В Санкт-Петербурге прошла XXII Международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи «PKI-Форум Россия 2024». Её участники обсудили актуальные вопросы в области электронного документооборота, криптографии и информационной безопасности.
В первый день мероприятия генеральный директор АНО «НТЦ ЦК» Игорь Качалин провёл Стратегическую сессию «Итоги пяти лет реализации самой масштабной реформы 63-ФЗ». Её участники обсудили итоги реализации реформы Федерального закона «Об электронной подписи», массовое использование электронной цифровой подписи (ЭЦП) физлицами, законотворческие инициативы и прочее.
Сфера ЭП претерпела значительные изменения, заявил Юрий Шабанов (Минцифры). Он отметил рост архитектуры отрасли и увеличение числа удостоверяющих центров, а также обозначил результаты реформы: запрет на выдачу сертификатов юрлиц в коммерческих АУЦ, запрет на выдачу сертификатов по доверенности и использование облачной ЭП, возможное только при выполнении ряда требований, которые сейчас разрабатываются регуляторами.
Константин Дробаденко (8 Центр ФСБ) похвалил активную работу ФНС, Банка России и Казначейства, но при этом подчеркнул, что существует люфт между нормативным регулированием и практической реализацией требований. Задача регуляторов — уменьшить люфт, констатировал представитель ФСБ. С выводами коллеги согласился Фёдор Новиков (ФНС) — он заявил, что нормы в 63-ФЗ должны отвечать действительности либо трансформировались так, чтобы практика не нарушала регулирование.
Вячеслав Бражко из Федерального казначейства констатировал, что основным показателем реформы стало снижение числа мошенничеств в этой сфере, а Станислав Смышляев («КриптоПро») оценил нововведения 63-ФЗ как практик: «Логика в реформе приземляется на реальные средства и процессы».
Говоря о машиночитаемых доверенностях, Фёдор Новиков сообщил, что пока не все готовы использовать универсальный формат МЧД, и задача регуляторов — вынудить их это сделать, для чего необходимо изменить 63-ФЗ. По мнению Вячеслава Бражко, нужно также составить классификатор полномочий. Минцифры же оказалось не готово вводить нормативное закрепление и навязывать ответственность, поскольку последствия могут быть непредсказуемыми.
Обсуждая массовый переход на сертификаты физлиц, участники сессии сошлись на том, что здесь остро стоят вопросы повышения киберграмотности граждан и технической подстраховки пользователя. «Перенос ответственности на физлицо заставит его двигаться», — заметил Фёдор Новиков. А, переходя к теме массовой криптографии, Константин Дробаденко подчеркнул, что массовое применение СКЗИ — задача государственного суверенитета РФ, и их проникновение должно происходить в составе предустановленных на устройства продуктов — отечественных ОС и браузеров с российской криптографией.
Завершили стратегическую сессию вопросы законотворчества. Эксперты обсудили изменение порядка получения сертификатов органами власти, не являющимися налоговыми агентами, легализацию сертификатов безопасности и сертификатов подписей кода на основе ГОСТ, а также контрмеры отзыву сертификатов иностранными УЦ.
В третий день PKI-Форума выступил Андрей Пьянченко (АНО «НТЦ ЦК») — на тему обеспечения идентификации и сертификатов безопасности в рамках деятельности НТЦ ЦК. Что нужно идентифицировать? Волеизъявление, граждан/пользователей, сайты/порталы, информсистемы, ПО и устройства, включая IoT, ответил спикер сам себе.
Для аутенцификации граждан НТЦ ЦК ведёт проект «Адаптер-инфраструктура», в рамках которого разрабатываются сертификаты безопасности и порядок сертификации пользователей, а также сертификаты безопасности для информсистем, рассказал Пьянченко. Плюс, организация выпускает сертификаты для веб-ресурсов в рамках проекта «Домен-Протокол», что включает создание инфраструктуры для выдачи сертификатов, реализацию криптопротокола ACME на основе ГОСТ, клиент-серверной архитектуры и сертификатов.
В конце докладчик сообщил, что АНО «НТЦ ЦК» проводит работы почти по всем видам потребностей в части криптографической аутентификации, но по многим направлениям этой деятельности необходимо нормативное закрепление требований к криптографической аутентификации, в том числе со стороны регуляторов.