27 апреля 2020 г.
Почти 2 года в России действует Единая биометрическая система (ЕБС). По данным «Ростелекома», к системе подключено уже более 80% банковских организаций, соответствующих критериям Банка России, остальные в процессе подключения либо тестирования.
Скоро каждый гражданин сможет зайти в ближайший банк, где сотрудник поможет ему снять биометрические данные — изображение лица и запись голоса — для загрузки в ЕБС. После этого можно будет пользоваться банковскими услугами дистанционно. Причем услугами любого банка в стране.
В системе уже больше 130 тысяч биометрических образцов изображения и голоса. Но сегодня, в апреле 2020 года, когда многие граждане сидят на карантине или самоизоляции, очень сильно помогло бы, если бы Единая биометрическая система охватывала побольше аспектов нашей жизни.
Дмитрий Улыбин, директор по спецпроектам «Ростелекома» — компании-разработчика и оператора ЕБС, и Александр Румянцев, директор по развитию компании «Траст Технолоджиз» — авторизованного партнера по подключению этой системы, рассказывают, как продвигается этот проект.
Дмитрий Улыбин: Мы не знаем, когда режим самоизоляции закончится, но если бы уже сейчас Единая биометрическая система охватывала больше граждан и больше компаний, было бы гораздо легче преодолеть пандемию. Огромное количество пользователей могли бы, например, сдавать экзамены в режиме on-line, заказывать удаленно в аптеках рецептурные лекарства, совершать покупки, продажи и другие социально-значимые действия, требующие идентификации, которые они сейчас совершать удаленно не могут.
Впрочем, по инициативе ЦБ мы ведем работу с Минкомсвязи, Советом Федерации и Государственной Думой, чтобы применение ЕБС было не только в финансовой сфере, но и в других направлениях. Эта работа ведется, и, если пока нельзя сказать, что она близка к финалу, мы активно движемся в этом направлении.
CRN/RE: А что нужно для того, чтобы компания подключилась к этой системе?
Д. У.: Центробанк, Минкомсвязи и Федеральная Служба Безопасности Российской Федерации сформулировали достаточно жесткие требования по информационной безопасности к организациям, желающим взаимодействовать с Единой биометрической системой — и это понятно, потому что данные эти чувствительные, персональные и социально значимые.
Банк может пойти по любому из трех возможных путей, чтобы соответствовать этим требованиям. Он может построить систему информационной безопасности самостоятельно, а затем сертифицировать свое решение в ФСБ России, он может воспользоваться типовым и уже сертифицированным решением, или же использовать облачное решение «Ростелекома».
CRN/RE: Какие из трех вариантов пользуются наибольшим спросом? Собственные системы, стандартное или облачное решение?
Александр Румянцев: По пути создания собственных систем пошли единичные участники финансового рынка – это довольно сложно, учитывая количество согласований и объем работ, которые необходимо осуществить.
Типовой продукт размещается на площадке банка. Он должен содержать HSM – hardware security module – аппаратный модуль безопасности, для подписания биометрических образцов электронной подписью. А также серверы, на которых будет развернуто ПО для взаимодействия с ЕБС, серверы для обработки биометрических образцов, межсетевые экраны, системы обнаружения атак и еще ряд мер, которые обеспечат контур внешней безопасности. Все это должно пройти проверку и быть утверждено в ФСБ России. В сумме получается промышленное решение, которое ориентировано практически на любую производительность. В настоящее время цена на этот продукт стартует от 5,5 млн рублей.
Многие банки проявили интерес к появлению в начале 2020 года облачного решения, ждали его. При реализации этого решения почти вся структура размещена на площадке Ростелекома, а банку достаточно установить у себя средство маршрутизации, чтобы построить защищенный канал до ЦОДа оператора, и один небольшой сервер, чтобы подписать передаваемые данные ЭЦП банка. За счет снижения класса подписи и количества оборудования на площадке банка стоимость подключения к ЕБС очень значительно снижается.
Помимо более низкой стоимости входа, это уменьшает и организационную нагрузку по внедрению. Дело в том, что класс защиты КВ2, который необходим для построения собственной системы или типового решения, подразумевает серьезные мероприятия по защите информации. Банки не готовы менять свою инфраструктуру и процессы для выполнения всех возложенных на них регулятором требований по информационной безопасности. Поэтому облачное решение их больше устраивает.
CRN/RE: «Ростелеком» только оператор ЕБС, он внедрением не занимается?
Д. У.: Когда выбирали партнеров для внедрения типового решения, мы выставляли им достаточно серьезные требования. В итоге у нас остались три опорных игрока, на которых сделали ставку. Сейчас мы видим, что не ошиблись с выбором и учитывая, как они работали в проекте с типовым продуктом, на данном этапе рассматриваем эти компании в качестве наших партнеров и в проекте по подключению клиентов к облаку.
CRN/RE: Как конечный пользователь, уже зарегистрированный в ЕБС, сможет получить услуги банков? И как обеспечена безопасность этого процесса?
А. Р.: Для пользователя все достаточно просто, ему нужен только мобильный телефон и два приложения – банка, в котором он хочет открыть счет, и приложение «Биометрия» от Ростелекома. В случае успешного прохождения процедуры верификации ЕБС сообщает банку, что человек предоставил свои биометрические данные, которые совпадают с теми, что хранятся в системе. Банк открывает пользователю счет и предоставляет управление этим счетом со всеми вытекающими правами – вносить и переводить деньги, брать кредиты, совершать покупки.
Теперь о безопасности. Ей уделяется самое пристальное внимание. Начнем с самой базы ЕБС. Она защищена по самому высокому классу. Как-то ее взломать и украсть эти данные крайне сложно, да и не имеет смысла. К процедуре передачи данных в базу предъявляются также очень высокие требования. Каждый биометрический образец, который будет загружен в ЕБС, обязательно комплектуется данными о банке и даже сотруднике, который внес эту запись. Так что, если кто-то попробует по сговору внести запись за другого человека и, например, получить за него кредит, это неизбежно и очень быстро станет известно. Для мошенников попытка подменить образец — очень рискованная операция с сомнительной прибылью.
CRN/RE: Какие планы у «Ростелекома» по развитию ЕБС?
Д. У.: Хотелось бы, чтобы отношение со стороны регуляторов и бизнеса к ЕБС было более гибким. Сейчас бизнес-процесс ЕБС жестко прописан – это исключительно верификация, исключительно граждан и исключительно для получения банковских услуг, да еще и ограниченного спектра.
Нам бы хотелось, чтобы взаимодействие с ЕБС было общим для всех. В первую очередь, чтобы можно было повысить уровень клиентского сервиса, минимизировать количество очных взаимодействий с пользователем. И чем больше сфер будет вовлечено в процесс получения услуг без личного присутствия, тем лучше для пользователя. В декабре 2019 года произошли изменения в законодательстве (они коснулись 63-ФЗ об электронной подписи), которые позволят удаленного получить сертификат квалифицированной электронной подписи с использованием удаленной верификации в Единой биометрической системе. Сейчас получение такой подписи связано с большими сложностями – надо физически обратиться в удостоверяющий центр, получить подпись, помучиться с установкой и настройкой соответствующих программ. Мы хотим значительно облегчить этот процесс. Минкомсвязи России разрабатывает пакет подзаконных нормативных документов, а мы прорабатываем техническое решение в этой области.
У граждан появится возможность получать больше юридически значимых услуг без личного присутствия.
А. Р.: Проект ЕБС всегда был и по сей день является одним из ключевых для компании «Траст Технолоджиз». Мы вложили много усилий и средств в получение и развитие максимальных технических компетенций для того, чтобы реализовывать тщательно проработанные проекты в минимальные сроки.
Мы также рассчитываем, что данный проект получит стремительное развитие в сферы, отличные от банковской, тем самым упрощая жизнь граждан. Не забывая, безусловно, ставить во главу угла безопасность.
Источник: crn.ru