«PKI-Форум Россия 2024», день второй
В Санкт-Петербурге проходит XXII Международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи «PKI-Форум Россия 2024». Участники традиционного осеннего ивента также обсуждают актуальные вопросы в области электронного документооборота, криптографии и информационной безопасности.
PKI в финансовом секторе
Второй день конференции открылся сессией «Проблемные вопросы PKI в финансовом секторе», которую провели модераторы Андрей Елистратов (Банк России) и Александр Клемин («Информзащита»).
Римма Бадмаева («ИнфоТеКС») выступила с докладом «Использование PKI продуктов для защиты инфраструктуры цифрового рубля», в котором представила вниманию аудитории общую схему инфраструктуры новой формы рубля с продуктами PKI: где и как применяется PKI для защиты платформы цифрового рубля. Спикер напомнила, что цифровой рубль — третья форма национальной валюты, наравне с наличной и безналичной. И важно, что эмитентом цифрового рубля выступает Банк России, который открывает кошельки кредитным учреждениям и Федеральному казначейству, а также кошельки физическим и юридическим лицам — по их поручению через банки. И индивидуальным клиентам, и банкам, и Федеральному казначейству открывается только один кошелёк в цифровых рублях. Средства на кошельке будут доступны клиенту через любой банк, где он обслуживается, отметила Бадмаева.
«Каким образом мы первый раз столкнёмся с цифровым рублем? В мобильном приложении банка соответствующий стандарт платформы цифрового рубля — интерфейс для совершения операции с цифровыми рублями, в рамках которого можно будет открыть счёт, пополнить его, делать переводы и так далее. В интерфейсе мобильного приложения нет PKI, поэтому там защиту данных будет обеспечивать программный модуль Банка России (ПМБР)», — добавила эксперт. В ядре программный модуль используется сертифицированное СКЗИ ГОСТ; в настоящее время представлено три вариации ПМБР от российских производителей. Далее Римма Бадмаева остановилась непосредственно на продуктах и проектах компании, которые были разработаны по заданию Банка России и направлены на защиту данных.
Тему цифрового рубля продолжил Павел Луцик («КриптоПро»), который рассказал о преимуществах цифрового кошелька, расширении пилотного проекта и этапах массового внедрения третьей формы национальной валюты. Для открытия кошелька и работы с цифровыми рублями будет необходимо получить два сертификата — сертификат безопасности (TLS-сертификат) и сертификат усиленной ЭП. Банки имеют возможность автоматизировать процесс выпуска таких сертификатов, для чего необходимо внедрить два средства автоматизации, отметил Луцик. В конце выступления спикер разобрал особенности работы с цифровым рублём на стороне банков, предлагаемые УЦ «КриптоПро» услуги и сервисы для автоматизации такой работы, а также безопасные мобильные и десктопные решения для различных ОС, которые будут доступны пользователям цифрового рубля.
Константин Леонтьев (Clearway Integration) сосредоточился на вопросах технологической инфраструктуры открытых ключей и совместимости с требованиями информационной безопасности банков, влиянии человеческого фактора и рисках при обращении с ключами и технологическими сертификатами. Также он затронул вопросы, которые только предстоит решить разработчикам PKI, в том числе в сфере облачных технологий. Эксперт отметил, что отечественные разработки идут в ногу с западными решениями и сталкиваются со схожими проблемами. Он подробно остановился на сертифицированных решениях компании Clearway Integration, которая имеет большой опыт построения инфраструктуры открытых ключей на основе продуктов Microsoft и развивает собственные продукты, совместимые в том числе с Red OS, MacOs и Linux.
Кирилл Дутов («Промсвязьбанк») и Сергей Ковтунов («КриптоПро») рассказали о централизации и унификации доступа к PKI-сервисам на примере «Промсвязьбанка».
Павел Мельниченко (SafeTech) в докладе «Импортоулучшение PKI внутри банка. И не только…» коснулся темы внутренней инфраструктуры финансовых организаций, которая отвечает за выпуск сертификатов и часто больше остальных систем страдает при введении западных санкций. Он представил краткий обзор новых решений, которые позволяют не только импортозаместить иностранные продукты, но и построить собственные улучшенные PKI с учетом ИТ-ландшафта, повысить управляемость и безопасность PKI, а также учесть перспективы развития системы на будущее.
Трансграничное признание иностранной ЭП
Вторая сессия дня была посвящена трансграничному признанию иностранной ЭП, её модераторами выступили Константин Дробаденко (8 Центр ФСБ России), Сергей Кирюшкин («Газинформсервис») и Александр Шибков (Оперативно-аналитический центр при Президенте Республики Беларусь).
Александр Дюкарев (Минэкономразвития) рассказал о продвижении трансграничного пространства доверия в международном контексте и работе, которая ведётся в рамках Евразийского экономического союза, и использовании пространства доверия и инфраструктуры обмена данными для взаимодействия с третьими странами. Работы ведутся на платформах ООН, сообщил он. В региональной Экономической и социальной комиссии ООН для Азии и Тихого океана обсуждается механизм трансграничного взаимного признания документов и данных.
Российские идеи вошли в план дальнейших работ, идёт обсуждение и исследовательская стадия комплексной оценки моделей взаимного признания документов. Работа должна быть завершена к концу года. В Комиссии ООН по праву международной торговли Россия представила свои инициативы по правовым аспектам безбумажной торговли. Эти предложения направлены на увеличение товарооборота страны и выход на новые рынки сбыта.
Андрей Лебедев (Российский экспортный центр) разобрал практические вопросы трансграничного электронного документооборота, а Сергей Кирюшкин («Газинформсервис») — вопросы качества электронных документов при трансграничном признании и полномочия подписанта.
О том, что такое аудит информационной безопасности как инструмент подтверждения уровня надёжности электронной подписи, подробно рассказала Анастасия Харыбина (AKTIV.CONSULTING). Она отметила сложности, которые возникают при аудите ИБ, и размытость формулировок в требованиях и терминологии, затронула проблемы доверия, вопросы саморегулирования и добровольной сертификации аудиторов и оценки соответствия при трансграничном взаимодействии. Эти проблемы требуют дальнейшей проработки экспертами отрасли и регуляторами, констатировала она.
Тему аудита продолжил Тимур Турсунов (ГК «ДРТ»). В частности, вопросы проверки инфраструктуры трансграничного электронного документооборота и контроль эквивалентности уровней надёжности ЭП, которые основаны в том числе на международных требованиях и стандартах.
В ходе дальнейшей дискуссии участники сессии отметили, что аудит ИБ в финансовой сфере развит и несёт большую опять же финансовую нагрузку для участников. Сам по себе институт аудита ИБ дорогой и обслуживается за счёт хозяйствующих субъектов, поэтому вопрос целесообразности аудита ИБ в других сферах — предмет дальнейшего обсуждения регуляторов и отрасли.
Завершил сессию юрист Максим Егоров («МАКСИМА»), который представил доклад «“Международный договор” и “соглашение между участниками”». Он выделил вопросы трансграничного признания ЭП, участие аккредитованных УЦ и субъектов сторон, операторов трансграничного ЭДО и прочих агентов, действующих в рамках частно-правового соглашения. Он отметил, что законодательно не установлено, каким требованиям должна соответствовать иностранная ЭП, поэтому стороны используют трехступенчатый механизм проверки подлинности и признания ЭП. Практика применения соглашений о взаимном признании ЭП, в том числе правоприменения со стороны государства, в настоящее время отсутствует, однако, развитие этого института продолжается.
«Положениям закона 63-ФЗ чуть более года, что соответствует раннему периоду развития ребенка. Младенец вырос, куда придёт — вопрос следующей конференции», — подытожил Егоров.
PKI-проекты и продукты
Вопросам интеграции PKI с прикладными системами, а также PKI-проектам и продуктам была посвящена третья сессия второго дня PKI-Форума.
Владимир Иванов («Актив») углубился в ретроспективный анализ и перспективы криптографических ключевых носителей в отечественной PKI. Он заметил, что теме его доклада уже более 20 лет. Примерно в 2002 году первое, что смогли сделать разработчики — создать пассивные ключевые носители, которые боролись с дискетами как с носителями ключевой информации. Таким образом удалось повысить защищённость хранения ключей (закрыть пин-кодом) с учётом существовавших тогда технических возможностей.
«Не удалось решить задачу некопируемости ключей. До сих пор, кстати говоря, она нас преследует: находятся умельцы, которые поясняют, как сделать копию неэкспортируемого контейнера. Задача работы в таком режиме, когда у нас бесконтрольно могут копировать ключи подписи на пассивных носителях, никаким образом не решается», — констатировал Иванов.
Эксперт напомнил аудитории, что ключевые носители используются не только в PKI и не только для хранения ключей подписи, и отметил важность повышения киберграмотности владельцев ключей и необходимость появления новых инструментов проверки пользователей. Также докладчик подчеркнул, что пришло время переходить на активные ключевые носители и включить вопросы меток доверенного времени в законодательство.
Константин Леонтьев продолжил утренний рассказ об опыте компании Clearway Integration. В новом докладе он уделил внимание теме интеграции технологических сертификатов в прикладные информационные системы. Прошлое, настоящее и будущее автоматизации управления жизненным циклом СКЗИ с финансовой точки зрения с участниками конференции обсудил Дмитрий Дудко («Информзащита»).
Александр Поликарпов («Лаборатория Касперского») выступил с докладом «Криптография внутри микроядерной ОС: разрешить ^ нельзя использовать», который стал продолжением темы, поднятом на PKI-Форуме 2023 года. Эксперт выделил такие механизмы использования СКЗИ в микросервисах, как верификация с использованием ЭП, проверка приложений и мобильные функции (в том числе мобильная подпись), о которых много говорили на конференции. В случае востребованности микросервисов разработчики готовы использовать сертифицированные СКЗИ, они активно работают с ФСТЭК России и вендорами по вопросам встраивания решений в сторонние приложения. При разрастании сервисов компания готова пойти в сторону большого криптографического API, однако, пока такого запроса со стороны потребителей нет, заключил Поликарпов.
Андрей Горбут (ДИТ города Москвы) поделился практическим опытом автоматического создания и проверки электронной подписи в информационных системах, а также практикой использования квалифицированной и неквалифицированной ЭП. Говоря о технической реализации, спикер напомнил, что СКЗИ должно быть сертифицировано по соответствующему классу, а к месту его хранения должен иметь доступ ограниченный круг лиц. Также необходимо исключить возможность подписания не того документа. Правительство Москвы использует более 130 систем, где используется механизм автоматического создания и проверки электронной подписи. Докладчик видит большие перспективы в масштабировании подобного опыта и расширении областей применения.
Завершил сессию доклад «Система облачной подписи в республике Беларусь» Никиты Корсикова, представителя Оперативно-аналитического центра при Президенте РБ. Гость рассказал о механизмах реализации системы и её интеграции с другими сервисами, а также об идентификации подписанта. Основная сложность – архитектура реализации, как сообщил спикер. Он рассказал о различных механизмах аутентификации и сертификации пользователей, которые реализованы в пилотных проектах, и требованиях безопасности.