Биометрия покрылась гостайной
Технологии банков не соответствуют требованиям ФСБ
ЦБ указал ФСБ на невозможность в полном объеме выполнить требования службы по защите собираемых банками биометрических персональных данных граждан. Речь идет о криптографической защите на уровне гостайны, а необходимого российского оборудования для этого нет. Банкиры подтверждают наличие проблем, но в ФСБ смягчать требования не планируют. Впрочем, санкции от силовиков участникам рынка не грозят – согласовывать все вопросы с ФСБ придется регулятору, иначе сбор данных просто остановится.
На прошедшем 27–28 ноября SOC-форуме первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев отметил, что сейчас нет необходимого рынку отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты — на уровне гостайны — определен приказом ФСБ №378. Заместитель начальника восьмого центра ФСБ России при этом Игорь Качалин высказал надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан.
Но банкиры подтверждают, что выполнить требования ФСБ не могут. «Чтобы шифровать направляемые в единую биометрическую систему (ЕБС) собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ»,— отметил собеседник “Ъ” в крупном банке. Ключи класса КВ выпускает только ФГБУ НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября. Как сообщили “Ъ” в «Ростелекоме», «Восход» обладает нужным количеством ключей. «Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ,— отмечает собеседник “Ъ” в другом крупном банке.— Но без методики получить заключение ФСБ нереально». По данным «Ростелекома», внедрение HSM идет в 26 банках, но нигде не закончено.
ЦБ готов предложить банкам несколько вариантов решений по информбезопасности при сборе биометрии. Как пояснил “Ъ” Артем Сычев, в настоящее время есть стандартизированное решение, которое отвечает требованиям информационной безопасности для подключения к ЕБС. «Часть кредитных организаций уже его внедрила, а часть находится в процессе,— отметил он.— Банк России совместно с ФСБ также проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований». По его словам, вариант облачного и типового решения по подключению банков к ЕБС является дополнительным и разрабатывается в целях снижения издержек банков. Выполнить требования по информационной безопасности банки должны к концу 2019 года, отметил господин Сычев.
Впрочем, с предлагаемыми ЦБ решениями все непросто, отмечают эксперты. По словам собеседников “Ъ” в банках, уже работающих по стандартному решению, шифрования по классу КВ нет — биометрия отправляется по шифрованному каналу, но без дополнительного шифрования на уровне КВ. Типовое решение «Ростелекома», по которому коммерческое предложение было направлено банкам несколько дней назад, еще не сертифицировано. В «Ростелекоме» “Ъ” сообщили, что их типовое решение согласовано с ФСБ и предусматривает наличие шифрования класса КВ. Облачное решение и вовсе находится на стадии проработки. «Будет несколько поставщиков облачного решения,— отмечают в "Ростелекоме".— Мы уже согласовали с ЦБ и ФСБ архитектуру облачного решения и дорожную карту по его реализации».
Банки готовы выполнить требования ФСБ, когда появится хоть одно полноценное решение. В Тинькофф-банке отмечают, что активно занимаются интеграцией HSM в процесс сбора и передачи биометрических данных клиентов в ЕБС и до 2020 года банку нужно построить процессы сбора и передачи биометрии от представителя до центрального офиса по каналам с ГОСТовой криптографией. По словам члена правления Почта-банка Святослава Емельянова, сейчас направляемые в ЕБС данные и так серьезно защищены. «Но мы готовы внедрить дополнительные механизмы и приобрести необходимое оборудование после получения требований и разъяснений со стороны соответствующих органов,— отметил он.— Сейчас важно получить единое интеграционное решение, которое позволит корректно встроить HSM в инфраструктуру банка».
Впрочем, санкций со стороны ФСБ банкам опасаться не стоит. «ФСБ, являясь одним из двух регуляторов по защите персональных данных, не имеет полномочий для проверок финансовых организаций в этой сфере. Его сотрудники не могут выйти в банк с проверкой,— отмечает консультант по интернет-безопасности Cisco Алесей Лукацкий.— Тут важна позиция ЦБ, который обещает не применять к кредитным организациям мер». Банкам остается работать и надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии, иначе сбор биометрических данных придется просто остановить, заключают эксперты.
Зачем биометрические данные собирают в единую систему
Граждане смогут получать фактически любые банковские услуги дистанционно с помощью биометрических данных, которые соберут в единую систему (ЕБС). Но удобная новация несет в себе серьезные риски, предупреждают эксперты. Это и мошеннические действия при сборе биометрических данных, и возможность хищения данных из банков, системы которых не столь надежны, как ЕБС. Предоставление права гражданам блокировать свои данные или ограничивать их использование способно нивелировать угрозу, но пока такой возможности нет.