ЦБ: банки не могут хранить биометрические данные на уровне гостайны
Замруководителя департамента информационной безопасности ЦБ Артем Сычев сообщил, что банки не могут выполнить требования ФСБ по хранению биометрии граждан из-за отсутствия методики корректного встраивания спецоборудования – HSM-модуля – в свои системы. Без этого получить ключи класса КВ, как того требует спецслужба, невозможно, пишет «Коммерсант».
«Методики корректного встраивания HSM нет <…>, но без методики получить заключение ФСБ нереально», – отмечает собеседник издания в крупном банке. По данным «Ростелекома», внедрение модуля идет в 26 банках, но ни в одном из них пока не завершилось.
Сейчас нет технических решений, которые могли бы полностью отвечать требованиям ФСБ к сбору и хранению биометрии. Есть стандартизированный способ, который некоторые банки уже используют: вся биометрическая информация отправляется по шифрованному каналу, но без дополнительной защиты, что не предполагает безопасное шифрование по классу КВ.
По словам Сычева, ЦБ и ФСБ также проработали варианты «облачного и типового решений по подключению банков к единой биометрической системе (ЕБС) с выполнением всех необходимых требований». Типовое решение «Ростелекома» предполагает требуемый ФСБ уровень шифрования, но у него пока нет сертификата. «Облако» пока только разрабатывается: «Ростелеком» согласовал его архитектуру и дорожную карту реализации с ФСБ.
Банки готовы выполнять требования ФСБ, когда появится хоть одно полноценное решение. В Тинькофф Банке отмечают, что активно занимаются внедрением HSM и до 2020 года кредитной организации нужно построить процессы сбора и передачи биометрии от представителя до центрального офиса по каналам с ГОСТовой криптографией, пишет «Коммерсант».
По словам члена правления Почта-банка Святослава Емельянова, сейчас вся информация, идущая в ЕБС, и так защищена. «Но мы готовы внедрить дополнительные механизмы и приобрести необходимое оборудование после получения требований и разъяснений со стороны соответствующих органов, – отметил он. – Сейчас важно получить единое интеграционное решение, которое позволит корректно встроить HSM в инфраструктуру банка».
«ФСБ не является регулятором для кредитных организаций, его сотрудники не могут выйти в банк с проверкой», – сказал консультант по интернет-безопасности Cisco Алексей Лукацкий. Он отмечает, что банки в первую очередь учитывают позицию регулятора, который обещает пока не применять к ним карательные меры из-за отсутствия HSM-модуля.