Как пишет "Коммерсант", проблема во многом заключается в действующих требованиях к уровню криптографической защиты приложений – в ряде случаев их выполнить настолько трудно, что приходится искать компромисс в ущерб информбезопасности.
Напомним, ЕБС предусматривает возможность сдачи клиентами банков образца голоса и фотографирование в отделении банка. После этого для получения банковской услуги человеку достаточно пройти авторизацию в единой системе идентификации и аутентификации и подтвердить свои данные с помощью смартфона, планшета, ноутбука или компьютера с камерой и микрофоном.
Приложение для верификации и получения дистанционных банковских услуг, сейчас разрабатывает компания "Ростелеком". Предполагается, что оно будет представлено в середине октября, однако с размещением приложения в магазинах Google Play и App Store возникли проблемы. Как пояснил источник, близкий к "Ростелекому", поскольку приложение защищено криптографией, Apple и Google должны дать особое согласие на его публикацию в магазинах. И если от Google такое согласие получено, то с Apple переговоры все еще ведутся. Если они не увенчаются успехом, то владельцы iPhone не смогут пользоваться банковскими услугами через смартфон – им придется прибегать к помощи веб-приложения на планшете или ПК (почему веб-приложением нельзя воспользоваться на смартфоне в публикации не уточняется. – Прим. NEWSru.com)
Внедрение ЕБС порождает и другие сложности. Как рассказал консультант по интернет-безопасности компании Cisco Алексей Лукацкий, срок сертификации средств шифрования в ФСБ обычно длиннее времени жизни пользовательского и банковского ПО. Такое несовпадение по времени приводит либо к использованию несертифицированной, но самой последней версии ПО, либо к работе с устаревшим, но обладающим сертификатом программным обеспечением.
Лукацкий указал и на еще одну проблему, которая связана с разночтениями в нормативных документах. Так, в соответствии с действующими документами ФСБ при наличии доступа нарушителя к исходным кодам операционной системы (а такая возможность есть для Linux и Android), на которой будет запускаться биометрическое ПО, сертификация возможно только по классу КА, что невозможно выполнить. В то же время Банк России считает достаточным более низкий уровень защищенности (КС1).