[svoboda] В ЦБ заявили о дефиците оборудования для хранения банками биометрических данных клиентов
Здравствуйте, свобода.
В июле этого года клиенты российских банков получили возможность
дистанционно обращаться за различными банковскими услугами благодаря Единой
биометрической системе (ЕБС). Тогда в ЦБ сообщили, что сбор биометрических
данных граждан начали около 400 отделений банков в 140 городах РФ, а к концу
2019 года ЕБС заработает во всех отделениях финансовых организаций. Однако
на практике внедрение новых технологий идет медленно, а одной из причин
задержек стал дефицит оборудования.
Как пишет "Коммерсант", на прошедшем 27-28 ноября SOC-форуме первый
заместитель главы департамента информационной безопасности ЦБ Артем Сычев
сообщил, что на рынке нет необходимого отечественного криптографического
оборудования, которое может обеспечить защиту собранных у граждан
биометрических данных по классу КВ. Именно такой класс защиты (на уровне
гостайны) определен соответствующим приказом ФСБ.
"Чтобы шифровать направляемые в ЕБС собранные образы, необходимо
интегрировать в системы специальное оборудование (HSM-модуль), а после этого
получить ключи сертификатов электронной подписи класса КВ", - сообщил
изданию сотрудник крупного банка, уточнив, что ключи класса КВ выпускает
только ФГУП НИИ "Восход", а порядок выдачи ключей был утвержден лишь в
середине октября. В свою очередь представитель другого банка отметил, что
методики корректного встраивания HSM нет, а после интеграции модуля
требуется получить заключение ФСБ, что нереально сделать без упомянутой
методики.
Собеседники РБК из "Райффайзенбанка" и компании "Инфотекс Интернет Траст"
(занимается поставкой комплексного решения для сбора и передачи
биометрических образцов в ЕБС) опровергли дефицит криптографического
оборудования. В то же время источник в одном из госбанков подтвердил, что
банк столкнулся с дефицитом, но не самой системы, а комплектующих
(микрофонов, камер, подставок и т.д.), необходимых для сбора биометрии.
"Подходящего под требования оборудования нет в нужном объеме в единицу
времени. Все поставляется с задержками, завозы будут, но уже в первом
квартале следующего года", - сказал он.
По данным "Ростелекома", внедрение HSM сейчас идет в 26 банках, но нигде не
закончено.
По словам Сычева, ЦБ готов предложить банкам несколько вариантов решений по
информбезопасности при сборе биометрии, и сейчас уже есть
стандартизированное решение, отвечающее требованиям информационной
безопасности для подключения к ЕБС, и часть банков его внедрила или
внедряет. Кроме того, Центробанк совместно с ФСБ дополнительно проработал
вариант облачного решения и типового решения по подключению банков к ЕБС с
выполнением всех необходимых требований. Также Сычев напомнил, что выполнить
требования по информационной безопасности банки должны к концу 2019 года.
Однако эксперты отмечают, что с разработанными ЦБ решениями дело обстоит
непросто. Так, в банках, уже работающих по стандартному решению, шифрования
по классу КВ. Типовое решение "Ростелекома", по которому коммерческое
предложение было направлено банкам несколько дней назад, еще не
сертифицировано. В "Ростелекоме" при этом сообщили "Коммерсанту", что их
типовое решение согласовано с ФСБ и предусматривает наличие шифрования
класса КВ.
По словам консультанта по интернет-безопасности Cisco Алексея Лукацкого,
пока что банкам не стоит бояться санкций со стороны ФСБ, поскольку у
спецслужбы нет полномочий для проверок кредитных организаций в сфере сбора
биометрии. ЦБ же обещает не применять к банкам мер, и им остается работать и
надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой
передаваемой биометрии
