Журнал ПЛАС » Архив » 2018 » ЖУРНАЛ ПЛАС №8 » 1193 просмотра

Ростелеком: ЕБС в вопросах и ответах

Как известно, с 1 июля в России запущена Единая биометрическая система (ЕБС) и вступил в силу закон, регламентирующий ее деятельность. В настоящее время с ЕБС работает уже целый ряд банков, при этом планируется, что со временем к системе будут подключены все кредитные организации России, соответствующие специальным требованиям ЦБ. В то же время целый ряд моментов данной инициативы до сих пор вызывает у экспертов вопросы. На самые важные из них мы предложили ответить Ивану Берову, директору по цифровой идентичности Ростелекома, который выступает оператором ЕБС.

ПЛАС: Как обстоит ситуация с разграничением зон ответственности участников Единой биометрической системы за результаты идентификации? В частности, определено ли уже приемлемое значение степени соответствия верифицируемых данных эталонным? На ком лежит ответственность за определение и соблюдение этого значения – на операторе ЕБС или на каких-либо других участниках проекта?

И. Беров: Зоны ответственности в проекте распределены следующим образом:

Ростелеком – разработчик и оператор Единой биометрической системы – отвечает за хранение, обработку и защиту биометрических данных. В свою очередь, банки ответственны за сбор данных и встраивание процесса удаленной идентификации в свою работу с населением.

Банк России как инициатор проекта помогает разрабатывать и реализовывать необходимые нормативные документы.

Минкомсвязи выступает регулятором в сфере биометрической идентификации граждан и ответствен за разработку требований к точности распознавания, к оборудованию, к сбору биометрических данных и т. п.

Уже принят ряд подзаконных актов, определяющих требования к безопасности данных и качеству биометрических образцов

ФСБ и ФСТЭК как регуляторы в области защиты данных формулируют требования к защищенности системы.

Приемлемая степень соответствия верифицируемых данных определена и изложена в приказе Минкомсвязи № 321 «Об утверждении порядка обработки биометрических персональных данных в целях идентификации».

Возвращаясь к вашему вопросу, подчеркну, что ответственность за определение степени соответствия биометрического образца эталону лежит на операторе системы, т. е. на Ростелекоме. Так, если указанная степень соответствия выше определенного законодательством порога – 99,99%, то банк может открывать счет, если ниже – удаленное открытие счета невозможно.

17

ПЛАС: Насколько велики риски компрометации биометрических данных населения, хранящихся в Единой биометрической системе, и чем они определяются? По мнению экспертов, вероятность такого развития событий нельзя сбрасывать со счетов. В то же время в подзаконных актах до сих пор не прописаны действия банковского клиента и кредитной организации в случае, если у них появились подозрения, что биометрические данные скомпрометированы, – по аналогии с правилами поведения при компрометации карточных данных. Что планируется предпринять в этом направлении?

И. Беров: Защиту биометрических данных от компрометации в Единой биометрической системе обеспечивает Ростелеком. Отмечу, что биометрические данные клиента сравниваются не со всеми существующими шаблонами, а лишь с соответствующим его подтвержденной учетной записи портала gosuslugi.ru. Кроме того, использование нескольких модальностей (лицо и голос) позволяет идентифицировать конечного пользователя с точностью 1 к 10 000 000.

Биометрия будет применяться не только в финансовой сфере, но и в других отраслях экономики

Также благодаря использованию мобильного приложения «Ключ Ростелеком» обмен данными между мобильным телефоном клиента и базой данных Единой биометрической системы защищен криптографическими средствами российской разработки.

Ростелеком обеспечивает защиту данных в строгом соответствии с требованиями регуляторов – ФСБ и ФСТЭК. В самом Ростелекоме мониторинг защищенности системы обеспечивают специалисты Security operation center (SOC), которые моментально реагируют на любую подозрительную активность. Кроме того, сами данные хранятся в защищенных хранилищах Ростелекома.

Банки, в свою очередь, обеспечивают безопасность биометрических данных на этапе их сбора в отделении банка.

Что касается риска компрометации данных, то разработчики системы приложили много усилий, чтобы таких ситуаций не произошло, но в случае возникновения соответствующих подозрений конечному пользователю необходимо действовать так же, как и при любых мошеннических операциях. Действия при подозрении на компрометацию биометрических данных схожи с подобной процедурой при компрометации данных банковской карты. Если гражданин обнаруживает факт проведения мошеннических операций со своим счетом или в целом с использованием своих биометрических данных, ему необходимо сразу же написать заявление в полицию. Если становится известно об открытии счета, который сам гражданин не оформлял, – надо писать заявление в финансовую организацию, в которой открыт счет, и требовать его закрытия.

18

ПЛАС: Не так давно эксперты отмечали также отсутствие подзаконных актов, однозначно и в полном объеме определяющих требования к ИТ-инфраструктуре для сбора, обработки и передачи биометрии, – и это на фоне четко установленных сроков реализации проекта. При этом присутствует понимание: если придется закладываться, исходя из существующих требований «по максимуму», такой проект окажется слишком затратным для мелких и средних кредитных организаций. Насколько справедливы эти опасения и как обстоит ситуация с вашей точки зрения?

И. Беров: На сегодняшний день уже принят ряд подзаконных актов, определяющих требования к безопасности передачи персональных данных и качеству биометрических образцов. Это также прописано в приказе Минкомсвязи № 321 «Об утверждении порядка обработки биометрических персональных данных в целях идентификации». От банка требуется снять биометрические данные в необходимом качестве и обеспечить безопасность передачи данных в Единую биометрическую систему по защищенному каналу связи. Банк, регистрирующий биометрические данные, уведомляет Ростелеком о каждом зарегистрированном образце биометрии, при этом в пакете данных о регистрации содержатся в том числе данные, позволяющие однозначно идентифицировать сотрудника банка, проводившего процедуру регистрации. Эта процедура позволяет избежать мошенничества путем сговора с сотрудником банка.

Со своей стороны Ростелеком как оператор Единой биометрической системы реализовывает максимум возможных инструментов, чтобы упростить банкам процесс подключения к системе и минимизировать их расходы.

Что касается требований к обеспечению защиты информации в рамках Единой биометрической системы в самих банках, то их формирует Банк России. На сегодняшний день уже выпущены соответствующие нормативно-правовые акты, например, Указание № 4859-У/01/01/782-18 от 9 июля 2018 года «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, персональных биометрических данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данных гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в единой биометрической системе».

Таким образом, вкупе с уже существующими требованиями регуляторов к защитным мерам на стороне банков новые требования, касающиеся использования Единой биометрической системы, четко сформулированы, и подходы к их выполнению с помощью имеющихся на рынке ИБ продуктов прозрачны и понятны.

19

ПЛАС: Насколько актуален сегодня вопрос стимуляции населения к сдаче биометрических данных? Как констатируют в Банке России, спрос на такого рода услуги пока невысок. Наши эксперты объясняют это отчасти и тем обстоятельством, что клиентура крупных банков слишком лояльна, чтобы интересоваться возможностью дистанционного обслуживания в других кредитных структурах. Предусматриваются ли на этом фоне какие-либо дополнительные стимулы со стороны государства (и/или коммерческих банков) частным лицам для более активной сдачи биометрических данных?

В рамках развития цифровой экономики уже обсуждается внедрение Единой биометрической системы в других отраслях

И. Беров: Единая биометрическая система – это цифровая платформа, и в ней напрямую работают сетевые эффекты: чем больше сервисов реализовано, тем больше людей ею пользуются. И наоборот, большое число зарегистрированных пользователей приводит к росту интереса разработчиков в создании новых сервисов. Банки уже интегрируют в свои сервисы возможность удаленной идентификации, и чем больше банковских услуг будет реализовываться в рамках платформы, тем больше возможностей сможет дать населению использование платформы, и тем активнее граждане будут пользоваться биометрической системой. На международном уровне можно привести пример Индии: в системе Aadhaar сегодня зарегистрировано 99,5% взрослого населения страны. И теперь биометрия там используется повсеместно – в 2017 году проведено 7 млрд транзакций с использованием отпечатков пальцев. 200 млн человек с низким уровнем дохода смогли воспользоваться банковскими услугами, 93 млн – медицинскими. Государство сэкономило 2 млрд долл. США на выплате субсидий за счет выявления поддельных ID-карт.

Но все перечисленные результаты были достигнуты массовостью услуг, которые можно получить на базе данной платформы. Чтобы человек зарегистрировался и начал использовать систему, ему нужно наглядно продемонстрировать преимущества использования платформы. Таким образом, чем больше услуг, связанных с Единой биометрической системой, будет реализовано банками, тем больше клиентов они смогут приобретать.

ПЛАС: В заключение нашей беседы – несколько слов о планах принципиального развития проекта. Есть мнение, что Единая биометрическая система может в полной мере отвечать потребностям цифровой экономики только в том случае, если станет первым шагом на пути к созданию общенациональной системы идентификации и аутентификации участников цифровых сделок, использующей самый широкий спектр идентификационных данных, включая ДНК, а также не биометрические идентификаторы. Ваше мнение – закончится ли данный проект созданием худо-бедно функционирующей системы, или в случае успеха он получит масштабное продолжение? Если да, то какое? И как в этом случае изменится роль Ростелекома как оператора?

И. Беров: Основная сложность внедрения биометрической системы – юридическая легитимация биометрической идентификации. Биометрия – это прежде всего персональные данные, которые, как известно, в России строго охраняются законом. На обработку и хранение персональных данных всегда требуется разрешение человека. Чтобы применять биометрию для дистанционного открытия счетов, вкладов и получения кредитов, была проделана большая работа совместно с регуляторами. Выпущено множество нормативно-правовых актов, разработан 482-ФЗ – в общей сложности этот процесс занял целый год.

Что касается включения в платформу новых модальностей, то от уже прорабатывается

И когда биометрическая идентификация будет вводиться в новые отрасли, может потребоваться такой же объем работы с соответствующими нормативными документами. Но в целом это нормальный процесс в тех случаях, когда некая инициатива вводится в федеральном масштабе. И в рамках развития цифровой экономики уже обсуждается внедрение Единой биометрической системы в других отраслях.

Что касается вопроса включения в платформу новых модальностей, то он уже нами прорабатывается, – например, для обеспечения доступа к цифровым услугам для инвалидов, которые по определенным причинам не могут использовать для идентификации свои голос и лицо.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных