Осенняя сессия Уральского форума «ИБ финансовой сферы», прошедшая 5 сентября 2019 года в Москве, стартовала с дискуссии «Информационная безопасность Единой биометрической системы».

Дискуссия «Информационная безопасность ЕБС». Фото: Вадим Ференец, «Б.О»

Ее модератором выступил Иван Беров (директор по цифровой идентичности компании Ростелеком). Участники: Андрей Выборнов (заместитель директора — начальник Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности Банка России), Дмитрий Гадарь (вице-президент, директор департамента информационной безопасности Тинькофф Банка), Алексей Казаков (заместитель начальника отдела анализа криптосредств компании «КриптоПро»), Антон Мелузов (руководитель департамента развития услуг и продуктов компании «Инфотекс Интернет Траст»), Дмитрий Улыбин (директор проекта, Проектный офис «Единая биометрическая система», Ростелеком), а также Андрей Федорец (генеральный директор компании IDSystems).

Не «рассосется»

Те финансисты, которые полагали, что проблема под названием «Внедрение ЕБС» тихо сама по себе «рассосется», получили от Банка России четкий сигнал, что этого не случится. Хотя одной из причин пробуксовки ЕБС является опасение малых и средних банков перетока части клиентской базы к их крупным коллегам по цеху, этот вопрос остался за скобками. Зато самым подробным образом были разобраны драйверы использования ЕБС, которых оказалось сразу несколько.

Во-первых, реализация национальной программы «Цифровая экономика Российской Федерации» и повышение эффективности использования информационно-технологической и коммуникационной инфраструктуры, потребовали решения новых задач, связанных с полным переходом на электронное взаимодействие. Например, только в 2019 году приняты постановления Правительства № 1114 и № 750. Последнее, в частности, говорит о том, что данные из ГИС станут доступными в электронном виде для финансовых институтов. В рамках проекта постановления в эксперименте участвуют около 20 банков и четыре страховые организации. «И по сей день мы продолжаем получать новые заявки о включении в этот список», — заметил Иван Беров в своем вступительном слове.

Во-вторых, на подходе изменения в Федеральный закон № 63 «Об электронной подписи». В работе проекты по созданию Единого реестра населения и Национального удостоверяющего центра. Есть и другие начинания, которые так или иначе связаны с удаленным доступом и обработкой данных. Первой «пилотной ласточкой», по словам модератора, стал Федеральный закон № 482 от 2017 года, который внес поправки в отдельные законодательные акты в целях создания механизма удаленной биометрической идентификации физлиц. Причем кроме банкиров, как рассказал представитель Ростелекома, под пристальным надзором Министерства цифрового развития, связи и массовых коммуникаций ЕБС начнут использовать МФЦ и будут также выдавать населению биометрические удостоверения личности нового образца.

Наконец, действуют Методические рекомендации Банка России № 4-МР. В ходе всей Сессии представители этого регулятора не раз вспоминали о других проектах ЦБ («Маркетплейс», «Цифровой профиль» и т.д.), которые так или иначе завязаны на ЕБС.

Поэтому первый «неожиданный» вопрос модератора был задан Андрею Выборнову: «А будет ли надзор в этой сфере? Какой тайм-лайн у этого контроля предусмотрен?». «Надзорные мероприятия мы будем проводить, это очевидно. Их интенсивность и глубина будут определяться тем, в какой момент времени будут готовы решения, которые банки будут внедрять», — ответил Андрей Выборнов.

Единственным фактором неопределенности, способным повлиять на эти сроки, является время, которое потребуется на согласование с ФСБ России системных проектов поставщиков решений. Тем не менее даты представителем регулятора были четко обозначены: конец 2019 — начало 2020 года.

Озвучен регулятором и список ключевых решений, разрабатываемых компаниями «Ростелеком», «ИнфоТеКС», ЦФТ и iDSystems. Хотя, надо отметить, на слайде, показанном Андреем Выборновым, были также бренды компаний «Диасофт», «РТК ИБ», «Инфосекьюрити Сервис» и «ЦРТ-Инновации». Данные для аналитики были собраны по выборке из 38 крупнейших банков, работающих с физическими лицами. Семь из них, как оказалось, подключаются к ЕБС благодаря собственным разработкам, как правило, в сотрудничестве с «КриптоПро».

Слайд из презентации Андрея Выборнова. Источник: Банк России

Стоимость разработки комплексного решения как у банкиров, так и у вендоров колеблется в пределах 5 млн рублей (без резервирования HSM), облачные решения предлагаются от 1 млн рублей в год. Статус готовности у большинства — «На подписи в ФСБ». О конкретных кейсах (кроме Тинькофф Банка) на сессии не говорили. Но «Б.О» недавно опубликовал интервью с представителями Транскапиталбанка и МТС Банка, которые успешно подключились к ЕБС благодаря решениям ЦФТ в облачном и in-house вариантах соответственно.

Есть нюансы

Вторая половина дискуссии была посвящена технологическим и юридическим проблемам, мешающим использованию мобильных устройств для сбора биометрических данных, проблемам с облачной ЭЦП, применению крипто-SDK (software development kit) для использования банками в собственном мобильном ДБО, а также переиспользованию инвестиций банка в инфраструктуру ЕБС. Практически в каждом пункте повестки дня оказались «нюансы», которые не очень-то афишируют заинтересованные стороны. Один из них — недостаточно эффективная совместная работа заинтересованных организаций.

«Мы вступаем в новую эру, когда криптографические средства начинают широко использоваться на уровне мобильных устройств. Это ставит новые вызовы для всех. Здесь важно не допустить ситуации, описанной в анекдотах времен строительства БАМа: одна бригада кладет рельсы с западного конца будущей магистрали, другая — с восточного. Если они встретятся, то получится одноколейная трасса, а если нет — то будут долго и упорно строить двухколейную магистраль. Поэтому всем участникам рынка просто необходимо плотно общаться и взаимодействовать, чтобы каждый не двигался в собственном направлении и не строил персональную БАМ. Все наработки на рынке необходимо сводить в единое информационное пространство», — образно, но точно описал дискурс последовавшего обсуждения Антон Мелузов.

Радикальным вариантом решения может стать появление собственной мобильной операционной системы, совместимой с рыночными девайсами, с собственным магазином приложений и доверенным их распространением. Это решило бы разом массу проблем, стоящих перед разработчиками средств криптографической защиты информации (СКЗИ), в том числе по обеспечению доверенной среды и окружения. Но, к сожалению, такая собственная мобильная операционная система — из области фантастики. А реальность такова, что в Android и iOS с непонятными версиями и путями установки приложений едва ли не в любом смартфоне доверенную среду обеспечить крайне сложно. И здесь, что называется: кто в лес, кто по дрова.

Представитель компании «КриптоПро» дополнил коллегу в том плане, что существует строго формальное экономическое понимание нарушителя, которое находит свое отражение в классе защиты СКЗИ. Есть строгие требования регулятора, которые закладываются при сертификации СКЗИ, при их встраивании в прикладные системы. Но, с другой стороны, отчетливо проявляется рыночная тенденция, заключающаяся в том, что криптография должна быть «и на столе, и в кармане». Эти две крайности надо соединить, хотя бы с точки зрения формального соблюдения требований регуляторов. Иначе ни удобства, ни соответствующего уровня защиты не достичь. Такое соединение — вопрос непростой, но очень важный. «С чего же начать? Что нужно сделать в первую очередь, для того чтобы банки без офисов получили возможность сбора биометрических образцов с помощью мобильных устройств?» — задал вопрос модератор?

Начало любого процесса защиты информации — это создание модели нарушителя. В случае модели существующего класса защиты КС3, требуемого при работе с ЕБС, — это потенциальный нарушитель, допущенный к работе с телефоном. Поэтому необходимо начать с уточнения модели и понять, чего мы в этом процессе боимся, а чего нет. Наметив основные угрозы, реальные и потенциальные, можно начать в этом направлении двигаться, понимая, как мы конкретно это будет реализовано.

Поставить российскую криптографию на мобильное устройство — не проблема, но обеспечить необходимый для ЕБС уровень защиты КС3 крайне сложно. Выходом могло бы стать понижение класса защиты СКЗИ при одновременном применении спектра компенсационных мер — например, таких, как замкнутая программная среда, аутентификация и идентификация лица, собирающего биометрию, использование антифрода, с тем чтобы вовремя увидеть, когда что-то не так пошло на мобильном устройстве или оно используется не там и не тогда, где и когда это необходимо.

Клиентский опыт корректирует подходы

Модератор продолжал задавать вопросы: «А как быть со вторым процессом — мобильной идентификацией? С учетом тенденций изменения клиентского опыта стратегия банков в области мобильного ДБО требует собственной разработки! Стоит ли ожидать в ближайшее время выхода криптографического SDK для мобильных устройств, а не пользоваться сторонними приложениями»?

По словам Алексея Казакова, средства криптозащиты, реализующие алгоритмы и вопросы защиты каналов связи для мобильных устройств с операционными системами iOS и Android, существуют. Однако любое использование криптосредств в интересах защиты персональных данных на сегодняшний день должно приводить к проведению исследования того прикладного ПО, которое с этими средствами взаимодействует. Аналогично построению типовых решений, используемых и распространяемых банками, закладывается принцип, согласно которому не надо проводить никаких дополнительных исследований в этом вопросе. Для этого необходимо программное средство, предоставляющее интерфейс с определенными свойствами и характеристиками, использование которого было бы, с одной стороны, простым и удобным, а с другой — безопасным. Теоретически достичь этого можно, в «КриптоПро» такой вопрос проработан. Характеристики, которые это SDK должно предоставлять, понятны. Вопрос — в практической реализации.

Эксперта в данном вопросе полностью поддержали в компаниях «ИнфоТеКС» и «Ростелеком». Их решения тоже на подходе. Однако они призвали будущих пользователей этого компонента привести свои ожидания в соответствие с суровой реальностью: у него будут четкие правила пользования и встраивания. Но для выработки взаимопонимания необходимо садиться за стол переговоров и обсуждать технические детали.

Андрей Выборнов высказал по этому вопросу свою точку зрения: «ЦБ не является регулятором в этой области, окончательное решение остается за ФСБ. Но факт массового применения решения требует, на мой взгляд, корректировки подходов. Если мы говорим о массовом “гражданском” применении криптографии на недоверенных устройствах, необходимо формировать некие предложения и выходить на корректировку документов».

Скупой платит дважды

С начала дискуссии делегаты в зале ожидали, наверное, самого животрепещущего для них вопроса: «Можно ли те средства ИБ, которые выделены в контур ЕБС, переиспользовать для целей работы не только с биометрическими персональными данными, но и, например, с данными из ГИС в рамках проекта «Цифровой профиль?». Или для того, чтобы реализовать механизм использования облачной квалифицированной электронной подписи после выхода изменений к ФЗ-63?

Делегаты осенней сессии Уральского форума. Фото: Вадим Ференец, «Б.О»

И ответ был получен. Если банк применительно к Приказу Министерства цифрового развития, связи и массовых коммуникаций РФ № 321 и к документу Банка России № 683-П ограничивается формальным выполнением требований в части ЕБС, то этот сегмент дальше лучше не трогать и предъявлять проверяющим как эталонная часть IT-инфраструктуры. Естественно, ни о каком переиспользовании решений речи не идет. Но если смотреть вперед на год-два и заранее предусмотреть выполнение всех требований регуляторов, то в ходе реализации государственных инициатив в рамках цифровой экономики, цифрового паспорта, облачной ЭЦП и любых иных возможна существенная экономия средств.

Представители банковского регулятора поддержали подобный принцип, особенно в связи с перспективой ускорения движения в сторону таких проектов Банка России, как «Маркетплейс» или «Open API». Это нашло соответствующее отражение и в ГОСТ ЦБ, и в рамках документа Банка России № 683-П.

Что в итоге? Иван Беров сделал выводы. По его словам:

• во-первых, участники рынка могут приобрести типовое решение по ИБ или реализовать его самостоятельно. С точки зрения себестоимости это примерно одно и то же. Вопрос времени и желания;

• во-вторых, при реализации необходимо учитывать, что функции и регистрации, и идентификации должны быть обеспечены соответствующими требованиям регуляторов средствами защиты. При использовании типовых решений необходимо просить у поставщика сертификат соответствия и подтверждение того, что никаких тематических исследований проводить не требуется;

• в-третьих, надзор в этой области будет, вопрос — во времени его начала. А спрашивать будут со всех;

• в-четвертых, в ходе дискуссии удалось договориться о продолжении экспертного диалога с заинтересованными службами о снижении требований к классу защиты при мобильной регистрации биометрических данных с выработкой компенсационных мер, а также о требованиях и спецификациях к крипто-SDK. Необходимо ускорить работу, времени осталось не так много!