Российские банкиры попросили правительство упростить требования к биометрии — они признались, что технических решений, необходимых для защиты данных, в стране нет и обслуживать клиентов с помощью биометрии скоро будет невозможно. В марте следующего года вступают в силу новые требования по безопасности к оборудованию, которое используется для аутентификации в случаях, когда собранные данные находятся в собственных базах банков.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
“Ъ” пишет, что банкиры хотят добиться снижения класса защиты на одну ступень — с КС 2 (обеспечивается аппаратно-программными средствами) до КС 1 (обеспечивается программными средствами). Этот вопрос обсуждался на совместном совещании Минцифры, Центробанка и кредитных организаций.
Более высокий уровень защиты позволяет гарантировать, что в процессе работы устройства нет вирусных закладок или незадокументированных программ, пояснил эксперт по информационным технологиям Сергей Кулешов: «Разница между КС 2 и КС 1 довольно существенная. В основном там речь идет о хранении ключей безопасности, то есть в КС 2 для этого есть специальная служба. В КС 1 все попроще в этом отношении. В любом случае есть заметная разница в устойчивости к взлому и проникновению, риски конкретных махинаций со счетами и аутентификацией.
Думаю, что здесь как раз возникнет проблема безопасности. Например, мы же пользуемся мобильными приложениями банков, в которых аутентифицируемся с помощью Face ID. Понятно, что за Face ID, пин-кодами кроется еще целая система безопасности, но в целом кажется, что такого уровня достаточно. И для биометрической идентификации, для каких-то услуг определенного рода будет хватать КС 1. Но для каких-то более серьезных операций с большим количеством денег ее окажется недостаточно. Полагаю, что в конечном итоге отыщется некий баланс между тем, сколько стоит обеспечение безопасности, и тем, на что можно пойти с точки зрения упрощения».
Источники “Ъ” рассказали, что российским пользователям доступно, по сути, только одно устройство, которое соответствовало бы требованиям КС 2 — это планшет на операционной системе «Аврора». Для разработки подобных решений потребуется около двух лет. Технологию можно будет использовать не только в банках, но и в других системах управления доступом, например, при проходе турникетов в метро.
Но, кроме технических проблем, в вопросе использования биометрии есть и множество других пробелов, отметил генеральный директор Intems Алексей Титов: «Анализируя то, как идет сбор биометрических данных, как пользователи подключаются к этой системе, можно сказать, что все идет плохо и медленно. Потому что особого смысла для конечных пользователей подключаться к ней нет. Кроме того, существует гигантское количество проблем, которые просто не обсуждаются.
На них законодатели не дают никакого ответа. Например, в Московском метрополитене внедрена биометрическая идентификация по лицу при оплате. У меня возникает вопрос — а как быть с близнецами? Их же система не может отличить. А дипфейки? Представим, что изображение моего лица используется какими-то злоумышленниками, которые создали дипфейк и с помощью него сняли деньги со счета. И что мне дальше делать?
Так что пока единая биометрическая система де-факто дает очень мало преимуществ, а потенциальных проблем может быть очень много».
Источники “Ъ” считают необходимым приостановить проект с биометрией, так как по многим параметрам она становится нереализуемой. Вместе с тем вводить послабления, например, снижать требования к криптозащите, пока не появится отечественное оборудование, соответствующее классу КС 2, тоже не выход, ведь в этом случае неизбежно произойдет рост числа мошенничеств.
Новости в вашем ритме — Telegram-канал "Ъ FM".