Как защитить биометрические данные клиентов банков

15.02.2022

 

Крупные российские банки просят ЦБ РФ предоставить им право открывать счета, оформлять вклады и выдавать кредиты новым клиентам с помощью биометрических данных (слепков лица и голоса), полученных и подтвержденных на портале «Госуслуги» с помощью единой биометрической системы (ЕБС). Компания iTPROTECT представила свой взгляд на эту инициативу с точки зрения обеспечения безопасности биометрических данных.

Оператором российской ЕБС является компания «Ростелеком». На основании контракта с Минцифры Единая система идентификации и аутентификации сайта «Госуслуги» будет интегрирована с ГИС ЕБС. Согласно условию контракта, российские пользователи смогут сдавать свои биометрические данные (цифровые слепки лица и голоса) без посещения банков или МФЦ в онлайне - через специальное мобильное приложение, разработанное «Ростелекомом».

Российские банки просят ЦБ РФ предоставить им возможность применения идентификации новых клиентов через ЕБС, что позволит развивать услуги онлайн-кредитования. В настоящее время новые клиенты банков не могут открыть счёт дистанционно – только при условии личного посещения офиса. Снятие этого ограничения позволит упростить и ускорить банковские бизнес-процессы. Однако обеспечить их безопасность, например, в случае с голосом или фотографией, гораздо сложнее, чем в случае паролей, кодовых слов или т.д.  Ведь все мы появляемся в общественных местах, выкладываем фото в соцсетях и отвечаем на телефонные звонки, тем самым «распространяя» часть своих данных.

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT: «Риски компрометации биометрических данных нужно оценивать в связке с задачами, для которых они будут использоваться. Так в случае распоряжения денежными средствами, каждый пользователь должен самостоятельно определить, насколько критичны для него те суммы, которыми он расплачивается по Face ID. На уровне финансовой организации можно обезопасить клиентов введением многофакторной аутентификации пользователей с настройкой правил под конкретного клиента, например, использовать биометрические данные как дополнительный фактор при операциях, начиная с определенной суммы».

В практике iTPRОTECT свыше 40 проектов в банковской отрасли по более чем 10 направлениям защиты, в том числе для соответствия банковским стандартам (PSI DSS, Положения Банка России № 683-П и пр.). Риски компрометации биометрических данных велики, поэтому регуляторы предъявляют достаточно сложные требования к их защите. И почти все финансовые организации, по практике iTPRОTECT, испытывают сложности с их выполнением, ведь для этого нужно учесть особенности бизнес-процессов, ИТ-инфраструктуры и ИБ-стратегии.

«Например, в одном крупном банке попытка самостоятельно выполнить эти требования привела к превышению плановых сроков в 2 раза, поэтому они обратились к нам. Мы начали проект с моделирования угроз, оценки текущих документов, процессов и инфраструктуры, после чего спроектировали и внедрили систему защиты, интегрировав ее с АБС, ЕБС и СМЭВ», - комментирует Роман Писарев.