Единая биометрическая система (ЕБС) действует в России со 2 июля. Однако применение криптографической защиты стало серьезной проблемой по использованию мобильных устройств.
Мы уже писали о том, что Центробанк изначально планировал, что биометрические данные, к которым относятся образ лица и голос, в июле начнут собирать около 400 отделений банков в 140 городах страны, а к концу года – 20% банков в 4 тыс. отделениях. Затем эти данные направляются в единую биометрическую систему. По материалам ЦБ РФ, на начало августа в ЕБС насчитывались данные 1,2 тыс. человек.
Предполагалось, что в дальнейшем для получения банковской услуги человеку достаточно пройти авторизацию в единой системе идентификации и аутентификации и подтвердить свои данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.
«Ростелеком» уже разработал и в середине октября готов представить мобильное приложение, которое будет устанавливать клиент на своих гаджетах для верификации и получения дистанционных банковских услуг.
Впрочем, проблема пришла откуда не ждали – с размещением приложения в PlayMarket и AppStore.
По словам источника, близкого к оператору, – «Приложение защищено криптографией, то есть Apple и Google должны дать согласие на внедрение черного ящика в свои магазины приложений. И если от Google такое согласие получено, то с Apple переговоры все еще ведутся».
Впрочем, если переговоры с Apple, – а их факт подтверждает заместитель главы департамента информационной безопасности Центробанка Артем Сычев, – не увенчаются успехом, то счастливые обладатели айфонов не смогут пройти верификацию через мобильные устройства и будут вынуждены при обращении в банки делать это только с компьютера или планшета через веб-приложение.
Есть и другие сложности с использованием биометрии. Как поясняют специалисты по интернет-безопасности, срок сертификации средств шифрования в Федеральной службе безопасности (ФСБ) обычно длиннее времени жизни пользовательского и банковского программного обеспечения (ПО). И это временное расхождение может привести либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением. Сейчас сертификация занимает не менее года.
Впрочем, господин Сычев уверен, что в данном случае проблемы не возникнет, поскольку ФСБ пойдет на оперативную пересертификацию.
Как отметил консультант по интернет-безопасности компании Cisco Алексей Лукацкий, есть и еще одна проблема – разночтение в нормативных документах. Так, существуют установленные требования ФСБ для средств криптографической защиты (СКЗИ), которые на платформах Macbook, iOS и т.п. выполнить непросто.
«В соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы, – а такая возможность есть для Linux и Android, – на которой будет запускаться биометрическое ПО, сертификация возможна только по классу КА, что выполнить невозможно», –отмечает Лукацкий.
Однако Центробанк, определяя перечень угроз при работе с биометрическими данными, счел достаточным более низкий уровень защищенности – КС1.
Вместе с тем правозащитники считают, что подобный подход явно ущемляет права банковских клиентов.
«Когда человек сдает биометрию, он рассчитывает с ее помощью оперативно получать доступ к банковским услугам. И о том, что приложение не будет функционировать на его телефоне, он должен быть проинформирован в момент сдачи биометрии, а не постфактум. Также он должен быть заранее проинформирован и о рисках получения доступа злоумышленников к его биометрическим данным», – отмечает руководитель проекта ОНФ «За права заемщиков» Виктор Климов.