Среда, 28.09.2022
×
Почему рынки падают? Продолжится ли падение / Петр Пушкарев

Криптографическая защита не помещается в смартфоны

- -
Аа +

Банки уже три месяца собирают биометрические данные граждан. Но, как выяснил “Ъ”, предоставление на их основе услуг с помощью мобильных устройств до сих пор невозможно. Проблема во многом заключается в действующих требованиях к уровню криптографической защиты. В ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.

Как стало известно “Ъ”, серьезной проблемой предоставления услуг гражданам на основании ранее сданных биометрических данных стала ограниченная возможность использования мобильных устройств для верификации клиента. В первую очередь — из-за необходимости применения средств криптографической защиты.

Сбор биометрических данных населения стартовал в банках в начале июля. Сданные биометрические данные (образ лица и голос) направляются в единую биометрическую систему. В дальнейшем для получения банковской услуги человеку достаточно пройти авторизацию в единой системе идентификации и аутентификации и подтвердить свои данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.

Мобильное приложение, которое будет устанавливать клиент на своих гаджетах для верификации и получения дистанционных банковских услуг, сейчас разрабатывает «Ростелеком». Его представление предварительно планируется на середину октября. Однако с размещением этого приложения в PlayMarket и AppStore возникли проблемы.

Приложение защищено криптографией, то есть Apple и Google должны дать согласие на внедрение черного ящика в свои магазины приложений,— поясняет “Ъ” эксперт, близкий к "Ростелекому".— И если от Google такое согласие получено, то с Apple переговоры все еще ведутся».

Факт переговоров подтвердил “Ъ” и заместитель главы департамента информационной безопасности ЦБ Артем Сычев.

В Apple не ответили на запрос “Ъ”. В «Ростелекоме» от комментариев отказались. Но если переговоры с Apple не увенчаются успехом, то счастливые обладатели айфонов не смогут пройти верификацию через мобильные устройства и будут вынуждены при обращении в банки делать это только с компьютера или планшета через веб-приложение.

Впрочем, остаются и другие сложности с использованием биометрии. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением. В данном случае обновление версий операционных систем потребует оперативной пересертификации программы в ФСБ. Артем Сычев заверил “Ъ”, что проблемы не возникнет. Однако сейчас сертификация занимает не менее года.

Проблемы порождают и разночтения в нормативных документах. По словам Алексея Лукацкого, есть установленные нормативными документами требования ФСБ для средств криптографической защиты (СКЗИ), которые непросто выполнить на платформах Macbook, iOS и т. п. «В соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить»,— отмечает господин Лукацкий. Однако Банк России в указании 4859-У, определяя перечень угроз при работе с биометрическими данными, счел достаточным более низкий уровень защищенности — КС1. Еще один нормативный документ ФСБ, по словам экспертов, требует поэкземплярного учета СКЗИ. «Однако при скачивании приложения для верификации с мобильных телефонов обеспечить поэкземплярный учет невозможно, как и невозможно обеспечить СКЗИ класса выше КС1 на мобильном устройстве»,— отметил директор по управлению рисками Почта-банка Святослав Емельянов.

По словам правозащитников, подобный подход явно ущемляет права банковских клиентов. «Когда человек сдает биометрию, он рассчитывает с ее помощью оперативно получать доступ к банковским услугам,— рассуждает руководитель проекта ОНФ "За права заемщиков" Виктор Климов.— И о том, что приложение не будет функционировать на его телефоне, он должен быть проинформирован в момент сдачи биометрии, а не постфактум». Так же как он должен быть заранее и подробно проинформирован о рисках, в том числе — получения доступа злоумышленников к его биометрическим данным, резюмировал он.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все рынки »
- -
231
ПОДПИСАТЬСЯ на канал Finversia YouTube Яндекс.Дзен Telegram

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через
Курс рубля: а в попугаях я гораздо длиннее… Курс рубля: а в попугаях я гораздо длиннее… Третий месяц продолжается феноменальная ситуация. Эксперты дают прогнозы, что рубль должен снизиться. Власти говорят, что рубль нужно снизить. Но рубль остается все на том же уровне, плюс-минус одно попугайское крылышко. Исаак Беккер: Cash is King! Исаак Беккер: Cash is King! Именно в эти дни понимание этой крылатой фразы у инвесторов становится максимальным. Андрей Паранич: «Речь о том, как переформатировать инвестиционные портфели к новым реалиям» Андрей Паранич: «Речь о том, как переформатировать инвестиционные портфели к новым реалиям» В прямом эфире Finversia директор Национальной ассоциации специалистов финансового планирования (НАСФП) Андрей Паранич и главный редактор Finversia Ян Арт, попытались представить, каким будет инвестиционный рынок без возможности неквалам инвестировать в иностранные акции, сколько брокеров выживет при новых правилах регулятора, сколько россиян реально занимается инвестированием и о чём пойдёт речь на 8-й конференции «Портфельные инвестиции для частных лиц. Перезагрузка».
Канал Finversia на YouTube

календарь эфиров Finversia-TV »

Новости »