Журнал ПЛАС » Архив » 2017 » ЖУРНАЛ ПЛАС № 1 »

Алексей Козырев: «Защищенность электронной идентификации через ЕСИА выше стандартов, принятых на рынке»

Алексей Козырев: «Защищенность электронной идентификации через ЕСИА выше стандартов, принятых на рынке»

 

Своим взглядом на перспективы использования Единой системы идентификации и аутентификации (ЕСИА) для дистанционного предоставления населению полного спектра банковских услуг с читателями журнала «ПЛАС» делится Алексей Козырев, заместитель министра связи и массовых коммуникаций Российской Федерации.


ПЛАС:Сегодня розничные банки заинтересованы в появлении быстрого, удобного и недорогого способа привлечения клиента и оказания ему дистанционно полного спектра банковских услуг, включая онлайн-кредитование и открытие счета. Какие шаги уже сделаны в направлении использования ЕСИА для этих целей, какие вопросы еще предстоит решить?

А. Козырев: По закону сейчас кредитная организация должна идентифицировать своего будущего клиента по паспорту при его личном обращении в банк. Для банков же содержание отделений в небольших населенных пунктах часто бывает экономически невыгодно. Поэтому возникает проблема: люди там просто физически не могут добраться до поставщиков финансовых услуг. Поэтому удаленная идентификация многим даст доступ к финансовым услугам, которого сейчас они практически не имеют.

Сегодня большинству своих клиентов банки выдают логин и пароль для обслуживания через интернет. Этот логин и пароль используются клиентами для входа в интернет-банки и банковские мобильные приложения. Проведение финансовых операций через интернет уже стало нормой для финансового рынка. Однако для того чтобы выдать логин и пароль, банк обязан лично встретиться с клиентом и проверить его паспорт. Обычно после такой проверки банк выдает своему клиенту логин и пароль, который подходит только для онлайн-сервисов этого конкретного банка. Мы же строим систему, позволяющую выдать универсальный логин и пароль, который будет работать в любых банках.

При однократном обращении гражданина с паспортом в одну из уполномоченных кредитных организаций (по которым будет принято решение о предоставлении права первичной идентификации) его регистрируют в ЕСИА, проверяют все данные и выдают логин и пароль, который работает и на сайте банка, и на госуслугах.

При этом в качестве дополнительного механизма защиты наряду с отправкой SMS-сообщения мы предполагаем использовать и биометрические данные – изображение (портрет клиента), снятое на камеру в банке, и образец его голоса. Поэтому уровень защищенности процедур электронной идентификации через ЕСИА даже несколько выше стандартов, принятых на рынке.

Участие в проекте принимает сегодня Банк России, который определяет состав банков-участников будущего пилота, а также Росфинмониторинг – в части установления перечня разрешенных операций и лимитов по ним. Очевидно, что при использовании модели дистанционного предоставления населению полного спектра банковских услуг, включая открытие счета, очень важно не допустить создания новых возможностей для осуществления различного рода нелегальных операций. Поэтому совместно с Росфинмониторингом мы ведем работу по обеспечению необходимого уровня контроля и надзора над операциями, совершенными без личной явки гражданина, включая выработку определенных требований к идентификационным процедурам.


ЕСИА может применяться в самых разных ситуациях, связанных с дистанционным обслуживанием


В свою очередь Министерство связи выступает в качестве оператора ЕСИА и всей инфраструктуры электронного правительства, которая будет использоваться для проведения электронной идентификации.

ПЛАС:По нашим данным, Минкомсвязи, Банк России и Росфинмониторинг уже до конца 2016 года планировали подготовить поправки в Закон № 115-ФЗ, согласно которым идентификация пользователя банками будет проходить через портал госуслуг. Какую роль в этом процессе играет Минкомсвязи?

А. Козырев: Вся необходимая документация по ЕСИА уже подготовлена. Однако для того чтобы начать практическую реализацию проекта, нужно внести соответствующие изменения в законодательство. Росфинмониторинг совместно с Минсвязи и Банком России уже работают над соответствующим законопроектом.

Учитывая практику многих стран по созданию «регуляторных песочниц» (sandbox), мы рассматриваем возможность проведения эксперимента еще до внесения изменений в законодательство. В случае если такое решение будет принято, мы сможем вначале протестировать технологию и уже по результатам пилота сформулировать нормы законодательства, которые будут четко исполнимы на практике. Поэтому основной вопрос сейчас заключается в том, требуется ли нам сразу вносить изменения в ФЗ либо мы можем на основании решения правительства сначала провести эксперимент и уже по его результатам внести изменения в закон.

Если же мы пойдем по пути внесения изменения в законодательство, то соответствующий закон может быть принят уже в весеннюю сессию Госдумы, и проект стартует осенью 2017 года. Если же будет принято решение о предварительном проведении эксперимента, то мы сможем начать уже зимой – в начале весны наступившего и выиграем примерно полгода по времени.

ПЛАС:Какова судьба поправок в правила применения простой электронной подписи, положение об использовании ЕСИА, положение об инфраструктуре электронного правительства 115-ФЗ, касающихся получения банками права узнавать данные о доходах клиентов из ПФР по SMS?

А. Козырев: Технология получения данных из пенсионного фонда по простой электронной подписи уже запущена. К ней подключены два банка, принимавших участие в ее тестировании. С 1 января 2017 года к этой технологии мы начали подключать все заинтересованные структуры.

Суть механизма заключается в том, что банк, подключенный к инфраструктуре электронного правительства, формирует по своему клиенту запрос на предоставление ему сведений о лицевом счете из ПФР. Этот запрос через систему межведомственного электронного взаимодействия (СМЭВ) попадает в информационную систему портала госуслуг и там обрабатывается. После этого ЕСИА направляет запрос клиенту – физическому лицу с просьбой подтвердить SMS-сообщением возможность отправки этого запроса с портала в ПФР. В случае подтверждения запрос уходит в ПФР, а ответ на него возвращается на портал госуслуг. И уже портал направляет результат по запросу в банк. При этом сам гражданин может видеть на портале все свои данные и давать или не давать разрешение на использование той или иной информации для ответа на запросы банков. Такой подход обеспечивает полный контроль над использованием персональных данных граждан со стороны кредитных организаций.

Вся система работает в режиме реального времени, и, например, если мы рассматриваем процедуру онлайн-кредитования или кредитование в торговой точке, технология позволяет банку получить сведения из ПФР (в случае согласия гражданина) за 10–15 секунд.

ПЛАС:Ваша оценка перспектив дистанционной кросс-идентификации клиента с использованием ЕСИА, которая может быть использована для предоставления ему полного спектра услуг широкого числа банков и небанковских организаций, работающих в финансовом секторе?

А. Козырев: Мы рассматриваем ЕСИА как систему идентификации, которая могла бы быть универсальной и применяться в самых разных ситуациях, связанных с дистанционным обслуживанием граждан.

В ЕСИА существует несколько уровней учетных записей: одни используются для предоставления довольно простых информационных услуг, другие позволяют использовать более сложные транзакционные услуги или получать доступ, например, к информации, составляющей налоговую тайну. Сейчас для кредитных организаций создается еще один уровень. Это учетные записи граждан, которые лично с паспортом проходили процедуру идентификации согласно действующему банковскому законодательству.


Наиболее детально процедуры идентификации проработаны именно в кредитных организациях


Когда мы сопоставляли нормы законодательства, то поняли, что на сегодняшний день наиболее детально проработаны процедуры идентификации именно в кредитных организациях. Поэтому учетная запись гражданина со статусом «данные подтверждены в кредитной организации» будет позволять ему получить доступ не только ко всем сервисам электронного правительства, но и к сервисам, которые могут быть коммерческими и, в свою очередь, требовать соответствующей идентификации.

Сейчас мы разрабатываем также предложение по использованию ЕСИА для заключения договоров на предоставление услуг связи. Предполагаем, что использование этой системы позволит существенно упростить процедуру заключения договора с оператором со стороны физического лица.

Поскольку ЕСИА позволяет юридически значимо выполнять требования законодательства, регулируется законодательством об электронной подписи и дополнительно еще будет отрегулирована законодательством в области противодействия легализации доходов, открываются самые широкие возможности по применению системы в различных сферах осуществления электронных транзакций.

Уточню: когда речь идет об электронных транзакциях, мы имеем в виду 4 ключевых шага, которые необходимы для их совершения: идентификация, аутентификация, авторизация и подписание данных о волеизъявлении по совершаемой транзакции со стороны субъекта. Все они реализованы внутри ЕСИА для того, чтобы система могла быть универсальным средством для проведения юридически значимых электронных транзакций. В этом заключается стратегия ее дальнейшего развития и выход ее на уровень уже не просто компонента электронного правительства, но самодостаточного государственного сервиса. Это одна из концепций, которой мы придерживаемся в рамках развития электронного правительства: государство должно быть сервисно ориентированным, предоставляя не только госуслуги, но и платформу для развития новых возможностей, новых B2Cи C2C-взаимоотношений за счет применения информационных технологий, которые являются неотъемлемой составной частью цифровой экономики.

ПЛАС:Реализуются ли уже сегодня пилотные проекты с задействованием ЕСИА в качестве канала идентификации клиентов с теми или иными конкретными крупными банковскими структурами?

А. Козырев: Да, реализуются. В соответствии с требованием Закона № 115ФЗ сегодня существует возможность использовать ЕСИА для проведения финансовых операций. Речь идет о денежных переводах без открытия счета на сумму от 15 до 60 тыс. рублей, а также о различных операциях с ценными бумагами, открытии инвестиционных и брокерских счетов. Целый ряд кредитных организаций и профессиональных участников рынка ценных бумаг уже сейчас подключены к ЕСИА и проводят операции с идентификацией. Например, ЕСИА используется для идентификации держателей акций в рамках проекта «Национальный депозитарий», когда общее собрание проводится в электронном виде, и акционеры могут участвовать в голосовании дистанционно. Конечно, банки также используют ЕСИА для проведения своих операций – переводы без открытия счета, иные технологии ДБО.

ПЛАС:Какими методами предполагается вести популяризацию ЕСИА среди пользователей?

А. Козырев: Учитывая то, что главными интересантами распространения ЕСИА являются сами кредитные организации, мы обеспечиваем им доступ к репозиторию наших материалов по данной системе – к брендбуку, руководствам по дизайну и копирайтингу и т. п

Кроме того, в 2017–2018 гг. мы планируем провести кампанию по информированию граждан, в рамках которой предполагается размещение информационных материалов в интернете (контекстная реклама и обучающие видеоролики). Также мы рассматриваем возможности размещения наружной рекламы в крупнейших городах России и трансляцию видеороликов на федеральных телеканалах в региональных блоках. Параллельно в рамках рекламной кампании мы решаем две задачи: повышаем уровень знаний граждан о возможностях, которые предоставляют госуслуги, и побуждаем их воспользоваться этими возможностями.

В настоящее время на портале ЕСИА зарегистрированы 40 млн граждан, это примерно каждый второй пользователь интернета в России. В наших планах на следующий год добиться, чтобы 60% из тех, кто уже получал госуслуги, воспользовались нашей технологией. А также максимально донести информацию о возможностях электронного правительства до всех россиян в возрастной категории от 14 до 80 лет. Это непростая задача. Но я считаю, что мы здесь реально можем рассчитывать на охват 60–70% населения.

ПЛАС:Будет ли взаимодействие с ЕСИА платным? Если да, то когда, за что конкретно и кому именно из пользователей нужно будет платить?

А. Козырев: Такой вопрос рассматривается. Поскольку использование ЕСИА для целей коммерческих организаций будет создавать дополнительную нагрузку на инфраструктуру электронного правительства, необходимо каким-либо образом компенсировать эти расходы. Это можно сделать за счет платности транзакций по идентификации. При этом снижение расходов коммерческих организаций на обслуживание клиентов будет достаточно существенным для того, чтобы они могли заплатить государственной инфраструктуре небольшую часть от сэкономленных средств и таким образом компенсировать дополнительные расходы со стороны государства.

ПЛАС:Рассматривается ли сегодня Минкомсвязью упрощение процедуры, позволяющей населению максимально удобно и быстро получать необходимые инструменты для использования ЕСИА (пароли и т. д.)? Сегодня она связана с посещением МФЦ, оставлением заявки и т. д. – что здесь можно упростить и ускорить?

А. Козырев: Мы не готовы принципиально отказаться от процедуры личной явки при регистрации. Во-первых, это требование законодательства. Во-вторых, отсутствие личного контакта с гражданином создает огромное количество возможностей для «обхода» системы безопасности, что может дискредитировать всю систему электронной идентификации.

В качестве упрощения процедуры регистрации мы рассматриваем только возможности по увеличению количества доверенных точек, в которых гражданин может зарегистрироваться. Очень важно, чтобы точка ближайшей регистрации была в шаговой доступности.

Сегодня у нас работает более 15 тыс. адресов по стране (для сравнения: у Сбербанка – 17 тыс. отделений), и мы предпринимаем определенные шаги по дальнейшему расширению нашей сети. Так, регистрироваться можно будет не только в МФЦ, но и, например, в отделениях пенсионного фонда или налоговых инспекциях. Безусловно, все точки регистрации должны быть максимально доступными для населения.

ПЛАС:Ваше мнение по поводу возможности прямой интеграции каналов ДБО (интернет- и мобильный банки) с личным кабинетом госуслуг. Такой подход не только позволил бы банкам дистанционно идентифицировать и привлекать клиентов, но и помог бы клиентам дистанционно выбирать банк. Насколько реалистичным он выглядит сегодня?

А. Козырев: Такую интеграцию мы рассматриваем в рамках обеспечения сервиса электронной идентификации, но только в одну сторону: когда данные будут уходить изЕСИАв банк. Государственная информационная система не должна собирать сведения из коммерческих банков о транзакциях или операциях, которые осуществляют граждане, хотя бы потому, что существует такое понятие, как «банковская тайна».

Когда гражданин регистрируется в банке, кредитная организация передает его идентификационные данные в ЕСИА, при этом мы не получаем информации о том, какие операции гражданин совершает в этом банке. Мы просто знаем, что банк зарегистрировал его на портале госуслуг. Впоследствии, когда человек хочет пройти идентификацию в той или иной кредитной организации, система передает набор идентификационных данных в обратную сторону – т. е. банку. При этом мы также не получаем никакой информации по банковским операциям, которые проводил данный клиент.


В личном кабинете на портале госуслуг нет информации о том, в каких банках были открыты счета гражданина


Таким образом, в личном кабинете на портале госуслуг не содержится информация о том, в каких банках были открыты счета гражданина или какие на них остатки. Единственное, что можно увидеть: в каких банках пользователь проходил удаленную процедуру идентификации. При необходимости пользователь также может исключить эти банки из перечня тех, которые получали его идентификационные данные.

ЕСИА является так называемой Single Sign-On системой, когда пользователь видит, каким информационным системам он разрешил доступ к своему профилю, и имеет возможность любую из них при желании отключить. Вот тот максимум интеграции ЕСИА с системами ДБО, который мы сегодня рассматриваем.

ПЛАС:Какие еще секторы государства планируется подключать к госуслугам в ближайшее время? Существуют ли планы интеграции ЕСИА с системами ГИС ЖКС, ГИС ГМП и т. д. для упрощения идентификации физлиц в платежном сегменте?

А. Козырев: С ГИС ЖКХ интеграция уже реализована. С ГИС ГМП идентификация через ЕСИА не требуется, так как там не используется персональных данных граждан и, соответственно, нет необходимости проверять контрагента на входе. Что касается больших государственных проектов, то ЕСИА будет также применяться в качестве системы идентификации и аутентификации при создании Пенсионным фондом Единой государственной информационной системы социального обеспечения (ЕГИССО).

Таким образом, де-факто ЕСИА уже является самой распространенной системой идентификации в госсекторе: все государственные системы, в которых обслуживаются граждане, уже подключены к ЕСИА.

ПЛАС:Планируется ли расширять список участников эксперимента в рамках постановления Правительства РФ № 1104 от 29.10.2016? Сейчас в нем участвуют всего два банка – Сбербанк и ВТБ, однако, насколько нам известно, желающих сегодня гораздо больше.

А. Козырев: Насколько мне известно, начиная с 2018 года данный список планируется расширить.

Суть эксперимента заключается в том, что физические лица, которые хотят зарегистрировать юридическое лицо, могут подать документы в электронном виде и подписать эти документы электронной подписью с сервера.

Сегодня банк (если быть точным, некий удостоверяющий центр, работающий в партнерстве с банком) после надлежащей процедуры идентификации своего клиента выдает ему облачную электронную подпись (логин и пароль). Сертификат электронной подписи и средства криптографии хранятся на сервере в удостоверяющем центре организации, выдавшей эту электронную подпись. Таким образом, у каждого клиента на руках есть логин и пароль, а к серверу, условно говоря, подключена флешка с электронной подписью. И когда гражданин совершает транзакцию, он использует свой логин и пароль, а подписание происходит на сервере. Такая облачная подпись с точки зрения действующего законодательства не является квалифицированной.

В инфраструктуре электронного правительства используются как простая, так и квалифицированная электронные подписи. В ЕСИА простая электронная подпись широко применяется для получения большого перечня государственных услуг, доступных на портале. Это такие же логин и пароль, но в отличие от эксперимента, который проводится согласно постановлению Правительства РФ № 1104, в сервере Минсвязи не предусмотрено флешек для каждого клиента, а используется единая электронная подпись министерства. Когда наш клиент проводит какую-либо операцию, мы подписываем за него транзакцию своей электронной подписью. В случае с постановлением № 1104 операцию клиента подписывает удостоверяющий центр при помощи его личного сертификата.

Мы рассматриваем этот эксперимент как тестирование некоей модели регулирования способа предоставления госуслуг, который в дальнейшем может быть не только масштабирован в рамках этого конкретного эксперимента, но и применен для новых государственных услуг, реализуемых в будущем через портал. Если результаты эксперимента покажут, что генерация отдельных электронных подписей для каждого клиента целесообразнее, чем подпись единым сертификатом Минсвязи, мы гибко и быстро сможем сгенерировать сертификаты электронной подписи для каждого зарегистрированного клиента в ЕСИА, и та же самая технология будет реализована уже в массовом масштабе для всех предоставляемых сегодня госуслуг.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных