С 1 июля клиенты российских банков получили возможность дистанционно обращаться за различными банковскими услугами благодаря Единой биометрической системе (ЕБС), однако спустя три месяца после начала сбора банками биометрических данных граждан получить ту или иную услугу при помощи мобильного устройства по-прежнему невозможно.
Как пишет "Коммерсант", проблема во многом заключается в действующих требованиях к уровню криптографической защиты приложений – в ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.
Напомним, ЕБС предусматривает возможность сдачи клиентами банков образца голоса и фотографирование в отделении банка. После этого для получения банковской услуги человеку достаточно пройти авторизацию в единой системе идентификации и аутентификации и подтвердить свои данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.
Приложение для верификации и получения дистанционных банковских услуг, сейчас разрабатывает компания "Ростелеком". Предполагается, что оно будет представлено в середине октября, однако с размещением приложения в магазинах Google Play и App Store возникли проблемы. Как пояснил источник, близкий к "Ростелекому", поскольку приложение защищено криптографией, Apple и Google должны дать особое согласие на его публикацию в магазинах. И если от Google такое согласие получено, то с Apple переговоры все еще ведутся. Если они не увенчаются успехом, то владельцы iPhone не смогут пользоваться банковскими услугами через смартфон – им придется прибегать к помощи веб-приложения на планшете или ПК (почему веб-приложением нельзя воспользоваться на смартфоне в публикации не уточняется. – Прим. NEWSru.com)
Внедрение ЕБС порождает и другие сложности. Как рассказал консультант по интернет-безопасности компании Cisco Алексей Лукацкий, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением.
Лукацкий указал и на еще одну проблему, которая связана с разночтениями в нормативных документах. Так, в соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить. В то же время Банк России считает достаточным более низкий уровень защищенности (КС1).
