PKI-Форум 2020
Как здорово, что все мы здесь сегодня собрались. Или как прошёл PKI-Форум 2020 после нескольких месяцев изоляции из-за пандемии
В сентябре в Московской области прошла XVIII Международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи — «PKI-Форум Россия 2020». Главными темами этого года стали поправки к 63-ФЗ «Об электронной подписи», развитие отраслевого законодательства, нормативного и технического регулирования, влияние пандемии COVID-19 на отрасль, и другие.
Обсуждаем в этом году
Несмотря на сложную ситуацию в мире, связанную с распространением коронавируса, форум вызвал огромный интерес профессионального сообщества. В этом году его посетили 205 человек. Три интенсивных дня работы были заполнены до отказа: пленарная сессия — открытие Форума, шесть тематических сессий, два круглых стола по острым вопросам и долгожданное личное общение после самоизоляции.
Первый заместитель генерального директора АО «НИИАС» Владимир Матюхин в приветственном слове рассказал о современном состоянии рынка электронной подписи. По его словам, кризис, с которым столкнулась Россия и мир в целом в 2020 году, спровоцировал не только негативные последствия, но и определённые успехи в области цифровизации: информационные технологии оказались исключительно важными в условиях, когда привычные бизнес-процессы и жизненный уклад резко изменились.
Он также упомянул о том, что рынок электронной подписи ожидают масштабные преобразования, обусловленные принятием Федерального закона N 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи».
В выступлении директора правового департамента Минцифры России Романа Кузнецова также была затронута тема изменений рынка в ближайшей перспективе. Сегодня уже вступили в силу нормы об увеличенных требованиях к удостоверяющим центрам. С января 2021 возникнут права и возможности использования облачной квалифицированной ЭП, появится возможность аккредитоваться операторам доверенной третьей стороны. В январе 2022, согласно текущим планам, должны полноценно заработать машиночитаемые доверенности, реестры полномочий, ряд государственных УЦ получит исключительное права на обеспечение определённых категорий квалифицированными сертификатами.
Одновременно министерство ведёт работу по корректировке статьи 189 ГК РФ «Последствия прекращения доверенности». Дорабатываются подзаконные акты к уже упомянутому 476-ФЗ.
В фокусе выступления представителя ФСБ России Александра Бондаренко была тема облачной ЭП. Точнее, в ФСБ считают, что использование этого понятия (которое, к тому же, законодательно не закреплено) может ввести в замешательство некоторых специалистов – и предлагают взять на вооружение термин «удалённая ЭП» или «дистанционная ЭП».
Новые правовые реалии
Вопрос вносимых изменений в 63-ФЗ «Об электронной подписи» был, конечно, в основном фокусе внимания Форума все три дня. Как считают эксперты, эти изменения могут существенно изменить распределение сил на рынке удостоверяющих центров и электронной подписи. В частности, закон прописывает возможность использования электронных машиночитаемых доверенностей – однако регламент их применения, хранения и отмены ещё не до конца понятен пользователям.
По мнению начальника отдела «Банка ВТБ» Дмитрия Ушакова, в свете указанных изменений вызывает беспокойство судьба усиленной неквалифицированной подписи, так как конструкция 63-ФЗ в целом устанавливает более либеральный режим регулирования для использования усиленной неквалифицированной подписи, но требования к содержанию сертификатов ключа проверки ЭП становятся идентичными как для УКЭП, так и для УНЭП.
Советник генерального директора по взаимодействию с государственными органами «СКБ Контур» Наталья Никитина и руководитель проектов НПЦ «1С» Альберт Салимов подвели предварительные итоги деятельности рабочей группы, которая занимается подготовкой нормативно-правовых актов к закону 476-ФЗ. Как известно, закон не начнёт действовать в части определённых изменений до того, как будут приняты соответствующие нормативно-правовые акты – всего их более 25, и их количество может увеличиться в ходе дальнейшего анализа текста закона.
Научный сотрудник Института государства и права РАН Нина Соловяненко в своем докладе систематизировала все риски, появляющиеся на новом правовом ландшафте электронной подписи и проанализировала потенциальные проблемы применения новых норм. А Владислав Бржозовский, адвокат, главный эксперт ООО «Право высоких технологий», рассказал о юридических нюансах такого нововведения, как доверенная третья сторона, и о том, как изменится с появлением этого института процесс удостоверении юридической силы электронных документов.
Дистанционная и не очень
Отдельно большую часть докладов и дискуссий на Форуме занимал вопрос создания и применения дистанционной ЭП, а также дистанционной идентификации пользователей. В первую очередь это затронет удостоверяющие центры. По словам экспертов, технология дистанционной идентификации будет популярна, так как не надо будет ездить несколько раз в УЦ, а время получения сертификата сократится до нескольких минут. При этом остаётся множество спорных моментов — доставка ключевых носителей, доставка криптографических средств, вопрос удержания удостоверяющими центрами своих клиентов и так далее.
В этой теме стоит отдельно упомянуть и выступление директора по развитию компании «Актив» Владимира Иванова. Он весьма подробно рассказал, что такие варианты носителей ЭП как мобильное приложение, SIM-карта, токены, да и в принципе облачные решения при всей их прелести имеют слишком много недостатков. Например, встаёт вопрос доверия к устройству, а значит и безопасности самих ключей, надёжности идентификации пользователя. «Актив» старается решить эти вопросы в своих разработках, таких, например, как дуальная смарт-карта Рутокен ЭЦП 3.0 с интерфейсом NFC.
Стандарты и протоколы
Отдельно в фокус вышла тема стандартизированных протоколов для защиты межмашинного взаимодействия и интернета вещей, а также промышленного интернета вещей. Этой тематике был посвящён доклад представителя компании «ИнфоТеКС» Ольги Шемякиной.
Так, в сфере межмашинного взаимодействия и интернета вещей существует огромное количество технологий, в том числе, широкий набор протоколов. Для передачи данных в этой сфере характерно разнообразие топологий: помимо взаимодействия «точка-точка», распространены широковещательные взаимодействия, мультикаст и другие. Межмашинные протоколы не предназначены для передачи больших объёмов данных. Зачастую у IoT-устройств небольшие вычислительные ресурсы, большое количество подобных гаджетов работают от батарейки. В этих задачах мы имеем дело с большой вариативностью технологий, множеством протоколов, низкой пропускной способностью каналов, из чего следует чувствительность к объёму отправляемых данных.
Решая эту проблемы, рабочая группа «Криптографические механизмы для индустриальных систем» в структуре ТК 26 на сегодняшний день разработала четыре протокола, два из которых уже имеют статус рекомендации по стандартизации, а два остальных будут утверждены в этом статусе до конца года: «Криптографические механизмы защищённого взаимодействия контрольных и измерительных устройств», «Протокол защищённого обмена для индустриальных систем», «Использование российских криптографических механизмов для реализации обмена данными по протоколу dlms», «Протокол безопасности сетевого уровня».
Трансграничный ЭДО
Знаменательной частью третьего дня Форума стала тема «PKI в мире», в рамках которой зарубежные эксперты представили своё видение ситуации и перспективы развития PKI как технологии, широко используемой во всем мире. В центре внимания были безбумажный товаро-сопроводительный документооборот и растущие объёмы трансграничной торговли. Большой интерес делегатов Форума вызвал международный опыт решения противоречия между различиями в законодательствах стран и критической необходимостью в доверии к механизмам обеспечения юридической силы трансграничных электронных документов.
Рама Ха, эксперт UNNEXT и директор группы по безбумажной торговле KTNET, рассказал об опыте Южной Кореи по упрощению трансграничного безбумажного документооборота. Чтобы реализовать трансграничные безбумажные сервисы, KTNET сотрудничает с Паназиатским альянсом электронной коммерции (Pan Asian E-Commerce Alliance, PAA) – объединением сервис-провайдеров в сфере трансграничной безбумажной торговли, состоящим на данный момент из 12 участников.
Спикер из Индии — Тахсен Кхан, эксперт UNNEXT и заместитель председателя СЕФАКТ ООН — подчеркнул, что взаимное признание и доверие – один из ключевых факторов трансграничных процессов ЭДО, причём значимость данной дискуссии выходит за рамки только торговых отношений.
При трансграничном электронном обмене данными установление доверия может быть затруднено из-за многих факторов, таких, как различия в местном законодательстве, в стандартах электронного обмена и хранения данных. Использование облачные вычислений приводит к получению данных, находящихся в нескольких юрисдикциях. Новые технологии, такие как блокчейн или искусственный интеллект, приводят к увеличению типов и источников данных. Для решения этих вопросов необходим механизм взаимного признания для создания надёжного трансграничного электронного взаимодействия. Вполне возможно, что «Рамочное соглашение об упрощении процедур трансграничной безбумажной торговли», подготовленное ЭСКАТО ООН станет решением данной проблемы.
Итоговая дискуссия
Последняя часть деловой программы PKI-Форума — дискуссия по законотворчеству и стандартизации в PKI и смежных областях. По большому счёту экспертам было задано всего два вопроса: что может помочь развитию PKI в Российской Федерации и чего не хватает российской отрасли PKI, что может способствовать повышению доверия к сервисам на базе отечественных технологий электронной подписи? Эти вопросы вызвали более чем часовое обсуждение не только среди заявленных спикеров, но и среди присутствующих в зале экспертов. Модерировал дискуссию, эксперт ISO, заместитель генерального директора «Аладдин Р.Д.» Алексей Сабанов.
Многие эксперты согласились, что необходимо ввести «правильный водораздел» между специалистами, которые занимаются юридически нормативно-правовым регулированием, и техническими специалистами, которые занимаются техническими документами по нормативно-техническому регулированию. При этом их работа должна быть синхронизирована и не должна дублироваться. Также эксперты отметили, что не хватает системности на государственном уровне, до сих пор остаются проблемой вопросы идентификации и аутентификации, а также нет инструмента или технологии проверки архивных ЭП.
Отвечая на вопрос про повышение доверия к сервисам на базе отечественных технологий ЭП, эксперты не были оптимистичны. Например, заместитель генерального директора компании «ИнфоТеКС» Дмитрий Гусев сразу сказал, что повысить доверие к сервисам явно не поможет введение штрафов. «PKI — это технологически нагруженная тема, требующая в своём управлении и развитии специалистов и времени. Волшебным образом, в виде введения, например, ответственности оператора (УЦ) в 1 миллиард (почему миллиард? – авт.) доверие к такому оператору не возрастёт. А скорее — понизится», — отметил спикер.
Один из выступающих сказал, что принятие новых законов и подзаконных актов могут решить эту проблему. Однако, как в конце заключила Нина Соловяненко, «ни один принятый закон ещё никого не осчастливил».
Музею криптографии быть
Технологичность PKI-Форума разбавила презентация Лидии Лобановой, директора Музея криптографии, который распахнёт свои двери осенью 2021 года. Концепция первого в России музея криптографии была разработала год назад. Планируется, что музей будет насчитывать 90 интерактивных инсталляций, которые рассказывают о разных исторических и научных историях и принципах криптографии. Кроме того, там будет и «физическая» коллекция: шифровальная техника, устройства передачи информации, архивные документы.
Экспозиция начнется с сегодняшней и даже завтрашней цифровой криптографии, далее – переход в научную, механическую криптографию прошлого века. Заканчиваться выставка будет на времени появления письменности. При этом главной целевой аудиторией музея его создали считают молодёжь 13-17 лет.
Премия PKI
В первый день было также проведено вручение дипломов победителям в ежегодных номинациях PKI-Форума за 2020 год. По словам организаторов, в этом году программный комитет получил 16 заявок на 5 номинаций, и до последнего момента, до последнего голоса интрига конкурса сохранялась.
В итоге в номинации «Удостоверяющий центр года» победу одержал Региональный удостоверяющий центр Ямало-ненецкого автономного округа; «Организацией года» стало ЗАО «Аладдин Р. Д.»; «Продуктом года» назвали программно-аппаратный комплекс «Служба доверенной третьей стороны «Litoria DVCS», разработанный ООО «Газинформсервис»; а «Проектом года» — проект по модернизации личного кабинета налогоплательщика на сайте nalog.ru ФНС России; и наконец, «Экспертом года» в 2020 году в результате голосования программного комитета признан Иван Янсон, бизнес-партнёр по информационной безопасности ПАО «Сбербанк».
.jpg)
.jpg)
