Коротко


Подробно

Фото: Василий Дерюгин / Коммерсантъ   |  купить фото

Биометрия покрылась гостайной

Технологии банков не соответствуют требованиям ФСБ

Газета "Коммерсантъ" от , стр. 1

ЦБ указал ФСБ на невозможность в полном объеме выполнить требования службы по защите собираемых банками биометрических персональных данных граждан. Речь идет о криптографической защите на уровне гостайны, а необходимого российского оборудования для этого нет. Банкиры подтверждают наличие проблем, но в ФСБ смягчать требования не планируют. Впрочем, санкции от силовиков участникам рынка не грозят – согласовывать все вопросы с ФСБ придется регулятору, иначе сбор данных просто остановится.


На прошедшем 27–28 ноября SOC-форуме первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев отметил, что сейчас нет необходимого рынку отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты — на уровне гостайны — определен приказом ФСБ №378. Заместитель начальника восьмого центра ФСБ России при этом Игорь Качалин высказал надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан.

Но банкиры подтверждают, что выполнить требования ФСБ не могут. «Чтобы шифровать направляемые в единую биометрическую систему (ЕБС) собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ»,— отметил собеседник “Ъ” в крупном банке. Ключи класса КВ выпускает только ФГБУ НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября. Как сообщили “Ъ” в «Ростелекоме», «Восход» обладает нужным количеством ключей. «Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ,— отмечает собеседник “Ъ” в другом крупном банке.— Но без методики получить заключение ФСБ нереально». По данным «Ростелекома», внедрение HSM идет в 26 банках, но нигде не закончено.

ЦБ готов предложить банкам несколько вариантов решений по информбезопасности при сборе биометрии. Как пояснил “Ъ” Артем Сычев, в настоящее время есть стандартизированное решение, которое отвечает требованиям информационной безопасности для подключения к ЕБС. «Часть кредитных организаций уже его внедрила, а часть находится в процессе,— отметил он.— Банк России совместно с ФСБ также проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований». По его словам, вариант облачного и типового решения по подключению банков к ЕБС является дополнительным и разрабатывается в целях снижения издержек банков. Выполнить требования по информационной безопасности банки должны к концу 2019 года, отметил господин Сычев.

Впрочем, с предлагаемыми ЦБ решениями все непросто, отмечают эксперты. По словам собеседников “Ъ” в банках, уже работающих по стандартному решению, шифрования по классу КВ нет — биометрия отправляется по шифрованному каналу, но без дополнительного шифрования на уровне КВ. Типовое решение «Ростелекома», по которому коммерческое предложение было направлено банкам несколько дней назад, еще не сертифицировано. В «Ростелекоме» “Ъ” сообщили, что их типовое решение согласовано с ФСБ и предусматривает наличие шифрования класса КВ. Облачное решение и вовсе находится на стадии проработки. «Будет несколько поставщиков облачного решения,— отмечают в "Ростелекоме".— Мы уже согласовали с ЦБ и ФСБ архитектуру облачного решения и дорожную карту по его реализации».

Банки готовы выполнить требования ФСБ, когда появится хоть одно полноценное решение. В Тинькофф-банке отмечают, что активно занимаются интеграцией HSM в процесс сбора и передачи биометрических данных клиентов в ЕБС и до 2020 года банку нужно построить процессы сбора и передачи биометрии от представителя до центрального офиса по каналам с ГОСТовой криптографией. По словам члена правления Почта-банка Святослава Емельянова, сейчас направляемые в ЕБС данные и так серьезно защищены. «Но мы готовы внедрить дополнительные механизмы и приобрести необходимое оборудование после получения требований и разъяснений со стороны соответствующих органов,— отметил он.— Сейчас важно получить единое интеграционное решение, которое позволит корректно встроить HSM в инфраструктуру банка».

Впрочем, санкций со стороны ФСБ банкам опасаться не стоит. «ФСБ, являясь одним из двух регуляторов по защите персональных данных, не имеет полномочий для проверок финансовых организаций в этой сфере. Его сотрудники не могут выйти в банк с проверкой,— отмечает консультант по интернет-безопасности Cisco Алесей Лукацкий.— Тут важна позиция ЦБ, который обещает не применять к кредитным организациям мер». Банкам остается работать и надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии, иначе сбор биометрических данных придется просто остановить, заключают эксперты.

Вероника Горячева


Зачем биометрические данные собирают в единую систему

Граждане смогут получать фактически любые банковские услуги дистанционно с помощью биометрических данных, которые соберут в единую систему (ЕБС). Но удобная новация несет в себе серьезные риски, предупреждают эксперты. Это и мошеннические действия при сборе биометрических данных, и возможность хищения данных из банков, системы которых не столь надежны, как ЕБС. Предоставление права гражданам блокировать свои данные или ограничивать их использование способно нивелировать угрозу, но пока такой возможности нет.

Читать далее

Комментарии