В этом году конференции РусКрипто исполняется 25 лет. Традиционно в ней принимают участие ведущие ИБ-компании, представители ФОИВов, регуляторов и научного сообщества.
Открытие
«Становление гражданской криптографии в России в существенной степени заслуга конференции РусКрипто, — сказал в ходе открытия конференции замглавы Минцифры России Александр Шойтов. — Сейчас криптография везде: идет массовое внедрение технологий защиты информации, кибертехнологий, киберзащиты и криптографической защиты. Сейчас она уже пронизывает все информационные технологии. В том числе и все граждане незримо используют средства криптографической защиты. Ни у кого не остается сомнений, что необходимо применять сертифицированные отечественные криптографические средства защиты информации».
Он также призвал «не обсуждать — нужно или не нужно», а находить способы встраивания в информационные системы криптографические решения «адекватного уровня защиты», делая это «быстро и по возможности экономически эффективно».
Отдельно существенную роль вопросов, обсуждаемых на РусКрипто в финансовой системе отметил директор Департамента информационной безопасности Банка России Вадим Уваров, по словам которого, без криптографических механизмов сегодня невозможно было бы дистанционное предоставление банковских услуг, а также бесперебойная работа финансовой системы в целом.
«Фокус Банка России сосредоточен на разработке отечественных криптографических алгоритмов и протоколов, которые позволяют обеспечить весь стек взаимодействия, когда присутствуют и карточка, и терминал, и банк, а также безопасность платежей в рамках электронной коммерции. При этом протоколы и средства их реализации должны обеспечивать привычный для российских граждан клиентский путь», — заявил представитель регулятора.
В свою очередь заместитель гендиректора «ИнфоТеКС» Дмитрий Гусев обратил внимание, что в этом году сразу несколько сессий РусКрипто посвящены вовлечению в сообщество молодежи и неспециалистов в области криптографии:
«Наша с вами миссия — рассказывать как можно более широкому кругу специалистов, что такое криптография, как её правильно применять, насколько наших с вами продуктов, мыслей и идей позволяет улучшить информационные системы».
По мнению заместителя директора «КриптоПро» Станислава Смышляева, Криптография в России сейчас стала развиваться ещё быстрее, чем раньше, а многие возникающие явления от дистанционного голосования до цифрового рубля приводят к постановке новых криптографических задач, а жесткие условия, в которых оказалась отрасль, подтолкнули её к развитию и выработке новых безопасных решений:
«Приятно, что многое из того, что мы с вами много лет обсуждали, создавали сейчас очень быстро внедряется и в те отрасли, где безопасность теперь нужна не только на бумаге, но и в самом боевом режиме».
Пленарное заседание
Пленарная сессия прошла в виде серии докладов экспертов РусКрипто.
Внедрение криптографии в информационные системы цифровой экономики
Замглавы Минцифры России Александр Шойтов рассказал о ключевых вызовах, с которыми столкнулись в 2022 году отрасли ИБ и криптографии, а также рассказал об АНО «Национальный технологический центр цифровой криптографии» — новой постоянной площадке для взаимодействия государственных структур, бизнеса и научного сообщества:
«На мой взгляд, ключевая роль государства в развитии криптографии — организационная составляющая. Ровно для этого создается «Национальный технологический центр цифровой криптографии». Сейчас мы в него вкладываем большое значение. Это площадка для взаимодействия всех регуляторов, государства, бизнеса и науки. И то, что сейчас происходит здесь на конференции РусКрипто каждый год, мы планируем организовать на постоянной основе на площадке этой организации».
В рамках экосистемы НТЦ ЦК, по его словам, планируется наладить совместную разработку и тестирование технологий, а также коммуникацию между разработчиками, потребителями и независимыми экспертами.
Стратегическими целями площадки станут:
-
Исследование безопасности информационных технологий;
-
Проведение фундаментальных, поисковых и прикладных исследований в области разработки доверенных информационных систем;
-
Разработка криптографических алгоритмов и механизмов;
-
Проектирование и создание отечественных решений по обеспечению информационной безопасности информационных технологий;
-
Распространение и гармонизация отечественных решений по обеспечению ИБ информационных технологий.
В задачи проекта, по словам замглавы Минцифры, также войдет координация отрасли, создание научно-технической базы и проведение научно-исследовательских и опытно-конструкторских работ, направленных на решение научно-практических задач внедрения методов современной криптографии в цифровые технологи.
Уже в этом году в рамках НТЦ ЦК планируется начать реализовывать вопросы, связанные с электронной подписью, криптографической защитой, квантовой криптографией, обезличиванием массивов, безопасной микроэлектроникой, безопасным сопряжением и технологиями создания библиотек для применения в мобильных и веб-приложениях с целью поддержки отечественных криптографических алгоритмов.
Дистанционное электронное голосование как источник инновационных криптографических задач
Представитель ФСБ России Дмитрий Матюхин выступил с докладом, посвященным дистанционному электронному голосованию (ДЭГ) и возникающим в этой связи криптографическим вызовам.
Он уделил особенное внимание ключевым протоколам и задачам, связанным с необходимостью совместить требования по соблюдению тайны волеизъявления, публикации списков и обеспечению конфиденциальности данных.
Достижения и задачи в области защищенного доступа к веб-сайтам в России
Заместитель гендиректора «КриптоПро», генерального партнера РусКрипто, Станислав Смышляев выступил с докладом о защищенном соединении в Интернете и особенностях работы сертификатов и реализации в них требований ГОСТ.
Он подробно рассказал об устройстве RSA-сертификата и безопасности трафика в нем, отметив, что «нет смысла» переходить на сертификат TLS 1.3, если в компании уже работает TLS 1.2, так как «они одинаково устойчивы». Эксперт также перечислил задачи, которые, по его мнению, должны уже сейчас стоять перед АНО «НТЦ ЦК»:
-
Архитектура, определение недостающих компонентов;
-
Разработка протокольных решений;
-
Решения по автоматизированной выдаче TLS-сертификатов с ГОСТ коммерческими организациями и частными лицами;
-
Обеспечение доверенного распространения ПО, в том числе и для массовых средств криптографической защиты информации (СКЗИ).
Защита информсистем на основе комбинации устройств квантового распределения ключей и постквантовых алгоритмов
Руководитель научной группы «Квантовые информационные технологии» РКЦ, директор по стратегии QApp Алексей Фёдоров, поднял вопрос криптографии в ином срезе: в сочетании квантовой и постквантовой криптографии.
Эксперт считает, что эти направления не следует воспринимать исключительно как конкурирующие технологии защиты от квантового компьютера, как это было принято до последнего времени, но развивать их в синергии.
Он отметил, что квантовая угроза вовсе не является немедленной, однако уже сейчас стоит задумываться о необходимости защититься от неё в будущем, которое может наступить раньше, чем предполагается сейчас:
«Чтобы реально взламывать какие-то криптографические алгоритмы, необходимы действительно мощные квантовые компьютеры. Реалистичная оценка — нужно примерно 20 млн кубитов с учетом коррекции ошибок для взлома RSA-2048. Это намного больше, чем то, что есть сейчас. (...) С другой стороны, есть действительно очень мощный прогресс с точки зрения железа: количество кубитов увеличивается. Но дело не только в количестве кубитов, а в том, что индустриальные решения готовятся».
Криптозащита в современных условиях обеспечения информационной безопасности
Действительный член Академии криптографии РФ Александр Баранов представил на пленарном заседании свой доклад, в котором высказал свои наблюдения относительно ключевых проблем информационной безопасности, связанных с внедрением криптографических решений.
Он перечислил основные задачи криптозащиты, которые сейчас стали особенно востребованными:
-
Криптопримитивы в агрессивной программно-аппаратной среде;
-
Модели угроз КС1-КА от ФСБ России, которые требуют более четкого описания противника и мер защиты;
-
Развертывание VPN на «медленных» процессорах и компьютерах;
-
Угроза квантового компьютера и появление новых алгоритмов, которые якобы могут обойти используемую криптографию;
-
Защита цифрового радио и обеспечение надежного и удобного ППРЧ;
-
Необходимость новых принципов работы для обеспечения ИБ массового пользователя.
В ходе выступления эксперт обратил особое внимание, что антивирусная защита в текущих условиях должна быть исключительно отечественной, а также призвал не поддаваться панике из-за якобы эффективных алгоритмов определения ключа и не менять стандарты шифрования исключительно «в угоду желанию новизны».
Говоря о сложностях, связанных с замещением ушедших брендов и поиска доверенных замен им, Александр Баранов отметил, что использование китайских процессоров не является ответом на все вопросы:
«Пробовали использовать китайский процессор для различных аппаратных решений и уже столкнулись с очень многими проблемами, когда требуется обоснование того, что вы встроили ваше крипторешение с достаточной степенью надежности — например, по категории Б. Это никак не проходит для китайского процессора, если у вас нет (а, как правило, их нет) никаких архитектурных обоснований надежности этого решения».
Круглый стол «Криптографические средства в государственных информационных системах»
В рамках круглого стола «Криптографические средства в государственных информационных системах», который провели начальник отдела информационной безопасности и технической защиты информации Службы информационной безопасности Главного управления информационных технологий ФТС России Кирилл Романов и коммерческий директор «КриптоПро», эксперт Ассоциации «РОСЭУ» Юрий Маслов, эксперты ответили на ряд вопросов, связанных со сложностями, возникающих в процессе эксплуатации ГИС и их решением, импортозамещении в ГИС, а также изменениях в методах и средствах защиты информации с использованием криптографических решений.
В панели также приняли участие представитель ФСБ России Игорь Папаев, заместитель начальника Управления режима секретности и безопасности информации Федерального казначейства Артем Нагдаев, начальник Управления информационной безопасности Росреестра Сергей Данилов.
Эксперты рассказали о реализованных в рамках их ведомств госинформсистемах, об их создании и жизненном цикле проектных решений, используемых способах обеспечения участников ГИС средствами криптографической защиты информации, как они переживали реформу электронной подписи, имплементации машиночитаемого формата и многом другом.
В свою очередь Игорь Папаев, как представитель профильного регулятора заверил участников форума, что одной из главных задач ведомства является помощь пользователям:
«Очень часто регулятора воспринимают как цербера, который устанавливает требования, проверяет и наказывает виновных. Это только видимая сторона нашей деятельности (...) Лично для меня роль регулятора заключается поддержании баланса между производительностью системы и её защищенностью»
Он также заявил, что никакой переаттестации ГИСов, введенных в эксплуатацию до начала действия приказа №524, не предусмотрено и такие системы продолжат работать в рамках уже выданного сертификата. При этом такую ГИС следует «подтянуть» до уровня требований приказа в ходе следующей плановой её модернизации.
Зашла речь и об усилении в этом году числа атак на ГИСы. По словам Сергея Данилова, за 2022 год Росреестр отразил больше 150 млн атак при лишь восьми инцидентах: в одном из них специалисты ведомства за пять часов «переписали весь сайт», убрав оттуда все возможные уязвимости, которые могли эксплуатировать хакеры.
В свою очередь, Артём Нагдаев рассказал, что Федеральное казначейство ведет активную работу по внедрению функционала доверенностей в электронной форме в машиночитаемом виде в своих информационных системах и что в ведомстве уже разработана дорожная карта по реализации функционала предоставления МЧД.
Сейчас, по его словам, разрабатывается нормативный правовой акт, определяющий порядок предоставления, использования, хранения, отмены МЧД в информационных системах Казначейства, а его первая редакция появится уже в апреле этого года.
Также ведутся работы по формированию перечня полномочий Федерального казначейства для передачи в Классификатор полномочий Минцифры России. В перспективе он будет актуализироваться и применяться на практике, добавил эксперт ведомства.
День завершился гала-ужином в стиле BLACK TAI. Вручение благодарственных наград почетным гостям, партнерам и спикерам, розыгрыш призов, 3D торт и дискотека стали отличным финалом первого дня конференции.
