Чтобы использовать для удаленной идентификации абонентов при подключении виртуальных сим-карт (eSIM) свои биометрические системы, операторам связи придется сертифицировать их по требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ). В противном случае Минкомсвязь потребует их подключения к Единой биометрической системе (ЕБС) «Ростелекома», которая имеет такую сертификацию. Операторы считают требования избыточными.
Фото: Вячеслав Прокофьев, Коммерсантъ / купить фото
Минкомсвязь потребовала от операторов связи сертифицировать у ФСТЭК и ФСБ системы биометрической идентификации, которые используются для дистанционной продажи сим-карт, рассказали “Ъ” два источника, присутствовавшие на совещании по внедрению технологии eSIM 24 июля. Его проводил заместитель главы Минкомсвязи Олег Иванов, который, по словам одного из источников “Ъ”, заявил, что запуск систем операторов не был согласован с министерством, а для идентификации абонентов им нужно подключиться к разработанной «Ростелекомом» ЕБС. Минкомсвязь считает, что для использования систем биометрической идентификации операторов необходимо их сертифицировать, ЕБС же соответствует существующим требованиям по информационной безопасности, подтвердил “Ъ” господин Иванов.
Технология eSIM позволяет отказаться от традиционной сим-карты за счет специального чипа в устройстве, при этом абонент может подключаться к сетям разных операторов. Ее поддерживают, например, смартфоны iPhone XR, XS и XS Max, планшет iPad Pro и «умные часы».
Также по итогам совещания Минкомсвязь согласилась, что для идентификации при использовании eSIM будет достаточно простой электронной подписи при условии подтверждения сведений об абоненте с помощью Единой системы идентификации и аутентификации (ЕСИА) и ЕБС, следует из протокола (есть у “Ъ”).
Было решено, что eSIM будет развиваться в России параллельно с внедрением отечественной криптографии, а платформы по управлению виртуальными сим-картами должны быть размещены на территории страны.
Проекты нормативных актов для легализации технологии должна будет разработать Россвязь.
Продажу сим-карт онлайн с собственными методами идентификации МТС, «МегаФон», «Вымпелком» и Tele2 начали в период пандемии. Для этого используется специальное мобильное приложение, которое требует загрузить фото паспорта и селфи.
Подключение к eSIM в салонах связи первым начал тестировать в апреле 2019 года Tele2, сейчас приобрести виртуальную сим-карту оператора могут жители Москвы и еще семи городов. «МегаФон» и «Вымпелком» начали подключение к eSIM в Москве 29 и 30 июля соответственно, но для этого пока также нужно посетить их салоны.
Максим Акимов, на тот момент вице-премьер РФ, 4 июня 2019 года («Ведомости»)
С ФСБ и ФСТЭК идет очень конструктивная работа. Там мыслят не мифами, а реальными угрозами
В ближайшее время для дистанционного заключения договора у «Вымпелкома» будет доступна идентификация через ЕСИА, сообщил представитель оператора. Там готовы прорабатывать требования к системам идентификации, но отмечают, что они должны отличаться от требований к ЕБС, поскольку системы будут применяться исключительно для одной операции — заключения договора на услуги связи. В МТС также уверены, что избыточно устанавливать для операторского софта такие же требования, как для ЕБС, поскольку в ней собирается более широкий круг данных для оказания различных услуг. В «МегаФоне» и Tele2 отказались от комментариев.
На встрече операторы попросили рассмотреть возможность переходного периода, в течение которого ЕБС будет развиваться и увеличивать количество пользователей, а бизнес мог бы использовать свои разработки, отметил представитель «Тинькофф Мобайл».
Сертификация будет не залогом безопасности, а необходимым минимумом, считает технический директор Qrator Labs Артем Гавриченков. Он напоминает, что мобильные операторы неоднократно попадали в инциденты, когда, например, в салонах сотовой связи у человека «уводили» сим-карту и затем использовали ее для кражи денег с банковских счетов. При этом, считает эксперт, важно оставить гражданам и возможность пройти идентификацию без применения удаленной биометрии.