Криптографический кракен разбрасывает свои щупальца

Криптографический кракен разбрасывает свои щупальца
Как-то снизошло на меня, что надо обновить ключевые презентации/заметки по регулированию криптографии в России, среди которых были следующие:
Все-таки достаточно много времени прошло с тех пор и мы получили немало новых нормативных документов, говорящих о необходимости применения средств шифрования в настоящем или ближайшем будущем. В итоге у меня получился этакий криптографический кракен, разбросавший свои щупальца по совершенно различным направлениям и темам, объем которых ну оооочень велик. Ассоциация с кракеном не случайна. Это легендарное головоногое чудовище, пожиравшее корабли, бороздящие просторы мирового океана, и препятствующее развитию судоходства и мировой экономики.


Если вспомнить, то у нас тема шифрования по требованиям ФСБ обычно всплывает только в контексте госорганов, которые общаются между собой, а также внутри себя. Это несколько сотен тысяч точек присутствия и, как следствие, соответствующее число СКЗИ (аппаратных или программных). Сюда можно приплюсовать сегмент взаимодействия коммерческих организаций с госорганами. Например, в рамках выполнения госзаказа, а также в рамках присоединения к различным государственных информационных систем - ГИС ГМП и т.п. На мой взгляд, это не очень большой сегмент рынка СКЗИ, который все-таки присутствует в России. Отдельно можно упомянуть сегмент удостоверяющих центров и решений по электронной подписи, но тут я затрудняюсь оценить масштаб рынка и насколько он отличается от других щупальцев кракена.

Третьим щупальцем можно назвать рынок тахографов, которые, как известно, должны использовать средства шифрования, а число колесных средств, на которые распространяются требования соответствующего Постановления Правительства измеряется по данным Минтранса одним  миллионом , а по версии отдельных специалистов аж 3-мя миллионами . Несмотря на критику Минэкономразвития приказ Минтранса об использовании тахографов отменен не был и в текущей версии содержит требования к тахографам и картам идентификации и аутентификации водителей, контрольных органов, мастерских и автотранспортных предприятий, обязательно использующих СКЗИ в соответствие с ПКЗ-2005. При этом тахографы подлежат регулярной замене один раз в три года (традиционный срок для сертифицированных СКЗИ). В перспективе речь может идти об оснащении такими устройствами и всех легковых автомобилей, поставляемых в Россию или собираемых в нашей стране - данные слухи регулярно всплывают в контексте требований по системе ЭРА-ГЛОНАСС.

Четвертое ответвление - это недавнее поручение Президента об оснащении граждан, общающихся с госорганами, бесплатными решениями по шифрованию. Если посмотреть на тот же портал госуслуг, то сегодня на нем, по словам министра связи и массовых коммуникаций, зарегистрировано 30 миллионов пользователей (хотя в феврале их было всего 17 миллионов). Хотя до RSA, которая

Пятая "рука" будет держать тему контрольно-кассовой техники , обновленный закон о которой был принят 15 июля этого года и который содержит нормы об оснащении всех контрольно-кассовых аппаратов (а их по оценкам несколько миллионов) средствами шифрования, соответствующими требованиям ФСБ (сами требования пока отсутствуют).

Шестое щупальце у нас тянется к теме ввоза иностранных шифровальных средств на территорию России, о чем я писал уже неоднократно ( тут и тут ). Без экспертизы средств шифрования со стороны ФСБ дело не обходится и таким образом контролируется проникновение зарубежных средств шифрования - самостоятельных или встроенных в смартфоны, телевизионные приставки, ноутбуки, принтеры и т.п.

Кстати, насчет телевидения. У Минкомсвязи уже был приказ №3 от 2006-го года, устанавливающий обязанность шифровать систему цифрового телевизионного вещания DVB, число приемников которой оценивалось в 55 миллионов устройств. Тема не взлетела - было много противников. Поэтому в качестве щупальца кракена я это направление включать не стал. Также в качестве щупальца я бы пока не стал рассматривать тематику Всеобъемлющего Интернета, хотя согласно дорожной карты по развитию в России технологий Интернета вещей, наши регуляторы задумываются о создании национальных протоколов IoT и решении вопросов безопасности в них.

Седьмым отростком можно назвать тематику персональных данных и 378-й приказ ФСБ, который несмотря на все спорные моменты и юридические толкования, трактуется регулятором вполне однозначно - в Интернет персональные данные передаваться в открытом виде не могут (хотя сама ФСБ это свое же требование и игнорирует ) и для их защиты должны применяться сертифицированные шифровальные средства. А это немного немало, но 4 миллиона юридических лиц и индивидуальных предпринимателей, существующих сейчас по версии Росстата.

Наконец последний тентакль (это синоним щупальца) у нас протянулся к теме банкоматов, платежных и электронных терминалов, коих в России по данным Банка России на 1-е апреля этого года насчитывалось порядка двух миллионов. Мы помним, что ФСБ совместно с Банком России подготовили поэтапный план перехода на отечественную криптографию в Национальной системе платежных карт, а это значит, что российскими HSM "с ГОСТом", а также чиповыми картами с тем же ГОСТом, будут оснащаться все банкоматы и платежные терминалы. Сейчас сложно говорить о числе карт "Мир", которые будут постепенно оснащаться отечественными средствами шифрования, согласованными с 8-м Центром ФСБ, но уже до конца этого года НСПК планирует эмитировать 16 миллионов карт (пока без отечественных криптоалгоритмов). У того же Сбербанка уже выпущено 116 миллионов карт. Если предположить, что планы НСПК по выходу на международный рынок воплотятся в жизнь, то объем карточной эмиссии НСПК и "Мир" будет измеряться сотнями миллионов. По данным свежего отчета о мировом рынке карт та же UnionPay на сегодняшний день имеет 5,3 миллиарда (!) карт, обгоняя Visa и MasterCard и занимая первое место в мире по числу выпущенного платежного пластика. Да, до UnionPay нам еще далековато, но ориентир уже понятен - рынок средств шифрования (а HSM в банкомат, не говоря уже о самой платежной карте являются таковыми средствами криптографической защиты информации) вырастет значительно.

Интересная картина получается. Тихой сапой, но требование по применение отечественной криптографии проникает постепенно в различные сферы российской экономики, попутно поднимая "с колен" российских разработчиков СКЗИ (хотя они и так не бедствовали). И если до воплощения однажды озвученной идеи о мировом господстве на базе нашей криптографии еще пока очень далеко, то охватить всю Россию - задача вполне подвластная нашему регулятору, смотрящему далеко вперед, как и положено государственным деятелям такого масштаба и уровня компетенции.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину