конкретно впливаючого на безпеку чинника – наприклад, місце, де легко можуть бути отримані необхідні високоякісні зображення (прохідна або вхідні двері). Слід прийняти рішення: чи необхідне відслідковування кожного рухомого об’єкта за всією зоною площі, що контролюється. При цьому необхідно мати детальні відомості щодо існування так званих «мертвих зон» відеокамер і обов’язково враховувати ці дані при виборі місць розміщення камер спостереження. Наприклад, на автостоянці можуть бути виділені дві директорії: одна для зчитування номерних знаків транспортних засобів, інша – для оглядового моніторингу місця перебування машин безпосередньо на парковці.
Небажані дії. Визначаються типи дій, які зазвичай необхідно контролювати або встановлювати: випадки крадіжок, порушення громадської безпеки, поява скупчення людей, несанкціонований фізичний доступ, неналежна асоціальна поведінка.
Завдання відеоспостереження. Необхідно визначити, який з вищенаведених чотирьох рівнів оглядових категорій проектування зображення фігури на екран найкращим чином підходить для вирішення наявної проблеми. Можливо, потрібен моніторинг більшої зони, або виділення (детектування) людей, що наближаються до будівлі, або розпізнавання певних особистостей на ділянці проходу (на прохідній), а можливо виникне необхідність проведення автоматизованої ідентифікації осібшляхом запровадження системи контролю управління за доступом.
Рис. 8. Складання переліку експлуатаційних вимог
до системи відеоспостереження (другий рівень)
Швидкість руху об’єкта спостереження. Інформація про швидкість пересування об’єктів, які потрапили у поле зору відеокамери, критично важлива для вибору оптимальної частоти кадрів. Лише в поодиноких випадках відзнятий відеоматеріал записується при частоті кадрів «живого відео» (близько 25 кадрів у секунду). Для спостереження за приміщенням або коридором, де люди з’являються досить рідко, може бути достатньо і одного кадру в секунду, але для запису зображень «пасажиропотоку» на прохідній – і п’яти кадрів у секунду швидше за все буде недостатньо.
Експлуатаційні аспекти. Розглядається процес щоденної експлуатації системи, іншими словами, в цьому розділі документа висвітлюють питання стосовно того, що за персонал працює з системою, як він навчений і як він повинен реагувати на різні ситуації (вимагається наявність конкретних планів дій у разі виникнення різних типів нештатних ситуацій), аналіз особливостей місця проведення спостереження тощо.
Значна частина систем охоронного відеоспостереження вимагають наявність операторської – спеціального приміщення, де відбувається моніторинг відеозображень, що надходять з камер відеонагляду. Проте невеликі відеосистеми розроблені переважно на проведення відеозапису, тому записане зображення будь-якого інциденту переглядається тільки як постфактум. В цьому випадку ряд вищенаведених положень настанови може бути не потрібним, а саме тому в процесі складання експлуатаційних вимог якраз і по-
винно бути визначено, чи мусить система бути орієнтована на «живий» моніторинг або тільки на запис для подальшого перегляду.
Визначення контингенту, яке буде проводити відеоспостереження. Це може бути спеціально виділений та підготовлений для виконання цієї функції персонал або для роботи можуть залучатися інші співробітники з відривом від виконання своїх основних обов’язків. Деякі системи можуть бути спроектовані і розгорнуті таким чином, що для їх постійного функціонування взагалі не потрібна присутність людини. У разі залучення для організації спостереження певного контингенту осіб слід передбачити необхідність проходження ними спеціального курсу навчання для отримання навичок роботи з системою.
Час проведення спостереження (коли, скільки та яким чином проводити спостереження). Скільки годин на добу й скільки діб на тиждень потрібно проводити безпосередньо «живий» відеонагляд? Чи має сенс проведення цілодобового моніторингу або досить проводити його тільки протягом робочого часу підприємства? Наскільки може бути відмінним графік чергувань в операторській у робочі та вихідні дні? Коли необхідне проведення спостереження у режимі реального часу («On-Line») – постійно або тільки під час деяких екстраординарних подій (проведення спортивних або громадських заходів, наприклад, пікетування або інших акцій протесту)?
Місцезнаходження оператора відеонагляду (вибір місця знаходження операторської, звідки проводиться спостереження).На цьому етапі проектування необхідно дати відповідь на питання: з якого фізичного місцеположення повинен стежити оператор за зображеннями, що надходять з відеокамер. Можливо, спостереження доцільніше вести не з операторської, а з офісу спеціальної охоронної компанії? Істотне значення має ергономіка робочого місця оператора. Необхідно однозначно прийняти рішення з таких питань, як: розміри і форма приміщення операторської, освітленості та наявності вентиляції, фізичної безпеки поста відеонагляду, відстані до об’єкта, що знаходиться під охороною.
Реагування на можливі нестандартні ситуації. Слід розробити чіткий план дій у разі виникнення нештатної ситуації. Необхідно однозначно визначити конкретну особу, яка повинна ухвалювати рішення у разі виникнення потреби у реагуванні, та, в міру можливості, провести регламентацію алгоритму дій відповідальної особи і оператора/ів/. Наприклад, передбачити порядок дій оператора у разі виникнення нештатної ситуації: чи має він зв’язуватися з охоронним патрулем, менеджером об’єкта, що знаходиться під охороною, з сусіднім постом відеоспостереження або повідомляти спеціальні служби. У деяких випадках цілком достатньо буде зробити відмітку про подію в журналі і утриматися від проведення подальших будь-яких активних дій. На посту відеоспостереження обов’язково має бути встановлена необхідна кількість апаратури зв’язку. Також повинен бути розрахований максимально допустимий час реагування на кожен вид можливих нештатних подій і розроблена службова інструкція для оператора щодо можливих варіантів його поведінки при виникненні таких ситуацій.
Вимоги до обраної системи. Після розробки експлуатаційних вимог за кожною з зазначених у переліку проблем, ґрунтуючись на потребі максимального їх виконання, необхідно провести остаточний вибір типу майбутньої системи відеоспостереження, зокрема наявності певної конфігурації апаратно-програмного комплексу.
Наявність сигналізації. Необхідно мати чітку відповідь на питання, які дії повинен проводити системний комплекс після виявлення факту небажаної події? Значна кількість систем володіє функцією автоматичного повідомлення, яка спрацьовує у випадку фіксації тієї або іншої події. При цьому найбільш ефективним рішенням може бути інтеграція системи відеоспостереження з іншими системами фізичної безпеки, наприклад, охоронною сигналізацією. При цьому одним з варіантів прийнятого комплексного рішення може бути включення (активування) камери відеонагляду після відкриття яких-небудь дверей. Альтернативою використання датчиків руху зараз все більше стає так зване «інтелектуальне відеоспостереження», коли функція проведення запису подій вмикається автоматично після виявлення змін у зображеннях відеокадрів, тобто після фіксації наявності будь-якого руху в відеозображенні, що надходить з відеокамери.
На цьому етапі проектування необхідно у відповідності до можливостей розвитку різних варіантів подій передбачити адекватні способи оповіщення контролюючого персоналу. В деяких випадках це може бути просто однотонний звуковий сигнал, візуальне тривожне оповіщення за допомогою лампочки на пульті, яка починає блимати, текстове повідомлення, що виведене на екран, поява фотозображення на моніторі, а також автоматична передача сигналу тривоги до чергової частини поліції. У ряді випадків це може виявлятися у вигляді видачі команди на початок запису зображень для однієї або групи камер (з метою економії місця на електронних носіях даних деякі системи не проводять постійного запису зображень з відеокамер, проте ця функція може бути задіяна як реакція на певні події). При цьому необхідно враховувати, що деякі явища або події (такі, наприклад, як мерехтіння світла) можуть постійно активізовувати процедуру запису і за таких випадків записувальний пристрій наповнюватиметься інформацією набагато раніше, ніж розраховувалося.
У настанові звертається особлива увага на проведення запису відеозображення та початку його архівації не з часу початку безпосередньо інциденту, а за деякий час до події. Для реалізації цієї умови необхідно передбачити можливість буферизації даних. Можливе й інше рішення: спочатку застосовувати відеозапис з високою частотою кадрів, а потім видалити кадри, що не несуть у собі корисної інформації.
Окрім цього, як інші автоматизовані дії бажане застосування автоматичного перемикання монітора на ту камеру, яка зафіксувала подію, а також автоматичне проставляння спеціальної відмітки в електронному журналі реєстрації подій.
Монітори. У випадку,якщо було ухвалено рішення про необхідність проведення «живого» моніторингу, необхідно прийняти рішення про загальну необхідну кількість моніторів та кількість відеокамер, які будуть обслуговуватись одним дисплеєм.
Запис. Визначається термін зберігання відеоінформації, яка буде зафіксована камерами спостереження. При цьому попередньо необхідно визначитись, наскільки якість заархівованої інформації відрізнятиметься від якості «живого» зображення. Також потрібно дати відповідь на наступні питання:
– яка необхідна частота кадрів при проведенні запису?
– які інші відомості (наприклад, інформація про час і місце зйомки) повинні бути збережені разом з іншими відеоданими?
На всі ці питання і ряд інших обов’язково потрібно дати відповідь на етапі складання експлуатаційних вимог другого рівня. Також достатньо важливим є ухвалення рішення про вибір алгоритму стиснення (стискання) даних.
Експорт/архівація даних.Як вже відомо, система відеонагляду обов’язково по-
винна володіти функцією запису важливої інформації на постійний носій. У більшості аналогових систем для вилучення інформації було достатнім дістати з архівного сховища відеокасету. А в сучасних цифрових системах потрібно провести копіювання даних з внутрішнього вінчестера на CD або DVD-диск перед тим, як надійде команда на очищення жорсткого диска від старої інформації та початку запису нової. Тому при використанні цифрових систем відеоспостереження необхідно заздалегідь приймати рішення щодо вибору методів копіювання та збереження даних.
Аспекти менеджменту і обслуговування. У цій частині настанови розглядаються аспекти взаємовідносин з державними регулювальними органами, а також організаційні питання щодо ремонту і технічного обслуговування системи. Наведено перелік офіційних документів, що необхідні для отримання дозволу на установку системи відеонагляду, а також надано рекомендації про частоту проведення профілактичних заходів для технічного обслуговування системи. Вказано на необхідність вибору технічного виконавця для проведення регламентного обслуговування та можливого ремонту системи. Відповіді на ці питання повинні бути передбачені до впровадження системи в експлуатацію.
Британське міністерство внутрішніх справ настійливо рекомендує дотримуватися принципу «сім раз відміряти та один раз відрізати». Переходити до стадії технічної реалізації проекту необхідно тільки після найретельнішого опрацьовування питання обґрунтування вибору системи відеоспостереження, у жодному випадку не довіряти вирішення стратегічних питань іншим компаніям , оскільки інтереси продавця і покупця можуть діаметрально відрізнятися. Необхідно постійно пам’ятати про головну мету, не передоручати вирішення проблеми іншим юридичним і фізичним особам, детально вникати в технічні деталі – тільки у такому разі вибрана та встановлена система відеоспостереження повинна допомогти у вирішенні поставлених завдань і, безумовно, окупити себе*.
Оригінал документа знаходиться у відкритому доступі в мережі Інтернет за
інтернет-адресою: Режим доступу: www.crimereduction.homeoffice. gov.uk/cctv/cctv047.htm.
6.5. Біометричні системи
обліку робочого часу
Стратегічний актив будь-якої компанії – це її співробітники та їх робочий час. Реальний облік робочого часу дозволяє якісно вирішувати питання, що є основою діяльності будь-якої організації:
– підвищення ефективності роботи компанії;
– зміцнення трудової дисципліни;
– сприяння зростанню продуктивності праці;
– сприяння раціональній організації і реалізації ключових бізнес-процесів;
– забезпечення у відповідності до дійсно відпрацьованого часу нарахування заробітної плати співробітникам.
На сьогодні загальновизнано, що в організаціях зі значною чисельністю працівників найоптимальнішим способом ведення обліку робочого часу є його проведення за допомогою біометричної ідентифікації співробітників за їх унікальними невідчужуваними параметрами. Враховуючи такий параметр, як співвідношення ціна – якість, нині найбільшого розповсюдження отримали біометричні системи, котрі використовують відбитки пальців. Як правило, такі системи обліку робочого часу здійснюють вирішення наступних завдань:
– автоматичну реєстрацію приходу і виходу співробітників за допомогою їх унікальних біометричних характеристик;
– здійснення обліку робочого часу за кожним співробітником, підрозділом, компанією або установою в цілому (в т.ч. консолідація даних щодо територіально віддалених філій);
– формування за будь-який вказаний період часу комп’ютерної звітності і табелів виходу на роботу з можливістю їх подальшого експорту в різних форматах даних (наприклад: html, xls, xml);
– інформування в режимі реального часу («On-line») керівництва, служби безпеки, відділу кадрів та інших зацікавлених служб про перебування співробітників на робочих місцях або на території організації;
– забезпечення скерування відомостей щодо обліку робочого часу в бухгалтерію підприємства для подальшого нарахування заробітної плати відповідно до кількості відпрацьованого співробітниками часу (оперуючи тарифними ставками співробітників, можна задавати коефіцієнти для розрахунку оплати праці в нічні зміни і за понаднормовий час і отримувати в найкоротші терміни необхідні звітні документи);
– інтеграція обліку відпрацьованого часу з контролем фізичного доступу у визначені зони та приміщення контрольованого об’єкта*.
Системи обліку відпрацьованого робочого часу та контролю доступу, що використовуються в даний час, здатні формувати близько декількох десятків різноманітних звітів. Сформовані відомості видаються відповідно до організаційної ієрархічної структури відомства або підприємства і при необхідності забезпечують виконання функції розмежування доступу керівників (менеджерів) різного рівня. Наприклад, начальник відділу не може ознайомлюватись зі звітами, що містять відомості щодо неочолюваних ним підрозділів.
Якщо компанія складається з мережі територіально віддалених філій або виробничих майданчиків, то використовуючи можливість застосування віддаленої реєстраціїїх співробітникам, немає необхідності особисто реєструватися у центральному офісі. Дані про час приходу-виходу фіксуються в автоматичному режимі безпосередньо на місцях, і отримана інформація автоматично передається в центральний офіс. Таким чином, керівництву компанії, кадровій службі, службі безпеці надається ефективний і економічний механізм управління персоналом.
Останнім часом з’явилися повідомлення про створення і експлуатацію безпровідних біометричних систем обліку робочого часу. Дані системи насамперед адресовані будівельним компаніям, оскільки, згідно повідомленням розробників, максимально враховують специфіку роботи будівельно-монтажних фірм. На будмайданчиках дуже складно або взагалі неможливо протягнути телефонні лінії та інші комунікації, і оптимальним рішенням для будівельних фірм є використання безпровідного зв’язку. З урахуванням даної обставини і побудовані нові безпровідні біометричні системи обліку робочого часу.
Для роботи таких біометричних систем не вимагається суттєвих вкладень у комунікаційну інфраструктуру. Використовується сканер відбитків пальців з можливістю передачі даних за без провідним GPRS-зв’язком, після закінчення будівництва або монтажних робіт біометрична система може бути легко переміщена на новий майданчик.
Застосування біометричних технологій дозволяє ефективно боротися з одвічною хворобою карткових систем обліку робочого часу («buddy punching»), коли один співробітник, зібравши картки своїх колег, одночасно реєструє особистий прихід на роботу та ніби прихід своїх товаришів. Біометрична ідентифікація забезпечує максимальну достовірність обліку робочого часу: виконроби і менеджери завжди точно обізнані, хто знаходиться на об’єкті і коли прийшов на роботу*.
Біометричні системи обліку робочого часу і контролю фізичного доступу сприяють підвищенню ефективності управління в підприємствах роздрібної торгівлі та сфери обслуговування, надають можливість вирішення ряду специфічних питань у сферах автоматизації фінансів і бізнесу і, особливо, підвищенню загальної безпеки установ, підприємств і компаній. Основні переваги таких систем – виняткова точність і достовірність обліку робочого часу, висока надійність контролю доступу, швидкість складання, повнота і функціональність отримуваних численних звітів і графіків.
Для сфер безпеки і автоматизації фінансів найбільш оптимальні багатофак-
торні біометричні термінали контролю доступу і обліку робочого часу, що дозволяють ідентифікувати користувачів за відбитками пальців і безконтактними картками або
PIN-кодами**.
У найостанніших розробках інтегрованих систем обліку робочого часу підсистема контролю фізичного доступу поповнилася режимом заборони повторного проходу (функція «antipass-back»). Не зареєструвавши свій вхід у приміщення, співробітник не отримує потім права на вихід (і навпаки). Таким чином, створюється забезпечення нового рівня безпеки і блокуються спроби «обману» замка, турнікета або шлюзу (якими управляють біометричні термінали). Наприклад, коли співробітник, котрий спізнюється, пристроюється за працівником-колегою, що вже реєструється, і проходить за ним на контрольовану територію, сподіваючись, що факт запізнення на роботу залишиться незафіксованим***.
Згідно прес-релізу компанії «ITCS» біометрична система обліку робочого часу впроваджена в підрозділах Каліфорнійського університету Сан-Франциско. Система діє в 20 департаментах комунальних служб університету, студентському містечку цього учбового закладу і охоплює понад 900 співробітників у 70 різних будівлях.
Ідентифікація співробітників здійснюється за допомогою сканерів відбитків пальців. Біометрична ідентифікація дозволяє використовувати різні правила обліку робочого часу і надає менеджерам достовірну інформацію про те, хто із співробітників знаходиться на робочому місці, а хто відсутній. Таким чином, менеджери при прийнятті управлінських рішень керуються точними і достовірними даними, що у результаті дозволяє економити їх час, знижувати «інфраструктурні витрати» та покращувати економічні показники. Запровадження біометричної системи в повному об’ємі дозволило повністю відмовитися від паперових журналів обліку робочого часу і забезпечило набагато більшу точність відповідних бізнес-процесів*.
Практичний результат першого року використання біометричної системи обліку робочого часу в Мічіганській неврологічної асоціації (США) наведений у повідомленні російського біометричного порталу «Biometrics.RU» з посиланням на сайт цієї медичної установи. Зазначено, що завдяки впровадженню ідентифікації за відбитками пальців адміністрація асоціації змогла в 2007 році заощадити понад 40 тис. доларів. У результаті отриманої точності за обліком робочого часу персоналу вдалося на місяць знизити кількість загального відпрацьованого робочого часу кожним співробітником у середньому на 138 хвилин.
Після впровадження біометрії зникла практика «Buddy punching», коли один співробітник відзначає свій прихід на роботу або відхід з неї за себе і за своїх колег. Тепер час приходу/відходу фіксується за відбитком пальця, і будь-які махінації із записами в журналі обліку робочого часу, картками, жетонами та іншими відчужуваними носіями, за допомогою яких можна було б «відзначитися» за колегу, втратили будь-який сенс.
Не менш важливою стала і така обставина, що біометрична система обліку робочого часу була впроваджена у всіх відділеннях асоціації, розташованих у чотирьох містах штату Мічіган, що дозволило реалізувати централізоване управління і обробку всіх даних, що одержуються за допомогою цієї системи**.
6.6. Біометричні системи захисту інформації
від несанкціонованого доступу
З розвитком комп’ютерних мереж і розширенням сфер автоматизації цінність інформації неухильно зростає. Державні секрети, наукоємні ноу-хау, комерційні, юридичні та лікарські таємниці все частіше довіряють комп’ютеру, який, як правило, підключається до локальної або корпоративної мережі. Популярність глобальної мережі Інтернет, з одного боку, відкриває величезні можливості для електронної комерції, але, з іншого, створює нагальну потребу в надійних засобах безпеки для захисту корпоративних даних від несанкціонованого доступу ззовні. В даний час все більше компаній стикаються з необхідністю запобігати несанкціонованому доступу до своїх систем і можливому витоку даних.
Як показує практика, увага компаній до будь-яких проблем залежить від масштабу загроз і їх впливу на бізнес. Захист персональних даних у цьому плані не є винятком. Загальноприйнято, що чим більше відомостей зберігають і обробляють компанії, тим вище рівень ризику, відповідальність і стурбованість менеджменту за схоронність даних.
Витоки персональних даних, значна кількість яких зосереджена в інформаційних мережах різних компаній, приводять до серйозних фінансових і репутаційних витрат. Згідно відомостей загальносвітової статистики щодо інцидентів у сфері інформаційної безпеки, близько 90% всіх несанкціонованих витоків інформації так чи інакше пов’язано з діями персоналу. Таким чином, чим більше співробітників володіє доступом до масивів персональних даних, тим вище ризики витоку*.
Як свідчить світова практика, практично до кінця 90-х років минулого століття основним способом персоніфікації користувача було зазначення його мережевого імені та паролю. В Україні подібний підхід ще й досі широко використовується у багатьох установах та організаціях. Небезпеки, пов’язані з використанням пароля, добре відомі: паролі забувають, зберігають у невідповідному місці, нарешті, їх можно просто вкрасти. Деякі користувачі записують паролі на папері і тримають ці записи безпосередньо на своїх робочих місцях поряд зі своїми комп’ютерами. Як свідчить статистика, що ведеться в групах підтримки інформаційних технологій, в багатьох компаніях значна частина дзвінків в цю службу викликана тим, що клієнти забувають або втрачають паролі доступу.
Відомо, що комп’ютерну систему можна обдурити, увівши чужий пароль і логін. Для цього необхідно лише дізнатися про відповідну ідентифікуючу інформацію, якою, з погляду системи безпеки, повинна володіти одна-єдина особа. Таким чином, зловмисник, видаючи себе за співробітника компанії, дістає доступ до всіх ресурсів, доступних цьому користувачеві відповідно до його повноважень і посадових обов’язків. Результатом можуть стати різні протиправні дії, починаючи від крадіжки інформації та закінчуючи виводом з ладу всього інформаційного комплексу.
Розробники старих традиційних пристроїв ідентифікації вже зіткнулися з тим, що стандартні методи організації доступу в інформаційних мережах багато в чому застаріли. Проблема, зокрема, полягає у тому, що методи контролю фізичного доступу до комп’ютерних пристроїв і, відповідно, до інформації з обмеженим доступом, які раніше використовувалися, вже не спроможні забезпечити потрібний рівень захисту. Адже для отримання доступу до сервера зараз зовсім не обов’язково заходити у приміщення, де він знаходиться. Причиною тому є всеосяжна концепція розподілених обчислень, яка об’єднує і технологію клієнт-сервер, і Інтернет. Для нейтралізації сучасних проблем крадіжок конфіденційної інформації потрібні нові радикальні методи, що використовують найсучасніші досягнення захисту інформації від несанкціонованого доступу безпосередньо у різних комп’ютерних мережах.
Для виходу з ситуації, що настала, для організації будь-якого доступу до різних інформаційно-комунікаційних мереж і систем необхідно застосовувати такі методи ідентифікації, які не могли б спрацьовувати у відриві від їх носія. Цій вимозі у повному обсязі відповідають біометричні характеристики організму людини, які є суто індивідуальними та неповторними. Сучасні біометричні технології дозволяють ідентифікувати особу за фізіологічними і психологічними ознаками.
Головна мета біометричної ідентифікації або аутентифікації полягає у створенні такої системи реєстрації, яка досить рідко відмовляла б у доступі легітимним користувачам і в той же час максимально виключала б несанкціонований вхід до комп’ютерних сховищ інформації. У порівнянні з використанням паролів і карток така система забезпечує набагато надійніший захист: адже складові частини власного тіла не можна ані забути, ані втратити. Біометричне розпізнавання фізичної особи і надання їй право доступу засноване на порівнянні фізіологічних або психологічних особливостей людського індивідууму з його характеристиками, які були отримані та занесені відповідним чином до бази даних системи*.
На думку багатьох експертів, застосування біометричної ідентифікації забезпечує ефективне та надійне управління доступом співробітників до комп’ютерів, ресурсів корпоративної мережі та інформації, що обробляється за допомогою прикладних програм. Заміна ненадійних паролів безпечною і зручною біометричною ідентифікацією не тільки полегшує роботу персоналу, але й істотно знижує витрати на адміністрування і рівень ІТ-ризиків.
У 2008 році компанія «Perimetrix» провела дослідження щодо стану інформаційної безпеки (ІБ) у Російській Федерації. Результати цих досліджень представляють інтерес і для України, оскільки українські компанії багато в чому подібні до російських, а витоки російської і української політики щодо безпеки має одне коріння, хоча і є деякі відмінності, що у більшості випадків спричинені відставанням українського законодавства від російського у сфері законодавчої бази про захист персональних даних і станом рівня комп’ютеризації і інформатизації державних і приватних комерційних структур. Оскільки авторами посібника в літературі та ЗМІ не знайдено відомостей про загальний стан інформаційної безпеки в Україні, то цифрові показники стану ІБ в Росії за 2008 рік зі значною ймовірністю у загальних рисах відображають і рівень інформаційної безпеки в Україні.
Згідно даних компанії «Perimetrix» за 2008 рік, більше половини російських компаній (52%) обробляють у своїх локальних мережах понад 10 тис. записів персональних даних. Приблизно кожна шоста російська компанія (15,3%) обробляє персональні дані понад 1 млн. чоловік. Це і державні установи, і крупні комерційні компанії. Якщо таке підприємство представлене на фондових ринках, і відомості про виток інформації з нього стануть відомими широкому загалу учасників торгів, акції такої фірми миттєво втратять у ціні: інвестори не стануть чекати закінчення розслідування інциденту. Цілком очевидно, що у разі несприятливого результату втрати обчислюються не тільки сумою в грошовому еквіваленті з великою кількістю нулів, – завдається шкода і репутації компанії.
У відповідності до теорії для недопущення витоку інформації доступ до масивів персональних даних варто було б обмежити в основному працівниками служби безпеки установи. Проте у більшості випадків наявний доступ до конфіденційної інформації є в значної кількості працівників (57,6%) служб інформаційно-телекомунікаційної (ІТ) підтримки. Це пов’язано з особливостями як російського, так і українського бізнесу, в якому поки що сфери відповідальності персоналу ІТ і ІБ підрозділів дуже часто не розмежовані.
Крім того, загрозу витоку даним несуть топ-менеджери (21,9%) і аналітики (18,5%). Перша група, що характеризується у більшості випадків значним рівнем недбалості, досить часто отримує у повному обсязі доступ до корпоративних ресурсів, який для уникнення появи конфліктних ситуацій їм відкривають співробітники, що відповідають за ІТ-обслуговування. Другій групі, як правило, надається постійний невиправдано високий рівень доступу до всіх без винятку корпоративних даних. Для вирішення значної кількості завдань аналітикам цілком достатньо узагальнювальних і знеособлених статистичних відомостей, а не користування масивами реальних персональних даних.
На окрему згадку заслуговують call-центри та служби технічної підтримки. Ймовірність витоку даних через їх працівників надто висока, оскільки працівники цих відділів зазвичай не відзначаються високою лояльністю до організації-працедавця і не завжди достатньо компетентні у сфері безпеки.
Таким чином, можна зробити висновок, що захищеність персональних даних, а також інформації, що становить комерційну таємницю, у більшості російських та українських організаціях і компаніях перебуває на досить низькому рівні. Це знаходить підтвердження у наявності нелегального ринку різних баз даних, який існує як у Росії, так і в Україні. В цілому дослідження компанії «Perimetrix» показало надзвичайну важливість і зростаючу актуальність проблеми захисту персональних даних. Сьогодні російські і українські компанії обробляють велику кількість персональної та конфіденційної інформації. В більшості випадків належним чином доступ до неї не контролюється, що призводить до існування досить високих ризиків можливості витоку.
Незважаючи на те, що в Російській Федерації використання персональних даних
в установах, організаціях і підприємствах досить жорстко регулюється на законо-
давчому рівні за допомогою федерального закону «Про персональні дані», але через
те, що особливості його застосування не деталізовані, і практичне використання
його положень у бізнесі ускладнено. Основний висновок проведеного дослідження: без доповнень і роз’яснень цей нормативний документ залишається лише набором загальних рекомендацій та вимог.
Внаслідок такого стану кожна компанія трактує деяку частину вимог виходячи з власних міркувань, а інколи – просто їх ігнорує. Правозастосовча практика щодо російського федерального закону «Про персональні дані» майже відсутня, контроль за виконанням закону де-факто ускладнений*.
Як відомо, 9 січня 2007 року Верховною Радою України був прийнятий Закон «Про захист персональних даних», але Президентом на нього було накладено вето. Тому при розгляді нового проекту Закону слід враховувати як позитивний, так і негативний досвід, який було накопичено у Російській Федерації під час дії федерального закону «Про персональні дані».
Основні аспекти біометричних видів захисту інформації і баз даних детально будуть розглянуті у розділі 14 цієї роботи «Біометричні способи захисту інформації, баз даних від інсайдерських загроз і контроль доступу за біометричними параметрами у корпоративних мережах та електронних пристроях зберігання даних».
6.7. Застосування біометрії в банках
та інших фінансових установах
Банки, кредитні й інші фінансові організації повинні бути для клієнтів символом надійності та довіри. Щоб виправдати ці очікування, фінансові інститути особливу увагу приділяють практичному використанню різних інноваційних досягнень. Коли мова заходить про інформаційно-телекомунікаційні рішення у сфері безпеки платежів, зазвичай відразу ж згадують за такі технології, як захищені канали передачі даних, генератори одноразових паролів, різноманітні токени тощо. Але як показує світова практика, на поточний момент біометричні технології найактивнішим чином запроваджуються у фінансову сферу, причому в різних регіонах світу.
Починаючи з 2005 року, в діяльність різних світових фінансових установ починають втілювати останні досягнення в галузі біометрії для ідентифікації користувачів і персоналу, причому сфера використання цих технологій безперервно розширюється, охоплюючи все нові напрямки діяльності як офісних працівників, так і обслуговування клієнтів.
Основні завдання, що вирішуються фінансовими інститутами за допомогою біометрики:
– надійна ідентифікація користувачів різних фінансових сервісів, у т.ч. онлайнових та мобільних (переважає ідентифікація за відбитками пальців, наразі активно розвиваються і реалізуються на практиці технології розпізнавання за малюнком вен на долоні або пальці, ідентифікація по голосу клієнтів, що звертаються в колл-центри цих установ);
– запобігання шахрайствам і махінаціям з кредитними і дебетовими картками й іншими платіжними інструментами (заміна PIN-кода на розпізнавання за біометричними параметрами, які як відомо, неможливо викрасти, «підглянути» та неможливо або вкрай тяжко підробити);
– підвищення якості обслуговування та його комфорту (біометричні банкомати, програми супроводу постійних користувачів або відвідувачів, біометрична ідентифікація користувачів систем «електронної черги»);
– контроль фізичного доступу в будівлі та приміщення банків (до депозитарних скриньок, сейфів і сховищ з можливістю біометричної ідентифікації як співробітника банку, так і клієнта-користувача скриньки);
– облік робочого часу співробітників фінансових установ (як правило, інтегрується з контролем фізичного доступу);
– захист інформаційних систем і ресурсів банківських та інших кредитних організацій*.
Важливість використання біометрії у діяльності фінансових установ підкреслює той факт, що в 2008 році Міжнародна організація зі стандартизації (International Organization for Standardization – ISO/ИСО) оголосила про випуск спеціального стандарту ISO 19092:2008, що регламентує застосування біометричних технологій у фінансовій сфері та, зокрема, в питаннях забезпечення безпеки при верифікації і ідентифікації користувачів електронних платежів.
Як відзначають експерти ISO, розвиток комп’ютерно-телекомунікаційних технологій викликав революцію в системах електронних платежів і привів до стрімкого зростання їх обсягу. У свою чергу, перехід на електронні платежі дозволяє фінансовій індустрії істотно знизити витрати і суттєво підвищити ефективність своєї діяльності.
За останніми даними, щодня за допомогою цих механізмів скоюються транзакції на мільярди доларів, і, зрозуміло, фінансове співтовариство та користувачі електронних платежів дуже зацікавлені в мінімізації ризиків, які пов’язані з навмисним або випадковим спотворенням оброблюваної інформації, її підміною або знищенням. Одна з головних нагальних потреб – формування надійної системи аутентифікації і ідентифікації, в зв’язку з чим експерти ISO відзначають важливу роль і значні перспективи біометричних технологій.
У новому стандарті ISO 19092:2008 описується архітектура застосування біометричних технологій та конкретизуються вимоги безпеки при їх використанні. Стандарт перераховує також основні завдання інтеграції біометричних технологій та електронних платежів і містить рекомендації для практичної реалізації цього процесу в діяльності фінансових і кредитних організацій.
Застосування біометрики для аутентифікації співробітників цих організацій та їх клієнтів розглядається в двох аспектах. Перший з них стосується верифікації користувача (порівняння в режимі «один-до-одного» з підтвердженням особистості користувача, що надав свої реквізити). Другий аспект зачіпає ідентифікацію користувачів у режимі «один-до-багатьох», і тут аналізуються та вирішуються наступні питання:
– додання юридичної сили реквізитам користувача, які реєструються для його подальшої аутентифікації, у контексті мінімізації існуючих ризиків;
– управління біометричним доступом до інформації і життєвим циклом відповідного облікового запису конкретної фізичної особи на етапах її реєстрації як користувача, збереження відомостей про її повноваження та подальшого проведення операцій передачі, обробки, верифікації і ідентифікації, а при закінченні клієнтських повноважень – скерування на архівацію або видалення його облікового запису;
– застосування біометрії з метою розмежування доступу до інформації і управління фізичним доступом;
– застосування технологій інтелектуального відеоспостереження для захисту фінансових організацій і їх клієнтів;
– забезпечення безпеки устаткування, яке використовується для обробки біометричних даних користувача на всіх етапах життєвого циклу його облікового запису.
На думку фахівців, створення та впровадження у діяльність світової фінансової спільноти стандарту ISO 19092:2008 можна розглядати як черговий, але досить вагомий крок на шляху розробки і створення нового покоління більш захищених і надійних електронних фінансових транзакцій, на які існує значний попит у нашу еру загальної інформатизації*.
«Серцем» будь-якого банку служить його корпоративна мережа, яка повинна забезпечувати надійну, безпечну і зручну ідентифікацію користувачів. Разом з масовим переходом до верифікації і ідентифікації користувачів за їх унікальними біометричними параметрами відбуваються не менш актуальні для банків завдання надійного розмежування фізичного доступу в будівлі та приміщення.
Організація проходу та руху співробітників і відвідувачів, додатковий контроль за доступом до сховищ, серверних кімнат, депозитних скриньок, складання відповідних графіків і режимів доступу, контроль за їх дотриманням, інтеграція систем розмежування доступу і обліку робочого часу – всі ці операції у більшості випадків проводяться з використанням біометричних технологій.
Значна кількість компаній-розробників програмно-апаратних комплексів зробили акцент на розробку алгоритмів і камер для тривимірного (3-D) або комбінованого
(2-D + 3-D) розпізнавання обличчя. Технологічні розробки на базі цих методів дозволяють автоматично фіксувати пересування людей, які отримали у встановленому порядку дозвіл доступу на об’єкт, гарантуючи при цьому високу достовірність розпізнання людських індивідуумів.
Використання біометричних технологій на порядок збільшує ступінь захисту «карткових» турнікетів, зокрема, забезпечує надійний захист від підробки, використання викрадених або загублених смарт-карток, а також від передачі їх іншим особам (для отримання доступу недостатньо просто пред’явити картку, необхідно підтвердити достовірність особистості пред’явника його біометричними даними).
За повідомленнями російського біометричного порталу «Biometrics.RU», у сфері активного використання біометричних технологій в СНД лідирують казахстанські банки. У Казахстані «Народний банк» провів впровадження найбільшого в Центральній Азії проекту системи біометричної ідентифікації користувачів корпоративної мережі (дев’ять тисяч користувачів), а дочірній банк АТ «Ощадбанк Росії» запровадив систему біометричної ідентифікації клієнтів при проведенні витратних банківських операцій з їх рахунками*.
Відповідно до досліджень, проведених американським інститутом «Ponemon» у кооперації з британським центром вивчення громадської думки «Ipsos/MORI», наприкінці 2006 – початку 2007 років, 90% споживачів у Великобританії і приблизно 69% їх колег у США однозначно висловилися за розширення сфер використання біометрії. Як пріоритні сфери застосування було названо діяльність банків, платіжних систем, провайдерів медичних послуг і використання для потреб державних органів.
Ці дані співпадають з результатами опитування, яке у другій половині 2006 року провела маркетингова інформаційна група «TNS» і в якому 64% від кількості опитаних вітали розміщення біометричної інформації на кредитних картах, а 62% схвально відгукнулися про включення такої інформації до складу відомостей, які розміщені на дебетових картках**.
Понад двох третин учасників (67%) проведеного у 2008 році фірмою «Unisys» опитування заявили про те, що довіряють дактилоскопічним сканерам, які використовуються банками, урядовими та приватними організаціями по всьому світу. В цілому ж біометричні рішення користуються найбільшою популярністю у жителів Малайзії, Австралії та Великобританії. Опитування споживачів проводилось паралельно з традиційним дослідженням «Unisys Security Index».
Проведені анкетування довели, що махінації з банківськими картками дуже сильно хвилюють клієнтів банків у всьому світі. Громадяни одинадцяти з тринадцяти країн, в яких проводилося анкетування, назвали шахрайські дії за допомогою банківських карток предметом їх найбільшого занепокоєння. В десяти країнах респонденти вважали, що крадіжка особистих даних є загрозою номер один для них.
Результатом проведеного опиту стало виявлення закономірності, яка виявилася у тому, що повсюдне запровадження біометричних методів ідентифікації особистості у діяльність різних комерційних структур відбувається насамперед у тих країнах, де ці технології вже широко використовуються урядовими організаціями***.
Головною причиною прихильного ставлення людей до запровадження біометричних технологій є прагнення до комфорту. Цей чинник вирішальним визнали 83% респондентів з усієї кількості опитаних.
Використання біометричних рішень при проведенні операцій у банкоматах найбільшого розповсюдження отримало в країнах Азії. Наприклад, Національний банк Оману придбав ридери смарт-карток з сканерами відбитків пальців, що дозволило істотно спростити обслуговування клієнтів, передусім неписьменних, тим самим позбувшись від черг і наявності значного штату консультантів. Замість введення PIN-коду оманським кардхолдерам тепер досить прикласти палець.
Аналогічні проекти реалізовуються в Індії та Пакистані. Індійський резервний банк приступив до реалізації на базі біометрії спецпрограми «Залучайся до фінансів» для клієнтів з невеликим рівнем доходу, жителів віддалених сільських районів і соціально незахищених верств населення, які у своїй більшості переважно не вміють читати і писати. Біометрична можливість підтвердження особистості їм стала в нагоді при виконанні різних фінансових транзакцій.
За наявними повідомленнями в ЗМІ кредитна картка з вбудованим зчитувачем відбитків пальців коштує близько 70 доларів (наприклад – картка «SmartMetric»). Вона повинна підвищити безпеку транзакцій, оскільки вважається, що скористатися такою карткою може тільки її власник. У комплекті з карткою може поставлятися спеціальний адаптер, який надає можливість під’єднання до комп’ютера. Картка з адаптером розповсюджується насамперед серед активних інтернет-покупців, оскільки значно спрощує можливість придбання товарів у режимі реального часу.
Ідентифікація клієнта забезпечується розміщеними в картці мікрочіпом і ридером відбитків пальців. Щоб встановити зв’язок з банком, користувач повинен підключити картку до комп’ютера за допомогою USB-порта і доторкнутися до сенсора відбитків пальців. Процес розпізнання займає не більше секунди, після чого ініціатор платіжної операції отримує «зелене світло» для проведення транзакції.
Ряд незалежних експертів з біометричних технологій ставлять під сумнів рівень безпеки банківських й інших онлайн-транзакцій з картками типу «SmartMetric». Вони вважають, що з впровадженням нових технологій може набути поширення і новий вигляд шахрайства – за допомогою муляжів з нанесеними на них відбитками пальців. На практиці отримати початкові «дані» для виготовлення муляжів набагато простіше, ніж, наприклад, реквізити кредитної картки. Відбитки пальців залишаються на будь-якому предметі, яким користувалася потенційна жертва: склянка, пляшка, грошові купюри, поручні тощо. Щоб уникнути такого небажаного розвитку подій більшість розробників біометричних технологій вводять додаткове підтвердження проведення транзакції PIN-кодом, а найпередовіші розміщують у ридерах індикатори «підтвердження життєвості пальця», які фіксують наявність пульсу або виділення поту*.
Необхідно зазначити, що злочинний світ дуже швидко опановує новітні технології, які дозволяють розкрадати гроші (зокрема за допомогою банкоматів), у той час як банки запізнюються з використанням відповідних заходів.
Таким чином, з розповсюдженням біометричних систем у банківській сфері можна очікувати появу нових стандартів безпеки, які передбачатимуть обов’язкове одночасне використання декількох типів біометричної ідентифікації (мультибіометрія) і навіть комбінацію з іншими традиційними засобами встановлення особистості клієнта (так званий багатофакторний режим). Однак регулярне оновлення систем захисту повинне залишатися пріоритетним завданням розробників і виробників програмно-апаратних комплексів біометричних технологій, оскільки досить ймовірно, що створення муляжів або, що особливо заслуговує на увагу, перехоплення або викрадення потрібних даних в електронному виді, що дозволить обійти майже будь-які захисні перешкоди і звести нанівець переваги біометричної ідентифікації, при великому бажанні та наявності коштів є лише справою часу*.
У 2007 році в звітах «International Biometrics Group» вперше був вказаний новий вид біометричних технологій – аутентифікація за венозним малюнком руки (Vein Recognition Technology).
Цей метод, що швидко захопив близько 3% ринку біометричних засобів аутентифікації, був розроблений японським концерном «Fujitsu» декілька років тому. Технологія розпізнає орнамент вен тільки живої людини, оскільки вона прив’язана до певної концентрації гемоглобіну в крові. За оцінкою фахівців компанії-розробника, позитивні якості нової технології висувають її в лідери біометричних засобів аутентифікації за такими важливими ознаками, як надійність, захищеність і оперативність.
Деякі банки («Bank of Tokyo Mitsubishi UFJ», «Suruga Bank» в Японії та бразильський «Banco Bradesco») вже застосували технологію аутентифікації за венозним малюнком руки для організації доступу до банківських касових терміналів і банкоматів, а також для обслуговування VIP-клієнтів. Враховуючи новизну технології, говорити про її застосування на теренах України та країн СНД поки що не має сенсу*.
У США та Німеччині у пілотному режимі проходять перевірку системи так званої «магазинної біометрії». Підносячи палець до пристрою, який у лічені секунди отримує його електронне зображення та проводить процедуру ідентифікації особистості, можна розплатитися в деяких магазинах США і Німеччини. Німеччина – європейський лідер за впровадженням біометричних систем. За висновком голови Міжнародної асоціації біометричної індустрії Вальтера Хамільтона «Цей рік (2007 рік – авт.) був роком біометрії. Ринок нарешті побачив, що її значне використання дійсно почало стосуватися споживачів». За оцінками різних експертів, ринок таких пристроїв досягне від $7 млрд до $12 млрд у найближчі п’ять років. На думку спеціалістів, «Магазинній біометрії» відведена особлива роль: або за допомогою «пальчиків» підсилять безпеку кредитних карток, або «пальчики» замінять їх зовсім. Це може відбутися у випадку, якщо відбитки пальців як спосіб оплати отримають набагато більший кредит довіри у порівнянні зі старими платіжними системами.
Фахівці вважають, що запропонована система надзвичайно зручна для торгових мереж. Значно скорочуються черги до кас, їх пропускна спроможність істотно зростає та як наслідок, підвищується якість обслуговування та збільшується лояльність покупців. До того ж з’являються можливості дійсно персоналізованого маркетингу. Наприклад, американська система «Pay by Touch» пропонує своїм користувачам перед відвідинами торгового залу ідентифікуватися в біометричному інформаційному кіоску і отримати індивідуальний купон з пропозиціями знижок на 10–15 видів товарів, які людина постійно купує у цьому закладі або мережі магазинів. Такий маркетинг буде найприбутковішим: як свідчать результати досліджень, до 70% рішень про покупки ухвалюються безпосередньо в торгових залах.
Німецькі фахівці стверджують, що темпи розвитку біометричних платіжних систем стримуються лише упередженістю клієнтів: відбір відбитків пальців асоціюється в них з проведенням дактилоскопіювання злочинців (у 2010 році поліцейській дактилоскопії виповнюється 115 років). З введенням у широке використання біометричних паспортів і віз упередження повинно змінитися на спокійне ставлення, приблизно на таке, як до процесу фотографування. Крім того, всезростаюча конкуренція неминуче змусить торгові мережі шукати нові шляхи зниження витрат і нові способи залучення покупців. Припускають, що першими біометричні платежі масово почнуть запроваджувати магазини, які торгують електротехнікою та комп’ютерами. Союз німецьких банків пророкує, що біометричні платіжні системи стануть дійсно масовими не раніше 2012 року.
На думку фахівців, в Україні, як і в СНД, введення «магазинної біометрії» передчасне. За висловленням одного з менеджерів російського відділення «Citibank»: «Спочатку було б непогано прищепити культуру використання звичайних банківських карток»*.
У 2007 році відома компанія «Frost & Sullivan» провела дослідження, в якому детально розглянула ситуацію на ринку устаткування для біометричного контролю у фінансовій галузі, при чому було проаналізовано такі три основні сектори: контроль за фізичним доступом, контроль доступу до конфіденційних даних і додатки авторизації доступу до банківських операцій.
Персональна ідентифікація за відбитками пальців, на думку фахівців «Frost & Sullivan», і надалі збереже першість за показниками прибутковості і загальною кількістю інсталяцій у підприємствах фінансової галузі. Це обумовлено доволі високою точністю, відносно невеликою вартістю апаратної частини та широким спектром практичного застосування у фінансових організаціях**.
За опитуванням, здійсненим наприкінці 2007 – початку 2008 років незалежним інтернет-сервіс-виданням «Zoomerang», 75% споживачів вважають, що ідентифікація за відбитками пальців поки що залишається найбільш актуальною технологією в онлайновому банкінгі, а, відповідно до висновку агентства «IDC», біометрія і смарт-картки є ключовими елементами розвитку сегмента мікрофінансування.
Чисельність користувачів біометричної платіжної системи в США перевищила три мільйони чоловік, а підсумки її функціонування свідчать про те, що застосування біометрії приблизно вдвічі знижує операційні витрати з обслуговування платежів і на 15% збільшує кількість відвідувань тих магазинів, де розрахунок проводиться за допомогою касових апаратів з біометричними терміналами***.
Нині у банківсько-фінансовій сфері використовуються наступні технології біометричної ідентифікації:
– сканування відбитків пальців за технологією, яка відома під назвою неавтоматизовані системи ідентифікації (non-automated fingerprint identification systems, non-AFIS);
– розпізнавання за рисами обличчя;
– розпізнавання за райдужною оболонкою ока;
– ідентифікація за формою кисті руки;
– розпізнавання за малюнком вен кисті руки або пальця;
– розпізнавання за голосом;
– підтвердження особистості за допомогою його підпису.
Однак відсутність належної взаємної сумісності різних додатків до використовуваного програмного забезпечення – контролю фізичного доступу, логічного доступу до даних та ідентифікації користувача під час самого процесу проведення банківських операцій – є досить серйозним бар’єром на шляху більш широкого запровадження біометричних рішень на ринку біометрики. Крім того, переважна більшість підприємств, що виготовляють біометричні програмно-апаратні комплекси, дотримуються власноруч розроблених стандартів, і, як наслідок, можливості обміну даними між програмно-апаратним устаткуванням різних фірм-виробників досить обмежені. Як вказує інтернет-видання «Secnews.ru» з посиланням на один з оглядів експертів-аналітиків у галузі біометрії, відсутність належної сумісності значно гальмує процес розширення впровадження вказаних технологій, оскільки можливі покупці вважають за краще зайняти вичікувальну позицію, відкладаючи рішення про інвестиції на той час, коли проблема буде вже вирішена. Розробникам і виробникам технологій та апаратури на базі біометрії необхідно вже робити перехід на системи з «відкритою архітектурою», тоді вдасться уникнути існуючих поки що проблем з інтеграцією і обміном даними. В принципі це відповідає тенденції до конвергенції засобів контролю фізичного та логічного доступу і тому є цілком очікуваним і необхідним процесом*.
Використання біометричних технологій у фінансовій сфері України стає все більш необхідною і усвідомленою потребою. Щоб електронний бізнес мав тільки пози-
тивний ефект, потенційним його учасникам необхідно гарантувати його безпечність.
Застосування останніх досягнень інформаційних технологій у банківській сфері і електронній комерції дає можливість значно розширити перелік послуг, що надаються, залучити нових клієнтів і підвищити конкурентоспроможність банківської установи. Але водночас ризики через відкритість інтернет-мережі при цьому достатньо високі, причому швидкість, з якою вони можуть змінюватися, досить суттєва – кількість протиправних діянь в Інтернеті (хакерські атаки, шахрайство, перехоплення конфіденційної інформації тощо) щорічно стрімко зростає.
У березні 2008 року спостерігався своєрідний «вибух» активності шахрайських дій, що були пов’язані з незаконним доступом до рахунків українців за допомогою їх банківських карток. За повідомленням однієї з найбільших українських платіжних систем «Portmone.com» було зафіксовано зростання активності зловмисників, які різноманітними шляхами і під різними приводами намагалися отримати від користувачів дані щодо конфіденційної інформації, розміщеної у платіжних картках, і у разі позитивного результату за лічені хвилини спустошували їх рахунки. За відомостями українських фінансистів, це далеко не єдина атака злочинців за 2008 рік, які все частіше зазіхають на фінансові операції, що проводяться за допомогою пластикових карток.
За заявою президента міжбанківської системи електронної доставки і оплати рахунків «Portmone.com» Ігоря Горіна, для отримання відомостей про картку зловмисники, як правило, застосовують декілька прийомів. Найпоширеніший – розміщення на сайті інформації про нібито проведену виплату на картку грошей за перегляд реклами і регулярне його відвідування. Також установчі дані намагаються отримати під приводом надання грошових призів або якихось інших дармових заробітків (дуже часто такі оголошення розміщаються на сайтах пошуку роботи). «Власникові картки пропонується можливість отримати виграш готівкою, для чого необхідно особисто з’явитися до установи, або як альтернативний варіант – комфортно отримати гроші на свій банківський рахунок, реквізити якого потрібно надати. При цьому терміни виплати обмежені», – так описує дії зловмисників начальник процесингового центру Першого українського міжнародного банку (ПУМБ) Юлія Шатрова. «Наївна жертва в гонитві за наживою вводить всі реквізити своєї картки. Далі шахраї використовують цю карту для покупки анонімних електронних ваучерів мобільних операторів через Інтернет і перепродують їх», – доповнив інформацію Ю. Шатрової пан Горін. Менш поширеними є випадки, коли, за словами фінансистів, проводиться розсилка запитів про карткові реквізити ніби від імені служби безпеки банку. Такі повідомлення досить часто надходять на електронну пошту українців: шахраї від імені фінустанови повідомляють про те, що у банку відбувся збій у роботі комп’ютерної системи, в зв’язку з чим просять клієнтів надати в електронному вигляді втрачену інформацію.
Фахівці стверджують, що останнім часом зіткнулися із справжнім валом злочинності в пластиковому сегменті. «Якщо в 2007 році шахрайські дії з картками траплялися лише раз в один-два місяця, то в 2008 році вони відбувалися по кілька разів у місяць», – повідомила начальник управління запобігання шахрайству «Дельта Банку» Ольга Кафтанова. Шахраї грамотно підходять до вибору жертв, вибираючи переважно клієнтів фінустанов з мільйонними емісіями карток і солідними залишками на рахунках, причому найчастіше потерпілими стають власники елітного карткового пластику з кредитними лімітами. Однією з найбільших атак експерти назвали штурм клієнтських рахунків «Райффайзен Банк Аваль» восени 2007 року: тоді шахраї використовували спеціальну комп’ютерну програму-троян, за допомогою якої діставали доступ до системи «клієнт–банк». В кінці 2007 року було зареєстровано зростання злочинів за допомогою телефонного фішингу. Найбільш серйозна атака була проведена на одну з найбільших українських фінустанов. Зловмисники, отримавши якимсь чином контактну інформацію щодо власників кредитних карток, дзвонили клієнтам і під приводом наявності помилки у кредитній операції просили уточнити реквізити картки. Далі, за словами І. Горіна, використовувалася вже відпрацьована схема з ваучерами мобільних операторів.
Бази майбутніх жертв шахраї формують з даних, що купуються у несумлінних працівників банків або інформації, яка перехоплюється під час проведення електронних платежів у торговій мережі (канали зв’язку не завжди захищені відповідним чином), а також збираючи інформацію про користувачів платіжних систем, що працюють в режимі інтернет-банкінгу. Як відзначив начальник управління платіжних карток банку «Хрещатик» Сергій Головань: «Використовуються й інші джерела. Наприклад, клієнти, які підпали під шахрайські дії, пізніше згадували, що залишали відомості про те, що у них є картка нашої фінустанови в анкетах деяких торгових закладів при отриманні дисконтних карт».
«Як правило, повернути кошти, несанкціоновано списані з карткового рахунку власника в результаті фішингу, досить складно. На проведення розслідування та затримання шахрая може знадобитися багато часу», – визнала начальник відділу моніторингу операцій і контролю ризиків департаменту платіжних карт банку «Фінанси і Кредит» Олеся Гутник*.
Як бачимо з наведеної інформації, «крадіжка особистості» – одна із досить серйозних перешкод для ефективної діяльності банківської системи. Найоптимальнішим виходом з цієї ситуації, на думку експертів, є використання біометричних технологій. Порівняння індивідуальних біометричних параметрів клієнтів на початку пров