Биометрия в банках – несуразная, угловатая и противоречивая вся
Валерий Естехин, 17/03/20
Эксперт по вопросам информационной безопасности,автор блога estekhin.blogspot.ru
Согласно положениям информационного письма Банка России от 28.06.2018 № ИН-03-13/402 с 1 января 2020 г. 100% отделений банков (позже было уточнение на cbr.ru: имеющих универсальную лицензию), должны предоставлять услугу приема биометрических данных клиентов. Для банков с базовой лицензией этот срок было предложено перенести на начало 2021 г. (в том же сообщении на cbr.ru).
На текущий момент лишь единичные банки готовы оказывать финансовые услуги на основе удаленной идентификации граждан в ЕСИА и ЕБС.
Согласно разъяснениям от Банка России по вопросу сбора и размещения биометрических данных клиента – физического лица в ЕБС, изложенным в информационном письме от 13.12.2019 № ИН-06-59/91, "размещение и обновление в ЕСИА и ЕБС сведений о клиенте – физическом лице является самостоятельной услугой, оказываемой банком. В связи с этим отсутствие предшествующих договорных отношений с банком, в том числе отсутствие заключенного договора банковского счета, не может являться основанием для отказа в размещении и обновлении в электронной форме в ЕСИА и ЕБС сведений о клиенте – физическом лице".
То есть если любой человек "с улицы" может обратиться в банк по вопросу размещения и (или) обновления в электронной форме своих биометрических данных в ЕБС и банком (цитата из указанного письма) "должна быть выполнена его идентификация в соответствии с требованиями Федерального закона № 115-ФЗ, сведения о нем должны быть внесены в анкету (досье) клиента" и должны быть проведены процедуры сбора и размещения данных в ЕБС и ЕСИА.
Получается, банки – это теперь еще и "пункты приема и размещения в ЕБС" биометрических образцов граждан.
На сайте Банка России (cbr.ru) с 9 октября 2018 г. публикуется "Карта точек банковского обслуживания, где можно сдать биометрию"3. На карте отмечено множество отделений банков из разных субъектов РФ. Но, как говорится, не стоит принимать карту за местность.
Давайте для начала разбираться, что у нас с количеством банков, уже предоставляющих услугу по сбору и размещению в ЕБС биометрических данных клиентов.
На текущий момент необходимая технологическая инфраструктура банков для сбора и размещения биометрических данных граждан в ЕБС, отвечающая всем требованиям законодательства РФ, не подготовлена.
На конец 2018 г. таких банков, по сообщениям в СМИ, насчитывалось 61. В декабре 2019 г. в СМИ прошла информация, что глава "Ростелекома"4 на слушаниях в Госдуме сообщил о более 150 российских банках, собирающих биометрические данные клиентов.
Согласно законодательству РФ, к сбору и размещению биометрии в ЕБС допускаются только те финансовые организации, которые удовлетворяют критериям, одним из которых является установленный абзацами вторым – четвертым п. 5.7 ст. 7 Федерального закона от 07.08.2001 № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".
На сайте Банка России (cbr.ru) размещен и регулярно обновляется перечень банков, соответствующих указанным выше требованиям. По состоянию на 10 января 2020 г. в этом перечне находились 365 финансовых организаций. Сделав нехитрый расчет, получаем, что более 200 банков пока еще не оказывают услугу по сбору и размещению в ЕБС биометрии граждан.
Несоответствие требованиям со стороны ФСБ и ФСТЭК к системам защиты при сборе и размещении биометрии
Теперь разберемся, как обстоят дела в банках, собирающих биометрию граждан, с исполнением обязательного требования по "использованию средств криптографической защиты информации на всех этапах работы с биометрией" и других требований информационной безопасности в Единой биометрической системе.
На текущий момент, не боясь ошибиться, можно утверждать, что банки, независимо от своего размера и уставного капитала, находятся только в начале пути реализации поэтапного плана оснащения своей технологической инфраструктуры, отвечающей за сбор биометрии, средствами защиты информации (оборудованием и программным обеспечением), соответствующими всем требованиям регуляторов.
Для сбора биометрии большинство банков стараются выбирать сертифицированные, типовые решения. Но на получение со стороны ФСБ оценки встраивания (контроль встраивания) криптографии в типовое решение от разработчика обычно уходит год-полтора.
В отсутствие на рынке типовых решений, согласованных с ФСБ (на исходе 2019 г. наконец-то появилось такое решение от ПАО "Ростелеком"), банки собирают биометрию клиентов на свой страх и риск в надежде, что такая оценка (контроль встраивания со стороны ФСБ) будет получена выбранным поставщиком решения в обозримом будущем.
Напрашивается вывод: регуляторы, очевидно, перебрали с неоправданно сжатыми сроками внедрения сбора биометрии в банках. А банки, получая противоречивые указания от Банка России, не торопились закупать необходимое оборудование и ПО в условиях отсутствия адекватных решений на рынке.
В чем противоречивость указаний Банка России?
С одной стороны, Банк России потребовал от банков5 начиная с 20 мая 2019 г. и до 31 декабря 2019 г. предоставлять раз в две недели отчетность о текущем состоянии работ по выполнению требований информационной безопасности в ЕБС.
С другой стороны, Банк России считает, что использование типового решения для сбора и размещения биометрии в ЕБС на основе системного проекта, по которому не получено согласование ФСБ России в соответствии с рекомендациями 4-МР6 (п.п.2.3.8.2–2.3.8.3), недопустимо.
Что в результате имеем?
На текущий момент необходимая технологическая инфраструктура банков для сбора и размещения биометрических данных граждан в ЕБС, отвечающая всем требованиям законодательства РФ, не подготовлена.
Основные причины
В условиях неопределенности с типовыми решениями мотивация банков по внедрению биометрии в 2019 г. была дозирована необходимостью соблюдения требований законодательства.
Поставщики решений для ЕБС не успели согласовать в ФСБ свои системные проекты сбора биометрии (типовые решения), а покупать "кота в мешке" (то ли согласуют, то ли нет) многие, как правило, крупные банки не желают. Кроме того, типовые решения от разных поставщиков различаются "полнотой охвата" процесса сбора биометрических данных. У некоторых поставщиков типовой системный проект охватывает не только внутренний сегмент банка, где размещены средства криптографической защиты информации (модуль криптографии для подписания банковскими электронными ключами собранных биометрических данных, отправляемых в ЕБС), но и рабочие места операторов сбора биометрии в филиалах.
Те компоненты, которые выбирали поставщики решений для своих "типовых решений" по сбору и размещению биометрии в ЕБС, быстро устаревают: выходят новые версии ПО и оборудования, заканчиваются сертификаты ФСТЭК и ФСБ на средства защиты и т.д. Поэтому банки весь 2019 г. пребывали в напряженных размышлениях: покупать то, что есть на рынке, или все же подождать появления новых версий средств защиты с более длительными сроками действия сертификатов ФСТЭК и ФСБ.
На начало 2020 г. единственным типовым решением, получившим окончательное согласование (кстати, только в начале декабря 2019-го), был проект от ПАО "Ростелеком".
То есть, по сути, на протяжении 2019 года внедрять банкам было нечего
В конце концов Банк России вынужден был признать, что единственным фактором неопределенности, способным повлиять на сроки внедрения биометрии в финансовом секторе, является время, которое потребуется на согласование ФСБ России системных проектов поставщиков решений. С уполномоченным органом должны быть согласованы вначале системный проект, а потом и решение на его основе.
Как следствие, кредитные организации не спешили готовить сервисы для оказания банковских услуг (удаленно, без посещения офиса банка, например, открыть счет, вклад, выпустить карту, оформить кредит и т.д.) клиентам, которые зарегистрировались в ЕСИА и сдали биометрию (изображение лица и запись голоса) в ЕБС.
Собирать биометрию, как показывает расчет выше, начали примерно в половине банков, так как согласно законодательству это обязанность банков, а оказывать с помощью биометрии услуги – (пока) только право, которое может быть реализовано на усмотрение банка (п. 5.8 ст. 7 закона № 115-ФЗ).
К тому же некоторые крупные банки собирают биометрические данные клиентов для своих внутренних систем, а не с целью размещения их в ЕБС.
"Скажи-ка, дядя, в гаджет глядя"
18 октября 2018 г. ПАО "Ростелеком" впервые представило мобильное приложение для удаленной биометрической идентификации граждан – "Ключ Ростелеком" (позднее переименованное в "Биометрия Ростелеком"). Приложение размещено в онлайн-сервисах Google Play от компании Google и App Store от компании Apple.
Но воспользоваться удаленной идентификации в ЕБС, например используя смартфон, клиентам, как было сказано выше, в общем-то пока негде. В результате получаем недовольство тех пока немногочисленных клиентов банков, которые сдали биометрию.
Характерные отклики сдавших биометрию: "Для чего я прошла биометрию, если услуг нет, страница с услугами пустая?"
Или пытавшихся сдать биометрию, но по причинам неотлаженности процессов в банках не сумевших это сделать: "Ушел со стойким ощущением, что избежал чего-то нехорошего!"”
Восприятие гражданами РФ Единой биометрической системы
Несмотря на то, что ПАО "Ростелеком" как оператор ЕБС через все возможные каналы коммуникаций рассказывает про услуги, которые можно получать с помощью ЕБС, в часто задаваемых вопросах на сайте и в мобильном приложении "Биометрия Ростелеком" ответ на вопрос "Почему возникла идея разработки Единой биометрической системы?", прямо скажем, звучит малоубедительно: "Внедрение ЕБС сделает сначала финансовые услуги, а затем и другие цифровые сервисы более доступными для граждан из отдаленных регионов, а также для маломобильных граждан". Обозначенная "целевая аудитория" явно не соответствует масштабам проекта и беспрецедентному давлению на банки со стороны регуляторов при внедрении ЕБС.
Основные факторы, сдерживающие внедрение ЕБС: боязнь утечек и отсутствие контроля за гражданами со стороны бизнеса и государства.
Те удаленные регионы, для жителей которых сдача биометрии способствовала бы получению качественного сервиса в любом банке (как задумывалось), как правило, наименее активны в финансовом плане. Вся финансовая активность происходит в крупных городах, где банки и так расположены на каждом углу.
Кроме того, у населения есть опасения, связанные с безопасностью своих персональных данных.
Тот факт, что в России, по сообщениям в СМИ, количество утечек конфиденциальной информации из компаний и государственных организаций выросло в 2019 г. более чем на 40% по сравнению с 2018 г., явно не способствует укреплению доверия граждан к частным и государственным компаниям, а также к их способности обеспечить защиту персональных данных.
А закон № 152-ФЗ7 требует защищать в том числе и биометрические данные. Но реализация технологии сбора биометрии в каждом банке протекает по-разному. От банков требуются вложения значительных средств для предотвращения утечек данных и защиты информации. Причем каждый банк самостоятельно определяет необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.
При этом, как правило, делается допущение, что как в банках, так и в государственных базах данных образцы биометрии граждан никто подменить/украсть не сможет.
Граждане не понимают, зачем им нужно идти в банк для сдачи биометрии, а также им непонятно, в какую сторону будут развиваться эти технологии.
Время от времени появляющиеся в СМИ публикации типа "Коллекторы в следующем году получат доступ к Единой биометрической системе (ЕБС) и смогут идентифицировать должников по голосу" также явно не укрепляют доверия к ЕБС со стороны населения и не добавляют сторонников удаленной идентификации.
Есть опасения, что выигрыши от удаленной идентификации с помощью биометрии будут сильно проигрывать риску потери приватности частной жизни, так как сложно сейчас предсказать, какие угрозы будут существовать при массовом использовании биометрических персональных данных.
Что в итоге в банках со сбором биометрии?
Дата начала функционирования ЕБС – системы идентификации граждан РФ на основе биометрических персональных данных – 30 июня 2018 г. Срок в полтора года, отведенный Банком России, оказался недостаточным для банков, чтобы:
а) подготовить и согласовать с поставщиками решений технические задания в рамках проектов реализации технологии сбора и размещения биометрии в ЕБС;
б) сформировать бюджет на проект "Биометрия";
в) подготовить и провести конкурсные процедуры для закупки соответствующих отечественных сертифицированных решений для защиты информации;
г) отладить процедуру сбора данных клиентов в Единую биометрическую систему (по мнению самих клиентов, процедура сбора остается неудобной).
д) масштабировать процедуру сбора биометрии до всех офисов (при наличии у банка крупной территориально распределенной розничной сети), так как это комплексная, сложная и трудоемкая задача.
Сложившаяся ситуация, когда поставщиков решений для ЕБС и сертифицированных средств защиты информации можно пересчитать по пальцам одной руки, нередко приводила к тому, что один-единственный поставщик мог нарушить все планы банков (например, новость на сайте компании "Код безопасности"” от 3 декабря 2019 г. о том, что вводятся ограничения на заказы ПАК "Соболь" (средство защиты информации) с отгрузкой в декабре 2019 г. "в связи с участием в крупном федеральном проекте с большим социальным значением").
Из-за низкого спроса на биометрию со стороны клиентов во многих банках пока не планируют запускать сервисы, которые бы позволяли эту самую биометрию использовать.
У банков есть опасения, что тема сбора биометрии не оправдает вложенных средств (дорогостоящее оборудование простаивает, а инвестиции себя не оправдывают).
Налицо ситуация: биометрия становится навязчивой идеей Банка России, а банки затаились и ждут, втайне надеясь на перенос сроков применения мер воздействия со стороны регулятора.
1 Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации".
2 Согласно положениям информационного письма Банка России от 28.06.2018 № ИН-03-13/40 банки обязаны выполнять регистрацию клиентов – физических лиц в ЕБС и обеспечивать внутренние структурные подразделения (ВСП) банков в каждом субъекте РФ необходимым, отвечающим всем требованиям законодательства оборудованием и программным обеспечением:
• не менее чем в 20% ВСП – по состоянию на 31 декабря 2018 г.;
• не менее чем в 60% ВСП – по состоянию на 30 июня 2019 г.;
• во всех ВСП – по состоянию на 31 декабря 2019 г.
3 https://www.cbr.ru/fintech/remote_authentication/map/
4 Согласно распоряжению Правительства РФ от 22.02.2018 № 293-р оператором Единой биометрической системы назначено ПАО “Ростелеком".
5 29.04.2019 Банк России от имени департамента информационной безопасности разослал через личные кабинеты кредитных организаций информационное письмо от 26.04.2019 № 56-2-4/228, в котором предлагал:
п.1: в срок до 17.05.2019 предоставить план мероприятий по реализации требований ИБ в ЕБС с учетом отправленной ранее информации о выбранном способе подписания;
п. 2: начиная с 20.05.2019 раз в две недели отчитываться об исполнении этого плана по форме приложения к письму.
6 Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.
7 Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных".
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2020