Перемены в лицах: почему ЦБ внедряет новые решения для сбора биометрии
Внедрение биометрической системы в банковском секторе осложняется нехваткой криптографического оборудования. Об этом заявил первый заместитель директора департамента информационной безопасности Банка России Артем Сычев, выступая на SOC-форуме 27 ноября. По его словам, внедрение Единой биометрической системы (ЕБС) осложняется тем, что предприятия не могут произвести должное количество устройств с отечественной криптографией.
Есть ли дефицит оборудования и что ЦБ предлагает в качестве альтернативы, разбирался РБК.
Зачем банкам биометрия
Единая биометрическая система — это цифровая платформа для идентификации граждан по голосу и изображению лица. Минкомсвязь и другие ведомства занимаются созданием системы с середины 2016 года по поручению правительственной комиссии по информационным технологиям. Сначала система внедряется в банковском секторе. Клиенту нужно явиться в банк только один раз, чтобы сформировать свой «цифровой слепок». Этого должно быть достаточно, чтобы затем он мог удаленно становиться клиентом любого банка и дистанционно получать услуги. Чтобы ЕБС «узнала» гражданина и дала доступ к финансовым сервисам, уже зарегистрированный пользователь должен через специальное мобильное приложение или web-форму снять себя на камеру и произнести ключевую фразу. Если голос и изображение совпадут, доступ будет предоставлен.
Сбор данных для ЕБС стартовал в июле 2018 года. К 1 января 2019 года все банки страны должны подключить к ЕБС 20% своих отделений (всего — около 4 тыс. отделений). К середине 2019 года их количество должно вырасти до 60%, а к концу года — до 100%. Согласно «Карте точек банковского обслуживания, где можно сдать биометрию», пока их количество составляет около 450.
Как ЦБ предлагает изменить систему подключения
Как уточнил РБК Сычев через пресс-службу ЦБ уже после форума, для подключения к системе сейчас банкам требуются средства криптографической защиты информации определенного класса. «Напомню, что уже есть стандартизированное решение. В настоящее время с учетом особенностей операционных моделей банков ЦБ совместно с ФСБ проработал вариант облачного и типового решений по подключению банков к ЕБС с выполнением всех необходимых технологических требований и требований по обеспечению информационной безопасности», — сообщил Сычев.
Представитель ЦБ добавил, что два новых варианта — облачное и типовое решения — разработаны «на бумаге», о готовом продукте речи пока не идет. Он не смог пояснить, чем типовое решение будет отличаться от стандартизированного, но заверил, что они будут дешевле, чем стандартизированное. Насколько — не уточнил. Как пояснил РБК источник на рынке обработки биометрических данных, стоимость оборудования одного офиса стандартизированным решением для сбора биометрических данных обходится в 5–9 млн руб. в зависимости от поставщика.
Разработчиком новых типового и облачного решений является «Ростелеком», который также является оператором ЕБС. «Сейчас банки успешно внедряют стандартное решение (HSM), согласованное с ФСБ. Уже 26 банков интегрируют его. Помимо этого участникам рынка также будет предложено типовое решение «Ростелекома», в котором уже присутствует HSM для подписи биометрических образцов. Третья опция — облачное решение, которое позволит выполнить требования по безопасности путем подключения к специальному сервису, без внедрения оборудования в инфраструктуру банка», — рассказал РБК представитель «Ростелекома».
Сычев также отметил, что ЦБ планирует уточнить долю отделений, которым нужно будет подключиться к ЕБС до конца 2019 года. Ранее глава Банка России Эльвира Набиуллина не исключала, что заявленные сроки внедрения биометрии будут сдвинуты, если регулятор увидит в этом необходимость. В ЦБ обсуждали возможность освободить от этой системы банки, которые не работают с клиентами-физлицами. Как в октябре писал «Коммерсантъ», небольшие банки просили регулятора освободить их от обязанности принимать биометрию из-за высокой стоимости оборудования.
Существует ли на самом деле дефицит российского оборудования
Руководитель департамента развития услуг и продуктов «Инфотекс Интернет Траст» (занимается поставкой комплексного решения для сбора и передачи биометрических образцов в ЕБС) Антон Мелузов заявление о дефиците криптографического оборудования отверг. «Все наши клиенты получают необходимые криптографические средства в штатном порядке», — заверил он.
Это подтвердил РБК и представитель Райффайзенбанка. По его словам, банк в настоящее время закупает устройства HSM (аппаратные модули безопасности) и не столкнулся с их нехваткой. Помимо «Инфотекс» оборудование необходимого класса есть у поставщика «Крипто-Про», рассказал представитель Райффайзенбанка. Связаться с «Крипто-Про» на момент публикации материала не удалось.
Представитель Почта Банка заявил, что банк готовится начать закупку оборудования. По его словам, основные поставщики подтвердили сроки поставки оборудования и о дефиците ему неизвестно.
Отрицает дефицит и сам «Ростелеком». По словам его представителя, у поставщиков средств криптографической защиты есть достаточное количество оборудования для удовлетворения потребностей банков. Любой производитель оборудования по требуемым классам защиты может стать таким поставщиком, отметил он.
Впрочем, источник РБК в одном из госбанков подтвердил, что банк столкнулся с дефицитом, но не самой системы, а комплектующих (микрофонов, камер, подставок и т.д.), необходимых для сбора биометрии. «Подходящего под требования оборудования нет в нужном объеме в единицу времени. Все поставляется с задержками, завозы будут, но уже в первом квартале следующего года», — сказал собеседник РБК.
Гендиректор Ассоциации разработчиков и производителей электроники (АРПЭ) Иван Покровский считает, что дефицит криптографических средств вряд ли может быть связан с проблемами производства, так как сейчас мощности основных производителей электроники в среднем загружены на треть. «Кроме того, производство криптографического оборудования легко масштабировать за счет контрактного производства в соответствии с запросами заказчика. Возможности производителей сейчас позволяют это сделать», — отметил Покровский.
Он считает, что проблема может быть связана с нежеланием заказчиков (в частности, банков) внедрять в свою имеющуюся инфраструктуру, основанную, как правило, на иностранном оборудовании, отечественные криптографические решения. Это требует финансовых, временных и физических затрат, хотя в дальнейшем в обслуживании и поддержке российское оборудование окажется дешевле, чем зарубежное, оговорился он. «Единственная проблема, которая может возникнуть со стороны производителей — несоответствие каких-то разработок требованиям документации (например, если предприятие делает не все элементы решения)», — сказал Иван Покровский. Он уверен, что проблему можно решить, если заказчик будет заинтересован в использовании российских решений, сформулирует производителю техническую задачу и спланирует необходимый объем поставок.