Впервые эта статья была опубликована в журнале "Information Security/Информационная безопасность"
В России две беды - нацпроекты и биометрия
С нацпроектами пусть разбирается новое правительство, а с биометрией разбираться нам. Чем, собственно, и займёмся.
В 2019 году банки прилично потратились на средства защиты для выполнения требований информационной безопасности в Единой биометрической системе. Но это не важно. Главное, что банки недопустимо много не израсходовали на биометрию из того, что могли. "Как так?" - недоумевает регулятор. Давайте разбираться.
В 2019 году банки прилично потратились на средства защиты для выполнения требований информационной безопасности в Единой биометрической системе. Но это не важно. Главное, что банки недопустимо много не израсходовали на биометрию из того, что могли. "Как так?" - недоумевает регулятор. Давайте разбираться.
В рамках выполнения требований Закона № 482-ФЗ[1], согласно которому были приняты дополнения в законы № 115-ФЗ[2] и № 149-ФЗ[3], кредитные организации должны были до конца 2018 года создать центры регистрации биометрических контрольных шаблонов для обеспечения возможности клиентам - физическим лицам проходить в офисах банков биометрическую идентификацию на безвозмездной основе, а также размещать и обновлять сведения, полученные в ходе биометрической идентификации (изображение лица и запись голоса), в Единой биометрической системе (ЕБС) и в Единой системе идентификации и аутентификации (ЕСИА, действует с 2010г.).
Согласно
положениям Информационного письма Банка России от 28.06.2018 № ИН-03-13/40[4] с 1 января 2020 года 100% отделений банков (позже было
уточнение на cbr.ru: имеющих универсальную лицензию), должны предоставлять
услугу приема биометрических данных клиентов. Для банков с базовой лицензией этот
срок было предложено перенести на начало 2021 года (в том же сообщении на cbr.ru).
Согласно
разъяснениям
от Банка России по вопросу сбора и размещения биометрических данных клиента –
физического лица в ЕБС, изложенным в
Информационном письме от 13.12.2019 № ИН-06-59/91, “размещение и обновление в Единой системе
идентификации и аутентификации и Единой биометрической системе сведений о
клиенте – физическом лице является самостоятельной услугой, оказываемой банком.
В связи с этим отсутствие предшествующих договорных отношений с банком, в том
числе отсутствие заключенного договора банковского счета, не может являться
основанием для отказа в размещении и обновлении в электронной форме в Единой
системе идентификации и аутентификации и Единой биометрической системе сведений
о клиенте – физическом лице”.
То есть, если любой человек (“с улицы”)
обратился в банк по вопросу размещения и (или) обновления в электронной форме
его биометрических данных в ЕБС, то банком (цитата из указанного письма) “должна быть выполнена его идентификация в
соответствии с требованиями Федерального закона № 115-ФЗ, сведения о нем
должны быть внесены в анкету (досье) клиента” и далее необходимо провести процедуры сбора и
размещения данных гражданина в ЕБС и ЕСИА.
Получается, банки - это теперь ещё и “пункты
приёма и размещения в ЕБС” биометрических образцов (записи голоса и изображения
лица) граждан.
На сайте Банка России (cbr.ru) с 9 октября 2018 года публикуется “Карта точекбанковского обслуживания, где можно сдать биометрию”. На карте отмечено
множество отделений банков из разных субъектов РФ. Но, как говорится, не стоит
принимать карту за местность.
Давайте,
для начала, разбираться, что у нас с количеством банков, уже предоставляющих
услугу по сбору и размещению в ЕБС биометрических данных клиентов.
На
конец 2018 года таких банков по сообщениям в СМИ было 61. В декабре 2019 года в
СМИ прошла информация, что глава "Ростелекома"[5] на слушаниях в
Госдуме сообщил о более 150-ти российских банках, собирающих биометрические данные
клиентов.
Согласно
законодательству РФ, к сбору и размещению биометрии в ЕБС допускаются только те
финансовые организации, которые удовлетворяют установленным критериям, одним из
которых является установленный абзацами вторым - четвертым пункта 5.7 статьи 7
Федерального закона от 07.08.2001 № 115-ФЗ
"О противодействии легализации (отмыванию) доходов, полученных преступным
путем, и финансированию терроризма".
На
сайте Банка России (cbr.ru) размещен и регулярно обновляется Перечень банков, соответствующих указанным
выше требованиям 115-ФЗ. По состоянию на 10 января 2020 года в этом перечне 365 финансовых организаций. Сделав нехитрый
расчет, получаем, что более 200 банков пока ещё не оказывают услугу по сбору и
размещению в ЕБС биометрии граждан.
Несоответствие
требованиям со стороны ФСБ и ФСТЭК к системам защиты при сборе и размещении биометрии
Теперь
разберёмся, как обстоят дела в банках, собирающих биометрию граждан, с
исполнением обязательного требования по “использованию средств криптографической защиты
информации на всех этапах работы с биометрией” и других требований
информационной безопасности в Единой биометрической системе.
На
текущий момент, не боясь ошибиться, можно утверждать, что банки, независимо от
своего размера и уставного капитала, находятся только в начале пути по реализации
поэтапного плана оснащения своей технологической инфраструктуры, отвечающей за
сбор биометрии, средствами защиты информации (оборудованием и программным
обеспечением), соответствующим всем требованиям регуляторов.
Для сбора биометрии большинство банков
стараются выбирать сертифицированные, типовые решения. На получение со стороны
ФСБ оценки встраивания (контроль встраивания) криптографии в типовое решение от
разработчика обычно уходит год-полтора.
В
отсутствие на рынке типовых решений, согласованных с ФСБ (на исходе 2019 года,
наконец-то, появилось такое решение от ПАО “Ростелеком”), банки собирают
биометрию клиентов на свой страх и риск в надежде, что такая оценка (контроль
встраивания со стороны ФСБ) будет получена выбранным поставщиком решения в
обозримом будущем.
Напрашивается вывод: регуляторы,
очевидно, перебрали с неоправданно сжатыми сроками по внедрению сбора биометрии
в банках, а банки, получая противоречивые указания от Банка России, не торопились
закупать необходимое оборудование и ПО в условиях отсутствия адекватных решений
на рынке.
В чём противоречивость указаний Банка России?
С одной
стороны, Банк России потребовал от банков[6], начиная с 20 мая 2019
года и до 31 декабря 2019 года предоставлять отчетность раз в две недели о
текущем состоянии реализации работ по выполнению требований информационной
безопасности в Единой биометрической системе.
С
другой стороны, Банк России считает, что использование типового решения для
сбора и размещения биометрии в ЕБС на основе системного проекта, по которому не
получено согласование ФСБ России в соответствии с рекомендациями 4-МР[7] (п.п. 2.3.8.2-2.3.8.3),
недопустимо.
Что в
результате имеем?
На текущий
момент необходимая, отвечающая всем
требованиям законодательства РФ, технологическая инфраструктура банков для
сбора и размещения биометрических данных граждан в ЕБС не подготовлена.
Основные причины
Поставщики
решений для ЕБС не успели согласовать в ФСБ свои системные проекты по сбору
биометрии (типовые решения), а покупать “кота в мешке” (толи согласуют, толи
нет?) многие, как правило, крупные банки не желают. Кроме того, типовые решения
от разных поставщиков различаются "полнотой охвата" процесса сбора
биометрических данных. У
некоторых поставщиков типовой системный проект включает не только внутренний
сегмент банка, где размещены средства
криптографической защиты информации (модуль криптографии для подписания
банковскими электронными ключами собранных биометрических данных, отправляемых
в ЕБС), но и рабочие места операторов по сбору биометрии в филиалах.
Те компоненты, которые выбирали поставщики
решений для своих “типовых решений” по сбору и размещению биометрии в ЕБС, быстро
устаревают: выходят новые версии ПО и оборудования, заканчиваются сертификаты
ФСТЭК и ФСБ на средства защиты и т.д. Поэтому банки весь 2019 год пребывали в
напряженных размышлениях: покупать то, что есть на рынке, или, всё же,
подождать появления новых версий средств защиты с более длительными сроками действия сертификатов ФСТЭК и ФСБ.
На начало 2020 года единственным типовым решением,
получившим окончательное согласование (кстати, только в начале декабря 2019),
был проект от ПАО “Ростелеком”.
То есть, по сути, на протяжении 2019 года
внедрять банкам было нечего.
В конце
концов, Банк России вынужден был признать, что единственным фактором
неопределённости, способным повлиять на сроки внедрения биометрии в финансовом
секторе, является время, которое потребуется на согласование ФСБ России
системных проектов поставщиков решений. С уполномоченным органом должны быть
согласованы вначале системный проект, а потом и решение на его основе.
В условиях неопределённости с типовыми
решениями мотивация банков по внедрению биометрии в 2019 году была дозирована
необходимостью соблюдения требований законодательства.
Как
следствие из сказанного выше, кредитные организации, не спешили готовить сервисы
для оказания банковских услуг (удаленно, без посещения офиса банка, например,
открыть счет, вклад, выпустить карту, оформить кредит и т.д.) клиентам, которые
зарегистрировались в ЕСИА и сдали биометрию (изображение лица и запись голоса)
в ЕБС.
Собирать
биометрию, как показывает расчет выше, начали примерно в половине банков, так
как согласно законодательству — это обязанность банков, а оказывать с помощью
биометрии услуги — (пока) только право, которое может быть реализовано на
усмотрение банка (п. 5.8 ст. 7 Закона № 115-ФЗ).
К тому
же, некоторые крупные банки собирают биометрические данные клиентов для своих
внутренних систем, а не с целью сбора и размещения их в ЕБС.
На текущий
момент лишь единичные банки
готовы оказывать финансовые услуги на основе
удаленной идентификации граждан в ЕСИА и ЕБС.
“Скажи-ка, дядя, в гаджет глядя” или как гражданам получать финансовые услуги дистанционно, с
помощью смартфона, используя механизм удаленной идентификации
18 октября 2018 года ПАО
«Ростелеком» впервые представило мобильное приложение для удаленной
биометрической идентификации граждан – “Ключ Ростелеком” (позднее
переименованное в “Биометрия Ростелеком”).
Приложение размещено в онлайн-сервисах Google Play от компании Google и App
Store от компании Apple.
Но воспользоваться
удаленной идентификации в ЕБС, например, используя смартфон клиентам, как было
сказано выше, в общем-то пока негде. В результате получаем недовольство от тех,
пока немногочисленных клиентов банков, которые сдали биометрию.
Характерные отклики сдавших биометрию:
“Для чего я прошла биометрию, если услуг нету,
страница с услугами пустая”
Или пытавшихся сдать биометрию, но по
причинам неотлаженности процессов в банках не сумевших это сделать:
“Ушёл со стойким ощущением что избежал чего-то
нехорошего”
Самое время поговорить о восприятии
гражданами РФ Единой биометрической системы
Несмотря на то, что ПАО “Ростелеком”
как оператор ЕБС, через все возможные каналы коммуникаций рассказывает про услуги,
которые можно получать с помощью ЕБС, в часто задаваемых вопросах на сайте и в
мобильном приложении “Биометрия Ростелеком” ответ
на вопрос “Почему возникла идея разработки Единой биометрической системы?”,
прямо скажем, звучит малоубедительно: “Внедрение
ЕБС сделает сначала финансовые услуги, а затем и другие цифровые сервисы, более
доступными для граждан из отдаленных регионов, а также для маломобильных
граждан”. Обозначенная “целевая аудитория” явно не соответствует масштабам
проекта и беспрецедентному давлению на банки со стороны регуляторов при
внедрении ЕБС.
Те удаленные регионы, для
жителей которых сдача биометрии способствовала бы получению качественного
сервиса в любом банке (как задумывалось), как правило, наименее активны в
финансовом плане. Вся финансовая активность происходит в крупных городах, где
банки и так на каждом углу.
Основные факторы, сдерживающие внедрение ЕБС: боязнь утечек
и контроля за гражданами со стороны бизнеса и государства
У
населения есть опасения, связанные с безопасностью своих персональных данных.
Тот факт,
что в России, по сообщениям в СМИ, количество утечек конфиденциальной
информации из компаний и государственных организаций выросло в 2019 году более
чем на 40% по сравнению с 2018 годом, явно не способствует укреплению доверия
граждан к способности частных и государственных компаний обеспечить защиту их персональных
данных.
Закон №
152-ФЗ[8] требует защищать, в том
числе, и биометрические данные. Реализация технологии сбора биометрии в каждом
банке протекает по-разному. От банков требуются вложения значительных средств
для предотвращения утечек данных и защиты информации. Причем каждый банк
самостоятельно определяет необходимые средства обеспечения безопасности
собранных данных, конфиденциальности и управления рисками.
При этом, как правило, делается допущение,
что, как в банках, так и в государственных базах данных образцы биометрии
граждан никто подменить/украсть не сможет.
Граждане
не понимают, зачем им нужно идти в банк для сдачи биометрии, а также не понимают в какую сторону в принципе будут развиваться эти технологии.
Время от
времени появляющиеся в СМИ публикации типа “Коллекторы
в следующем году получат доступ к Единой биометрической системе (ЕБС) и смогут
идентифицировать должников по голосу” также явно не укрепляют доверия к ЕБС
со стороны населения и не добавляют сторонников удаленной идентификации.
Есть опасения, что выигрыши от удаленной идентификации
с помощью биометрии будут сильно проигрывать риску потери приватности частной
жизни, так как сложно сейчас предсказать, какие угрозы будут существовать при массовом
использовании биометрических персональных данных.
Из-за страхов и непонимания гражданами
необходимости в ЕБС биометрические данные собираются банками крайне медленно.
Что в итоге в банках со сбором биометрии?
Срока в
1,5 года (30 июня 2018г. — дата начала функционирования ЕБС - системы
идентификации граждан РФ на основе биометрических персональных данных),
отведённого Банком России, оказалось недостаточно банкам, чтобы:
а)
подготовить и согласовать с поставщиками решений технические задания в рамках
проектов по реализации технологии сбора и размещения биометрии в ЕБС;
б)
сформировать бюджет на проект “Биометрия”;
в)
подготовить и провести конкурсные процедуры для закупки соответствующих
отечественных, сертифицированных решений для защиты информации;
г) отладить процедуру
сбора данных клиентов в Единую биометрическую систему (по мнению самих клиентов
процедура сбора остается неудобной).
д) масштабировать
процедуру сбора биометрии до всех офисов (при наличии у банка крупной
территориально распределенной розничной сети), так как это комплексная, сложная
и трудоемкая задача.
Сложившаяся
ситуация, когда поставщиков решений для ЕБС и сертифицированных средств защиты
информации можно пересчитать по пальцам одной руки, нередко приводила к тому, что
один - единственный поставщик мог нарушить все планы банков (например, новость на
сайте компании “Код безопасности” от 3 декабря 2019 о том, что вводятся
ограничения на заказы ПАК “Соболь” (средство защиты информации) с отгрузкой в
декабре 2019 “в связи с участием в
крупном федеральном проекте с большим социальным значением”).
Из-за низкого спроса на
биометрию со стороны клиентов во многих банках пока не планируют запускать
сервисы, которые бы позволяли эту самую биометрию использовать.
Банки хотят тратить деньги с умом, но у них есть опасения,
что тема со сбором биометрии не оправдает вложенных средств (дорогостоящее
оборудование простаивает, а инвестиции себя не оправдывают).
Налицо ситуация: биометрия становится навязчивой
идеей Банка России, а банки затаились и ждут, в тайне надеясь на перенос сроков
применения мер воздействия со стороны регулятора.
[1] Федеральный закон от 31.12.2017 №
482-ФЗ «О внесении изменений в отдельные законодательные акты Российской
Федерации».
[2] Федеральный закон от 07.08.2001 №
115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма».
[3] Федеральный закон от 27.07.2006 №
149-ФЗ «Об информации, информационных технологиях и о защите информации».
[4]
Согласно
положениям Информационного письма Банка России от 28.06.2018 № ИН-03-13/40
банки обязаны выполнять регистрацию клиентов — физических лиц в ЕБС и
обеспечивать внутренние структурные подразделения (ВСП) банков в каждом
субъекте РФ необходимым, отвечающим всем требованиям законодательства,
оборудованием и программным обеспечением:
— не
менее чем в 20% ВСП — по состоянию на 31 декабря 2018 г.;
— не
менее чем в 60% ВСП — по состоянию на 30 июня 2019 г.;
— во
всех ВСП — по состоянию на 31 декабря 2019 г.
[5] Согласно Распоряжению Правительства РФ от 22.02.2018 № 293-р,
оператором Единой биометрической системы назначено ПАО «Ростелеком».
[6]
29.04.2019 Банк
России от имени Департамента информационной безопасности разослал через личные
кабинеты кредитных организаций Информационное письмо от 26.04.2019 №
56-2-4/228, в котором предлагал:
п.1: в
срок до 17.05.2019 предоставить План мероприятий по реализации требований ИБ в
ЕБС с учетом отправленной ранее информации о выбранном способе подписания;
п.2:
начиная с 20.05.2019 раз в две неделе отчитываться об исполнении этого плана по
форме Приложения к письму.
[7] Методические рекомендации по
нейтрализации банками угроз безопасности, актуальных при обработке, включая
сбор и хранение, биометрических персональных данных, их проверке и передаче
информации о степени их соответствия предоставленным биометрическим
персональным данным гражданина Российской Федерации
[8] Федеральный закон от 27.07.2006 №
152-ФЗ «О персональных данных»
1. Непонятно, нужно ли будет согласовывать и решение по удаленной идентификации?
ОтветитьУдалить2. Много было разговоров, что Ростелик согласовывает с ФСБ реализацию протокола OpenID Connect с использованием ГОСТовых алгоритмов, который и должен использоваться при удаленной идентификации. На текущий момент, вообще ничего не слышно
чем закончилось согласование протокола, и закончилось ли?
1. В Рекомендациях Банка России 4-МР прописано согласование типового решения с ФСБ для случаев сбора и передачи биометрических образцов в ЕБС. При удалённой идентификации (недоверенная среда) такого нет - прописано обеспечить оценку влияния используемого банком ПО и приложений на выполнение предъявленных к СКЗИ требований по классу не ниже КС1.
Удалить2. Про положительное заключение ФСБ по итогам сертификации протокола на базе OpenID Connect о соответствии требованиям по безопасности информации с использованием СКЗИ класса не ниже КВ (средствами электронной подписи класса не ниже КВ2) пока никем не заявлено. И, Вы правы, это тоже нерешённый вопрос.