В июле этого года клиенты российских банков получили возможность дистанционно обращаться за различными банковскими услугами благодаря Единой биометрической системе (ЕБС). Тогда в ЦБ сообщили, что сбор биометрических данных граждан начали около 400 отделений банков в 140 городах РФ, а к концу 2019 года ЕБС заработает во всех отделениях финансовых организаций. Однако на практике внедрение новых технологий идет медленно, а одной из причин задержек стал дефицит оборудования.
Как пишет "Коммерсант", на прошедшем 27–28 ноября SOC-форуме первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев сообщил, что на рынке нет необходимого отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты (на уровне гостайны) определен соответствующим приказом ФСБ.
"Чтобы шифровать направляемые в ЕБС собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ", – сообщил изданию сотрудник крупного банка, уточнив, что ключи класса КВ выпускает только ФГУП НИИ "Восход", а порядок выдачи ключей был утвержден лишь в середине октября. В свою очередь представитель другого банка отметил, что методики корректного встраивания HSM нет, а после интеграции модуля требуется получить заключение ФСБ, что нереально сделать без упомянутой методики.
Собеседники РБК из "Райффайзенбанка" и компании "Инфотекс Интернет Траст" (занимается поставкой комплексного решения для сбора и передачи биометрических образцов в ЕБС) опровергли дефицит криптографического оборудования. В то же время источник в одном из госбанков подтвердил, что банк столкнулся с дефицитом, но не самой системы, а комплектующих (микрофонов, камер, подставок и т.д.), необходимых для сбора биометрии. "Подходящего под требования оборудования нет в нужном объеме в единицу времени. Все поставляется с задержками, завозы будут, но уже в первом квартале следующего года", – сказал он.
По данным "Ростелекома", внедрение HSM сейчас идет в 26 банках, но нигде не закончено.
По словам Сычева, ЦБ готов предложить банкам несколько вариантов решений по информбезопасности при сборе биометрии, и сейчас уже есть стандартизированное решение, отвечающее требованиям информационной безопасности для подключения к ЕБС, и часть банков его внедрила или внедряет. Кроме того, Центробанк совместно с ФСБ дополнительно проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований. Также Сычев напомнил, что выполнить требования по информационной безопасности банки должны к концу 2019 года.
Однако эксперты отмечают, что с разработанными ЦБ решениями дело обстоит непросто. Так, в банках, уже работающих по стандартному решению, шифрования по классу КВ. Типовое решение "Ростелекома", по которому коммерческое предложение было направлено банкам несколько дней назад, еще не сертифицировано. В "Ростелекоме" при этом сообщили "Коммерсанту", что их типовое решение согласовано с ФСБ и предусматривает наличие шифрования класса КВ.
По словам консультанта по интернет-безопасности Cisco Алексея Лукацкого, пока что банкам не стоит бояться санкций со стороны ФСБ, поскольку у спецслужбы нет полномочий для проверок кредитных организаций в сфере сбора биометрии. ЦБ же обещает не применять к банкам мер, и им остается работать и надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии.