Биометрия на уровне гостайны

Регулятор указал ФСБ на невозможность выполнения в полном объеме требований службы по защите биометрической персональной информации граждан, сбор которой поручен банкам. Разговор касается криптографической защиты на уровне государственной тайны, а необходимое российское оборудование для этого отсутствует. По словам банкиров, такая проблема действительно есть, но в ФСБ не настроены на смягчение требований. Впрочем, участники рынка могут не бояться санкции силовиков – согласование всех вопросов с ФСБ - прерогатива регулятора, в противном случае сбор данных попросту будет остановлен.

27–28 ноября состоялся SOC-форум. По словам выступившего на нем первого заместителя главы департамента информбезопасности ЦБ Артема Сычева, сейчас рынок не располагает необходимым отечественным криптографическим оборудованием, способным защитить собранные у граждан биометрические данные по классу КВ. Как раз такой класс защиты — он соответствует уровню гостайны — содержит приказ ФСБ №378. По словам заместителя начальника восьмого центра ФСБ России Игоря Качалина, остается надеяться, что позиция ЦБ будет жесткой по всем средствам защиты при работе с биометрией граждан.

По словам банкиров, выполнение требований ФСБ - задача невозможная. По словам представителя одного крупного банка, для шифрования направляемых в единую биометрическую систему (ЕБС) собранных образов, необходима интеграция в системы специального оборудования - HSM-модуля, а после этого получение ключей сертификатов электронной подписи класса КВ. Выпуск ключей такого класса осуществляется только в ФГУП НИИ «Восход», а утверждение порядка их выдачи состоялось только в октябре. По словам представителя «Ростелекома», у «Восхода» есть нужное количество ключей. Но отсутствует методика корректного встраивания HSM, к тому же после интеграции модуля требуется получение заключения ФСБ. А в отсутствие методики получение заключения ФСБ - вещь нереальная. «Ростелеком» располагает данными о внедрении HSM в 26 банках, но ни в одном из них оно не закончено.

ЦБ заявил о готовности обратить внимание банков на несколько вариантов решений по информбезопасности при сборе биометрических данных. По словам Артема Сычева, мы располагаем стандартизированным решением, отвечающим требованиям информбезопасности, чтобы подключиться к ЕБС. Его уже внедрили некоторые кредитные организации, а часть их только делают это. Банком России и ФСБ также проработаны облачное решение и типовое решение по подключению банков к ЕБС, при которых выполняются все необходимые требования. Облачное и типовое решение по подключению банков к ЕБС - дополнительные и разрабатываются для того, чтобы снизить издержки банков. Банки обязаны обеспечить выполнение требований по информбезопасности к концу будущего года.

Но, по мнению экспертов, по предлагаемым ЦБ решениям складывается непростая ситуация. В банках, уже начавших работать по стандартному решению, шифрование по классу КВ отсутствует — биометрию отправляют по шифрованному каналу, она не сопровождается дополнительным шифрованием на уровне КВ. Разработанное «Ростелекомом» типовое решение, рассылка коммерческого предложения по которому в банки была осуществлена несколько дней назад, еще не прошло сертификацию. Как сообщили представители «Ростелекома», их типовое решение прошло этап согласования с ФСБ, и им предусматривается шифрование класса КВ. Проработка облачного решения и не завершена. Предусмотрено несколько поставщиков облачного решения. С ЦБ и ФСБ уже согласована его архитектура и дорожная карта по его реализации.

Банки заявили о своей готовность к выполнению требований ФСБ, при условии появления хоть одного полноценного решения. Как отметили в Тинькофф-банке, там происходит активная интеграция HSM в процесс сбора и передачи биометрии в ЕБС и до 2020 года банк выстроит все этапы сбора и передачи биометрии от представителя до центрального офиса через каналы с криптографией по ГОСТу. Как сказал член правления Почта-банка Святослав Емельянов, сейчас направляемая в ЕБС информация и так серьезно защищена. Но мы готовы к внедрению дополнительных механизмов и приобретению необходимого оборудования после того, как соответствующие органы предоставят необходимые требования и разъяснения. Сейчас важно наличие у нас единого интеграционного решения, которое способствовало бы корректному встраиванию HSM в банковскую инфраструктуру.

Но санкций со стороны ФСБ банки не должны опасаться. По словам консультанта по интернет-безопасности Cisco Алексея Лукацкого, ФСБ не регулятор для банков, его сотрудники не проверяют их. Тут важно знать о позиции ЦБ, обещающего неприменение к кредитным организациям надзорных мер. Банки должны продолжать работу и не терять надежду, что ЦБ и ФСБ смогут урегулировать вопрос с информзащитой передаваемых биометрических данных, в противном случае, по мнению экспертов, сбор биометрических данных будет попросту остановлен.