Вероника Горячева
21.02.2019

Банк России недоволен тем, как кредитные организации собирают биометрические данные россиян. Одна из высказанных проблем — медленное внедрение решений для выполнения требований по надлежащему уровню защиты собираемых образцов. В ЦБ настаивают, что банки должны обеспечить исполнение данных требований к середине года. Но сделать это непросто — требования были определены лишь в январе, коробочные решения начали появляться в середине февраля, а в апреле правила игры могут вновь измениться.

В среду зампред ЦБ Ольга Скоробогатова раскритиковала кредитные организации за недостаточное качество сбора биометрических данных. По ее словам, в настоящее время биометрию собирают 95 банков в 4 тыс. отделений. Однако результаты проведенной ЦБ контрольной закупки не устроили ЦБ. "Многие банки отчитались формально, но при этом сама процедура и процесс на клиентской стороне не были отработаны,— пояснила она.— Мы увидели медленное взаимодействие систем банка с единой биометрической системой (ЕБС) и Единой системой идентификации и аутентификации (ЕСИА), в том числе были объективные причины, когда системы Минкомсвязи оперативно не давали отклика". Отдельно Ольга Скоробогатова отметила, что банки медленно внедряют решения для выполнения требований ЦБ по информационной безопасности.

По словам экспертов, на то есть объективные причины. Банкам необходимо обеспечить передаваемым в ЕБС данным высочайший уровень защиты, для чего используется шифрование класса КВ (как у гостайны). Для этого необходимо корректное встраивание специального оборудования — ХСМ-модулей в ядро инфраструктуры банка. При этом окончательно требования к корректности встраивания ХСМ были определены лишь в январе, а методические рекомендации ЦБ, где подробно расписан порядок обеспечения безопасности с учетом этих требований,— 14 февраля 2019 года.

Выполнение рекомендаций также непростая задача. "Чтобы подтвердить корректность встраивания средств криптографии, необходима сертификация спецлаборатории, в целом решение — получение положительного заключения ФСБ. Это под силу разве что крупнейшим банкам,— отметил директор центра информационной безопасности "Инфосистемы Джет" Андрей Янкин.— Для остальных же методическими рекомендациями ЦБ РФ предусмотрена возможность использовать готовое коробочное "типовое" или облачное решение". На сегодняшний день всего двум игрокам удалось получить одобрение ФСБ — банку "Тинькофф" с собственным решением и "Ростелекому" с коробочным решением. Об этом сообщил представитель ФСБ Владимир Простов. "Были заявки и других кредитных организаций, однако они не прошли по качеству",— отметил собеседник "Ъ", знакомый с ситуацией.

Несмотря на объективные сложности, ЦБ ожидает, что к середине года 60% отделений банков будут подключены к ЕБС и выполнят требования по информационной безопасности, а к концу года 100% отделений обеспечат сбор биометрии.

В такой ситуации неудивительно, что все опрошенные "Ъ" банки сообщили о том, что планируют работать именно с готовым коробочным решением. По словам первого заместителя главы департамента информационной безопасности ЦБ Артема Сычева, сейчас в высокой степени готовности еще два коробочных решения. Это решения ЦФТ и "АйДи Системс". В ЦФТ сообщили, что их решение на согласовании в ФСБ, "АйДи Системс" сертификат получил и также ждет согласования ФСБ.

Однако рынок ждет еще одно серьезное изменение правил игры, которое потребует новых согласований и сертификаций. И произойдет оно, по предварительным данным, в апреле. "Существующий протокол взаимодействия банков с ЕСИА и ЕБС при верификации клиентов будет изменен предположительно в апреле,— говорит гендиректор "АйДи Системс" Андрей Федорец.— В связи с этим какая-то часть программного продукта, работающая с физлицом, должна будет заново проходить аттестацию и сертификацию в ФСБ". Это еще больше усложняет задачу уложиться в указанные ЦБ сроки, отмечают участники рынка.