В преддверии PKI-Форума 2023 — XXI международной конференции по проблематике инфраструктуры открытых ключей и электронной подписи — на вопросы BIS Journal отвечает один из организаторов форума Сергей Кирюшкин.
ПЕССИМИЗМ И ОПТИМИЗМ
— Сергей Анатольевич, на протяжении многих лет основной областью вашей экспертной деятельности являются вопросы электронной подписи, инфраструктуры открытых ключей и криптографические средства защиты информации. Как вы охарактеризуете изменения, которые произошли в этой сфере за годы вашей работы?
— С одной стороны, технологии PKI и криптографической защиты информации стали ежедневным инструментом простых граждан, бизнеса, органов власти и международного информационного взаимодействия. Это стало результатом бурного развития в период 2002-2019 годов. Начиная с 2019 года, очевидна тенденция к нормативному ужесточению деятельности УЦ и непрерывному усложнению законодательства, что ведёт нас к риску монополизации рынка и как следствие к снижению конкуренции и творческой инициативы. При этом некоторые явления всё-таки весьма прогрессивны, хоть и значительно запаздывают. К таковым можно отнести появление норм, позволяющих на практике реализовать трансграничный электронный юридически значимый документооборот и реализовать мобильное использование электронной подписи. Важным достижением стала практическая реализация отечественного домена сертификатов аутентификации. О том, что это нужно делать мы говорили с середины 2000-х годов. Сейчас это делать пришлось в «пожарном» режиме.
В целом динамику законодательства об электронной подписи за 21 год, конечно, нужно охарактеризовать положительно. Но могли бы сделать намного больше.
Что огорчает прежде всего? Нет простой и прозрачной технологии глобального доверия сертификатам, изготовленным отечественными УЦ. Нет массового применения мобильной электронной подписи. Нет прозрачной интеграции средств обеспечения электронной юридически значимой идентификации и аутентификации с ежедневными потребительскими сервисами (онлайн-покупки, онлайн сервисы для граждан и бизнеса, в том числе государственные услуги).
Система управления полномочиями в том виде, который уже два года пытаются внедрить, не имеет широких практических перспектив, зато повергла всю отрасль в турбулентность на несколько лет.
Самое главное — нет государственной стратегии развития отрасли электронной подписи, как следствие — нет стабильности в законодательстве об электронной подписи, что не дает отрасли эффективно развиваться, привлекать инвестиции, порождать творческую инициативу.
Что внушает оптимизм? Очень хорошие, упорные, умные, творческие люди занимаются практической работой в области электронной подписи, инфраструктуры открытых ключей и криптографической защиты информации.
И СНОВА НУЖНА ДОРАБОТКА ЗАКОНА
— Завершена нормативная реформа отрасли. Многие изменения в закон «Об электронной подписи» и иные законодательные акты, хоть и с опозданием на год, но вступают в силу 31 августа 2023 года. Скажется ли эта реформа и поправки, внесенные в первоначальный текст 63-ФЗ, на вопросах внедрения и использования ЭП? Будет ли удобно, комфортно работать с ЭП как отрасли, так и потребителям? Или снова потребуется доработка законов?
— Ну, во-первых, реформа не завершена. Во-вторых, некоторые нормы не вступают в силу и 31 августа 2023 года. В-третьих, некоторые нормы безусловно сильно дестабилизируют рынок электронной подписи, что не дает внедрять и развивать новые продукты, делать прогрессивные, на мировом уровне, проекты. Доработка и закона и подзаконных актов не только будет нужна, она уже нужна. Некоторые очевидные для специалистов исправления, к сожалению, не были учтены в только что вступившем в силу пакете поправок. К таковым, например, следует отнести более четкое и, возможно, обязательное в определенных случаях применение меток времени, вопросы особого регулирования порядка изготовления сертификатов для серверов TSA, OCSP и DVCS и т. п.
ПРО АНО «НТЦ ЦК»
— В конце 2022 года было объявлено о создании АНО «НТЦ ЦК». Окажет ли влияние этот Центр на развитие отечественной криптографии и, в частности, на инфраструктуру открытых ключей и электронной подписи? Можно ли тут «изобрести» что-то новое и устойчивое ко всякого рода взломам, чтобы максимально обезопасить ЭП?
— Это, безусловно, значительное событие в отрасли. По своему замыслу и интеллектуальным ресурсам, лучшим экспертам, принимающим участие в работе Центра, следует ожидать значительных результатов. Криптография в частности и защита информации в целом, как инженерная наука, не имеет предела совершенству. Поэтому изобретать экспертам Центра и вообще творческим людям, работающим в нашей отрасли, еще предстоит много чего.
ПРО PKI-ФОРУМ И СТАТИСТИКУ МИНЦИФРЫ
— На PKI-Форуме, который проводится с 2002 года, традиционно значительное внимание уделяется вопросам работы удостоверяющих центров и доверия к ним, требованиям регуляторов и проблемам развития УЦ. Согласно данным Минцифры, только 30% УЦ, имеющих аккредитацию, находятся в регионах. Большинство центров сосредоточено в Москве, что не очень удобно клиентам. Как вы оцениваете перспективы расширению бизнеса УЦ и создания удаленных офисов? Как это может отразиться на информационной безопасности?
— Вообще PKI-Форум целиком посвящен теме инфраструктуры открытых ключей, а УЦ — основа доверия в ней. Поэтому, в какой-то мере, всё что мы больше двадцати лет говорим на PKI-Форуме — это про УЦ и всё что с ними связано.
Статистика Минцифры интересная, но не факт, что из нее можно делать какие-то негативные выводы. Потому что услуги УЦ — это по-прежнему (или ещё) бизнес. А бизнес найдет своего клиента и окажет ему услугу с необходимым качеством. Вот если в сфере этих услуг и технологий бизнеса не будет, вот тогда и безопасности и доступности этих услуг не будет. Это, кстати, тоже мировая практика: в большинстве стран услуги доверия оказывают специализированные коммерческие организации, имеющие государственную аккредитацию. Бизнес качественно оказывает услуги, а государство контролирует их качество. Удалённые офисы и уполномоченные лица аккредитованных УЦ — это работающий инструмент, позволяющий дотянуться и до Магадана, и до Южно-Сахалинска. Кстати, в середине 2000-х годов PKI-Форум собирал представителей нашей отрасли из этих и других удалённых от федерального центра регионов.
ПРО СЕРТИФИКАТЫ TLS
— TLS — наиболее распространенный механизм безопасности на основе PKI. С введением западных санкций многие УЦ, имеющие глобальное доверие, отказались издавать и продлевать TLS- сертификаты для ряда отечественных компаний. В частности, наиболее остро этот вопрос стоит для финансовых организаций. Частично проблема была решена, в т. ч. за счет внедрения отечественных браузеров и развёртывания отечественного издателя ГОСТ TLS-сертификатов. Но это локальные решения. Какие в этой теме решения могут быть первоочередными на Ваш взгляд?
Проблема массового их применения, и, тем более, признания где-то за рубежом — это большая сложная длительная работа. Но она будет выполнена — рано или поздно, и это неизбежно, как смена времён года. К сожалению, сейчас уже можно констатировать, что этим нужно было начинать заниматься гораздо раньше. В современных условиях можно попробовать решить эту проблему на пространстве ЕАЭС, получить локальный опыт. Для наших партнёров по ЕАЭС признание национальных издателей (удостоверяющих центров) за пределами национальных юрисдикций является такой же актуальной нерешенной задачей. Можно попробовать порешать ее совместно. Для начала, мне кажется, нужно гармонизировать на пространстве ЕАЭС подходы к системам аудита поставщиков услуг доверия, как это сделано в WebTrust и EIdAS. Получив региональное признание, мы получим опыт, которого пока нет на пространстве ЕАЭС (больше всего в этом вопросе, тем не менее, продвинулись коллеги из Казахстана). Этот опыт потом можно будет развивать и масштабировать. Это очень большая и важная работа — создание отечественных поставщиков сервисов доверия, имеющих глобальное признание. И этим нужно заниматься в любом случае. Уверен, что данная задача будет решена. PKI-Форум будет постоянно обозначать ее актуальность и содействовать поиску эффективных решений.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных