«PKI-Форум Россия 2024», день первый
В Санкт-Петербурге проходит XXII Международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи «PKI-Форум Россия 2024». Участники традиционного осеннего ивента также обсуждают актуальные вопросы в области электронного документооборота, криптографии и информационной безопасности.
С приветственной речью к участникам мероприятия обратился глава Программного комитета PKI-Форума, председатель Экспертного совета АО «НИИАС» Владимир Матюхин. Он отметил актуальные вопросы отрасли, которые требуют дальнейшего обсуждения и развития. Станислав Смышляев, гендиректор компании «КриптоПро» (генерального партнёра конференции), пожелал участникам превратить поставленные на мероприятии проблемы в задачи и обсудить их решения в следующем году.
Александр Клемин, советник генерального директора по стратегическим проектам компании «Информзащита», другого генерального партнёра Форума, выделил вопросы цифровизации, которые требуют развития нормативно-правовой базы, решения прикладных задач, применения методов криптографии и технологий PKI.
Дмитрий Гусев, заместитель генерального директора официального партнёра — компании «Инфотекс», выразил надежду, что участники конференции рассмотрят разнообразные вопросы и темы PKI-Форума, вынесенные в программу мероприятия, и обсудят проблемы, которые пока не нашли отражения в официальной повестке дня.
Валерий Пустарнаков, учредитель ООО «Газинформсервис» — официального партнёра конференции, провёл краткий исторический экскурс в историю PKI-Форума и отметил важность использования технологии открытых ключей в экономике страны и на международной арене.
Стратегическая сессия. Итоги пятилетки
Участники Стратегической сессии «Итоги пяти лет реализации самой масштабной реформы 63-ФЗ» обсудили итоги реализации реформы Федерального закона «Об электронной подписи» (63-ФЗ), массовое использование электронной цифровой подписи (ЭЦП) физическими лицами, законотворческие инициативы и другие вопросы. Сессию провел генеральный директор АНО «НТЦ ЦК» Игорь Качалин.
За пять лет сфера электронной подписи претерпела значительные изменения и сейчас динамично развивается, подчеркнул Юрий Шабанов (Минцифры России). Он отметил динамичное развитие сферы электронных цифровых подписей (ЭЦП), динамику роста архитектуры отрасли и увеличение числа удостоверяющих центров (УЦ). С точки зрения архитектуры есть органы, которые аккредитованы по закону (Банк России, Казначейство, ФНС), и организации, которые получают аккредитацию — это удостоверяющие центры. Есть 43 аккредитованных организаций (АУЦ), 19 компаний в этом году уже прошли переаккредитацию.
С точки зрения результатов реформы Юрий Шабанов выделил несколько ключевых элементов:
- запрет на выдачу сертификатов юрлиц в коммерческих АУЦ;
- запрет на выдачу сертификатов по доверенности;
- использование облачной ЭП возможно только при выполнении ряда требований, которые в настоящее время разрабатываются регуляторами.
«Ещё один важный элемент — усиленная электронная подпись начала выдаваться в дистанционном формате, это утверждено на уровне законодательства. Теперь её можно получить с помощью загранпаспорта с НФС-чипом или с помощью единой биометрической системы, что в целом упрощает жизнь людей с точки зрения совершения юридически значимых действий», — отметил представитель Минцифры.
Константин Дробаденко (8 Центр ФСБ России) считает итоги пяти лет удовлетворительными. Пять лет реформы — с декабря 2019 года, когда были внесены изменения в 63-ФЗ — не прошли для отрасли даром. Основные элементы реформы подтвердили её значимость и необходимость развивать ЭЦП так, как прописано в законе. Спикер отметил активную работу ФНС, Банка России и Казначейства в этом направлении, появление машиночитаемых доверенностей (МЧД) и многое другое: «Все элементы реформы задействованы и развиваются». При этом он подчеркнул, что существует люфт между нормативным регулированием и практической реализацией требований. Задача регуляторов — уменьшить люфт, констатировал представитель ФСБ России.
С выводами коллеги согласился Фёдор Новиков (ФНС России). Он считает, что реформа не имеет обратного хода и близка к завершению, но есть области, в которых необходимо дальнейшее развитие. Реформа дала толчок для других изменений, в том числе в рамках трансграничного взаимодействия. Нормы в 63-ФЗ должны отвечать действительности либо трансформировались так, чтобы практика не нарушала регулирование, заявил представитель ФНС.
Основным показателем реформы стало количество госуслуг, оказываемых населению, и снижение числа мошенничеств в этой сфере, уверен Вячеслав Бражко (Федеральное казначейство). Люди начали широко применять ЭЦП, при этом нет заявлений об ошибках реформы. Также не произошло и смерти школы криптографии, о которой много говорили противники реформ. Сегодня есть куда развиваться, необходимо доделать задуманное в 63-ФЗ и довести его до логического конца, полагает Бражко. Он также отметил рост числа сервисов и применений PKI, ЭЦП и МЧД и предложил подвести итоги через пять лет, если новые технологии, включая искусственный интеллект, не привнесут что-то новое.
Станислав Смышляев («КриптоПро») оценил нововведения 63-ФЗ как практик. Он считает реформу логичной с точки зрения нормативной базы и технологий. Появилось много новых задач в области создания технических решений и стандартизации. Многие из них становятся реально работающими инструментами и технологиями, при этом люфт между введенными нормами и их реализацией позволяет отладить процессы. Криптография работает на уровне УЦ и увязывает нормы закона и практику, считает спикер. Задач меньше не станет, подчеркнул он: «Логика в реформе приземляется на реальные средства и процессы».
В ходе обсуждения участники сессии выделили ряд вопросов, которые находятся вне правового поля и требуют отдельного решения регуляторов. В частности, в настоящее время по срокам действия сертификатов и служб времени найдены промежуточные решения, учитывающие специфику PKI-технологий и функционирование сервисов в легальном поле.
Службы характерны тем, что доверие формируется путём формирования специфической цепочки сертификатов, что позволяет воспринимать её как подлинную. Однако в целом вопрос, связанный со службами, продолжает обсуждаться, и вносить поправки в 63-ФЗ по подобным проблемам рано, уверены все участники дискуссии. Необходимо пройти несколько итераций с поиском промежуточных решений, выявить новые проблемы и задачи, решить их и прийти к пониманию, что требуется прописать в нормативно-правовые акты.
МЧД
Второй вопрос, вызвавший бурное обсуждение — машиночитаемые доверенности и подтверждение полномочий. Федор Новиков отметил, что не все организации готовы использовать универсальный формат МЧД, и задача регуляторов — вынудить организации перейти на единую форму МЧД, для чего необходимо внести изменения в в 63-ФЗ и установить сроки перехода.
По мнению Вячеслава Бражко, необходимо также составить классификатор полномочий. А ужесточение требований по использованию МЧД для тех сегментов, кто готов перейти на новые технологии, позволит активнее развивать этот удобный инструмент, который в конечном итоге будет принят бизнесом и гражданами. Но доработка информационной системы по правилам, которые сильно размыты, — тяжелая и инвестиционно непривлекательная задача, отметил спикер.
Как считает Юрий Шабанов, в конце концов организации должны будут перейти на единый универсальный формат МЧД. Плюс, должен быть сформирован реестр видов деятельности должностных лиц для автоматизации проверки полномочий в соответствующем реестре. По мнению Минцифры, ведомствам и бизнесу в диалоге необходимо найти общее положительное решение по данному вопросу — регулятор не готов вводить нормативное закрепление и навязывать ответственность, поскольку последствия могут быть непредсказуемыми.
Сертификаты физических лиц
Обсуждая массовый переход на сертификаты физических лиц, эксперты отметили как положительные аспекты, так и новые риски. Участники сессии сошлись на этом тезисе: сертификат физлица означает, что он должен его беречь в паре с МЧД и ЭЦП. При этом возникают новые задачи, связанные как с повышением киберграмотности граждан, так и с технической подстраховкой пользователя и использования его ЭЦП. Регулярное использование сертификатов и ЭЦП требует обновления части инструментария для применения на ежедневной основе и доработки решений для защиты.
Фёдор Новиков подчеркнул, что, получая услуги через портал госуслуг, аналоговые пользователи сталкиваются с цифровым миром. Осознанный подход заставляет людей изучать матчасть и задавать вопросы о том, что они делают, учиться на практике. «Повышение грамотности людей — важный момент. Перенос ответственности на физлицо заставит его двигаться», — заключил эксперт.
При этом система должна отвечать требованиям безопасности и учитывать разные варианты действий, в том числе физической кражи ключей. Необходимо оценивать не только риски для операторов систем, но и риски пользователей. И здесь важная роль отводится УЦ с их активной жизненной позицией и сервисами для обслуживания физлиц.
Массовая криптография
Широкое применение сертифицированных средств криптозащиты информации (СКЗИ) — задел для массовой криптографии, который пригодится в рамках массового использования ЭЦП физлицами, заявил Станислав Смышляев. При этом рассматриваются подходы, которые позволяют мобильным приложениям с СКЗИ жить и развиваться, не противореча требованиям регуляторов.
Константин Дробаденко в свою очередь подчеркнул, что массовое применение СКЗИ — задача государственного суверенитета РФ. Ведётся работа с лицензиатами ФСБ, продукты востребованы, добавил он. Массовое проникновение СКЗИ должно происходить в составе предустановленных на устройства продуктов — отечественных ОС и браузеров с российской криптографией. Это облегчит массовому пользователю взаимодействие с органами власти и между собой. Задача регуляторов — предустанавливать такие продукты с СКЗИ на абонентские устройства, и этот вопрос потребует нормативного регулирования
Законотворчество
Завершили стратегическую сессию вопросы законотворчества. В частности, в поправки в закон будет внесена норма, касающаяся сертификатов органов власти, не являющихся налоговыми агентами, вести реестр таких организаций. Этот вопрос вызвал много дискуссий, в результате которых появится новый тип сертификатов. Это не массовое явление, которое ограничено набором госструктур, чаще всего проводящими обмен внутри себя. В настоящее время такие организации получают сертификаты в УЦ Федерального казначейства, который ведёт реестр этих компаний на своём сайте.
Также в завершающей стадии готовности находится законопроект о национальном удостоверяющем центре, который призван легализовать сертификаты безопасности и сертификаты подписей кода на основе ГОСТ. Этот законопроект, вносящий поправки в 63-ФЗ, станет продолжением PKI-реформы.
На основе национального УЦ планируется создать единую инфраструктуру выдачи сертификатов как с отечественными, так и с иностранными СКЗИ с целью обеспечения национального суверенитета и противостояния иностранным УЦ, которые отзывают сертификаты безопасности в российском сегменте Интернета.