На сим-картах найдены белые пятна
Минкомсвязь предложила повысить требования к шифрованию абонентских данных
Сим-карты иностранного производства могут угрожать безопасности россиян, полагают в Минкомсвязи. Министерство предлагает внедрить на сетях связи отечественные системы криптографической защиты, которые потребуют перехода на новые сим-карты. Эти требования, по оценке самих операторов, могут привести к затратам не менее 5 млрд руб. и необходимости регулярной замены сим-карт у абонентов.
Минкомсвязь предлагает обязать операторов связи обновить сетевое оборудование и перейти на новые сим-карты, следует из проекта приказа, опубликованного на портале regulation.gov.ru. В нем говорится, что операторы должны идентифицировать абонентов с использованием шифрования, сертифицированного ФСБ. Эти требования предусмотрены антитеррористическим пакетом поправок, известным как «закон Яровой».
Проект был направлен на регистрацию в Минюст 3 августа, но 15 августа был возвращен для доработки, следует из базы consultant.ru. В Минкомсвязи отказались комментировать проект. Минэкономики дало положительное заключение, но при этом предложило доработать проект. В обсуждении также участвовали МТС, «Вымпелком», «МегаФон» и «Ростелеком».
Требования Минкомсвязи означают, что сим-карты становятся сертифицированными средствами защиты информации, поэтому должны учитываться и выдаваться абонентам по установленной процедуре, которую, по мнению операторов связи, невозможно реализовать на массовом рынке.
«Пока мы видим ряд сложностей, в частности необходимость замены сим-карт как средств криптозащиты через каждые 15 месяцев, что повлечет неудобства для абонентов»,— сообщили “Ъ” в МТС. Впрочем, единовременная замена всех сим-карт, которые сейчас находятся у абонентов, не предусматривается, добавили в компании: на уже выданные сим-карты требования приказа не распространяются. Всего в России обслуживается около 260 млн сим-карт.
Проблема в том, что сейчас операторы закупают сим-карты у двух зарубежных производителей, которые устанавливают на них свои системы криптографической защиты, соответственно, нет уверенности в том, что производители по запросу зарубежных спецслужб не передадут им ключи от этих систем, поясняет собеседник “Ъ” в одном из операторов связи. «Минкомсвязь предлагает устанавливать на сим-карты, закупленные за рубежом, и на сетевое оборудование операторов отечественные средства криптографической защиты, что обеспечит большую безопасность. Но таких рабочих систем пока нет на рынке»,— говорит собеседник. «Сейчас на сетях связи используются импортные алгоритмы, и их сертификация ФСБ не осуществляется»,— подтверждается в отзыве одного из операторов связи.
Николай Патрушев, секретарь Совета безопасности РФ, в августе 2017 года (цитата «РИА Новости»)
Повсеместное использование зарубежного телекоммуникационного оборудования создает предпосылки для утечки информации
Крупнейшим производителем сим-карт в мире считается нидерландская Gemalto. В 2015 году о краже ключей шифрования сим-карт ее производства АНБ сообщал экс-сотрудник АНБ Эдуард Сноуден, но по результатам внутренней проверки Gemalto опровергла кражу данных спецслужбами.
Новые требования приведут к затратам для операторов связи, считает Минэкономики, приводя оценку «Вымпелкома» в более 5 млрд руб. на всех участников рынка. Компаниям придется закупать оборудование оценочной стоимостью 3,2 млн руб. за единицу, полагают в Институте точной механики и вычислительной техники им. С. А. Лебедева РАН (ИТМиВТ). Минкомсвязь считает, что потребуется всего 80 единиц такого оборудования на весь рынок, а «МегаФон» полагает, что нужна будет одна единица на каждые 10 тыс. абонентов, говорится в отзыве Минэкономики. Исходя из последней оценки расходы на 260 млн абонентов должны составить 83,2 млрд руб. Кроме того, потребуются затраты на усиление криптозащиты в сумме 700 млн руб., следует из документа.
«Фактически предлагаемое в части сим-карт регулирование замораживает технологическое развитие отрасли, предписывая обязательное использование сим-карт, в то время как мировым трендом последних лет является отказ от этого формата оборудования»,— заключает Минэкономики.
Представитель Ericsson прогнозирует, что разработка решения, соответствующего новым требованиям, займет 10–11 месяцев. Сроки разработки связаны с принципиально новым протоколом обмена данными, «который не используется больше нигде в мире», пояснил “Ъ” представитель Ericsson. В ИТМиВТ и разработчике средств защиты «ИнфоТеКС» считают, что разработка может занять до двух лет.
Использование российских криптографических алгоритмов для повышения уровня защищенности сетей связи в целом может быть целесообразно, заявил “Ъ” представитель «МегаФона». «Однако вопрос требует дополнительного изучения: необходимо протестировать техническую применимость к действующим сетям и средствам связи, сим-картам. С точки зрения регуляторики, вероятно, потребуется внесение изменений в законодательство и международные стандарты, поэтому реализация предложенной инициативы должна проходить поэтапно»,— отметил он. В «Ростелекоме» и «Вымпелкоме» от комментариев отказались.
Развитие отечественных средств криптографии в критически важных областях — правильная инициатива, но предлагаемое решение требует тщательного изучения и предварительного тестирования на совместимость на существующих сетях связи, отмечает куратор рабочей группы «Связь и IT» экспертного совета при правительстве Ирина Левова. Пока же его технологический и экономический эффекты непредсказуемы, считает она.