17 сентября, 2024

«PKI-Форум Россия 2024», день первый

В Санкт-Петербурге проходит XXII Международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи «PKI-Форум Россия 2024». Участники традиционного осеннего ивента также обсуждают актуальные вопросы в области электронного документооборота, криптографии и информационной безопасности.

С приветственной речью к участникам мероприятия обратился глава Программного комитета PKI-Форума, председатель Экспертного совета АО «НИИАС» Владимир Матюхин. Он отметил актуальные вопросы отрасли, которые требуют дальнейшего обсуждения и развития. Станислав Смышляев, гендиректор компании «КриптоПро» (генерального партнёра конференции), пожелал участникам превратить поставленные на мероприятии проблемы в задачи и обсудить их решения в следующем году.

Александр Клемин, советник генерального директора по стратегическим проектам компании «Информзащита», другого генерального партнёра Форума, выделил вопросы цифровизации, которые требуют развития нормативно-правовой базы, решения прикладных задач, применения методов криптографии и технологий PKI.

Дмитрий Гусев, заместитель генерального директора официального партнёра — компании «Инфотекс», выразил надежду, что участники конференции рассмотрят разнообразные вопросы и темы PKI-Форума, вынесенные в программу мероприятия, и обсудят проблемы, которые пока не нашли отражения в официальной повестке дня.

Валерий Пустарнаков, учредитель ООО «Газинформсервис» — официального партнёра конференции, провёл краткий исторический экскурс в историю PKI-Форума и отметил важность использования технологии открытых ключей в экономике страны и на международной арене.

 

Стратегическая сессия. Итоги пятилетки

Участники Стратегической сессии «Итоги пяти лет реализации самой масштабной реформы 63-ФЗ» обсудили итоги реализации реформы Федерального закона «Об электронной подписи» (63-ФЗ), массовое использование электронной цифровой подписи (ЭЦП) физическими лицами, законотворческие инициативы и другие вопросы. Сессию провел генеральный директор АНО «НТЦ ЦК» Игорь Качалин.

За пять лет сфера электронной подписи претерпела значительные изменения и сейчас динамично развивается, подчеркнул Юрий Шабанов (Минцифры России). Он отметил динамичное развитие сферы электронных цифровых подписей (ЭЦП), динамику роста архитектуры отрасли и увеличение числа удостоверяющих центров (УЦ). С точки зрения архитектуры есть органы, которые аккредитованы по закону (Банк России, Казначейство, ФНС), и организации, которые получают аккредитацию — это удостоверяющие центры. Есть 43 аккредитованных организаций (АУЦ), 19 компаний в этом году уже прошли переаккредитацию.

С точки зрения результатов реформы Юрий Шабанов выделил несколько ключевых элементов:

  • запрет на выдачу сертификатов юрлиц в коммерческих АУЦ;
  • запрет на выдачу сертификатов по доверенности;
  • использование облачной ЭП возможно только при выполнении ряда требований, которые в настоящее время разрабатываются регуляторами.

«Ещё один важный элемент — усиленная электронная подпись начала выдаваться в дистанционном формате, это утверждено на уровне законодательства. Теперь её можно получить с помощью загранпаспорта с НФС-чипом или с помощью единой биометрической системы, что в целом упрощает жизнь людей с точки зрения совершения юридически значимых действий», — отметил представитель Минцифры.

Константин Дробаденко (8 Центр ФСБ России) считает итоги пяти лет удовлетворительными. Пять лет реформы — с декабря 2019 года, когда были внесены изменения в 63-ФЗ — не прошли для отрасли даром. Основные элементы реформы подтвердили её значимость и необходимость развивать ЭЦП так, как прописано в законе. Спикер отметил активную работу ФНС, Банка России и Казначейства в этом направлении, появление машиночитаемых доверенностей (МЧД) и многое другое: «Все элементы реформы задействованы и развиваются». При этом он подчеркнул, что существует люфт между нормативным регулированием и практической реализацией требований. Задача регуляторов — уменьшить люфт, констатировал представитель ФСБ России.

С выводами коллеги согласился Фёдор Новиков (ФНС России). Он считает, что реформа не имеет обратного хода и близка к завершению, но есть области, в которых необходимо дальнейшее развитие. Реформа дала толчок для других изменений, в том числе в рамках трансграничного взаимодействия. Нормы в 63-ФЗ должны отвечать действительности либо трансформировались так, чтобы практика не нарушала регулирование, заявил представитель ФНС.

Основным показателем реформы стало количество госуслуг, оказываемых населению, и снижение числа мошенничеств в этой сфере, уверен Вячеслав Бражко (Федеральное казначейство). Люди начали широко применять ЭЦП, при этом нет заявлений об ошибках реформы. Также не произошло и смерти школы криптографии, о которой много говорили противники реформ. Сегодня есть куда развиваться, необходимо доделать задуманное в 63-ФЗ и довести его до логического конца, полагает Бражко. Он также отметил рост числа сервисов и применений PKI, ЭЦП и МЧД и предложил подвести итоги через пять лет, если новые технологии, включая искусственный интеллект, не привнесут что-то новое.

Станислав Смышляев («КриптоПро») оценил нововведения 63-ФЗ как практик. Он считает реформу логичной с точки зрения нормативной базы и технологий. Появилось много новых задач в области создания технических решений и стандартизации. Многие из них становятся реально работающими инструментами и технологиями, при этом люфт между введенными нормами и их реализацией позволяет отладить процессы. Криптография работает на уровне УЦ и увязывает нормы закона и практику, считает спикер. Задач меньше не станет, подчеркнул он: «Логика в реформе приземляется на реальные средства и процессы».

В ходе обсуждения участники сессии выделили ряд вопросов, которые находятся вне правового поля и требуют отдельного решения регуляторов. В частности, в настоящее время по срокам действия сертификатов и служб времени найдены промежуточные решения, учитывающие специфику PKI-технологий и функционирование сервисов в легальном поле.

Службы характерны тем, что доверие формируется путём формирования специфической цепочки сертификатов, что позволяет воспринимать её как подлинную. Однако в целом вопрос, связанный со службами, продолжает обсуждаться, и вносить поправки в 63-ФЗ по подобным проблемам рано, уверены все участники дискуссии. Необходимо пройти несколько итераций с поиском промежуточных решений, выявить новые проблемы и задачи, решить их и прийти к пониманию, что требуется прописать в нормативно-правовые акты.

 

МЧД

Второй вопрос, вызвавший бурное обсуждение — машиночитаемые доверенности и подтверждение полномочий. Федор Новиков отметил, что не все организации готовы использовать универсальный формат МЧД, и задача регуляторов — вынудить организации перейти на единую форму МЧД, для чего необходимо внести изменения в в 63-ФЗ и установить сроки перехода.

По мнению Вячеслава Бражко, необходимо также составить классификатор полномочий. А ужесточение требований по использованию МЧД для тех сегментов, кто готов перейти на новые технологии, позволит активнее развивать этот удобный инструмент, который в конечном итоге будет принят бизнесом и гражданами. Но доработка информационной системы по правилам, которые сильно размыты, — тяжелая и инвестиционно непривлекательная задача, отметил спикер.

Как считает Юрий Шабанов, в конце концов организации должны будут перейти на единый универсальный формат МЧД. Плюс, должен быть сформирован реестр видов деятельности должностных лиц для автоматизации проверки полномочий в соответствующем реестре. По мнению Минцифры, ведомствам и бизнесу в диалоге необходимо найти общее положительное решение по данному вопросу — регулятор не готов вводить нормативное закрепление и навязывать ответственность, поскольку последствия могут быть непредсказуемыми.

 

Сертификаты физических лиц

Обсуждая массовый переход на сертификаты физических лиц, эксперты отметили как положительные аспекты, так и новые риски. Участники сессии сошлись на этом тезисе: сертификат физлица означает, что он должен его беречь в паре с МЧД и ЭЦП. При этом возникают новые задачи, связанные как с повышением киберграмотности граждан, так и с технической подстраховкой пользователя и использования его ЭЦП. Регулярное использование сертификатов и ЭЦП требует обновления части инструментария для применения на ежедневной основе и доработки решений для защиты.

Фёдор Новиков подчеркнул, что, получая услуги через портал госуслуг, аналоговые пользователи сталкиваются с цифровым миром. Осознанный подход заставляет людей изучать матчасть и задавать вопросы о том, что они делают, учиться на практике. «Повышение грамотности людей — важный момент. Перенос ответственности на физлицо заставит его двигаться», — заключил эксперт.

При этом система должна отвечать требованиям безопасности и учитывать разные варианты действий, в том числе физической кражи ключей. Необходимо оценивать не только риски для операторов систем, но и риски пользователей. И здесь важная роль отводится УЦ с их активной жизненной позицией и сервисами для обслуживания физлиц.

 

Массовая криптография

Широкое применение сертифицированных средств криптозащиты информации (СКЗИ) — задел для массовой криптографии, который пригодится в рамках массового использования ЭЦП физлицами, заявил Станислав Смышляев. При этом рассматриваются подходы, которые позволяют мобильным приложениям с СКЗИ жить и развиваться, не противореча требованиям регуляторов.

Константин Дробаденко в свою очередь подчеркнул, что массовое применение СКЗИ — задача государственного суверенитета РФ. Ведётся работа с лицензиатами ФСБ, продукты востребованы, добавил он. Массовое проникновение СКЗИ должно происходить в составе предустановленных на устройства продуктов — отечественных ОС и браузеров с российской криптографией. Это облегчит массовому пользователю взаимодействие с органами власти и между собой. Задача регуляторов — предустанавливать такие продукты с СКЗИ на абонентские устройства, и этот вопрос потребует нормативного регулирования

 

Законотворчество

Завершили стратегическую сессию вопросы законотворчества. В частности, в поправки в закон будет внесена норма, касающаяся сертификатов органов власти, не являющихся налоговыми агентами, вести реестр таких организаций. Этот вопрос вызвал много дискуссий, в результате которых появится новый тип сертификатов. Это не массовое явление, которое ограничено набором госструктур, чаще всего проводящими обмен внутри себя. В настоящее время такие организации получают сертификаты в УЦ Федерального казначейства, который ведёт реестр этих компаний на своём сайте.

Также в завершающей стадии готовности находится законопроект о национальном удостоверяющем центре, который призван легализовать сертификаты безопасности и сертификаты подписей кода на основе ГОСТ. Этот законопроект, вносящий поправки в 63-ФЗ, станет продолжением PKI-реформы.

На основе национального УЦ планируется создать единую инфраструктуру выдачи сертификатов как с отечественными, так и с иностранными СКЗИ с целью обеспечения национального суверенитета и противостояния иностранным УЦ, которые отзывают сертификаты безопасности в российском сегменте Интернета.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных