"Нельзя преодолеть пропасть в два прыжка": что мешает внедрению биометрии в банках?

"Нельзя преодолеть пропасть в два прыжка": что мешает внедрению биометрии в банках?

Несмотря на то, что в конце 2018 года одна за другой следовали победные реляции от банков о подключении их отделений к Единой биометрической системе (ЕБС), говорить о массовом запуске сбора биометрии в российских банках пока рано. Давайте попробуем разобраться, что на самом деле происходит сейчас и происходило в 2018 году со сбором биометрии клиентов в банках и почему.
Небывалая спешка при запуске ЕБС привела к тому, что услуга сбора банками биометрии граждан РФ стала восприниматься как навязанная и политическая по природе: из банков решили сделать «трубу», по которой ходят биометрические образцы (запись голоса и изображение лица) россиян в государственную Единую биометрическую систему.
name='more'> Для решения этой задачи каждый банк должен потратиться на недешевое оборудование и программное обеспечение, радость обладания которыми кредитные организации прочувствуют позже. Причем основную долю затрат составит приобретение специального криптографического оборудования для подписывания и шифрования информации, направляемой банками в ЕБС. В случае если банк будет проводить регистрацию физических лиц в Единой системе идентификации и аутентификацииЕСИА (действует с 2010 г.) и (или) в ЕБС, обязательное требование к оборудованию — горячее резервирование, то есть затраты на критически важное оборудование умножаются на два.
То ли это, чего недоставало банкам в современных экономических условиях? Вопрос, который нигде не прозвучал, но имел бы очевидный ответ от большинства некрупных банков: «Мы не можем себе этого позволить».
Основные вехи
В рамках выполнения требований Закона № 482-ФЗ [1] , согласно которому были приняты дополнения в Законы № 115-ФЗ [2] и № 149-ФЗ [3] , кредитные организации должны были до конца 2018г. создать центры регистрации биометрических контрольных шаблонов для обеспечения возможности клиентам — физическим лицам проходить в офисах банков биометрическую идентификацию на безвозмездной основе, а также размещать и обновлять сведения, полученные в ходе биометрической идентификации (изображение лица и запись голоса) в ЕСИА и ЕБС.
Второго марта 2018г. опубликовано Распоряжение Правительства РФ от 22.02.2018 № 293-р, согласно которому оператором Единой биометрической системы стало ПАО «Ростелеком».
Тридцатое июня 2018г. — дата начала функционирования системы идентификации граждан РФ на основе биометрических персональных данных.
Согласно положениям Информационного письма Банка России от 28.06.2018 № ИН-03-13/40 [4] банки обязаны выполнять регистрацию клиентов — физических лиц в ЕБС и обеспечивать внутренние структурные подразделения (ВСП) банка в каждом субъекте РФ необходимым, отвечающим всем требованиям законодательства, оборудованием и программным обеспечением:
— не менее чем в 20% ВСП — по состоянию на 31 декабря 2018 г.;
— не менее чем в 60% ВСП — по состоянию на 30 июня 2019 г.;
— во всех ВСП — по состоянию на 31 декабря 2019 г.
Четвертого июля Минкомсвязи «пулеметной очередью» выстрелило серией приказов и в том числе выпустило Приказ от 25.06.2018 № 321 (Порядок работы с ЕБС).
Седьмого августа 2018г. Банком России и ПАО «Ростелеком» был опубликован перечень угроз безопасности длябиометрических персональных данных граждан РФ(Указание от 09.07.2018 № 4859-У).
Девятого октября 2018г. Банк России опубликовал карту банковских отделений, предоставляющих услугу по сбору биометрии.
Восемнадцатого октября 2018г. ПАО «Ростелеком» представило мобильное приложение для удаленной биометрической идентификации граждан — «Ключ Ростелеком». Приложение содержит криптографический модуль и должно было размещаться в онлайн-сервисах Google Play от компании Google и App Store от компании Apple. Так как экспорт криптографии за границу запрещен российским законодательством, компании Google и Apple должны были дать согласие на размещение приложения от Ростелекома с криптографией на борту в виде «черного ящика» в своих онлайн-сервисах. От Google такое согласие получено, с Apple переговоры, очевидно, еще ведутся.
Четвертого декабря 2018г. тон регулятора в лице Банка России меняется и на сайте cbr.ru появляется информация: «В настоящий момент банки обязаны поэтапно по мере готовности своей технологической инфраструктурыобеспечить в структурных подразделениях сбор биометрических данных, и этот процесс должен завершиться до конца 2019 г.».
Изначально планировалось, что все банки до конца 2019 г. должны предоставлять услугу во всех своих отделениях. Теперь же для банков с базовой лицензией этот срок было предложено продлить до конца 2020 г.
Большинство кредитных организаций, с самого начала восприняв внедрение биометрии как тяжелую повинность (а не будущую возможность заработать), столкнулись со сложностями следующего характера. Вроде как отдельные «кубики» конструкции по сбору биометрии понятны: СМЭВ, ЕСИА, ЕБС, Ростелеком, камера, микрофон, защищенные каналы связи, типовое решение по информационной безопасности, включая HSM (программно-аппаратный криптографический модуль), мобильное приложение для клиента, наличие у клиента: смартфона, планшета, ноутбука или компьютера с камерой и микрофоном. Казалось бы, все просто, как в детском стишке: «палка, палка, огуречик»… ан нет — не выходит «человечек».
К тому же на момент запуска ЕБС (30 июня 2018г.) не все подзаконные акты были подготовлены. А у большинства банков не было готовых сервисов и технических решений (оборудования и программного обеспечения) для снятия биометрических данных клиентов и регистрации последних в ЕСИА и ЕБС. Те банки, которые делали биометрию «под себя», не планировали ее где-то размещать (кроме собственных серверов), в результате не соответствовали новым, изменившимся требованиям законодательства РФ.
Исходя из этого, задача обеспечить сбор биометрии согласно указанным в Письме Банка России от 28.06.2018 показателям быстро приобрела в банках имитационный характер. Для этого банки-первопроходцы зарегистрировались в ЕБС, поставили камеру и микрофон в своих операционных залах на обычном рабочем месте банковского работника и начали собирать биометрию на свой страх и риск, так как собирать биометрию — это обязанность банков, а оказывать с ее помощью услуги — только право, которое может быть реализовано на усмотрение банка (п. 5.8 ст. 7 Закона № 115-ФЗ).
Поэтому применить биометрические данные после удаленной идентификации в ЕБС клиентам в общем-то пока негде: банки не успели подготовить сервисы для оказания банковских услуг клиентам, которые зарегистрировались в ЕСИА и ЕБС. На начало 2019г. лишь единичные банки готовы оказывать подобные услуги.
Помимо понятных изначально технических и технологических проблем с инфраструктурой (аппаратно-программные комплексы, серверы, рабочие станции, ПО, СУБД, камеры, микрофоны), которые при выделении бюджета так или иначе будут решены в банках, нарисовались еще несколько непростых задач.
Основные (верхнеуровневые) проблемы на начальном этапе сбора биометрии в банках
Бизнес-задача по сбору биометрии: в банке должен был появиться внутренний «вендор», который бы развивал проект внутри, согласовал с руководством выделение бюджета и подключил все необходимые подразделения банка к решению поставленной задачи.
Функционал необходимого оборудования и программного обеспечения: в распоряжении банков не было готовых коммерческих решений, позволяющих полноценно выполнять новые требования федерального законодательства.
Разработка технического задания(ТЗ) на интеграционное решение для сбора биометрии: у банков должно было появиться понимание требований по проекту для осознанного выбора разработчика решения. Исходя из этого понимания, три страницы с изложением требований регуляторов должны были превратиться в пятьдесят страниц ТЗ для разработчика (хороший разработчик писал ТЗ самостоятельно).
Приобретение и настройка средств защиты: выбор отечественных производителей средств защиты, удовлетворяющих требованиям регуляторов (ФСБ и ФСТЭК), оказался невелик, но надо было уже на раннем этапе выбирать у этих двух-трех производителей правильную модификацию (исполнение) оборудования и ПО.
Из-за сжатых сроков запуска сбора биометрии (до конца 2018г.) банкам приходилось закладывать в бюджет и обосновывать суммы на оборудование и ПО, точность которых была не выше точности подброшенной монетки. Не были учтены некоторые детали реализации функциональности и сложности внедрения в существующую IT-инфраструктуру банка (антивирус, межсетевой экран, система обнаружения вторжений, резервирование оборудования). На банковских форумах специалисты по ИБ голову сломали, размышляя, надо ли выносить в отдельный, изолированный сегмент корпоративной сети все, что относится к сбору и передаче биометрии в ЕБС.
Вопрос о необходимости построения закрытой внутрибанковской сети для сбора биометрии до сих пор остается открытым. Это ни одному банку делать не хочется, но подходящих решений пока нет. Все станет более-менее понятно после аудитов в банках по требованиям Приказа ФСТЭК № 21 [5] независимыми аудиторами — лицензиатами ФСТЭК. Также кредитные организации ждут от Банка России методических рекомендаций по обеспечению информационной безопасности при сборе биометрических данных клиетов.
Тестирование и подключение: всякое новое внедрение, связанное с налаживанием межведомственного взаимодействия и подключением к государственным ресурсам, требует значительного цикла тестирования и сопровождается большим объемом пересылаемых документов, которые надо подготовить и согласовать. Здесь для каждого банка все индивидуально и зависит от согласования бюджета, поставки оборудования, подключения к ЕСИА и ЕБС, оборудования рабочих мест операторов, отправки документов в Минкомсвязь для оценки соответствия, заключения договора-оферты с Ростелекомом, организации защищенных каналов связи и т.д.
Частные проблемы при организации сбора биометрии в банках
От общих проблем по снятию биометрии в банках перейдем к частным проблемам, которые возникали уже в процессе реализации и в основном помешали многим банкам до 31 декабря 2018г. обеспечить исполнение требований регуляторов.
1. Так как изначально отсутствовал типовой перечень оборудования для сбора биометрии, большинство технологических партнеров банков не успели разработать интеграционные решения к концу 2018 г. и, как следствие, банки не успели доработать свои сайты для предоставления услуги по сбору биометрии. Разработкой интеграционного решения занялись сразу несколько разных технологических команд, но на тестирование и типизацию решения требуется значительно большее время, чем полгода.
Некоторые банки не стали дожидаться типового решения от оператора ЕБС — ПАО «Ростелеком» — и в качестве решения по регистрации клиентов в ЕСИА и ЕБС выбрали решение от своего разработчика АБС (автоматизированной банковской системы).
Преимущества такого интеграционного решения следующие:
— режим одного окна при взаимодействии с ЕСИА и ЕБС;
— возможность интеграции с АБС банка при биометрической регистрации клиентов. Например, интеграционное решение, прежде чем формировать платный запрос в ЕБС, обращается в АБС банка для проверки клиента по черным спискам;
— понятное ПО, знакомый интерфейс;
— готовый пакет инструкций и консультации от разработчика АБС;
— техподдержка в рамках заключенных ранее договоров.
На получение со стороны ФСБ оценки встраивания (контроль встраивания) криптографии в готовое решение от разработчика обычно уходит полгода-год. Это значит, что типовые решения от разработчиков в течение примерно 2018–2019г.г. будут использоваться банками на свой страх и риск в надежде, что такая оценка (контроль встраивания со стороны ФСБ) будет получена партнером в обозримом будущем.
2. Из-за страхов и непонимания клиентами биометрические данные граждан собираются банками очень медленно. Так как банки не успели разработать рекламный контент о новой услуге для оповещения клиентов, разместить его на своих сайтах и в других каналах коммуникаций, многие граждане вообще не подозревают о потенциальной возможности получения финансовых услуг дистанционно в любом (как задумывалось) банке после регистрации в ЕСИА и ЕБС.
Массовость предоставления клиентами биометрических данных зависит от двух основных факторов:
— готовы ли банки вкладываться в новые услуги по предоставлению финансовых сервисов/продуктов с использованием удаленной биометрической идентификации (видят ли они в этом перспективы для расширения бизнеса);
— будут ли банки решать юридические вопросы с получением согласия от клиента на обработку биометрических персональных данных методом агрессивных продаж (по типу «не подписываете согласие на обработку биометрических персональных данных — не даем кредит»).
Также если давление со стороны регуляторов будет усиливаться, то неизбежный фатализм, связанный с исполнением требований, не оставит банкам возможности для маневра (у банков есть опасения, что, регистрируя своего клиента в ЕБС, они предоставляют ему возможность уйти в другой банк).
3. Дороговизна технологии. Бюджеты многих банков на 2018г. не предполагали расходов на предоставление услуги по сбору биометрии. Оборудование недешевое, особенно криптография (кроме того, у банка должна быть лицензия на осуществление криптографической деятельности). Минимальные затраты на подключение банка с одним отделением к Единой биометрической системе для сбора данных составят 4–5 млн руб. Подключение каждого нового отделения обойдется банку еще примерно в 120–130 тыс. руб. Возможно, уже в скором времени удастся решить проблему, разработав облачное решение, удовлетворяющее требованиям регуляторов, для обеспечения безопасности биометрических данных.
Облачные решения будут несколько дешевле, так как некоторое оборудование (сервер базы данных, сервер приложения) будет арендовано и размещено у разработчика, а не в банке. Главный вопрос, который сейчас обсуждается с регуляторами (Банком России и ФСБ): можно ли криптографический модуль HSM(стоимостью 1 350 000 руб.) размещать тоже у разработчика? С помощью модуля HSM происходит подписание банковскими электронными ключами данных, отправляемых в ЕБС. Передавать эти ключи банка третьему лицу нельзя. Если бы удалось решить этот вопрос с регуляторами, то стоимость проекта уменьшилась бы с 4–5 млн руб. до ~2 млн руб.
Стоимость биометрии нельзя рассматривать в отрыве от решаемой задачи — удаленной идентификации граждан при получении финансовых услуг. Любая технология или техническое решение проходят определенные уровни зрелости. Нет сомнений, что проект биометрии и законодательство, регулирующее эту технологию, будут развиваться госструктурами дальше.
4. Нехватка камер и микрофонов нужного качества. К концу 2018г. крупные банки скупили в Москве почти все имеющееся на прилавках магазинов оборудование требуемого качества.
5. Нехватка криптографического оборудования, попадание банков в зависимость от трех-четырех отечественных вендоров. Из-за ажиотажного спроса отечественные компании в конце 2018г. не успевали произвести нужное количество устройств, внезапно понадобившихся десяткам банков в одно время.
6. Вопрос конфиденциальности: есть опасения, связанные с безопасностью персональных данных граждан. Закон № 152-ФЗ [6] требует защищать в том числе и биометрические данные. Услугу по сбору биометрии по-хорошему нужно было обкатать в одном пилотном крупном банке для проверки безопасности услуги. От банков потребуются вложения значительных средств для предотвращения утечек данных и защиты информации. Размер таких вложений зависит от стоимости систем, применяемых для защиты от утечек (средняя стоимость — 2 млн руб.). Причем каждый банк будет самостоятельно определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками. В то же время стоимость защиты информации не должна быть выше стоимости защищаемой информации. Но как оценить информацию, которой еще нет и представление о которой только формируется?
Единая биометрическая система — проект, законодательно закрепленный за государством. Соответственно государство берет на себя ответственность за безопасность системы, контроль использования и передачу биометрических персональных данных граждан третьим сторонам. Также делается допущение, что в государственных базах данных образцы биометрии граждан никто подменить/украсть не сможет.
Тем не менее, существующие на сегодняшний день технологии распознавания лиц и голоса сложно назвать безопасными и надежными. В настоящий момент имеются технологии, которые позволяют по фрагменту записи голоса подделать его. Также нельзя исключать возможность создания моделей изображения лица с помощью компьютерной 3D-графики и 3D-принтеров.
Также у граждан есть опасения, что правительство может использовать биометрию для негласного наблюдения за людьми, даже если они ни в чем не подозреваются.

Полную версию статьи читайте в Методическом журнале “Расчеты и операционная работа в коммерческом банке” № 1 (149) / 2019 (ссылка будет позже)




[1] Федеральный закон от 31.12.2017 № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».
[2] Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
[3] Федеральный закон от 27.07.2006 № 149-ФЗ«Об информации, информационных технологиях и о защите информации».
[4] «Об особенностях применения мер к банкам при совершении ими действий, предусмотренных пунктом 5.6 статьи 7 Федерального закона от 7 августа 2001 года № 115-ФЗ “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”». Опубликовано в Вестнике Банка России № 52 (2006) 3 июля 2018 г.
[5] Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
[6] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)