ФСБ: «Облачная» электронная подпись – на самом деле «удалённая»

Представитель ведомства Александр Бондаренко на PKI-Форуме 2020 рассказал о том, как ФСБ оценивает инфраструктуру удаленной электронной подписи для обеспечения доверенных отношений в цифровом мире. 

Ключевую задачу федеральной программы «Цифровая экономика РФ» – создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры – можно решить благодаря формированию глобальной доверенной среды, в рамках которой удаленные субъекты смогут безопасно взаимодействовать. «Понятие доверенной среды многогранно и в значительной степени масштабируемо. Поэтому одним из основных аспектов, связанных с обменом электронными документами, является обеспечение их целостности, достоверности, невозможности отказа от авторства и ряда других свойств», – отметил спикер. 

В ФСБ считают, что использование понятия «облачная ЭП» (которое, к тому же, законодательно не закреплено) может ввести в замешательство некоторых специалистов – и предлагают взять на вооружение термин «удаленная ЭП» или «дистанционная ЭП». Столь важная функция, безусловно, должна быть организована прежде всего с построением доверенной среды для самой электронной подписи. Правовые основы инфраструктуры удаленной квалифицированной ЭП содержатся в новой редакции федерального законодательства об ЭП. В соответствии с ним, удаленная ЭП должна реализовываться аккредитованными удостоверяющими центрами, а также УЦ налоговых органов, Федерального казначейства и ЦБ. 

Организационные основы удаленной ЭП связаны с обеспечением безопасности взаимодействия между компонентами ее инфраструктуры: аккредитованный УЦ, сервер ЭП, мобильное приложение клиента, сервер документооборота. «Самая очевидная и опасная угроза для этой инфраструктуры, по нашему мнению, исходит от внутреннего нарушителя сервера удаленной ЭП – например, члена группы администраторов, поскольку техническими мерами блокировать такого нарушителя практически невозможно», – уточняет Александр Бондаренко. Не менее актуален и комплекс угроз, связанных с мобильным приложением владельца сертификата: хищение устройства, перехват и кража аутентифицирующей информации, персональных данных, а также аппаратная платформа и ОС самого мобильного устройства. Противостоять им можно используя криптографические методы защиты. 

Впрочем, во всей этой истории есть один огромный нюанс. «Поскольку в настоящее время формирование правовых основ инфраструктуры удаленной ЭП не завершено, удостоверяющие центры, предоставляющие такие услуги, пока должны отсутствовать», – пояснил спикер.

15 сентября, 2020