Российские банки выступили с предложением по снижению требований безопасности оборудования и устройств, которые используются при биометрической аутентификации клиентов. Они утверждают, что в противном случае из-за отсутствия такой техники не смогут выполнить требования, которые вступают в силу с марта 2023 года.
Банкиры озвучили свои предложения на совещании Минцифры, ЦБ и финучреждений. Они предложили скорректировать постановление правительства №1815 от 23 октября 2021 года, которое описывает требования по безопасности к оборудованию, используемому для аутентификации по биометрии из собственных баз банков.
Предложение банков не касается самих устройств сбора биометрии, речь идёт только о требованиях к технике, с помощью которой происходит аутентификация, — смартфонах, терминалах для оплаты по биометрии, различных системах управления доступом (турникетах в метро).
Банки предложили понизить ступени класса защиты КС 2 (обеспечивается аппаратно-программными средствами) до КС 1 (обеспечивается программными средствами). По словам источников, требованиям КС 2 пока соответствует только планшет на ОС «Аврора».
Источник на рынке биометрии говорит, что более высокий уровень защиты гарантирует отсутствие в конечном устройстве вирусных закладок или незадокументированных программ.
Если банки в следующем году не смогут выполнить требования по безопасности, то у них не получится применять биометрию. По оценке участников встречи, сроки разработки решений по безопасности могут растянуться на 1,5–2,5 года.
Заместитель руководителя НСФР Александр Наумов видит проблему в том, что «в связи с ограниченными возможностями получения комплектующих для различных устройств возможности соответствовать КС 2 сильно ограничены технологически». По его словам, в России очень мало компаний, которые могут выпускать оборудование по заявленному уровню стандарта. Эксперт допускает, что можно «вводить послабления, например, снижать требования к криптозащите, пока не появится отечественное оборудование». Но он признаёт, что последствием такого решения станет рост мошенничества.
Источники считают необходимым «принять непростое решение», в том числе приостановить проект с биометрией.
Российские банки уже не успели к 1 сентября внедрить биометрию для получения кредитов и открытия счетов в свои сайты и мобильные приложения. Они попросили Центробанк отложить на год начисление штрафов и смягчить правила. Также банки требовали от «Ростелекома» снизить тарифы на программный модуль «КриптоSDK», необходимый для защиты данных при работе с Единой биометрической системой.
30 декабря 2021 года в России заработала государственная единая биометрическая система. Тогда в правительстве уточнили, что участие со стороны граждан в сдаче данных для государственной ЕБС будет полностью добровольным. Однако в июле этого года стало известно, что ЦБ планирует обязать банки регистрировать новых клиентов в своих мобильных приложениях при помощи идентификации через ЕБС.
В течение 2022 года Минцифры планировало перенести ранее собранные данные биометрии клиентов коммерческих систем (банков и коммерческих компаний) в государственную ЕБС для их защиты и обработки в одном месте.
В июле СМИ сообщили, что ЕБС оказалась только на 10% совместима по своим стандартам качества с базами данных с биометрией клиентов банков РФ.
В августе Минцифры отменило действие приказа, согласно которому плата за использование ЕБС не должна взиматься до конца текущего года.