Гражданам
Бизнесу

Помощь


Многие будут пытаться обмануть биометрические алгоритмы. Насколько они надежны? Как быть уверенными в том, что кто-то не идентифицируется по биометрии другого человека?

Биометрические алгоритмы обмануть намного сложнее, чем человека. Сегодня мошенник может прийти в банк и открыть счет по сворованному паспорту. Обмануть биометрический алгоритм намного сложнее. Единая биометрическая система имеет точность распознавания 10-7. Это значит, что она пропустит только 1 человека на 10 млн. При том, что мы используем дополнительную связку с логином и паролем от Госуслуг – это становится практически невозможным. Мошеннику гораздо проще и дешевле прийти в банк и выдать себя за другого человека операционисту.

Если кто-то взломает систему, то он получит все персональные данные о гражданине, включая фотографию и голос?

Безопасность данных в Единой биометрической системе – один из ключевых вопросов ее создания, которому уделяется особое внимание. «Ростелеком» является одним из лидеров на рынке кибербезопасности, и Единая биометрическая система соответствует всем требованиям информационной безопасности системы федерального уровня. Для обеспечения информационной безопасности биометрических данных пользователей системы реализовано распределенное хранение данных: биометрический шаблон хранится в обезличенной форме отдельно от персональных данных - Ф.И.О., паспортные данные, СНИЛС и др., включенных в базы ЕСИА (портал Госуслуг).

А если кто-то взломает систему по аналогии со взломом биометрической идентификации в iPhone?

Любые, даже самые продвинутые биометрические алгоритмы на основе нейросетей, имеют свои недостатки. Именно поэтому было принято решение о разработке биометрической платформы, которая работает не с каким-то одним алгоритмом, а с множеством, реализуя мультивендорный подход. Взлом даже одного такого алгоритма – сложный и дорогостоящий процесс, злоумышленнику придется изучить десятки алгоритмов, которые постоянно меняются.

Как система будет распознавать мошеннические операции?

Все биометрические образцы проверяет специальный модуль системы. Схема проверки выглядит следующим образом: сначала образец видео, направленного гражданином при идентификации в системе, обрабатывается алгоритмами двух вендоров - отдельно изображение лица и голос.

В результате обработки определяется степень схожести с биометрическим контрольным шаблоном в процентах. Этот ответ направляется в банк и на его основе банк принимает решение об открытии счета. Параллельно система запускает проверку видео с помощью других биометрических алгоритмов. Если один или несколько из них не идентифицировал гражданина, то в работу включается так называемых «модуль аномалий», который анализирует причины расхождений и в случае обнаружения мошеннических действий направляет соответствующее уведомление в банк.

Такой подход позволяет, с одной стороны, быстро проводить операцию биометрической идентификации, а с другой стороны, в течение нескольких секунд блокировать мошенника. Кроме того, это позволяет оператору системы постоянно тестировать алгоритмы различных вендоров, выявлять их недостатки, обучать модуль выявления аномалий и как результат – усиливать антифрод-системы банков, использующих Единую биометрическую систему.

Если система ошиблась и приняла человека за другого, а банк выдал кредит: кто несет ответственность?

Единая биометрическая система имеет точность распознавания выше 99,99%. Учитывая необходимость предварительной проверки по логину и паролю от Госуслуг, система определяет человека гораздо точнее, чем другие существующие методы.

Но при этом биометрия – не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человек с его шаблоном.

Помимо биометрии, банк использует процедуры скоринга, KYC и др., принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на банк.

Обязательно ли использование HSM для обеспечения требований по информационной безопасности?

Да, данное требование обусловлено требованиями ФСБ России по использованию СКЗИ –Приказ ФСБ России №378 от 10.07.2014 для обеспечения защиты от перечня актуальных угроз, опубликованных в Указании Банка России №4859-У. Требование использования СКЗИ HSM класса КВ2 обусловлено угрозой нарушения целостности передаваемых в приложение данных при регистрации и верификации.

Какие есть пути встраивания HSM?

Вы можете самостоятельно закупить сертифицированный по классу КВ2 HSM, произвести его встраивание и сертификацию на корректность встраивания СКЗИ, проведя тематические исследования. Либо вы можете приобрести типовое решение по ИБ Ростелекома, в состав которого будут входить HSM и программный API для взаимодействия с ним. Данное решение не потребует дополнительного сертификата на встраивание. Для приобретения пишите на sale@bio.rt.ru.

Кто из компаний и когда выпустит программно-аппаратный комплекс (ПАК) и услуги для его внедрения?

Разработка типового решения Ростелекома по ИБ закончена в январе 2019. Решение поставляется компаниями «Код Безопасности», «Ростелеком-Solar», «Инфосекьюрити» и «Прософт». Подробнее вы можете ознакомиться в разделе bio.rt.ru/security/.

Для каких процессов используется HSM и требуется контроль корректности встраивания данного СКЗИ?

Проведение тематических исследований требуется для всех криптографических операций, использующих HSM класса КВ2. К ним относятся подписание биометрических образцов при регистрации, взаимодействие с ЕСИА и Единой биометрической системой с использованием OpenID Connect, проверки результатов соответствия при удаленной верификации.

Какие сертификаты должны использоваться HSM? Где их можно получить?

Нужен сертификат усиленной квалифицированной электронной подписи выданный на кредитную организацию в ИС ГУЦ, расположенном в ФГБУ «НИИ Восход». Получение ключа можно делегировать с помощью доверенности, подробности можно уточнить в Минкомсвязи России.

Где физически должен быть расположен HSM?

HSM должен располагаться в пределах контролируемой зоны банка.

Можно ли использовать существующий HSM?

Да, можно. Оборудование должно быть сертифицировано по классу КВ2 и выделено для целей подписания только биометрических данных.

В каких случаях нужно проводить аттестацию рабочих мест оператора и сбора биометрии?

Аттестация обязательна для новых и не аттестованных ранее рабочих мест в соответствии с №152-ФЗ от 27.07.2006  и Приказу ФСТЭК №21 от 18.02.2013. 

Нужно ли проводить аттестацию физических и виртуальных серверов, обрабатывающих биометрические шаблоны, используя решение АРМ Биометрия от Ростелекома?

Требование является рекомендательным.

Обязательно ли использовать двухфакторную аутентификацию для защиты рабочих мест оператора и сбора биомтерии?

Да, обязательно, в соответствии с Приказом Минкомсвязи №321 от 25.06.2018. Выбор этапа аутентификации (на ОС или приложение) остается за организацией.

Какие требования выполняются оборудованием КС3 и КВ2?

КС3 защищает данные, передаваемые по сети – защита конфиденциальности. По КС3 надо защитить каналы между отделением и головным офисом, а также между головным офисом и СМЭВ. Чтобы обеспечить контроль целостности при сборе биометрии и передаче авторизационных токенов в рамках удаленной идентификации, необходимо использовать оборудование класса КВ2.

Подойдет ли существующий канал со СМЭВ или нужен отдельный канал?

Если у вас уже есть взаимодействие со СМЭВ и защищенный канал, то вы можете переиспользовать это оборудование для подключения к Единой биометрической системе.

Планируется ли выпуск еще какой-либо нормативной документации, касающейся ИБ при работе с Единой биометрической системой?

Вся необходимая нормативная документация уже выпущена. Могут появиться рекомендации по встраиванию и реализации существующих требований.

Какие задачи будет решать типовое решение по информационной безопасности?

1.Подсчет контрольных сумм биометрических данных и формирование пакета данных для СМЭВ 3 с использованием УКЭП кредитной организации класса КВ2 для подписи пакета данных;

2.Формирование и проверка электронной подписи для авторотационных токенов в протоколе OpenID Connect;

3.Проверка результатов сравнения биометрических эталонов в процессе верификации.

Нужно ли ставить СКЗИ на рабочие места сбора биометрических данных?

Если вы используете программную защиту каналов связи класса КС2, то на каждом рабочем месте оператора ставится средства защиты информации от несанкционированного доступа класса КС2, антивирус, а также модуль доверенной загрузки. Ставить СКЗИ на рабочие места сбора биометрии не нужно, если используется программно-аппаратный модуль построения канала связи класса КС3.

В случае использования виртуализации для размещения серверной части какие требования возникают?

Никаких требований к виртуализации или использованию банком аппаратных решений нет.

Нужно ли аттестовать ИСПДН, работающую с Единой биометрической системой, как ГИС?

Нет, не нужно, требований аттестовывать ИСПДн как ГИС нет.

Какие TLS-шлюзы КС3 можно использовать?

В типовом решении от Ростелекома будет использован NGate от “КриптоПро”.

Как включиться в пилотную группу банков по типовому решению по ИБ?

Отправить запрос на sale@bio.rt.ru.

Будете ли вы предоставлять облачный сервис с включенным в него HSM?

Вопрос обсуждается с регулятором.

Чем АРМ оператора отличается от АРМ сбора биометрии?

АРМ оператора находится в отделении банка, за ним работает оператор, который взаимодействует с клиентом. А АРМ сбора биометрии собирает эти данные с АРМ операторов и отправляет их в СМЭВ.

Можно ли использовать программные СКЗИ КС3 на рабочих станциях операторов?

Да, можно, но посмотрите на документацию СКЗИ, где указываются дополнительные меры защиты для рабочей станции.

Как обеспечивать целостность биометрических данных до HSM?

Это делается на стороне АРМ регистрации биометрии, он должен обеспечить защиту данных до подписи в центральном офисе. Этот вопрос к разработчикам АРМ биометрии, который установлен в вашем банке.

Возможно ли гео-резервирование решения?

При создании типового решения возможно гео-резервирование в различных исполнениях.

Какое взаимодействие обеспечивает шлюз КС3 в рамках состава комплексного решения?

При использовании TLS-шлюза КС3 в рамках типового решения на стороне АРМ отделений и АРМ операторов можно поставить программное обеспечение, которое будет работать с этим TLS-шлюзом. Так можно сэкономить на размещении крипто-шлюза, который работает с отделениями.

Возможна ли интеграция решения Ростелекома (HSM + СПО, защита сети и пр.) с решением другого вендора по снятию и передачи БПДн?

Да, возможна. Наше решение будет представлять необходимые интерфейсы для взаимодействия с другими АРМ биометрии. Мы не ограничиваем использование других средств сбора.

Если между головным офисом и филиалом установлен VPN-канал от провайдера уровня L2, то можно отказаться от требования к КС-3?

Нет, нельзя. В перечне угроз прописано использование КС3 (http://www.garant.ru/products/ipo/prime/doc/71908502/). Если ваш провайдер может предоставить документы о том, что его VPN-канал защищается соответствующими средствами защиты, то можно.

Тематическое исследование по КС3 нужно осуществлять?

Нет, тематические исследования - это анализ кода при работе с HSM класса КС2.

Кто будет осуществлять встраивание вашего ПАК в программное решение банка по сбору биометрии?

Встраивание осуществляется либо самим банком, либо интегратором вместе с разработчиком программного решения по сбору биометрии.

Требуется ли СМЭВ для верификации?

Нет, не требуется. Взаимодействие с точки зрения верификации идет между 4 точками — кредитной организацией, ЕСИА, Единой биометрической системой и браузером или мобильным приложением пользователя, СМЭВ там не используется.

Возможно ли для обеспечения КС3 между местом оператора и сервером использовать ГОСТ TLS, построенный на SPR3.0 исполнение клиент? Т.е. прикладное шифрование, а не сетевое.

Если TLS на базе КС3, то можно, это не принципиально - TLS использовать или VPN. Главное, чтобы было выполнено требование по защите устройств с двух сторон.

Тематические исследования необходимо провести в отношении сети банка или всей архитектуры в целом?

Тематические исследования проводятся только в отношении кода, который взаимодействует с HSM.

Возможно ли получить УКЭП в «Восходе» до покупки HSM?

Нет, это технически невозможно, так как запрос на получение ключа формируется на вашем HSM, который будет развернут в вашем банке.

TLS-шлюз обязателен?

Да, обязателен при необходимости предоставления удаленной идентификации.

Должны ли операторы сбора биометрических данных подписывать образцы квалифицированной электронной подписи?

Да, должны, так как это обеспечит целостность передаваемых биометрических образцов и персональную ответственность оператора.

Как обеспечить КС3 на мобильных устройствах?

Ростелеком разработал мобильное приложение, с которым интегрируется банк для удаленной идентификации. Поэтому банку не нужно проводить тематические исследования мобильного приложения банка или TLS-шлюза на стороне банка. Ростелеком проводит тематические исследования мобильных приложений на iOS и Android, сертификация не предполагается. Мобильное приложение осуществляет защиту только каналов связи.

HSM можно будет использовать для иных целей кроме Единой биометрической системы? Не снизит ли это класс СКЗИ?

В случае использования типового решения по ИБ от Ростелекома — нельзя. Возможно при проведении работ по встраиванию HSM и последующими тематическими исследованиями банком самостоятельно.

Возможно-ли взаимодействие АРМ сбора биометрии с головным офисом посредством сменных носителей (т.е. оффлайн - без каналов связи)?

Да, возможно.

Задать вопрос

Зарегистрируйтесь и получайте услуги дистанционно

Как зарегистрироваться