Аналитика и комментарии

13 июня 2018

Стандартизация ИБ аккумулирует передовой опыт

Бизнес-консультант по безопасности CISCO Systems Алексей Лукацкий в интервью NBJ высказал свою точку зрения на проблемы стандартизации информационной безопасности, на новые законодательные инициативы регулятора, дал свои рекомендации, как банкам лучше подготовиться к выполнению всех новых требований и норм.

NBJ: Центральный банк активно занимается развитием новых платформ и сервисов. Как вы думаете, какие новые задачи будут стоять перед банковскими службами информационной безопасности в связи с обеспечением безопасного и надежного подключения к новым платформам регулятора?

А. ЛУКАЦКИЙ: Достаточно сложно говорить об этом, потому что Центральный банк на данный момент никаких проектов документов относительно того, как необходимо защищать такого рода платформы, не выпустил. Разговоров о разных финтех-платформах (мастерчейн, краудфандинг и т.д.) велось действительно много. Но конкретных требований, которые будут предъявляться при подключении к такого рода системам, сейчас нет. Хотелось бы, конечно, уже видеть проекты документов, тем более что ряд финтеховских платформ ЦБ РФ уже запускает.

Я могу высказать лишь свои предположения на эту тему. Поскольку речь идет о веб-ориентированных централизованных платформах, то со стороны Центрального банка потребуются соответствующие средства контроля уязвимостей веб-приложений, а также средства борьбы с распределенными атаками «отказ в обслуживании» (поскольку простой такого рода платформ может оказаться довольно дорогостоящим), решения класса Web Application Firewall и иные.

С точки зрения самих потребителей, т.е. банков, которые будут подключаться к такого рода системам, скорее всего, потребуется некий набор рекомендаций по аналогии с тем, что регулятор выпустил для подключения к платежной системе Банка России. 

Поскольку большинство новых финтеховских платформ все-таки носит централизованный характер и реализуется либо на площадке самого ЦБ РФ, либо регулятор в консорциуме с другими организациями будет создавать такого рода площадки, то основное бремя обеспечения безопасности ложится именно на сам Центральный банк. Основная задача остальных банков – создать защищенное подключение к такого рода платформам. Это несложная задача, и я не предвижу здесь возникновения больших проблем. Основные сложности носят скорее регулятивный характер, и касаются они преимущественно криптографии, с которой всегда в России были определенные сложности.

NBJ: Какова ваша точка зрения на проблемы стандартизации информационной безопасности, на новые положения, указания и стандарты Центрального банка (разбитые на шесть ключевых направлений), которые будут регулировать взаимодействие в данной сфере в ближайшем будущем? В чем вы здесь видите наибольшие проблемы для банков?

А. ЛУКАЦКИЙ: Стандартизация нужна и важна. Она позволяет установить некие общие «правила игры» для специалистов по безопасности. Поскольку в разработке стандартов участвовали специалисты по ИБ различных банков, можно с уверенностью утверждать, что стандарты разработаны не только и не столько регулятором, сколько всей банковской отраслью, а значит, они учитывают ее интересы. Все, что сейчас делает Центральный банк в области стандартизации, я считаю положительным явлением. Аккумулируется некий общий передовой опыт, который можно реализовать в том числе в организациях, где по каким-то причинам нет своих квалифицированных безопасников, которые не могут самостоятельно разработать стратегию обеспечения безопасности или набор рекомендаций по защите. Поэтому стандарты, описывающие лучшие практики, являются очень хорошим подспорьем.

Присутствуют, конечно, и сложности. Первая заключается в том, что большинство разработанных на сегодняшний день стандартов ориентировано на крупные финансовые организации. Есть, конечно, документы, которые не привязаны к масштабу предприятия, но все-таки большая часть разработанных и планируемых к внедрению документов ориентирована на достаточно крупные финансовые и кредитные организации. Отчасти это связано с тем, что ЦБ РФ, который стоит у истоков разработки этих стандартов, является масштабной структурой. И банки, участники комитета по стандартизации, которые занимаются адаптацией и согласованием стандартов, – тоже крупные финансовые организации, которым не всегда знакомы проблемы маленьких структур. Поэтому те меры, что прописаны в новых стандартах, зачастую неподъемны для небольших финансовых организаций. Отсутствие дифференцированного подхода, который бы учитывал масштабы банков, действительно создавало и пока еще создает большие сложности для организаций, которые не имеют ресурсов (особенно людских) для реализации всех необходимых мер. Как найти здесь баланс, пока не совсем понятно.

Недавно был выпущен новый стандарт Банка России – ГОСТ Р 57580.1. Он задает тон всей информационной безопасности в финансовых организациях. В нем предпринята попытка решить эту задачу. Согласно ГОСТ Р 57580.1-2017, вводятся три уровня защиты, каждый из которых определяется масштабом операций, их количеством и важностью для экономики страны и т.д. Как это будет работать на практике, посмотрим в этом и в следующем годах, когда начнется активная апробация данного стандарта.

Вторая вытекающая отсюда проблема – это финансирование. На выполнение всех существующих требований и рекомендаций нужны серьезные финансовые вложения. Либо необходимо иметь в штате специалистов, которые могут разработать решения самостоятельно или же, взяв за основу продукты open source, доработать их под свои нужды. Такие банки есть, и некоторые молодые специалисты там именно так и делают.

Следует сказать, что другая часть специалистов, как правило, работающих в «старых» в хорошем смысле этого слова банках, ориентируется на готовые продукты, представленные на рынке, которых не так уж и много и которые достаточно дороги.

В итоге все это приводит к ощутимым финансовым затратам, которые ложатся тяжким бременем на плечи клиентов банков.

Таким образом, нехватка людей, игнорирование масштабов организации и большие капитальные вложения в реализацию этих стандартов – это основные сложности, с которыми сталкиваются банки в настоящее время. 

NBJ: Может ли выполнение недавно принятого ГОСТ 57580.1 покрыть необходимость выполнять все остальные стандарты?

А. ЛУКАЦКИЙ: ГОСТ 57580.1 был разработан в прошлом году и введен в действие с 1 января 2018 года. Обязательным к выполнению он станет, если на него сошлются в нормативных документах Банка России. Наверное, это произойдет в 2019-2020 годах. Он действительно охватывает многие сферы. Более того, при его разработке опирались на существующие стандарты ЦБ РФ и других регуляторов. Я считаю, что для Банка России это первый шаг к новому витку стандартизации. 

Кстати, в Центральном банке на срок до 2020 года запланирован выпуск порядка 17 новых стандартов, которые учитывают все последние достижения в области информационной безопасности.

NBJ: Как банкам можно минимизировать затраты на выполнение стандартов, что бы вы посоветовали?

А. ЛУКАЦКИЙ: У меня есть две рекомендации. Первая – использование open source – бесплатного программного обеспечения, которое может решать многие описанные в стандартах задачи: проводить расследование инцидентов, обнаруживать атаки и уязвимости, осуществлять взаимодействие между подразделениями и т.д. На рынке существует немало продуктов open source. Несомненным плюсом таких решений является низкая цена и отсутствие необходимости капитальных вложений. Однако работа с такими продуктами требует очень высокой квалификации специалистов, которые будут их внедрять и адаптировать под нужды своей организации. Следует признать, что продукты open source не очень хорошо оптимизированы для работы в распределенных системах с централизованным управлением. Поэтому здесь потребуется определенная доработка, выполнить которую способны только высококвалифицированные специалисты по безопасности или ИТ. 

Следовательно, сказать заранее, что будет выгоднее для того или иного банка, сложно. Либо нужно покупать готовые продукты, в которых содержится весь необходимый функционал под централизованным управлением, что требует меньшего вовлечения людей в процесс. Либо нужно адаптировать бесплатные продукты под свои задачи. Если в организации нет специалистов, способных это сделать, наверное, на решениях open source сэкономить не удастся.

Еще один способ реализации большинства функций в круглосуточном режиме без дополнительных затрат – это аутсорсинг информационной безопасности, который позволит переложить все важные задачи обеспечения ИБ на внешнюю компанию, специализирующуюся на решении этих задач и имеющую квалифицированных специалистов. По сути, аутсорсинг обходится немного дешевле, чем если бы организация реализовывала все это самостоятельно. В этом случае оборотная сторона медали – это зависимость от поставщика услуг. Если по каким-то причинам поставщик услуг потеряет доверие регулятора либо у него отзовут лицензию, либо у него возникнут финансовые проблемы, либо его купит и поглотит крупный игрок (в России так происходит в последнее время), то у финансовой организации, которая доверила свою безопасность аутсорсеру, возникнут дополнительные риски, которые надо оценивать до заключения договора аутсорсинга. Для решения этой задачи Банк России недавно выпустил новый стандарт, посвященный как раз рискам перехода к аутсорсингу ключевых бизнес-функций.

Можно еще, конечно, рассмотреть не самый очевидный вариант экономии. Это разделение полномочий между безопасностью и ИТ и передача части функций в ИТ, тем более что эксплуатация технических решений обеспечения работоспособности сети лежит на плечах ИТ. А безопасность отчасти предполагает то же самое – обеспечение работоспособности и надежности сети. Но это опять-таки не универсальный рецепт, и в каждой конкретной ситуации он либо работает, либо нет.

На мой взгляд, других методов экономии нет. Вообще экономить на безопасности бывает достаточно сложно. Обеспечение безопасности, особенно если оно хорошо работает, не находится на виду, и возникает желание сэкономить. Однако следует помнить, что экономия на безопасности чревата тяжелыми последствиями. 

NBJ: Как банкам подготовиться к выполнению ГОСТов, какие мероприятия необходимо выполнить?

А. ЛУКАЦКИЙ: С одной стороны, что нужно делать, нам подсказывают сами ГОСТы, в которых описана последовательность действий. С другой, ничего нового в ГОСТах с точки зрения того, как нужно это реализовывать, нет. 

Вначале оцениваются бизнес-потребности, т.е. что требует бизнес от всех своих подразделений, включая безопасность. Просчитываются бизнес-риски организации. Дальше моделируются угрозы, которые могут наносить ущерб активам как клиентов, так и самой финансовой организации, ее филиалам, допофисам и т.д. После этого составляется некая технологическая карта решений, которые могут купировать или снизить ущерб от реализации определенных актуальных угроз. После этого начинается внедрение всех технологий в пилотном режиме, а затем уже в рамках промышленной эксплуатации. Параллельно с этим идет работа по обучению персонала. Кстати, наверное, еще одним способом частично сэкономить бюджет является распределение ИБ еще и на рядовой персонал. Внедрив различные системы повышения осведомленности персонала, можно существенно повысить безопасность организации, потому что самым слабым звеном всегда является человек. Если сотрудник осведомлен в вопросах ИБ и знает, на что обращать внимание (например, нельзя открывать незнакомые ссылки, неизвестные вложения, не надо поднимать флешки, найденные возле офиса, и т.д.), тем самым можно повысить уровень защищенности организации и снизить потребность в большом спектре технических решений, которые подменяют собой человека. 

С точки зрения внедрения стандартов повышение осведомленности персонала является обязательным: люди должны понимать, что и с какой целью внедряется и каковы могут быть последствия, если те или иные меры не будут введены. Причем набор мероприятий мало чем отличается от того, о каком стандарте мы говорим (будь то документы ЦБ РФ, ФСТЭК), это примерно одинаковая последовательность действий моделирования угроз и выбор мер (технических, организационных), которые эти угрозы будут купировать, нейтрализовать, снижать ущерб от их воздействия.

NBJ: Расскажите, пожалуйста, подробнее о готовящихся проектах нормативно-правовых актов Центрального банка. Каких изменений ждать банкам, какие шаги им стоит предпринять в связи с этим?

А. ЛУКАЦКИЙ: Одно из долгожданных изменений – это новая редакция 382-П, утвержденная Указанием Банка России № 4793-У, которая уже прошла все согласования и направлена в Минюст. Документ согласовывался больше года, процесс был тяжелым. В ближайшее время его должны зарегистрировать. Соответственно, так как его приняли в мае текущего года, вероятно, он вступит в силу спустя полгода, то есть с 1 января 2019 года. В этом документе есть три ключевых изменения по сравнению с тем, что было в прежних редакциях 382-П и к чему еще не привыкли банковские безопасники. 

Первое изменение – это сертификация или иные формы оценки соответствия банковских и финансовых приложений. Учитывая, что за долгие годы ЦБ РФ так и не смог добиться от разработчиков автоматизированных банковских систем и других финансовых приложений повышения уровня защищенности их продуктов (поскольку они не являются подведомственными для ЦБ РФ организациями и никак на них повлиять он не может), Банк России решил пойти окольным путем – через клиентов этих разработчиков. Регулятор установил по аналогии с PA DSS (стандарт международных платежных систем VISA и Mastercard) требования к оценке соответствия платежного приложения. Т.е. для того, чтобы финансовая организация смогла использовать то или иное финансовое приложение, в том числе для общения с Центральным банком или перевода денежных средств, оно должно пройти оценку соответствия. Это либо сертификация на отсутствие уязвимостей, либо иные меры, которые позволят разработчику доказать, что он выполняет меры защиты в непрерывном режиме и в его продукции число уязвимостей находится на невысоком уровне, а также есть выстроенный процесс устранения этих уязвимостей. Это достаточно важное изменение, поскольку многие банковские разработчики к безопасности своих продуктов относятся несерьезно. Данное изменение повлияет в какой-то степени на рынок банковского ПО и заставит разработчиков повысить защищенность своих приложений. Банковские безопасники будут участвовать в процессе покупки и выбора соответствующего программного обеспечения. Если же в организации используется собственная разработка, то потребуется внедрение правил безопасного программирования и повышения защищенности ПО в деятельности ИТ-служб, которые занимаются собственными разработками.

Второе ключевое изменение 382-П – это разделение контуров на два. Т.е. сейчас существует один контур – один компьютер, на котором платежное поручение подготавливается, заверяется и отправляется в платежную систему, будь то Банк России или иная система платежей. Согласно новому требованию, планируется разделение таких контуров на два. Иными словами, на одном компьютере платежное поручение готовится, на другом оно проверяется, подписывается и отправляется в платежную систему. Это сделано для того, чтобы усложнить злоумышленнику процедуру атаки на платежный процесс, чтобы она стала как минимум в два раза сложнее. Эту схему уже тестируют на подключении к платежной системе Банка России – АРМ КБР. Еще в конце 2016 года ЦБ РФ ввел такие нормы в Положении 552-П. Сейчас этот опыт планируют расширить на все системы платежей, которые действуют на территории РФ.

Третье большое новшество, которое прописано в 382-П, – это изменение практики уведомления об инцидентах. В настоящее время по 382-П информирование Центрального банка об инцидентах происходит раз в месяц (203-я форма отчетности). Регулятор планирует перейти на более оперативный режим уведомления. Пока точно не ясно, но, возможно, это будет уведомление в течение трех часов с момента наступления инцидента. Это как раз то, что сейчас прописано в 552-П для уведомления об инцидентах в АРМ КБР. Эта практика уже действует полтора года, никаких нареканий не вызывает, поэтому ее планируют расширить на все виды инцидентов, которые происходят в банках: фишинг, DDoS-атаки, взломы сайтов, кража ключей и т.д. Тем самым повышается оперативность реагирования со стороны Центрального банка, и одновременно финансовые организации будут вынуждены по-другому выстраивать свою службу управления инцидентами. Если сейчас зачастую она работает в режиме 5/8, то немедленное реагирование в течение трех часов потребует перехода на круглосуточный режим работы. Возможно, потребуется создание отдельной службы реагирования на инциденты.

Наряду с этими тремя ключевыми изменениями 382-П сейчас в Госдуму также внесено и находится на ранних стадиях законодательного процесса несколько проектов федеральных законов. Основной среди них – это внесение поправок в Закон о национальной платежной системе 161-ФЗ, а также в Закон о Центральном банке, который наделяет его правом регулировать вопросы защиты информации не только в национальной платежной системе, как это прописано сейчас, а в любой финансовой организации, будь то ломбарды, страховые компании, негосударственные пенсионные фонды, микрофинансовые организации и т.п. Как только ЦБ РФ получит такое право (закон прошел первое чтение), он сможет свои документы, например, свой стандарт, распространять не только на кредитные, но и на некредитные финансовые организации. Таким образом, ЦБ РФ станет мегарегулятором в области информационной безопасности наряду со ФСТЭК и ФСБ.

Этот же законопроект устанавливает требования, согласно которым все операторы по переводу денежных средств, кредитные организации должны сообщать в Банк России о фактах мошенничества. Сейчас все банки обязаны передавать информацию только об инцидентах ИБ. Поскольку между двумя этими понятиями грань очень тонкая, то ЦБ РФ получит право рассылать по всем кредитным организациям признаки мошеннических операций, которые регулятор будет формировать централизовано. В случае обнаружения такого рода мошеннических операций кредитные организации должны будут незамедлительно, скорее всего, тоже в течение трех часов сообщать об этом в Банк России. Создается некая глобальная система антифрода, борьбы с мошенничеством.

Также есть еще законопроект, который наделяет Центральный банк правом бороться с фишинговыми ресурсами. Т.е. свое существование прекратят ресурсы в интернете, которые либо в явном виде занимаются мошенническими операциями, либо являются клонами или двойниками сайтов реально существующих финансовых организаций, либо рекламируют услуги вне правового поля (т.е. у владельца сайта нет лицензии на осуществление соответствующих операций). Сейчас ЦБ РФ это делает с помощью своих партнеров. Планируется, что регулятор получит право блокировок в более оперативном режиме, хотя, если быть точным, это и не совсем блокировки, а разделегирование интернет-доменов. 

Помимо этого, в рамках ТК-122 (Технического комитета по стандартизации при Ростехрегулировании) давно существует ПК1 по защите информации, в рамках которого разрабатываются все стандарты по ИБ. В 2017 и в 2018 годах ЦБ РФ анонсировал новый план работы этого комитета, в котором предусмотрена разработка 18 новых стандартов по различным сферам деятельности – управление киберрисками и информационной безопасностью, базовый набор защитных мер, расследование инцидентов, обеспечение киберустойчивости систем, ситуационная осведомленность, безопасность аутсорсинга и др. И по каждому из них будет еще дополняющий стандарт по оценке выполнения этих требований.

Можно констатировать, что планов у ЦБ РФ по стандартизации вопросов безопасности достаточно много и работа предстоит большая для всех участников процесса – и разработчиков новых нормативных актов, и их «потребителей».

NBJ: В середине 2017 был опубликован Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», и он вступил в силу с 1 января 2018 года, а вместе с ним начали действовать и изменения в Уголовный кодекс РФ. Некоторые эксперты говорят о несогласованности действий ведомств, что влечет за собой трудности для организаций, поскольку отсутствует единая позиция госорганов на этот счет. Что вы думаете об этом?

А. ЛУКАЦКИЙ: Стоит признать, что единая позиция действительно отсутствует. Однако правильнее было бы сказать, что ее нет не у госорганов, а у законодателей. Когда закон в стадии законопроекта обсуждался в Госдуме, было предложение придать финансовым организациям особый статус как операторам связи. По закону вопросы безопасности операторов связи регулирует Минкомсвязи. То же самое предлагали сделать для финансовых организаций, тем более что у них есть Центральный банк, который очень хорошо регулирует вопросы защиты информации. К сожалению, законодатели не пошли на это изменение. В итоге действительно получилось так, что финансовые организации (причем любые, начиная от ломбарда и заканчивая Сбербанком) отнесены к понятию «субъект критической информационной инфраструктуры» и обязаны соблюдать не только требования Центрального банка, но еще и ФСТЭК и ФСБ. На первый взгляд, это действительно приводит к определенной неразберихе. Однако при более внимательном прочтении документов мы видим, что требования очень сильно, примерно на 95% пересекаются. Поэтому финансовые организации, которые уже выполнили или находятся в процессе выполнения документов ЦБ РФ (382-П, стандарта Банка России и т.д.), могут не сильно опасаться, что им придется дополнительно что-то делать в части требований относительно критической информационной инфраструктуры (КИИ). 

Вторым большим блоком проблем является подключение к ГосСОПКА (Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак). Здесь тоже есть несогласованность, потому что, согласно законодательству, любой субъект критической инфраструктуры обязан уведомлять ГосСОПКА об инцидентах. Для этого создаются в том числе так называемые корпоративные либо ведомственные центры ГосСОПКА, которые являются посредниками между бизнесом и ФСБ. И логично было бы, чтобы такого рода центром стал FinCERT, поскольку он и так собирает данные об инцидентах со всех своих «подведомственных» структур, со всех банков. Но, к сожалению, законодатели опять не прислушались к рекомендациям экспертов, которые давались на этапе подготовки закона. В настоящее время FinCERT с юридической точки зрения не является ни ведомственным, ни корпоративным центром ГосСОПКА. Чтобы быть ведомственным, надо иметь статус госоргана. 

А чтобы быть корпоративным, надо быть лицензиатом ФСТЭК России. ЦБ РФ тоже им не является. В итоге с юридической точки зрения сейчас FinCERT не может быть такого рода центром. И получается, что все финансовые организации должны дублировать информацию, отправляя ее и в ГосСОПКА, и в FinCERT. Это же дублирование прописано и в проектах приказов ФСБ, которые в скором времени должны быть приняты.

Сейчас ведутся работы, чтобы именно FinCERT стал такого рода точкой сопряжения с ГосСОПКА, но пока до этого далеко. С точки зрения правил об инцидентах ГосСОПКА ничего нового в деятельность финансовых организаций, которые уже уведомляют FinCERT, не привносит. 

Если внимательно проанализировать все требования закона по КИИ, то ничего нового для финансовых организаций (во всяком случае для банков) мы не обнаружим. Конечно, для других финансовых организаций, которым никогда раньше не приходилось выполнять требования ЦБ РФ, например, страховых компаний, негосударственных пенсионных фондов, микрофинансовых организаций, ломбардов, все в новинку. Но для них новшеством будет не только закон о КИИ, но и сами требования Центрального банка. 

Получается, что, с одной стороны, это действительно новый закон. С другой, ничего нового в нем нет. Так часто бывает: все вначале боятся нового законодательства, но при его внимательном чтении оказывается, что оно совпадает с теми требованиями, которые уже были раньше, только они распространяется на новую сферу регулирования.

NBJ: Я знаю, что вы сделали оценку банков, которые подпадают под действие закона о КИИ.

А. ЛУКАЦКИЙ: Я просто взял Постановление правительства № 127, утвержденное в 2018 году, о правилах категорирования объектов критической информационной инфраструктуры. В нем есть ряд положений, которые касаются именно финансовых организаций, и я экспертным путем оценил, кто может попасть под такого рода организации. Там есть понятие «стратегическое акционерное общество», «системно значимые платежные системы» и т.д. Поэтому всех, кто по законодательству подпадает под них, я выписал в виде списка, и получилось порядка 40 организаций. Я не могу быть уверен на 100%, но вероятность очень высока. Подобный список может составить любой юрист или безопасник, который немного разбирается в законодательстве. 

NBJ: Большое внимание сейчас уделяется теме биометрии. Каковы наиболее актуальные проблемы удаленной идентификации, на ваш взгляд? Как минимизировать риски хищения биометрических данных и их подмены?

А. ЛУКАЦКИЙ: На мой взгляд, основной проблемой на сегодняшний день является отсутствие адекватного моделирования угроз для систем биометрической идентификации. Например, если у пользователя украсть пароль, его можно легко заменить. Если у пользователя похитить какой-то второй фактор аутентификации, его тоже можно легко заменить. Биометрический фактор заменить невозможно. И этому моменту, к сожалению, не уделяется должное внимание. 

Иногда проводят аналогию с биометрическими паспортами. Однако их база – это действительно защищенное хранилище, к которому имеют доступ очень ограниченное количество лиц, в основном это государственные органы – ФНС, ФМС, пограничная служба, МВД, ФСБ. 

Когда мы говорим о биометрически удаленной идентификации, которую имеет в виду ЦБ РФ и которая строится на базе Ростелекома, то к ней будет получать доступ гораздо большее количество организаций. По скромной оценке, их количество будет измеряться несколькими сотнями, а то и тысячами. Увеличивается так называемая площадь возможной атаки и число точек проникновения в эту базу, что предъявляет гораздо более жесткие требования по ее безопасности, чем даже к базе биометрических паспортов. 

Возможно, об этом не говорят, чтобы не давать злоумышленникам лишнего повода, но, на мой взгляд, принцип «без­опасность через незнание» в данном случае не работает. Я считаю, что нужно широкое обсуждение механизмов защиты биометрической базы. Потому что, если ее взломают даже один раз, это подорвет доверие ко всей системе биометрической идентификации в России не только на данный момент, но и в будущем. Далее это приведет к огромному количеству возможных проблем, потому что злоумышленники смогут выполнять любые юридические действия, маскируясь под вполне легального пользователя, чьи биометрические данные были украдены.

Вторая большая проблема связана с тем, что почему-то мало кто задумывается, как это все можно реали­зовать. Для того чтобы снять с клиента банка биометрический профиль, необходимо иметь достаточно мощное оборудование и специализированные комнаты. Механизм примерно тот же, что и при снятии биометрических данных при подготовке загранпаспортов. Необходим особый стеклянный «карман» со специальным оборудованием. А поскольку в Законе о внесении изменений в 115-ФЗ и, соответственно, в документах ЦБ РФ говорится не только о биометрии лица как биометрического идентификатора, но и о голосе, то, чтобы снять с клиента соответствующий звуковой профиль, потребуется еще и изолированное помещение, где бы отсутствовали любые посторонние звуки.Даже не каждый центральный офис банка имеет его, что уж говорить о каких-то удаленных площадках. Поскольку вся система создается для того, чтобы облегчить жизнь гражданам России, которые живут за пределами крупных центральных городов, то возникает вопрос о том, как вообще будут снимать этот биометрический профиль. Ведь это потребует капитальных вложений в оснащение каждого филиала или допофиса, причем затраты в данном случае являются одноразовыми (профиль снимается один раз). 

Третья проблема – это ограничение количества биометрических факторов (голос, изображение лица), что, на мой взгляд, тоже не совсем правильно, потому что существуют еще отпечатки пальцев, биометрия руки, строение сосудов ладони, которые тоже могут использоваться как идентификаторы. О них пока что мало кто думает. Наверное, потому что подобные считыватели данных являются дорогостоящими и не все готовы их внедрять. 

Но даже если мы ограничимся только голосом и изображением лица, то, чтобы получать их удаленно, например, через скайп или телефон, необходимо обеспечить качественную связь. Злоумышленники научились легко подменять изображения. И очень сложно идентифицировать изображение без применения технологий нейросетей, машинного обучения. 

Почему-то эти проблемы не обсуждаются, звучат лишь победные реляции о том, как биометрия шагает по стране, и это вызывает определенную тревогу.

NBJ: Каким должен быть перечень угроз хищения биометрических данных в контексте удаленной идентификации, на ваш взгляд?

А. ЛУКАЦКИЙ: По моей оценке, существует как минимум 17 каналов и векторов атаки на систему биометрической идентификации: на считыватели, на процедуру обработки, на хранилище биометрической идентификации, на самого пользователя, на канал передачи данных и т.д. Соответственно, и технологии должны предусматривать нейтрализацию всех векторов угроз.

NBJ: Последний вопрос: что вы думаете о программе развития цифровой экономики в контексте вопросов ИБ?

А. ЛУКАЦКИЙ: К сожалению, я не верю в программу цифровой экономики, это мое сугубо личное мнение. Потому что то, как ее инициировали и реализовывают, то, как ее финансируют, не вызывает оптимизма. В процессе подготовки «дорожной карты» принимало участие большое количество экспертов (более 700), многие из них отстаивали коммерческие интересы своих предприятий. В итоге целостной структуры всех необходимых работ так и не возникло. Это по-прежнему набор разрозненных мероприятий, большая часть которых уже реализована к текущему моменту, поскольку это было сделано в рамках совершенно других мероприятий и задач. На мой взгляд, вся эта программа либо превратится в показуху, либо сойдет на нет, как это уже было с предыдущими программами – «Информационное общество», «Электронная Россия» и т.д. 

Все, что навязывается государством сверху, обычно «не выстреливает», особенно при том уровне информатизации, который есть в России. Примеров, когда в этом вопросе надо равняться на государство, за исключением того, что делается в Москве, практически нет. Поэтому программа цифровой экономики в области информационной безопасности пока что какого-то позитива и оптимизма у меня не вызывает. Но я был бы рад ошибаться. Думаю, ждать первых результатов от этой программы осталось недолго – первые вехи по программе «Цифровая экономика» запланированы уже на конец 2018 года.    

беседовала Оксана Дяченко
Поделиться:
 

Возврат к списку