Разделы

Цифровизация Инфраструктура ИТ в банках Облака

Банкам дали возможность подключиться к ЕБС через облака: как это повлияет на проект по сбору биометрии

В России заработала Единая биометрическая система. Государство обязало банки обеспечить гражданам возможность зарегистрироваться в ней. Для того чтобы это сделать, банкам необходимо создать специальную инфраструктуру и обеспечить ее безопасность. На рынке уже представлено облачное решение для сбора биометрических образцов в Единую биометрическую систему, которое соответствует всем предъявляемым требованиям, — его предлагает компания «Диасофт».

В 2017 г. по инициативе Центрального банка и Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) в России начала создаваться Единая биометрическая система (ЕБС). Благодаря ей, кроме общепринятой идентификации личности по документам, должна появиться возможность удаленной идентификации по двум параметрам: голосу и лицу.

Система заработала 30 июня 2018 г. Предполагалось, что первыми ее пользователями станут клиенты банков, которые смогут удаленно получать различные финансовые услуги: открывать и закрывать счета, оформлять банковские карты, брать ипотечные и потребительские кредиты и так далее. Чуть позже появилась информация о том, что биометрия будет использоваться на входе в метро, в терминалах, банкоматах, магазинах для оплаты продуктов и услуг.

Обязанность обеспечить возможность зарегистрироваться в ЕБС была возложена на банки. Гражданину требуется получить учетную запись в Единой системе идентификации и аутентификации (ЕСИА), которая используется для доступа к порталу госуслуг, и сдать биометрические образцы. Банк должен передать полученную информацию в ЕБС, после чего перед гражданином откроются широкие возможности получения разнообразных услуг, требующих идентификации личности.

Как это работает

Первый этап — регистрация в Единой биометрической системе. Для этого человеку надо прийти в офис банка, подтвердить свою личность, предъявив паспорт, пройти идентификацию в ЕСИА, а затем сдать биометрические данные: изображение лица и образец голоса. Для этого в банках должно быть установлено специальное оборудование и программное обеспечение. Оно собирает биометрические данные в соответствии с разработанными Минцифры шаблонами. Затем эти данные отправляются в Единую биометрическую систему, за работу которой отвечает «Ростелеком».

На втором этапе человек, чьи данные уже есть в биометрической системе, получает возможность воспользоваться услугами, не предъявляя паспорта. После того как оборудование считает его параметры (изображение лица и голос), программа должна провести верификацию данных в ЕБС и подтвердить, что человек, обратившийся за услугами, — именно тот, за кого себя выдает.

Программное обеспечение для первого этапа — сбора биометрических данных — предлагают несколько ИТ-компаний. Однако его стоимость довольно высока. Постепенно на рынке стали появляться и облачные решения.

Что касается ПО, обеспечивающего второй этап, то примеров таких решений пока единицы. И дело не в том, что разработать его чрезвычайно сложно. Просто банки и рынок пока плохо представляют себе, с какими бизнес-процессами оно должно быть интегрировано: системами дистанционного банковского обслуживания (интернет- и мобильными банками), банкоматами или с системами третьих лиц, например, с турникетами в общественном транспорте, билетными системами в театрах и так далее. А разработчики, в свою очередь, ждут от банков конкретного запроса.

Кроме того, дополнительные сложности возникают по причине использования во многих банках решений разных вендоров. Это приводит к тому, что каждый раз, когда банк захочет предоставить клиентам новую услугу с использованием удаленной идентификации, необходимо заново дорабатывать соответствующую информационную систему. Это очень трудоемкий и, соответственно, затратный процесс.

По понятным причинам, банки пока особенно не стремятся вкладываться в развитие биометрии. Спроса со стороны клиентов на нее нет. А значит, бизнесу пока совершенно не выгодно тратить свои деньги, ведь на полноценный запуск системы, то есть не просто на организацию сбора биометрических данных и передачу их в ЕБС, но и на запуск процесса оказания банковских услуг после прохождения биометрической идентификации, даже небольшому банку надо потратить не менее ₽3-3,5 млн. Для крупных финансовых организаций стоимость решения возрастет примерно в 2 раза. Дополнительно средства защиты каждого автоматизированного рабочего места обойдутся примерно в ₽40 тыс.

Законодательная база

С законодательной точки зрения использование ЕБС базируется на трех законах. В первую очередь, это 152-ФЗ «О персональных данных». В соответствии с этим законом, персональные данные — это любая информация, относящаяся, прямо или косвенно, к определенному физическому лицу. Обработка персональных данных — это любое действие с этими данными. А информационная система — это совокупность содержащихся в базах персональных данных и обеспечивающих их обработку технических средств. Таким образом, данные, обрабатываемые в ЕБС, – фотография, голос и привязанные к ним паспортные данные — напрямую подпадают под действие 152-ФЗ.

Перед тем как получить доступ к ЕБС, банки должны подписать две оферты «Ростелекома». В них сказано, что биометрический образец — это цифровое представление биометрических характеристик, предшествующее извлечению биометрических признаков. Банк собирает биометрические образцы, подписывает электронной цифровой подписью и отправляет в «Ростелеком».

На базе биометрического образца «Ростелеком» создает биометрический контрольный шаблон, который хранится в ЕБС. Для того чтобы пройти идентификацию в ЕБС, гражданин отправляет в «Ростелеком» свою фотографию и образец голоса. Эта информация сравнивается с биометрическим контрольным шаблоном и таким образом позволяет идентифицировать личность. Именно на этом этапе передаваемые гражданином данные переходят из разряда персональных данных в разряд биометрических персональных данных. И это очень важно, потому что требования к защите биометрических данных и к защите персональных данных разные.

Второй закон, который регламентирует работу с ЕБС, — это 149-ФЗ «Об информации, информационных технологиях и о защите информации», в статье 14.1 которого подробно описано, что такое государственная информационная система по сбору биометрии. Там же сказано, что функции оператора ЕБС могут быть возложены на компанию, занимающую существенное положение в сети связи общего пользования на территориях не менее чем двух третей субъектов Российской Федерации. Контроль ее работы в соответствии с законодательством возложен на ФСБ, ФСТЭК, Роскомнадзор. Распоряжением Правительства РФ от 22.02.2018 N 293-р функции оператора ЕБС возложены на «Ростелеком».

Вместе с тем, в п.14 статьи 14.1 149-ФЗ сказано, что Банк России совместно с оператором единой биометрической системы определяет перечень угроз безопасности, актуальных при обработке биометрических персональных данных, проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина. Таким образом, получается, что регуляторы, которые устанавливают требования по работе с ЕБС и по защите персональных данных граждан, в соответствии с законом не могут проверить, как они выполняются банками — это прерогатива Банка России. При этом в вопросе организации такой проверки возможны сложности, так как это не входит в сферу деятельности регулятора.

Регуляторы для банка по вопросу ЕБС

Источник: «Диасофт», 2020

Третий закон, имеющий непосредственное отношение к банкам, — это 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». На первом этапе все думали, что сдавать биометрию можно будет в Многофункциональных центрах предоставления государственных и муниципальных услуг (МФЦ). Это был бы самый логичный шаг — МФЦ работают с физическими лицами, оказывают услуги по регистрации в ЕСИА. Однако по какой-то причине этого не произошло, и обязанность организовать прием биометрии возложили на банки.

Сначала банки, работающие только с юридическими лицами, вздохнули с облегчением – казалось бы, их это новшество не должно было затронуть. Однако в конце прошлого года Банк России отправил информационное письмо об особенностях оказания кредитными организациями услуг по сбору и размещению биометрических данных граждан №ИН-06-59/91 от 13.12.2019 г. В этом письме он обязал банки обеспечить возможность сдать биометрию для всех граждан, вне зависимости от того, являются они клиентами конкретного банка или нет. При этом Банк России строго настрого запретил навязывать гражданину какие-либо услуги, например, требовать открыть счет.

Кроме этих законов, существует распоряжение Правительства №1322-р от 30.06.2018 г. об утверждении формы согласия на обработку персональных данных. В нем сказано, что обработкой персональных данных может заниматься Минцифры в части ЕСИА, а также «Ростелеком» и уполномоченное им лицо в части ЕБС. Под уполномоченным лицом понимается банк, который подписал с «Ростелекомом» один или два договора оферты: на сбор данных и на идентификацию гражданина. В офертах прописано, что банки действуют по поручению «Ростелекома» и отправляют данные в ЕБС. В пункте «Иные лица» банк должен прописать все площадки, где он планирует обрабатывать персональные данные, или указать название компании, чьими услугами по обработке он будет пользоваться как сервисом.

Согласно 152-ФЗ, любая обработка должна производиться для конкретных целей, касаться конкретного набора персональных данных, а заниматься ей должен конкретный конечный круг лиц. Как уже было сказано, оператором персональных данных, обрабатываемых в государственной информационной системе (ГИС) ЕБС, является «Ростелеком». Он передает банку функции по обработке персональных данных. Согласно п.3 ст.6 152-ФЗ, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. В п.5 ст.6 152-ФЗ сказано, что в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. А лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

В настоящее время статус ЕБС до конца не понятен. С одной стороны, она позиционируется как цифровая платформа. С другой, в ст.14 149-ФЗ ЕБС называется государственной информационной системой. «Ростелеком» же, согласно распоряжению Правительства №293-р, не назначен оператором ГИС ЕБС, а лишь выполняет его функции. Летом 2020 г. появилась информация о том, что рассматривается вопрос перевода ЕБС в разряд государственных информационных систем, оператором которой будет назначен «Ростелеком». Однако согласно 152-ФЗ он уже является оператором персональных данных, которые обрабатываются в ГИС ЕБС, а значит, несет полную ответственность за их обработку и обеспечение безопасности.

Также существует приказ Минцифры №321 от 25.06.2018 г., в котором описаны требования к образцам голоса и фотоизображения. А также требования к микрофонам и камерам, которые могут использоваться для снятия биометрии. К ним прилагается список моделей, в том числе и от отечественных производителей. Почему в список включены именно эти модели, информации нет. Так же, как не заявлен порядок осуществления контроля со стороны Минцифры за выполнением этого приказа. Известно только то, что эта функция возложена законом на Банк России.

Как должна быть организована защита данных

Помимо этого, существуют разработанные Минцифрой требования по защите информации. В них сказано, что раз в год необходимо проводить аудит выполнения разработанного Банком России ГОСТ-Р57580. Этот ГОСТ распространяется на кредитные организации только в случае, когда на него ссылаются нормативные документы Банка России, или мегарегулятором дается письменное указание о его использовании. Открытым остается вопрос, по каким причинам Минцифры указало, что необходимо проводить аудит установленных в банке систем на соответствие этому ГОСТу. Известно, что у самого министерства нет для этого полномочий, а контрольные и надзорные функции за соблюдением требований информационной безопасности (ИБ) в ГИС ЕБС, согласно 149-ФЗ, возложены на Банк России.

Центральный банк России выпустил указание № 4859-У, в котором разделил систему по сбору биометрии на несколько сегментов и расписал для каждого из них актуальные угрозы. Это сегмент «Ростелекома» как оператора ЕБС, сегмент СМЭВ как канала связи, через который осуществляется выход в ЕСИА и отправка биометрических образцов в «Ростелеком», и сегмент банка или провайдера, чьей инфраструктурой пользуется банк для обработки биометрических данных и заверения их электронной подписью. В соответствии с приказом, на каждом этапе обработки данных должны быть выполнены определенные требования.

Одновременно существует приказ №378 ФСБ России, который работает совершенно иначе – оператор персональных данных, в данном случае кредитная организация, должен сам определить актуальные угрозы и обеспечить защиту. В итоге получается, что, выполняя требования приказа регулятора, банки нарушают приказ ФСБ: они должны обеспечить защиту от угроз согласно предоставленному перечню вместо того чтобы, как сказано в п.5 приказа ФСБ, «использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз».

Требования приказа ФСБ №378 и указания ЦБ 4859-У/01/01/782-18

Источник: «Диасофт», 2020

table021.png
Таблица классов СКЗИ для защиты ПДн

Источник: Блог Ивана Пискунова

В чем разница подходов к обеспечению ИБ, предусмотренных уже упомянутыми приказами Банка России и ФСБ? Как уже было сказано, класс средств криптографической защиты информации (СКЗИ) определяется на основании анализа возможностей нарушителя взломать системы конкретного банка (модель нарушителя конкретного банка). Например, при КС3 злоумышленник имеет доступ к средствам вычислительной техники (СВТ), на которых реализованы СКЗИ и среда функционирования (СФ). А при КВ2 злоумышленники могут располагать исходными текстами входящего в СФ прикладного программного обеспечения (ПО), непосредственно использующего вызовы программных функций СКЗИ.

Даже если предположить, что нарушителем является кто-то из проверенных и уважаемых работников банка, например, администратор ИТ или администратор ИБ, он не сможет получить доступ к исходникам прикладного ПО, потому что их в банке нет. Злоумышленнику придется похитить их у вендора, в испытательной лаборатории ФСБ или непосредственно в ФСБ. А значит, максимальный класс защиты используемых банком решений не может быть выше КС3. Именно по классу КС3 защищаются каналы связи между банком, его филиалами, СМЭВ и «Ростелекомом». Список необходимого для этого оборудования очень широкий.

Позже Банк России объявил, что с 1 января 2019 г. при работе с ЕБС все банки должны перейти на работу с УКЭП класса не ниже КВ. Производителей средств криптографической защиты информации HSM класса КВ на рынке всего два — это компании «КриптоПро» и «ИнфоТекс». Такие HSM могут подписывать файлы класса КВ2 и гарантируют, что доступ к ним не сможет получить никто, кроме владельца УКЭП. Стоимость таких HSM начинается от ₽1,5 млн.

Таким образом, на сегодняшний день для работы с ЕБС все банки должны приобрести HSM. А разработчики прикладного программного обеспечения ЕБС должны создать программное обеспечение, выполняющее функцию сервера подписи по взаимодействию с HSM согласно разрешенному списку API. А также провести оценку влияния программного обеспечения на функционирование HSM согласно требованиям формуляра того же HSM. Положительное заключение о проведенной оценке влияния можно получить в одной из примерно тридцати специально аккредитованных лабораторий ФСБ, две из которых действуют на базе «КриптоПро» и «ИнфоТекс». На получение положительного заключения уходит примерно год, стоит это от ₽3 млн, и далеко не все лаборатории берутся за подобные работы.

Таким образом, для ввода в эксплуатацию HSM требуется, как минимум, два месяца: две-три недели придется ждать поставки HSM, пять дней занимает исполнение запроса на получение ключа (УКЭП класса КВ2), затем этот ключ надо зарегистрировать в СМЭВ, организовать тестирование в СМЭВ, ЕСИА, ЕБС, после этого провести испытания в «боевом» контуре и только потом окончательно запустить в эксплуатацию.

Вариант собственного решения

Источник: «Диасофт», 2020

Второй вариант — получение HSM как сервиса. Тогда покупку HSM берет на себя провайдер. Он же разрабатывает сервер электронной подписи на основе API устройства. Но в этом случае для разработанного сервера необходимо также провести оценку влияния программного обеспечения на функционирование HSM. Помимо этого, обеспечить защиту инфраструктуры в соответствии со всеми требования ИБ и, как доказательство, провести аттестацию системы на соответствие требованиям ИБ ФСТЭК для ИСПДн.

Новые рекомендации Банка России

В феврале 2019 г. регулятор выпустил методические рекомендации 4-МР по использованию средств защиты информации. Как известно, эти рекомендации не проходили регистрацию в Минюсте и согласование с ФСТЭК и ФСБ. При внимательном изучении в них можно увидеть противоречия требованиям ФСТЭК. Суть противоречия в том, что, согласно этим рекомендациям, банки обязуют использовать продукты, сертифицированные ФСБ, там, где надо использовать средства защиты информации, имеющие сертификаты ФСТЭК, и наоборот.

В этих рекомендациях введены понятия «Собственное решение», «Типовое решение» и «Облачное решение». Но разница между «собственными» и «типовыми» решениями очень расплывчата, и критерии, по которым их можно отнести к первой или второй категории, отсутствуют. Кроме того, в рекомендациях сказано, если банк намерен использовать типовое или облачное решение, оно должно создаваться на базе согласованного с ФСБ системного проекта. Но ФСБ не занимается согласованием системных проектов — в ее составе нет соответствующего подразделения, если не брать в расчет отдел, отвечающий за работу удостоверяющих центров, которому, к слову, сейчас и передали эту работу.

Если говорить про 4-МР — это не нормативный документ, а рекомендации. В них продублированы требования ФСБ и ФСТЭК только к собственному решению. Требования же к типовому и облачному решению переданы на усмотрение ФСБ, и она должна использовать их при согласовании технического проекта. Но пока не согласованы требования к решениям и не разработаны требования и к самому техническому проекту.

Очевидно, что, выпуская 4-МР, Банк России попытался свести воедино все, что нужно выполнить при внедрении ЕБС в банке: формуляры на СКЗИ, указание регулятора №4859-У, приказ ФСТЭК №21, приказ ФСБ №378. Разобраться в них, действительно, тяжело и по силам только специалисту, глубоко погруженному в специфику требований ФСТЭК и ФСБ и имеющему опыт внедрения таких средств защиты.

Однако появление 4-МР сделало процедуру подключения банков к ЕБС более запутанной. Получилось, что следование всем правилам создает замкнутый круг: если проект соответствует приказу № 378 ФСБ, то, как было сказано ранее, он противоречит приказу №4859-У Банка России. В такой ситуации логичнее было бы возложить обязанность проводить оценку технических проектов на ФСТЭК, которая исторически занимается решением таких вопросов. Для этого существует процедура аттестации информационных систем по требованиям ИБ, которая подтверждает, что все требования безопасности выполнены, и объект можно переводить в промышленную эксплуатацию.

К счастью, благодаря активному участию Банка России во встречах членов Ассоциации банков России (Ассоциация «Россия»), регулятор изменил свою позицию и объявил, что положения 4-МР носят рекомендательный характер, а при выборе сертифицированных средств защиты информации необходимо руководствоваться требованиями формуляра.

Требования методических рекомендаций МР-4

Источник: «Диасофт», 2020

После выхода МР-4 производители программного обеспечения (ПО) для ЕБС оперативно приступили к согласованию типовых решений и проведению оценки влияния ПО на функционирование HSM. Для многих это стало тяжелым испытанием, поскольку разобраться во всех тонкостях требований к ИБ было непросто. Затем началось соревнование, кто первым объявит о завершении согласования. Некоторые компании рапортовали об этом сразу после утверждения технического задания, которое, по сути, является лишь первым этапом. Причин этому несколько. Во-первых, специалистов, разбирающихся в деталях проведения работ по оценке влияния программного обеспечения на функционирование HSM, не так много. А во-вторых, проверить правдивость таких заявлений практически невозможно, поскольку подобная информация подпадает под категорию «для служебного пользования» и недоступна посторонним.

Универсальный сервер подписи

Как уже было сказано, для подключения к ЕБС банки могут использовать облачное решение. Надо сказать, что выполнить все требования по ИБ и пройти аттестацию можно только в случае, если речь идет о приватном облаке. Поэтому ряд банков пошел по пути аренды физических серверов и в итоге получил аналог обычного in-house решения, отличающийся лишь тем, что он принадлежит провайдеру. Поставщик услуг берет на себя все затраты на внедрение и сопровождение решения, отвечает за риски, связанные с выходом из строя оборудования или окончанием срока действия сертификатов на средства защиты информации, занимается аттестацией и получением разрешений от ФСБ.

Компания «Диасофт» решила пойти по пути создания гибридного решения, то есть предложить банкам информационно-технологическую платформу как услугу (PaaS) и программное обеспечение как услугу (SaaS). Для этой цели был разработан уникальный договор, в котором прописано использование SaaS и PaaS, а также гарантии обеспечения безопасности информации. В предлагаемом «Диасофт» сервисе за каждым банком закрепляется собственная электронная подпись (УКЭП класса КВ2), которой он, в соответствии с законодательством, подписывает запросы в СМЭВ, ЕСИА, ЕБС. Некоторые разработчики подобных сервисов предлагают банкам не получать собственную УКЭП, а воспользоваться полученной поставщиком услуг. Однако в настоящее время, согласно закону, небанковские организации не могут получить УКЭП класса КВ2. Если такая возможность все-таки появится, она немедленно будет реализована в решении «Диасофт».

Главным преимуществом предлагаемого «Диасофт» сервиса является то, что компания разработала специальное программное обеспечение (СПО) «Модуль подписи HSM», которое является универсальным средством формирования и проверки усиленной квалифицированной электронной подписи не выше класса КВ2. Это позволило компании расширить область применения СПО «Модуль подписи HSM» – теперь его можно применять не только для подписания и проверки биометрических образцов по классу КВ2 для ЕБС, но также использовать для взаимодействия с ЕСИА, СМЭВ и реализации собственных задач банка в случаях, когда требуется использование централизованной криптографии, например, в системах документооборота банка, АБС или , без проведения очередной оценки влияния.

Архитектура сервиса

Источник: «Диасофт», 2020

Решение «Диасофт» работает по классической схеме. Сотрудник банка, который оказывает услугу по регистрации в ЕСИА и ЕБС, собирает данные гражданина (биометрические образцы), подписывает их УКЭП класса КС2-КС3 и передает их в информационную систему, где они обрабатываются, затем биометрические образцы подписываются банком УКЭП класса КВ2 и через СМЭВ уходит в «Ростелеком». На каждом участке этой цепочки используются необходимые средства защиты информации.

На первом этапе предполагалось, что каждый банк будет покупать собственный HSM, а затем заниматься оценкой его влияния. Конечно, для банков это было совершенно не выгодно, тем более в условиях, когда спроса на использование биометрии нет и в ближайшее время не предвидится. Не готовы были к такой нагрузке и лаборатории ФСБ: по состоянию на 1 октября 2020 г. в России было 378 банков, из них 126 — с базовой лицензией, 252 — с универсальной лицензией. И если бы все они разом обратились за оценкой влияния, аккредитованные лаборатории просто не справились бы с нагрузкой.

В результате оценкой влияния ПО для ЕБС вынуждены были заняться вендоры. Из-за недостаточного знания всех нюансов, для некоторых из них этот процесс затянулся на два года. Кроме того, надо было не просто получить оценку влияния, но и выполнить все требования по ИБ, предъявляемые к сегменту информационной системы банка, в котором расположен HSM, со стороны ФСТЭК и ФСБ.

Мало того, сертификаты на средства защиты довольно быстро устаревают, то есть очередное обновление программного обеспечения не только HSM, но и, например, операционной системы Microsoft Windows, влечет за собой необходимость обновления систем ИБ. Это особенно актуально, когда используются средства ИБ класса КВ: их замена практически невозможна, потому что это требует получения нового положительного заключения ФСБ России — а это еще год ожидания и от ₽2,5 млн. До сих пор непонятно, как будет складываться ситуация с сертификацией самого HSM, ведь она тоже имеет ограниченный срок действия, продлевается, как правило, не больше двух раз, после чего необходима замена HSM на более новую версию.

К слову, вопрос об обеспечении защиты и аттестации самой государственной информационной системы ЕБС до ее ввода в промышленную эксплуатацию согласно приказу 17 ФСТЭК России до сих пор остается открытым: никакой официальной информации об этом обнаружить не удалось. Причина в уже упомянутой ранее неопределенности ее статуса.

На сегодняшний день разработанное «Диасофт» СПО «Модуль подписи HSM» получило все необходимые разрешения ФСБ и ФСТЭК. Так, получено положительное заключение ФСБ России №149/3/2/2487 от 2020 по результату проведения работ по оценке влияния специального программного обеспечения «Модуль подписи HSM» на штатное функционирование СКЗИ ПАКМ «КриптоПро HSM» версии 2.0 и СКЗИ «КриптоПро CSP» версии 5.0. Сервис имеет аттестат соответствия требованиям безопасности к государственным информационным системам класса защищенности «К1» и к информационным системам, в которых обеспечен 1-й уровень защищенности персональных данных.

Как подключиться к ЕБС

На сайте «Ростелекома» выложена вся документация и пошаговая инструкция для желающих подключиться к ЕБС. Сделать это совсем не просто. Процедура состоит из 15 шагов и занимает около месяца.

Надо отправить запрос в Минцифры на получение ключа (УКЭП класса КВ2) для HSM, после получения разрешения сделать запрос на его генерацию в НИИ «Восход», получить ключ, затем зарегистрировать ключ в тестовой среде СМЭВ, ЕБС, ЕСИА, провести тестовый съем биометрии. После того как тестовые испытания будут завершены успешно, можно будет переключаться в промышленный контур СМЭВ, ЕБС, ЕСИА.

Выбирая облако «Диасофт», банк приобретает решение, которое можно в любой момент масштабировать. Кроме того, он получает все необходимые средства информационной безопасности, не занимается их внедрением, сопровождением и обновлением или самих средств защиты, или их сертификатов. Более того, ему не придется самостоятельно технически подключаться к ЕБС — надо будет только получить соответствующие разрешения.

Также облачный продукт «Диасофт» уже интегрирован со СМЭВ и ЕСИА, а значит, банку не понадобятся дополнительные ключи класса КС1-КС2. Кроме того, провайдер берет на себя все заботы об аттестации решения по требованиям безопасности информации ФСТЭК.

Биометрия и банки: ближайшие перспективы

Несмотря на то, что по распоряжению Банка России к 1 января 2019 г. к ЕБС должны были подключиться 80% офисов банков, этого не произошло. По состоянию на 13 ноября 2020 г. сдать биометрию можно было в 339 из 378 банков, то есть в 90% из них. В мае 2020 г. «Ведомости» провели тестирование системы. На тот момент в ней зарегистрировалось около 130 тыс. человек. Однако, как выяснилось, получить банковские услуги с помощью ЕБС было практически невозможно.

Сегодня на многочисленных банковских форумах можно прочитать, что в последние 8 месяцев интерес финансовых организаций к этой теме упал практически до нуля. По-видимому, основная причина в том, что потратить немалые деньги на решение, востребованность которого до сих пор вызывает большие сомнения, желающих не слишком много.

В последнее время в СМИ появилась информация о том, что московский метрополитен совместно с банком ВТБ запускают проект по организации прохода в московское метро на основании биометрических данных. Под него уже переоборудованы турникеты, причем не только на входе, но и на выходе из подземки. При этом вопрос, на каком основании перевозчик в лице метрополитена будет обрабатывать персональные данные пассажиров, так и остается открытым, ведь для указания услуги по организации проезда данные должны только сопоставляться, но не храниться.

Таким образом, созданная банками инфраструктура, скорее всего, будет простаивать еще как минимум 2-3 года. За это время поменяются используемые в ней средства защиты информации, а значит, их придется обновлять — а это дополнительные расходы, которые в любом случае, пусть и косвенно, ложатся на граждан в виде роста процентов по кредитам или снижения процентов по вкладам. Наиболее логичной в данном случае была бы передача обязанности по сбору биометрии МФЦ. Однако такое решение пока не принято.

Без сомнений, государство реализует правильную цифровую инициативу, в которую уже инвестированы значительные средства. Для успешного развития ЕБС в дальнейшем требуется синхронизировать законодательные акты. Пока готовилась эта статья, президент России Владимир Путин подписал закон об использовании ЕБС для удаленной идентификации. Согласно новому закону, с 1 января 2021 г. банки с универсальной лицензией обязаны обеспечить клиентам из числа физических лиц возможность открывать счета (вклады) в рублях, а также получать кредиты в рублях без личного присутствия после проведения удаленной идентификации в порядке, определенном законом. Действия государства, направленные на принуждение банков быть готовыми к предоставлению услуг в удаленном формате, вселяют надежду, что скоро описанная в статье ситуация изменится. Высока вероятность, что, помимо опыта взаимодействия с банками, граждане смогут удаленно пользоваться услугами организаций из других отраслей. Доверие со стороны граждан к биометрии существенно вырастет, количество услуг увеличится, люди увидят реальную пользу и удобство при использовании возможностей, предлагаемых государством. И биометрия станет неотъемлемой частью нашей жизни.​

Алексей Полетаев