Банкиры выступили с предложением снизить требования по безопасности оборудования и устройств, которые используются при биометрической аутентификации клиентов. В противном случае, утверждают участники рынка, выполнить нормы, которые вступают в силу с марта 2023 года, невозможно «за неимением соответствующих технических решений». Если банки не смогут обеспечить необходимый уровень защиты, оплата и проход «по лицу» станут невозможными до появления подходящей по качеству и цене техники.
Фото: Дмитрий Лебедев, Коммерсантъ
На состоявшемся в начале недели совещании Минцифры, ЦБ и банков, посвященном вопросам регулирования и использования биометрии, последние выступили с предложением снизить установленные в постановлении правительства №1815 от 23 октября 2021 года требования по безопасности к оборудованию, используемому для аутентификации в случаях, когда собранные данные находятся в собственных базах банков. Об этом рассказали два источника “Ъ”, знакомые с ходом обсуждения.
Предложение не относится к устройствам сбора биометрии, речь идет только о требованиях к технике, с помощью которой происходит аутентификация существующих клиентов банка,— мобильным телефонам, терминалам для оплаты по биометрии, различным системам управления доступом (в частности, турникетам в метро). Проработкой вопроса снижения требований должны заняться ЦБ совместно с Минцифры, отмечают собеседники "Ъ."
По словам источника “Ъ” в одном из крупных банков, основной вопрос, который был задан участникам совещания: насколько банки готовы соответствовать требованиям по безопасности.
Банки скептически оценили перспективы этого и заявили о необходимости снижения норм «для возможности их реализации». В частности, речь идет о замене ступени класса защиты КС 2 (обеспечивается аппаратно-программными средствами) до КС 1 (обеспечивается программными средствами).
Более высокий уровень защиты позволяет гарантировать, что в процессе работы конечного устройства нет вирусных закладок или незадокументированных программ, поясняет источник “Ъ” на рынке биометрии.
Но проблема в том, что устройств, которые бы соответствовали требованиям КС 2, практически нет, утверждают источники “Ъ”, за исключением, например, планшета на ОС «Аврора».
Требования вступают в силу с марта 2023 года. И если банкам в следующем году придется выполнять их, фактически участники рынка не смогут применять биометрию. По оценке участников встречи, сроки разработки подобных решений могут растянуться на 1,5–2,5 года. В ЦБ и Минцифры не ответили “Ъ”.
Как отмечает заместитель руководителя НСФР Александр Наумов, «проблема в том, что в связи с ограниченными возможностями получения комплектующих для различных устройств возможности соответствовать КС 2 сильно ограничены технологически». По его словам, обеспечить на рынке необходимое количество оборудования, которое бы соответствовало заявленному уровню безопасности, сейчас очень сложно, «если не сказать хуже — невозможно».
Эльвира Набиуллина, глава ЦБ, 4 сентября 2018 года:
«Потребители не хотят ходить в офис за каждой услугой каждый раз, они хотят управлять своими финансами, используя новые технологии».
В России очень мало компаний, которые могут выпускать оборудование, соответствующее заявленному уровню стандарта, говорит Александр Наумов. Поэтому банки и просят предоставить возможность использовать то оборудование, которое соответствует более низкому классу защиты, «оно более доступное, в том числе по деньгам и по количеству».
Источники “Ъ” считают необходимым «принять непростое решение», в том числе приостановить проект с биометрией, так как по многим параметрам она становится нереализуемой. «Если биометрию будет слишком дорого применять, банки будут искать другие способы»,— подчеркивает собеседник “Ъ” в крупном банке.
Александр Наумов также считает, что можно «вводить послабления, например, снижать требования к криптозащите, пока не появится отечественное оборудование, соответствующее классу КС 2, в достаточном количестве». В то же время, признает эксперт, обратной стороной такого решения неизбежно будет рост мошенничества.