Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
С осени 2016 года по настоящее время на банковских форумах идет интенсивное обсуждение возможности применения биометрических способов идентификации клиентов организаций, осуществляющих операции с денежными средствами, в удаленном режиме
Словосочетание «удаленная биометрическая идентификация» в нормативно-правовой базе РФ отсутствует (см., например, «Консультант+»). Есть понятия «доступ» и «удаленный доступ». Заметим, что для удаленного доступа требования выше, чем для доступа в локальной сети. Это понятно: при удаленном доступе кроме более жестких требований к идентификации и аутентификации пользователя добавляются риски незащищенности компьютера, с которого совершается попытка доступа (вирусы, трояны, нерегулярное обновление системного и прикладного ПО и т.д.), к тому же добавляется необходимость защиты канала удаленного доступа.
Также в нормативно-правовой базе отсутствует понятие «удаленная идентификация». Имеется понятие «упрощенная идентификация», введенное в Законе № 115-ФЗ и получившее дальнейшее развитие в Приказе Росфинмониторинга от 17 февраля 2011 года № 59 применительно к анализу рисков операций, совершаемых клиентами. Тем не менее с легкой руки ряда специалистов гуманитарного профиля несколько лет назад термин «удаленная идентификация» появился в ряде статей — словосочетание ведь красиво звучит! При этом заметим, что в настоящее время не существует ни одной общепринятой модели исследования безопасности и надежности идентификации, не говоря уже о соответствующей модели нарушителя. Учитывая, что до настоящего времени практически не исследованы проблемы удаленной идентификации, заявлять, что та или иная технология, используемая при этом, лучше или хуже другой, необходимо осторожно.
Исторически сложилось, что организации кредитно-финансовой сферы находятся на передовом фронте борьбы с киберпреступностью. Это не только давление западных поставщиков системного и прикладного ПО, но и хорошо вооруженные передовыми технологиями преступные группировки, а также разного рода злоумышленники. В последние годы число атак на системы банковского обслуживания и системы дистанционного банкинга непрерывно растет. Курс Банка России на обеспечение киберустойчивости и применение риск-менеджмента во всех критичных операциях не подразумевает ослабления требований к обеспечению безопасности обрабатываемой, хранимой и передаваемой информации. Следовательно, применение новых технологий не должно понижать защищенность информационных ресурсов и самой информации. Это — главные особенности кредитно-финансовой сферы.
Тем не менее тема возможности удаленной идентификации клиентов банка интенсивно обсуждается, хотя все понимают, что это может привести к снижению защищенности, а любое ослабление требований к безопасности, как правило, грозит новой волной злоупотреблений. Далеко не все эксперты и представители регулирующих органов всецело поддерживают новую инициативу. Согласно Федеральному закону, «банк сначала имеет право отказать клиенту в проведении операции», как сказал на Форуме Finopolis 2016 статс-секретарь Росфинмониторинга Павел Ливадный. В любом случае риск остается на банке — принимает ли он решение об удаленном обслуживании или же использует стандартную процедуру личного присутствия клиента в банке.
Биометрическая идентификация граждан основана на методах математической статистики. Анализ методов биометрической идентификации показывает, что более надежны методы, использующие дорогую аппаратуру, строгое соблюдение регламентов и правил сбора первичной биометрии, хранения образцов, а также развитый математический аппарат сравнения предъявляемых характеристик с образцами хранящихся биоданных. Ориентир на недорогие решения, провозглашенный основными докладчиками конференции 10 февраля, неизбежно означает, что итоговая достоверность результата идентификации клиента, проведенной банком, может оказаться ниже ожидаемого значения. В условиях отсутствия стратегии построения уровней доверия к первичной и вторичной идентификации, а главное — установления доверительного интервала и регламента передачи идентификационных данных от одной организации кредитно-финансовой сферы другой это может привести к повышению рисков нарушения безопасности и надежности идентификации со стороны злоумышленников.
Реклама
Вопросы поддержки стартапов обсудили генеральный директор компании Mplace Вячеслав Семенихин и исполнительный директор Центра экспертизы и коммерциализации фонда «Сколково» Павел Новиков. Этой беседой мы начинаем серию статей об инновациях в России, их роли, о мерах поддержки, о том, где и как искать деньги на развитие инновационных проектов и о том, на что смотрят институты развития и инвесторы