Недовольство регулятора вызвано очень медленным процессом сбора банками биометрических данных россиян, что мешает выполнить им требования по надлежащему уровню защиты собираемой информации. В ЦБ настоятельно рекомендуют, чтобы банки исполнили данные требования уже к середине года. Но это непростая задача — определили требования совсем недавно - в январе, начало появления коробочных решений пришлось на середину февраля, а в апреле возможно очередное изменение правил игры.
20 февраля от заместителя председателя ЦБ Ольги Скоробогатовой прозвучала критика в адрес кредитных организаций в связи с недостаточным качеством сбора биометрии. Как сказала чиновница, сегодня сбор биометрии организован 95 банками в 4 тыс. отделений. Но, как показала проведенная ЦБ контрольная закупка, это не соответствует реальному положению дел. Многие банки предпочли формальный отчет и подход, исключающие отработку самой процедуры и процесса на клиентской стороне. Мы видим, как медленно взаимодействуют системы банка с единой биометрической системой (ЕБС) и Единой системой идентификации и аутентификации (ЕСИА), но тому есть и ряд объективных причин, и одна из них - отсутствие оперативного отклика от систем Минкомсвязи. Отдельно была отмечена медлительность внедрения банками решений для выполнения требований ЦБ по информбезопасности.
И тут даже эксперты говорят об объективных причинах. От банков требуется обеспечение передаваемой в ЕБС информации высочайшим уровнем защиты, в чем поможет использование шифрования класса КВ (наравне с гостайной). И тут необходимо корректно встроить специальное оборудование — ХСМ-модули - в ядро банковской инфраструктуры. При этом окончательное определение требований к корректности встраивания ХСМ произошло только в январе, а методические рекомендации ЦБ с подробным расписанием порядка обеспечения безопасности, учитывающие эти требования, появились только 14 февраля.
Выполнить рекомендации также непросто. По словам директора центра информбезопасности "Инфосистемы Джет" Андрея Янкина, для подтверждения корректности встраивания средств криптографии, необходимо сертифицировать специальную лабораторию, в целом для решения необходимо получить положительное заключение от ФСБ. Это по силам разве что самым крупным банкам. Остальные же могут работать по методическим рекомендациям ЦБ РФ, предусматривающих использование готового коробочного "типового" или облачного решения. Сегодня, по словам представителя ФСБ Владимира Простова, всего два игрока получили одобрение ФСБ — банк «Тинькофф», имеющий собственное решение и «Ростелеком», который намерен использовать коробочное решение. Мы получили заявки и от других банков, но их подвело качество.
И все же, невзирая на объективные проблемы, в ЦБ надеются, что к середине года 60% отделений банков подключатся к ЕБС для выполнения требований по информбезопасности, а к концу года все 100% отделений успеют обеспечить сбор биометрических данных.
В целом неудивительно, что во многих банках намерены для продолжения работы использовать именно готовое коробочное решение. Как сказал первый заместитель главы департамента информбезопасности ЦБ Артем Сычев, вскоре ожидается появление еще двух коробочных решений, разработанных ЦФТ и «АйДи Системс». По словам представителя ЦФТ, их решение сейчас передано для согласования в ФСБ, как заявили в «АйДи Системс», их решение уже сертифицировано и тоже в ожидании согласования с ФСБ.
Но рынок сейчас находится в ожидании еще одного серьезного изменения правил игры, и нужны будут новые согласования и сертификации. А намечено оно, по предварительной информации, на апрель. По словам генерального директора "АйДи Системс" Андрея Федорца, в апреле будут внесены изменения в действующий протокол взаимодействия банков с ЕСИА и ЕБС при верификации клиентов. Из-за чего какой-то части программного продукта, работающей с физлицом, придется переаттестоваться и по новой пройти сертификацию в ФСБ. Что, по мнению участников рынка, усложнит задачу вписаться в указанный ЦБ срок.
