В ЦБ заявили о дефиците оборудования для хранения банками биометрических данных клиентов

29 ноября 2018 года

В июле этого года клиенты российских банков получили возможность дистанционно обращаться за различными банковскими услугами благодаря Единой биометрической системе (ЕБС). Тогда в ЦБ сообщили, что сбор биометрических данных граждан начали около 400 отделений банков в 140 городах РФ, а к концу 2019 года ЕБС заработает во всех отделениях финансовых организаций. Однако на практике внедрение новых технологий идет медленно, а одной из причин задержек стал дефицит оборудования.

Как пишет «Коммерсант», на прошедшем 27–28 ноября SOC-форуме первый заместитель главы департамента информационной безопасности ЦБ Артем Сычев сообщил, что на рынке нет необходимого отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Именно такой класс защиты (на уровне гостайны) определен соответствующим приказом ФСБ.

«Чтобы шифровать направляемые в ЕБС собранные образы, необходимо интегрировать в системы специальное оборудование (HSM-модуль), а после этого получить ключи сертификатов электронной подписи класса КВ», – сообщил изданию сотрудник крупного банка, уточнив, что ключи класса КВ выпускает только ФГУП НИИ «Восход», а порядок выдачи ключей был утвержден лишь в середине октября. В свою очередь представитель другого банка отметил, что методики корректного встраивания HSM нет, а после интеграции модуля требуется получить заключение ФСБ, что нереально сделать без упомянутой методики.

Собеседники РБК из «Райффайзенбанка» и компании «Инфотекс Интернет Траст» (занимается поставкой комплексного решения для сбора и передачи биометрических образцов в ЕБС) опровергли дефицит криптографического оборудования. В то же время источник в одном из госбанков подтвердил, что банк столкнулся с дефицитом, но не самой системы, а комплектующих (микрофонов, камер, подставок и т.д.), необходимых для сбора биометрии. «Подходящего под требования оборудования нет в нужном объеме в единицу времени. Все поставляется с задержками, завозы будут, но уже в первом квартале следующего года», – сказал он.

По данным «Ростелекома», внедрение HSM сейчас идет в 26 банках, но нигде не закончено.

По словам Сычева, ЦБ готов предложить банкам несколько вариантов решений по информбезопасности при сборе биометрии, и сейчас уже есть стандартизированное решение, отвечающее требованиям информационной безопасности для подключения к ЕБС, и часть банков его внедрила или внедряет. Кроме того, Центробанк совместно с ФСБ дополнительно проработал вариант облачного решения и типового решения по подключению банков к ЕБС с выполнением всех необходимых требований. Также Сычев напомнил, что выполнить требования по информационной безопасности банки должны к концу 2019 года.

Однако эксперты отмечают, что с разработанными ЦБ решениями дело обстоит непросто. Так, в банках, уже работающих по стандартному решению, шифрования по классу КВ. Типовое решение «Ростелекома», по которому коммерческое предложение было направлено банкам несколько дней назад, еще не сертифицировано. В «Ростелекоме» при этом сообщили «Коммерсанту», что их типовое решение согласовано с ФСБ и предусматривает наличие шифрования класса КВ.

По словам консультанта по интернет-безопасности Cisco Алексея Лукацкого, пока что банкам не стоит бояться санкций со стороны ФСБ, поскольку у спецслужбы нет полномочий для проверок кредитных организаций в сфере сбора биометрии. ЦБ же обещает не применять к банкам мер, и им остается работать и надеяться, что ЦБ с ФСБ урегулируют вопрос с информационной защитой передаваемой биометрии.