Биометрию переводят на упрощенку: Банки не могут обеспечить повышенные требования к оборудованию
Банкиры выступили с предложением снизить требования по безопасности оборудования и устройств, которые используются при биометрической аутентификации клиентов. В противном случае, утверждают участники рынка, выполнить нормы, которые вступают в силу с марта 2023 года, невозможно "за неимением соответствующих технических решений". Если банки не смогут обеспечить необходимый уровень защиты, оплата и проход "по лицу" станут невозможными до появления подходящей по качеству и цене техники.
На состоявшемся в начале недели совещании Минцифры, ЦБ и банков, посвященном вопросам регулирования и использования биометрии, последние выступили с предложением снизить установленные в постановлении правительства #1815 от 23 октября 2021 года требования по безопасности к оборудованию, используемому для аутентификации в случаях, когда собранные данные находятся в собственных базах банков. Об этом рассказали два источника "Ъ", знакомые с ходом обсуждения.
Предложение не относится к устройствам сбора биометрии, речь идет только о требованиях к технике, с помощью которой происходит аутентификация существующих клиентов банка,- мобильным телефонам, терминалам для оплаты по биометрии, различным системам управления доступом (в частности, турникетам в метро). Проработкой вопроса снижения требований должны заняться ЦБ совместно с Минцифры, отмечают собеседники "Ъ."
По словам источника "Ъ" в одном из крупных банков, основной вопрос, который был задан участникам совещания: насколько банки готовы соответствовать требования по безопасности. Банки скептически оценили перспективы этого и заявили о необходимости снижения норм "для возможности их реализации". В частности, речь идет о замене ступени класса защиты КС 2 (обеспечивается аппаратно-программными средствами) до КС 1 (обеспечивается программными средствами).
Более высокий уровень защиты позволяет гарантировать, что в процессе работы конечного устройства нет вирусных закладок или незадокументированных программ, поясняет источник "Ъ" на рынке биометрии. Но проблема в том, что устройств, которые бы соответствовали требованиям КС 2, практически нет, утверждают источники "Ъ", за исключением, например, планшета на ОС "Аврора".
Требования вступают в силу с марта 2023 года. И если банкам в следующем году придется выполнять их, фактически участники рынка не смогут применять биометрию. По оценке участников встречи, сроки разработки подобных решений могут растянуться на 1,5-2,5 года. В ЦБ и Минцифры не ответили "Ъ".
Как отмечает заместитель руководителя НСФР Александр Наумов, "проблема в том, что в связи с ограниченными возможностями получения комплектующих для различных устройств возможности соответствовать КС 2 сильно ограничены технологически". По его словам, обеспечить на рынке необходимое количество оборудования, которое бы соответствовало заявленному уровню безопасности, сейчас очень сложно, "если не сказать хуже - невозможно".
В России очень мало компаний, которые могут выпускать оборудование, соответствующее заявленному уровню стандарта, говорит Александр Наумов. Поэтому банки и просят предоставить возможность использовать то оборудование, которое соответствует более низкому классу защиты, "оно более доступное, в том числе по деньгам и по количеству".
Источники "Ъ" считают необходимым "принять непростое решение", в том числе приостановить проект с биометрией, так как по многим параметрам она становится нереализуемой. "Если биометрию будет слишком дорого применять, банки будут искать другие способы",- подчеркивает собеседник "Ъ" в крупном банке.
Александр Наумов также считает, что можно "вводить послабления, например, снижать требования к криптозащите, пока не появится отечественное оборудование, соответствующее классу КС 2, в достаточном количестве". В то же время, признает эксперт, обратной стороной такого решения неизбежно будет рост мошенничества.
Источник: Коммерсант https://www.kommersant.ru/doc/5681492
24.11.2022