Это интересно

Банки оценили биометрию. Многим она оказалась не по карману

Определен перечень «базовых элементов», необходимых банку для сбора биометрических данных и передачи их в Единую биометрическую систему (ЕБС). Минимальные затраты на подключение банка с одним отделением составят около 4 млн руб., каждое новое отделение требует еще 130 тыс. руб. Избежать расходов не удастся — к концу 2019 года сбор биометрии должен быть обеспечен во всех отделениях всех банков. Но учитывая, что многие игроки почти не работают с населением, предлагается освободить их от этой обязанности.

На прошлой неделе в «Ростелекоме» прошло закрытое совещание, посвященное выполнению банками требований информационной безопасности при сборе биометрических данных у населения и отправке их в ЕБС. Как рассказали источники “Ъ”, в совещании приняли участие представители 20 крупнейших банков, ЦБ, «Ростелекома» и ФСБ. Участникам рынка изложили требования к аппаратно-программному комплексу банков: серверу (HSM-модуль), операционной системе, средству подписи снимаемой биометрии. Кроме того, указали на необходимость наличия у банка антивируса, межсетевого экрана, системы обнаружения угроз.

Рисунок: Виктор Чумачев / Коммерсантъ

В результате, по словам участников встречи, точно определен перечень «базовых элементов», необходимых для подключения к ЕБС, и можно рассчитать минимальную стоимость сбора данных. По оценкам главы «Айтуби» Ильи Тарасова, цена подключения банка с одним отделением — от 3 млн руб., где половина — расходы на киберзащиту (один HSM-модуль стоит 1,5 млн руб.), остальное — на оборудование для снятия данных и направления их в ЕБС. За каждое следующее отделение придется доплатить 130 тыс. руб., из которых 30 тыс. руб. это средства защиты, 60 тыс. руб.— оборудование для снятия биометрии на одно рабочее место, 40 тыс. руб.— компьютер сотрудника.

Кроме того, при подключении за работы по настройке оборудования, аттестацию системы ЕБС, разработку модели угроз и модели нарушений, а также за годовое обслуживание потребуется заплатить еще около 1,2 млн руб. Единожды подключившись к ЕБС, банки должны будут тратить по 800 тыс. руб. на обслуживание в год Избежать расходов не удастся: к 1 января 2019 года подключиться к ЕБС должно 20% отделений кредитных организаций, к 1 июля 2019 года — 60%, к концу 2019 года сбор биометрических данных должен происходить во всех отделениях всех банков.

Сейчас, по данным ЦБ, в России 476 банков (из них 39 в принципе не работают с населением), собирают и передают данные лишь 50 игроков. Как говорили “Ъ” в «Ростелекоме», на 2 августа в системе были данные 1,2 тыс. человек. Но многие банки сконцентрированы на обслуживании корпоративных клиентов, и поток граждан, желающих в их отделениях сдать биометрические данные или же получить услуги с их помощью, будет минимальным. «Мы работаем только с корпоративными клиентами, единственный офис находится рядом с отделением банка из топ-10,— рассказывает “Ъ” топ-менеджер небольшого банка.— Очевидно, что для нас расходы на подключение к ЕБС — деньги на ветер, тем более что придется также выделять и оборудовать помещение для сбора биометрии, нанимать отдельного сотрудника».

По словам главы Национального совета финансового рынка (НСФР) Андрея Емелина, исходно, когда только велась работа над соответствующим законопроектом, предполагалось, что собирать биометрию будут не все банки, и эту идею поддерживал ЦБ. «Но действующая редакция закона не содержит исключений, и это в корне неверно»,— отметил он. Теперь НСФР намерен обратиться в Госдуму с предложением внести поправки. Например, поясняет господин Емелин, для тех игроков, кто ориентирован на бизнес или на ипотеку, где услуги на основании биометрических данных не будут предоставляться, а также для тех отделений, где нет технической возможности осуществлять сбор биометрии, например из-за качества интернета и так далее. Внести изменения необходимо оперативно — в осеннюю сессию, подчеркнул он. Глава комитета Госдумы по финансовому рынку Анатолий Аксаков также считает нужным проработать вопрос и при необходимости инициировать внесение поправок к законодательству. Но далеко не последнее слово остается за ЦБ. Однако там пока комментируют ситуацию исключительно в рамках действующего законодательства. В пресс-службе Банка России подчеркнули, что сбор биометрии является обязательным для всех банков, соответствующих установленным законом критериям. К банкам, не выполняющим требование закона о переходе 20% отделений на сбор биометрии к 1 января 2019 года, будут применяться меры, предусмотренные статьей 74 закона о ЦБ. Функция по надзору за сбором биометрии закреплена за ЦБ.

 

Вероника Горячева

Опубликовано 3 сентября 2018 года в газете "Коммерсантъ" №158
Подробнее...
Источник: https://www.kommersant.ru/doc/3731093

 

Хакеры сводят дебет с кредитом. Для хищения средств они создают сайты для бухгалтеров

Тренд смещения интересов хакеров с банков на их клиентов порождает новые идеи для поиска жертв. Group-IB сообщила о выявлении группы из пяти полноценных бухгалтерских сайтов, созданных специально для хищения средств через систему «банк—клиент». По оценкам экспертов, подобный профильный «контент» потенциально может приносить злоумышленникам до 1,2 млн руб. в день. И пока банки с трудом могут защитить клиентов.

Group-IB сообщила о выявлении и блокировке сети из пяти бухгалтерских сайтов, целью создания которых было заражение посетителей банковскими троянами Buhtrap и RTM. Жертвами атак стали бухгалтеры, юристы и другие специалисты, работающие с системами дистанционного банковского обслуживания (ДБО). По оценке Group-IB, три ресурса, появившиеся в апреле, уже посетило не менее 200 тыс. человек.

Фото: Виктор Коротаев / Коммерсантъ

Схема была раскрыта после попытки загрузки вредоноса в одном из российских банков. В ходе расследования установили, что троян загружался с профильного бухгалтерского ресурса buh-docum.ru, содержащего сотни специализированных документов для бухгалтеров. Ресурс регулярно появлялся в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.).

Заражение происходило при скачивании документа. Сначала компьютер жертвы «обследовался» на предмет доступа с него к ДБО, и при подтверждении сервер отдавал команду на загрузку троянов.

По оценке Group-IB, каждая успешная атака ежедневно приносила злоумышленникам в среднем 1,2 млн руб.

Эксперты отмечают, что в данном случае злоумышленники отошли от прежних схем — взлом легального бухгалтерского сайта (см. “Ъ” от 25 августа 2017 года) или создание его клона. Дело в том, что при заражении легально работающего сайта вредонос может выявить его владелец. В результате теперь были созданы полноценные ресурсы с сотнями полезных документов. А как отмечает партнер Energy Consulting Юлия Гладышева, «если бухгалтеру нужен конкретный документ, которого нигде нет, он зайдет на любой сайт, любой форум для получения информации». При этом, по словам главного редактора «Клерк.ру» Марины Снеговской, попасть в топ запросов поисковика довольно просто, зная механизмы поисковой оптимизации.

По данным Positive Technologies, использование вредоносного программного обеспечения входит в число самых распространенных методов атак (63% всех атак, по статистике за первый квартал 2018 года), причем до 31% всех заражений вредоносным ПО происходит во время посещения зараженного сайта. При этом защищаться от вредоноса в подобных ситуациях должна в первую очередь сама организация.

По словам руководителя экспертного центра безопасности Positive Technologies Алексея Новикова, необходимо внедрять эшелонированную систему защиты и концентрироваться на создании процесса мониторинга событий ИБ на критических узлах. В частности, необходимо контролировать безопасность компьютеров, на которых обрабатывается критическая для организации информация, включая финансовые трансакции.

Банкам же в данном случае крайне сложно защитить своего клиента от хищений. «Мы не можем проконтролировать, посещает ли бухгалтер, на компьютере которого стоит ДБО, сомнительные сайты, скачивал ли он файлы с незнакомых ресурсов, есть ли у него антивирус»,— отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов. Как заявили в Сбербанке, продукты банка изначально были спроектированы с учетом данной угрозы. Таким образом, даже если на ПК бухгалтера будет установлен вирус, в том числе данного типа, средства клиентов будут защищены.

Герман Греф, глава Сбербанка, 6 июля 2018 года на Международном конгрессе по кибербезопасности: "Мы как банк часто гордимся тем, что нас — Сбербанк — ни разу не взломали. А давайте поговорим о клиентах Сбербанка? Так ли защищены клиенты Сбербанка, как мы? Честный ответ — наши клиенты не защищены".

Впрочем, с 1 января 2020 года вступают в силу поправки к нормативным документам ЦБ, которые потребуют от банка при невозможности обеспечить защиту от воздействия вредоносного кода разделять технологии по формированию платежного документа и по его подтверждению. В частности, в случае с корпоративными клиентами, по словам консультанта по безопасности Cisco Алексея Лукацкого, один компьютер будет готовить платежку, а с другого она будет отправляться в банк. Как надеются в ЦБ, эта мера существенно осложнит задачу злоумышленников.

 

Вероника Горячева

Опубликовано 30 июля 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3700116

CERT Group-IB: обнаружена сеть фальшивых бухгалтерских сайтов, «заразивших» около 200 тыс. пользователей

Group-IB, ведущая международная компания по предотвращению и расследованию киберпреступлений, обнаружила сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM, нацеленными на атаку юридических лиц. Три ресурса, появившихся в апреле этого года, уже успели посетить, как минимум, 200 000 человек. Жертвами таргетированной атаки хакеров стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. На данный момент, как минимум, один ресурс продолжает работу.

Новая преступная схема была раскрыта после того, как Центр реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) зафиксировал попытку загрузки вредоносной программы в одном из российских банков. В ходе расследования инцидента обнаружилась, что троян был «подсажен» с профильного бухгалтерского ресурса buh-docum[.]ru, содержащего подборку специализированных документов — бланков, контрактов, счетов-фактуры и документов налогового учета.

Анализ сайта buh-docum[.]ru показал, что он был изначально зарегистрирован и заполнен профильным контентом (сайт содержал сотни различных финансовых документов) как приманка для определенной категории посетителей с целью инфицирования их компьютеров. Тематически таргетированный ресурс был направлен на финансовых директоров, главных бухгалтеров, юристов, то есть на тех, кто владеет правами доступа к управлению счетами организаций. Именно благодаря своему профилю деятельности они, как правило, чаще других становятся мишенями хакерских атак.

При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap (в 2016 году исходный код вируса появился на хакерских форумах). Загрузчик собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов (так называемых «ключевиков»):

Если программа обнаруживала один из таких «ключевиков», сервер отдавал команду на загрузку троянов Buhtrap или RTM, нацеленных на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем.

Исследуя сайт buh-docum[.]ru, сотрудники CERT Group-IB обнаружили связанные между собой ресурсы-близнецы, практически не отличающиеся контентом. Сеть фальшивых бухгалтерских сайтов насчитывала, как минимум, пять ресурсов, объединенных общей задачей: распространение вредоносных программ при скачивании бухгалтерских бланков и счетов.

Среди таких ресурсов специалисты Group-IB выявили:

buh-docum[.]ru,
patrolpolice[.]org.ua,
buh-blanks[.]ru,
buh-doc[.]online,
nbsp;buh-doc[.]info.

Два домена были зарегистрированы еще в сентябре 2017 года, остальные работали всего несколько месяцев. Посетителями каждого из сайтов за это время стало 200 тыс. потенциальных жертв. Ресурсы регулярно появлялись в топе поисковой выдачи по соответствующим запросам («скачать бухгалтерские бланки», «скачать бланк», «налоговая декларация скачать» и др.). Общий объем посещаемости по всем ресурсам фальшивой бухгалтерской сети на данный момент не установлен: это сотни тысяч пользователей.

По оценке Group-IB, данной в отчете «Hi-Tech Crime Trends 2017», каждая такая атака ежедневно приносит злоумышленниками, в среднем до 1,2 млн рублей. На данный момент большинство фальшивых бухгалтерских сайтов заблокированы либо находятся в процессе блокировки.

 


Ярослав Каргалев, заместитель руководителя CERT Group-IB:

Тактика атакующих изменилась: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов, на которых злоумышленники размещали код, предназначенный для загрузки троянов. В итоге невнимательность одного сотрудника компании может привести к серьезным потерям для всего бизнеса: по нашим данным ежедневно происходит минимум по 2 успешных атаки на компании с использованием вредоносных программ для ПК, в результате которых в среднем злоумышленники похищают 1,2 млн рублей. Кроме того, мы не исключаем, что таких ресурсов могло быть больше.


 

Для того чтобы компаниям не стать жертвой киберпреступников, эксперты Group-IB рекомендуют правильно выстраивать систему проактивной защиты, исходя из актуальных киберугроз — необходимо использовать системы раннего предупреждения и детектирования атак в корпоративной сети, решения для поведенческого анализа файлов в безопасной среде (класса «песочница»). Компьютеры, которые работают с бухгалтерскими и банковскими системами, должны быть изолированы, а доступ во внешнюю сеть должен быть разрешен только по «белым спискам» (White lists). Нужно внедрять системы защиты основных узлов и компьютерных систем, своевременно обновлять ПО — операционные системы, приложения, браузеры. Именно через уязвимости в браузере происходит заражение программой Buhtrap. Кроме того сотрудники, попадающие в «группу риска» — бухгалтеры, системные администраторы, секретари в обязательном порядке должны проходить тренинги по информационной безопасности, а всю IT-инфраструктуру компании два раза в год необходимо проверять в ходе «боевых учений». Иначе цена их ошибки может быть очень высока.

 

Опубликовано 27 июля 2018 года на сайте компании Group-IB

Подробнее...

Источник: https://www.group-ib.ru/media/cert-2

 

 

Как запуск системы удаленной идентификации приведет к трансформации банков

В начале июля в России была запущена Единая система удаленной биометрической идентификации. Алексей Панферов, заместитель председателя правления «Совкомбанка», рассказал, как новые условия повлияют на финансовый рынок.

Участники рынка финансовых услуг активно работают над масштабированием системы удаленной идентификации и аутентификации на базе единой биометрической системы (ЕБС) от «Ростелекома» в связи с изменениями, вступившими в силу 1 июля в федеральный закон 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступных путем, и финансированию терроризма». 

Система удаленной идентификации и аутентификации позволяет распознавать человека удаленно – с помощью голоса и изображения лица. Теперь граждане будут иметь возможность доступа к банковским услугам без личного визита в офис, в любое время и в любом месте.  

Согласно нововведениям, чтобы иметь возможность открывать счета и совершать банковские операции без посещения отделения, сначала следует обратиться в любую кредитную организацию для соглашения о передаче персональных данных и сдать свою биометрию для построения особых личностных шаблонов. Предварительно должен быть открыт личный кабинет в единой системе идентификации и аутентификации (ЕСИА – портал государственных и муниципальных услуг). Если же у клиента нет личного кабинета в ЕСИА, то его можно будет открыть непосредственно в отделении банка. В ближайшее время кредитные учреждения закончат дорабатывать свое ДБО, в рамках которого клиенты смогут проходить удаленную верификацию уже с помощью биометрии.

В перспективе к сервису будут подключены и другие финансовые и социальные услуги.

Как пилотируем

Внедрением системы ЕБС занимаются не только банки, активно участвовавшие в пилотном проекте («Сбербанк», ВТБ, «Россельхозбанк», «Альфа-Банк», «Промсвязьбанк», «Совкомбанк», «Почта банк», «Райффайзенбанк», «Ак Барс», «СКБ-банк», «Тинькофф Банк» и «Хоум Кредит»), но и другие кредитные учреждения, которые интересуются этой технологией. Поправки в федеральный закон распространяются на всех участников финансового рынка.

Рабочей группе потребовалось внести изменения в более чем 20 нормативно-правовых актов и провести тестирования по съему биометрических шаблонов в разных условиях шумности и освещенности.

О сборе биометрии

Как же осуществляется сбор биометрических данных клиентов? На первых этапах участники пилота прорабатывали несколько вариантов записи идеального шаблона – голоса и изображения лица. Как обойтись без создания на территории отделения банка звукозаписывающей студии? Ведь в этом случае в штатное расписание нужно было бы включить должности звукорежиссеров и фотографов.

Баланс между качеством и заявленными требованиями все-таки был найден. Биометрический шаблон, позволяющий гражданину в будущем стать клиентом банка удаленно – с домашнего компьютера или мобильного устройства, – может быть создан с помощью использования направленного микрофона и веб-камеры.

После формирования шаблона и его передачи банком в ЕБС клиент может быть удаленно идентифицирован и принят на дистанционное обслуживание.

Какие услуги кредитные учреждения готовы предоставлять удаленно? Ряд банков будут давать возможность заказывать дебетовые карты и открывать депозиты, другие – кредитовать на незначительные суммы. Список будет варьироваться в зависимости от рисковой политики и готовности технологических систем.

Возможные альтернативы в будущем

По закону сдача биометрических данных для физического лица не является обязательной, но все же следует рассмотреть другие возможности для клиентов. Тот, кто не захочет по каким-либо причинам посетить банк для сдачи биометрии, в будущем сможет использовать усиленную квалифицированную электронную подпись (УКЭП) как альтернативу дистанционной идентификации и входам в систему.

Сейчас наличие квалифицированной электронной подписи является обязательным условием для работы с несколькими порталами (Госуслуги, Система межведомственного электронного взаимодействия, сдача отчетности в налоговые органы и других).

УКЭП создается с привлечением криптографических средств, подтвержденных ФСБ РФ. Гарантом подлинности выступает специальный сертификат, который был выдан аккредитованным удостоверяющим центром.

Электронный документ, подписанный УКЭП, имеет такую же юридическую силу, как и бумажный, который подписан собственноручно.

Как можно получить УКЭП? При личном обращении в аккредитованный удостоверяющий центр или через интернет. В последнем случае копии должны быть нотариально заверены.

Как может быть реализована идентификация физического лица посредством УКЭП (один из вариантов реализации):

  • Физическое лицо, желающее стать клиентом банка, заходит в систему ДБО банка и выбирает способ идентификации «УКЭП»;
  • Банк предлагает клиенту подписать заявление на присоединение к правилам ДКБО или заявление на открытие банковского продукта;
  • Банк отправляет в удостоверяющий центр запрос для проверки сертификата (ключа подписи) и получения информации , достаточной для идентификации клиента в рамках законодательства (ФЗ-115, 499-П ЦБ РФ);
  • На основании данных, полученных от удостоверяющего центра, банк принимает/не принимает клиента на обслуживание, о чем сообщает заявителю;
  • В случае положительного решения кредитная организация подписывает заявление клиента и пропускает в свою систему ДБО.

Пока для реализации такого алгоритма, как и при реализации проекта ЕБС, необходимо внести ряд изменений в нормативно-правовые акты, определить способы передачи этой информации и другие организационные вопросы.

Возможности (и риски) для банков

Конечно, в первую очередь все кредитные учреждения смогут расширить клиентскую базу и привлечь новых потребителей, у которых нет возможности посетить отделения банка.

Так, например, даже в маленьком городе или селе потенциальному клиенту будут доступны услуги, которые раньше можно было получить только в крупных городах. Региональные банки смогут конкурировать с игроками федерального масштаба. Банки также смогут оптимизировать свои расходы по обслуживанию клиентов благодаря переводу на «безбумажную» технологию.

Возможны ли риски? Как и в любом проекте такого масштаба, есть вероятность, что на первых этапах будут выявлены недоработки. Однако, как показывает практика, риски минимизированы, так как обновления проходят в кратчайшие сроки.

Международный опыт

На самом деле, такая технология не является новой. Сначала рассмотрим европейский опыт. В Эстонии, например, с 2002 года реализуется общегосударственный проект ID-kaart. Эта карта позволяет:

  • Проходить идентификацию в интернете;
  • Подписывать электронные документы;
  • Пользоваться услугами банков и государственных учреждений;
  • Участвовать в электронном голосовании.

В рамках проекта возможно получение как физического носителя ID – карты – так и мобильного Mobiil-ID. В 2016 году с помощью системы совершалось около 2,7 миллиона различных юридически значимых операций в месяц.

В Великобритании банки готовы удаленно открывать счета после проверки данных через бюро кредитных историй. Похожий принцип реализован в Австралии и Нигерии, где для удаленного открытия счетов информация о клиенте проверяется через базы данных сторонних организаций.

Интересен также и опыт Новой Зеландии, где было создано специальное агентство, обеспечивающее хранение данных о гражданах в электронном виде. Подключившись к порталу realme.govt.nz, можно удаленно пройти верификацию личности.

На территории Индии одна из крупнейших биометрических систем в мире Aadhaar, в которой уже зарегистрированы более 1,1 миллиарда пользователей, активно взаимодействует с различными организациями (банками, правительственными учреждениями). В ответ на считанные биометрические данные (один или несколько шаблонов отпечатка пальца или радужная оболочка глаза пользователя) сервис выдает ответ «да/нет», идентифицируя конкретного человека. Здесь действуют территориальные особенности, так как сотни миллионов жителей Индии просто не имеют удостоверения личности.

Что мы увидим завтра

Доступ к банковским или государственным услугам посредством удаленной идентификации личности уже семимильными шагами идет по стране. Все зависит только от технологии, которая лежит в основе процесса, а также от готовности рынка и его участников. К чему же мы придем в перспективе?

Финансовые учреждения будут вынуждены корректировать свои маркетинговые и продуктовые стратегии.

Запустив масштабную трансформацию рынка, мы постепенно придем и к трансформации сознания клиентов. Ведь необязательно идти в какой-то конкретный банк за желаемой услугой. Достаточно будет взглянуть на камеру мобильного телефона или другого устройства и произнести запрашиваемую фразу, чтобы дистанционно открыть вклад, провести операции по картам или кредитам различных финансовых учреждений.

 

 

Алексей Панферов, Заместитель председателя правления «Совкомбанка»
Опубликовано 10 июля 2018 года на сайте rb.ru
Подробнее...
Источник: https://rb.ru/opinion/transformaciya-bankov 

Банки собирают образ. Биометрические данные граждан уходят в систему

С июля граждане смогут получать фактически любые банковские услуги дистанционно с помощью биометрических данных, которые соберут в единую систему (ЕБС). Но удобная новация несет в себе серьезные риски, предупреждают эксперты. Это и мошеннические действия при сборе биометрических данных, и возможность хищения данных из банков, системы которых не столь надежны, как ЕБС. Предоставление права гражданам блокировать свои данные или ограничивать их использование способно нивелировать угрозу, но пока такой возможности нет.

В ходе прошедшего 29 июня заседания совета Ассоциации банков «Россия» первый зампред ЦБ Ольга Скоробогатова сообщила, что со 2 июля около 400 отделений банков в 140 городах РФ начнут сбор биометрических данных граждан. До конца года эта система должна заработать в 20% банков в 4 тыс. отделений, к концу 2019 года — во всех.

"В законе сейчас — открытие счетов и вкладов, получение кредитов и переводы. В принципе это наиболее востребованный перечень услуг, который рынок и сами клиенты заявили для того, чтобы иметь возможность получать их удаленно", - Ольга Скоробогатова, первый зампред ЦБ, 2 февраля 2018 года.

Фото: Александр Коряков / Коммерсантъ  

«Биометрические данные напрямую связаны с личностью, необходимы чрезвычайные меры безопасности, которые исключат возможность утечки информации на всех этапах работы»,— отмечает глава управления информбезопасности ОТП-банка Сергей Чернокозинский.

В частности, серьезную угрозу представляют мошеннические действия при сдаче биометрических данных, так называемая фальшивая биометрия, когда мошенник действует от имени человека по поддельному или украденному паспорту.

По словам зампреда правления «Ренессанс Кредит» Сергея Королева, сотрудник банка обязан проверить подлинность паспорта, осмотрев его, просветив в ультрафиолетовой лампе, но в то же время в банках нет оборудования и экспертов-криминалистов, которые позволяют выявлять высококачественные подделки.

Зарегистрировав свои биометрические данные на чужой паспорт, злоумышленник может проводить любые операции под чужим именем. При этом в любой момент мошенник может просто удалить биометрические данные из ЕБС, еще раз посетив с поддельным паспортом отделение банка. Данные из ЕБС по заявлению удаляются навсегда, резервные копии не хранятся.

Банки могут подстраховаться от подобных мошенничеств, создавая собственные мини-базы биометрических данных. По словам начальника управления развития технологий розничного бизнеса Росевробанка Натальи Лучинец, банки должны хранить переданные в ЕБС образцы на случай оспаривания операций клиентами. Но тут возникает другой риск — хищение биометрических данных у самого банка. Из ЕБС, по официальной версии, хищение фактически невозможно. Как сообщили “Ъ” в «Ростелекоме» (оператор ЕБС), биометрический шаблон в системе хранится в обезличенной форме отдельно от персональных данных. Похищать только биометрию, не зная, кому она принадлежит, бессмысленно. Но в банках такой защиты нет.

По мнению экспертов, человек должен иметь право ограничить или полностью запретить использование своей биометрии, но пока это невозможно.

«На сегодняшний день нет публичного механизма для граждан, позволяющего ограничить возможное мошенничество с биометрическими данными,— отмечает заместитель руководителя НП "Национальный совет финансового рынка" Александр Наумов.— Было бы честно разрешить гражданам устанавливать запрет на использование их биометрии». По словам Сергея Чернокозинского, с точки зрения безопасности правильнее, чтобы клиент мог давать разрешение на использование биометрии на короткое время при необходимости, а потом вновь закрывал такую возможность.

Депутаты готовы поддержать банковское сообщество и инициировать необходимые поправки, заверил “Ъ” глава комитета Госдумы по финансовому рынку Анатолий Аксаков. Нет принципиальных возражений и у «Ростелекома»: «Внедрение системы предполагает постоянное совершенствование средств информационной безопасности».

Но в ЦБ уверены, что в дополнительной защите нет необходимости. «Меры информационной безопасности предельно жесткие. Проработка возможных вариантов защиты осуществлялась с самого начала проекта и на всех его стадиях,— заверили там.— Реализованные меры адекватны возможным рискам. Имеющиеся правовые механизмы достаточны для обеспечения прав субъекта персональных данных». Впрочем, эксперты не исключают, что регулятор изменит свое мнение в случае реальных инцидентов мошенничества или хищения биометрических данных.

 

Вероника Горячева; Андрей Репин, Нижний Новгород

Опубликовано 2 июля 2018 года на сайте Коммерсантъ
Подробнее...
Источник: https://www.kommersant.ru/doc/3674927 

 

Страницы