Практика
29 ноября 2018, 8:44

ЦБ: банки не могут хранить биометрические данные на уровне гостайны

Центробанк заявил, что на российском рынке нет такого криптографического оборудования, на котором банки могли бы хранить биометрические данные на уровне гостайны, как того требует ФСБ.

Замруководителя департамента информационной безопасности ЦБ Артем Сычев сообщил, что банки не могут выполнить требования ФСБ по хранению биометрии граждан из-за отсутствия методики корректного встраивания спецоборудования – HSM-модуля – в свои системы. Без этого получить ключи класса КВ, как того требует спецслужба, невозможно, пишет «Коммерсант».

«Методики корректного встраивания HSM нет <…>, но без методики получить заключение ФСБ нереально», – отмечает собеседник издания в крупном банке. По данным «Ростелекома», внедрение модуля идет в 26 банках, но ни в одном из них пока не завершилось. 

Сейчас нет технических решений, которые могли бы полностью отвечать требованиям ФСБ к сбору и хранению биометрии. Есть стандартизированный способ, который некоторые банки уже используют: вся биометрическая информация отправляется по шифрованному каналу, но без дополнительной защиты, что не предполагает безопасное шифрование по классу КВ. 

По словам Сычева, ЦБ и ФСБ также проработали варианты «облачного и типового решений по подключению банков к единой биометрической системе (ЕБС) с выполнением всех необходимых требований». Типовое решение «Ростелекома» предполагает требуемый ФСБ уровень шифрования, но у него пока нет сертификата. «Облако» пока только разрабатывается: «Ростелеком» согласовал его архитектуру и дорожную карту реализации с ФСБ.  

Банки готовы выполнять требования ФСБ, когда появится хоть одно полноценное решение. В Тинькофф Банке отмечают, что активно занимаются внедрением HSM и до 2020 года кредитной организации нужно построить процессы сбора и передачи биометрии от представителя до центрального офиса по каналам с ГОСТовой криптографией, пишет «Коммерсант». 

По словам члена правления Почта-банка Святослава Емельянова, сейчас вся информация, идущая в ЕБС, и так защищена. «Но мы готовы внедрить дополнительные механизмы и приобрести необходимое оборудование после получения требований и разъяснений со стороны соответствующих органов, –  отметил он. – Сейчас важно получить единое интеграционное решение, которое позволит корректно встроить HSM в инфраструктуру банка».

«ФСБ не является регулятором для кредитных организаций, его сотрудники не могут выйти в банк с проверкой», – сказал консультант по интернет-безопасности Cisco Алексей Лукацкий. Он отмечает, что банки в первую очередь учитывают позицию регулятора, который обещает пока не применять к ним карательные меры из-за отсутствия HSM-модуля.