29 ноября, 2018

Биометрия покрылась гостайной

ЦБ указал ФСБ на невозможность в полном объеме выполнить требования службы по защите собираемых банками биометрических персональных данных граждан. Речь идет о криптографической защите на уровне гостайны, а необходимого российского оборудования для этого нет. Банкиры подтверждают наличие проблем, но в ФСБ смягчать требования не планируют. Впрочем, санкции от силовиков участникам рынка не грозят – согласовывать все вопросы с ФСБ придется регулятору, иначе сбор данных просто остановится.

На прошедшем 27–28 ноября SOC-форуме первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев отметил, что сейчас нет необходимого рынку отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты — на уровне гостайны — определен приказом ФСБ №378. Заместитель начальника восьмого центра ФСБ России при этом Игорь Качалин высказал надежду, что ЦБ «займет жесткую позицию» по всем средствам защиты при работе с биометрическими данными граждан.

Но банкиры подтверждают, что выполнить требования ФСБ не могут. «Чтобы шифровать направляемые в единую биометрическую систему (ЕБС) собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ»,— отметил собеседник “Ъ” в крупном банке. Ключи класса КВ выпускает только ФГУП НИИ «Восход», а порядок выдачи ключей утвердили лишь в середине октября. Как сообщили “Ъ” в «Ростелекоме», «Восход» обладает нужным количеством ключей. «Однако методики корректного встраивания HSM нет, после интеграции модуля нужно получить заключение ФСБ,— отмечает собеседник “Ъ” в другом крупном банке.— Но без методики получить заключение ФСБ нереально». По данным «Ростелекома», внедрение HSM идет в 26 банках, но нигде не закончено.

ЦБ готов предложить банкам несколько вариантов решений по информбезопасности при сборе биометрии. Как пояснил “Ъ” Артем Сычев, в настоящее время есть стандартизированное решение, которое отвечает требованиям информационной безопасности для подключения к ЕБС. «Часть кредитных организаций уже его внедрила, а часть находится в процессе,— отметил он.— Банк России совместно с ФСБ также проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований». По его словам, вариант облачного и типового решения по подключению банков к ЕБС является дополнительным и разрабатывается в целях снижения издержек банков. Выполнить требования по информационной безопасности банки должны к концу 2019 года, отметил господин Сычев.

Впрочем, с предлагаемыми ЦБ решениями все непросто, отмечают эксперты. По словам собеседников “Ъ” в банках, уже работающих по стандартному решению, шифрования по классу КВ нет — биометрия отправляется по шифрованному каналу, но без дополнительного шифрования на уровне КВ. Типовое решение «Ростелекома», по которому коммерческое предложение было направлено банкам несколько дней назад, еще не сертифицировано. В «Ростелекоме» “Ъ” сообщили, что их типовое решение согласовано с ФСБ и предусматривает наличие шифрования класса КВ. Облачное решение и вовсе находится на стадии проработки. «Будет несколько поставщиков облачного решения,— отмечают в "Ростелекоме".— Мы уже согласовали с ЦБ и ФСБ архитектуру облачного решения и дорожную карту по его реализации».

Банки готовы выполнить требования ФСБ, когда появится хоть одно полноценное решение. В Тинькофф-банке отмечают, что активно занимаются интеграцией HSM в процесс сбора и передачи биометрических данных клиентов в ЕБС и до 2020 года банку нужно построить процессы сбора и передачи биометрии от представителя до центрального офиса по каналам с ГОСТовой криптографией. По словам члена правления Почта-банка Святослава Емельянова, сейчас направляемые в ЕБС данные и так серьезно защищены. «Но мы готовы внедрить дополнительные механизмы и приобрести необходимое оборудование после получения требований и разъяснений со стороны соответствующих органов,— отметил он.— Сейчас важно получить единое интеграционное решение, которое позволит корректно встроить HSM в инфраструктуру банка».

Впрочем, санкций со стороны ФСБ банкам опасаться не стоит. «ФСБ, являясь одним из двух регуляторов по защите персональных данных, не имеет полномочий для проверок финансовых организаций в этой сфере. Его сотрудники не могут выйти в банк с проверкой,— отмечает консультант по интернет-безопасности Cisco Алесей Лукацкий.— Тут важна позиция ЦБ, который обещает не применять к кредитным организациям мер». Банкам остается работать и надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии, иначе сбор биометрических данных придется просто остановить, заключают эксперты.

Вероника Горячева, Газета "Коммерсантъ" 

Смотрите также

19.08.2022
Astra Linux показала мобильный режим
19.08.2022
Прецедент на миллион. Суд впервые оштрафовал оператора за пропуск звонка с подменного номера из-за рубежа
19.08.2022
У российских финорганизаций кончаются зарубежные корсчета
19.08.2022
Летние меры понуждения. Ещё пять сервисов получили метки от РКН
19.08.2022
В Google пришла мать всех DDoS-атак
18.08.2022
Хакерам не хватает знаний в области операционной безопасности
18.08.2022
В этом вопросе никакой «серебряной пули» не будет
18.08.2022
Наблюдается значительное снижение интереса российских разработчиков ПО к продуктам Microsoft
18.08.2022
«Мир» укореняется в Азии. Мальдивы подключатся к системе?
18.08.2022
VK предупредит о попадании пароля в утечки сторонних сервисов