Пятница, 29.03.2024
×
Доллару конец. С НДФЛ не все просто. Долги россиян растут. Экономика за 1001 секунду

Криптографическая защита не помещается в смартфоны

Аа +
- -

Банки уже три месяца собирают биометрические данные граждан. Но, как выяснил “Ъ”, предоставление на их основе услуг с помощью мобильных устройств до сих пор невозможно. Проблема во многом заключается в действующих требованиях к уровню криптографической защиты. В ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.

Как стало известно “Ъ”, серьезной проблемой предоставления услуг гражданам на основании ранее сданных биометрических данных стала ограниченная возможность использования мобильных устройств для верификации клиента. В первую очередь — из-за необходимости применения средств криптографической защиты.

Сбор биометрических данных населения стартовал в банках в начале июля. Сданные биометрические данные (образ лица и голос) направляются в единую биометрическую систему. В дальнейшем для получения банковской услуги человеку достаточно пройти авторизацию в единой системе идентификации и аутентификации и подтвердить свои данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.

Мобильное приложение, которое будет устанавливать клиент на своих гаджетах для верификации и получения дистанционных банковских услуг, сейчас разрабатывает «Ростелеком». Его представление предварительно планируется на середину октября. Однако с размещением этого приложения в PlayMarket и AppStore возникли проблемы.

Приложение защищено криптографией, то есть Apple и Google должны дать согласие на внедрение черного ящика в свои магазины приложений,— поясняет “Ъ” эксперт, близкий к "Ростелекому".— И если от Google такое согласие получено, то с Apple переговоры все еще ведутся».

Факт переговоров подтвердил “Ъ” и заместитель главы департамента информационной безопасности ЦБ Артем Сычев.

В Apple не ответили на запрос “Ъ”. В «Ростелекоме» от комментариев отказались. Но если переговоры с Apple не увенчаются успехом, то счастливые обладатели айфонов не смогут пройти верификацию через мобильные устройства и будут вынуждены при обращении в банки делать это только с компьютера или планшета через веб-приложение.

Впрочем, остаются и другие сложности с использованием биометрии. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением. В данном случае обновление версий операционных систем потребует оперативной пересертификации программы в ФСБ. Артем Сычев заверил “Ъ”, что проблемы не возникнет. Однако сейчас сертификация занимает не менее года.

Проблемы порождают и разночтения в нормативных документах. По словам Алексея Лукацкого, есть установленные нормативными документами требования ФСБ для средств криптографической защиты (СКЗИ), которые непросто выполнить на платформах Macbook, iOS и т. п. «В соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить»,— отмечает господин Лукацкий. Однако Банк России в указании 4859-У, определяя перечень угроз при работе с биометрическими данными, счел достаточным более низкий уровень защищенности — КС1. Еще один нормативный документ ФСБ, по словам экспертов, требует поэкземплярного учета СКЗИ. «Однако при скачивании приложения для верификации с мобильных телефонов обеспечить поэкземплярный учет невозможно, как и невозможно обеспечить СКЗИ класса выше КС1 на мобильном устройстве»,— отметил директор по управлению рисками Почта-банка Святослав Емельянов.

По словам правозащитников, подобный подход явно ущемляет права банковских клиентов. «Когда человек сдает биометрию, он рассчитывает с ее помощью оперативно получать доступ к банковским услугам,— рассуждает руководитель проекта ОНФ "За права заемщиков" Виктор Климов.— И о том, что приложение не будет функционировать на его телефоне, он должен быть проинформирован в момент сдачи биометрии, а не постфактум». Так же как он должен быть заранее и подробно проинформирован о рисках, в том числе — получения доступа злоумышленников к его биометрическим данным, резюмировал он.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все рынки »
- -
251
ПОДПИСАТЬСЯ на канал Finversia YouTube Яндекс.Дзен Telegram

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через
Доллару опять конец Доллару опять конец Российское счастье. Число долларовых миллиардеров выросло. Пересмотр приватизации. С прогрессивным налогом не все однозначно. Карту «Мир» отключают от мира. Налоговый вычет на лечение животных. Долги россиян за ЖКХ и по кредитам. Доллару опять конец. Егор Сусин: Обязательства США Егор Сусин: Обязательства США Чистые внешние подобрались к $20 трлн. Алексей Примаченко: «При субсидировании факторинговой компании государство получит выход сразу на сотни клиентов малого и среднего бизнеса» Алексей Примаченко: «При субсидировании факторинговой компании государство получит выход сразу на сотни клиентов малого и среднего бизнеса» Почему факторинг продолжает расти даже при высоких ставках Центробанка? Как фондируются факторинговые компании и что они сегодня предлагают своим клиентам? О ситуации на российском рынке факторинга, его динамике и тенденциях Павлу Самиеву, генеральному директору аналитического центра «БизнесДром» рассказал Алексей Примаченко, управляющий партнер Global Factoring Network.
Канал Finversia на YouTube

календарь эфиров Finversia-TV »