Константин Евсеев: «БиоСКУД стал дорогим решением»

Константин Евсеев, руководитель инженерного управления компании VisionLabs, рассказал журналу RUБЕЖ об изменениях на рынке СКУД, пользе операторов КБС и каким образом придется соответствовать требованиям 572-ФЗ.

- Как изменился рынок СКУД после принятия 572-ФЗ о единой системе биометрических данных?

Константин Евсеев: Рынок все еще адаптируется к новым условиям в законодательстве, вступившим в силу с 01.06.2023 года. Но многое, что казалось пугающим, сложным и непонятным прошлым летом, обрело четкие грани и пути решения этой зимой. Например, появились первые коммерческие биометрические системы (КБС). Несколько из них уже предоставляют внешним контрагентам услуги биометрической аутентификации «1 к n» для решения задач биоСКУД.

Согласованное с регулятором решение по информационной безопасности (ИБ) и защите каналов связи и серверов биоСКУД с применением сертифицированных средств криптографической защиты информации (СКЗИ), представленных на рынке, понятно и реализуемо. Игроки рынка наладили диалог с регулятором – Минцифры – и его «исполнительным» аппаратом в области биометрии Центром биометрических технологий (ЦБТ) и Единой биометрической системой (ЕБС).

Приемлемые технические решения биоСКУД с соблюдением требований законодательства появились на рынке спустя 3 квартала после вступления в силу 572-ФЗ и связанных с ним документов.

Для решения всех остальных вопросов, связанных с биоСКУД, нужно продолжить общение рынка с регулятором, а также, по моему мнению, с ФСБ.

- Какие еще факторы придется учитывать производителям и пользователям СКУД?

К. Евсеев: Теперь требуется стабильный, надежный, и, главное, быстрый канал связи с контуром КБС или ЕБС с объекта, где установлены сервисы для работы с КБС/ЕБС. Иначе аутентификация с векторами ЕБС будет или медленной, или вообще не пройдет, если канал «упал» – в таком случае биоСКУД не пропустит никого «по лицу».

Для предприятий критической информационной инфраструктуры (КИИ) реализация биоСКУД теперь возможна только с помощью построения собственной КБС или транзакционного взаимодействия с ЕБС и исключительно для своих сотрудников. Для значимых объектов КИИ (ЗОКИИ) – только через ЕБС. Это дорого: стоимость средств криптографической защиты информации (СКЗИ) для таких решений превышает 15 млн рублей. Выбор решений ограничен несколькими вендорами.

Также возникают риски надежности из-за канала связи между объектом, который находится, например, в чистом поле, и контуром ЕБС. И вот такая проблема: что делать с подрядчиками, заказчиками как посетителями, а их от 20 до 70%, и организации важно, чтобы они ходили по биометрии через биоСКУД? Строить 2-й контур для них? В общем, если объект относится к КИИ или ЗОКИИ, пока решения крайне дорогие и неудобные. Здесь необходимо продолжать диалог с регулятором.

Еще я бы отметил такие важные факторы:

– биоСКУД, попав под действие 572-ФЗ, стал дорогим решением;

– сократилось количество возможных для применения устройств захвата детекции лица (face-терминалов);

– на рынке face-терминалов отсутствуют или появляются лишь единичные решения с биометрическими процессорами из ЕБС, если нужно проводить извлечения векторов и сравнения на устройстве.

- Каково, на ваш взгляд, сейчас общее состояние рынка СКУД?

К. Евсеев: Мы понимаем, что часть заказчиков передумает строить биоСКУД, часть его «откатит» до функций без биометрии лица. Кто-то замедлит внедрение и (или) снизит объемы, другие решат модернизировать, чтобы соответствовать новым нормам закона.

Мы скорректировали планы с учетом возможных вариантов и готовы помогать клиентам модернизировать системы с минимальным расходом ресурсов. Новым заказчикам также предлагаем варианты с наименьшими дополнительными тратами.

Компания работает над оптимизацией новых решений биоСКУД и ценовой политики на программные продукты/услуги КБС уже год и продолжит это делать весь 2024 год.

- Как избежать штрафов за применение терминалов биометрии?

К. Евсеев: Необходимо привести решение к нормам действующего законодательства и желательно в течение текущего года, а именно:

– face-терминалы заказчиков, скорее всего, не построены на биометрических процессорах, представленных в ЕБС, и не имеют встроенных сертифицированных СКЗИ для удовлетворения требованиям 572-ФЗ. Поэтому распознавать лица, т. е. законно проводить аутентификацию «1 к 1» или «1 к n», они больше не могут;

– проводить детекцию лиц с последующей отправкой на аутентификацию в КБС /ЕБС напрямую или через промежуточный сервер пользователи могут, если есть оборудование СКЗИ уровня КС1 (гарантирует защиту от типичных методов атак) для защиты конфиденциальности и целостности передаваемых биометрических образцов (БО, фото). Таких решений пока единицы, но их будет больше уже в 2024 году;

– при наличии возможности отключения любых алгоритмов детекции и распознавания лиц и превращении терминала в «камеру с экраном» возможно их дальнейшее применение с использованием промежуточного сервера на территории объекта, который будет осуществлять детекцию на видео потоках лиц и интеграцию с КБС/ЕБС и СКУД.

Возникает вопрос, который еще находится на уточнении с регулятором: нужно или нет в таком случае оборудовать терминал решением по обеспечению защиты передачи видео потока/кадров экрана СКЗИ КС1. Пока четкого ответа нет.

- Чем потенциальному заказчику может помочь оператор КБС?

К. Евсеев: Интегратор или вендор, работающий с КБС (например, VisionLabs), в режиме одного окна помогает заказчику решить все возникающие дополнительные задачи и технические вопросы по обеспечению безопасности. А их, как правило, несколько.

Обеспечить защиту сервера, где начинается обработка биометрии (например, сервер с интеграционной платформой VL Access):

– защиту сервера по классу КС3;

– защиту канала связи с КБС по КС3.

Иначе говоря, защитить целостность чувствительных данных и конфиденциальность их передачи.

Такой сервер интеграции обычно не хранит никаких чувствительных данных с точки зрения 572-ФЗ – речь о биометрических персональных данных (БПДн) или ответах с КБС, содержащих процент сходства. Поэтому защиты целостности там не требуется.
Серверу требуется операционная система с опцией контроля программной среды. Например, ФСБ рекомендует Астру Смоленск.
Серверу также требуется аппаратно-программный модуль доверенной загрузки (АПМДЗ) на нем.
При передаче данных в/из КБС надо обеспечить конфиденциальность и целостность передаваемых биометрических персональных данных и ответов КБС, содержащих % сходства.