О том, что «Воентелеком» тестирует доверенные сим-карты, то есть оснащенные российской криптографией, РБК рассказал один из участников проекта, компания IDX (разработчик сервисов идентификации). Пока речь идет о «нескольких сотнях сим-карт», но по итогам эксперимента, который должен завершиться в конце этого года, проект может быть расширен.
По словам гендиректора IDX Светланы Беловой, «Воентелеком» — первый оператор, который начал тест. Он же первым стал использовать на своей сети аппаратный модуль безопасности (HSM; позволяет внедрить отечественную криптографию в телекоммуникационное оборудование, которое используют сотовые операторы). Таким образом, «Воентелеком» сделал своего виртуального мобильного оператора (MVNO; оказывает услуги на сетях «реальных» операторов) нужного класса безопасности, отметила Белова.
IDX в проекте отвечает за разработку сервисов на базе доверенной сим-карты. В базовый комплект входят: квалифицированная электронная подпись (КЭП), автозаполнение (позволяет в защищенной области хранить персональные данные и с согласия пользователя использовать их для заполнения анкет банков, страховых компаний, интернет-магазинов и т.д.), генерация одноразовых паролей, возможность использовать сим-карту как токен для платежных приложений по аналогии с ApplePay. «Для различных российских платежных приложений типа SberPay, TinkoffPay и т.д. зарубежные мобильные операционные системы — что iOS, что Android — это недоверенные среды, за операции в них не могут поручиться ни ФСБ, ни банк. Мы не знаем, какие закладки там есть. Использование доверенной сим-карты, на которой будут храниться платежные данные, позволяет решить эту проблему. Мы можем быть уверены, что эти данные неуязвимы для внешних или внутренних атак», — пояснила Светлана Белова. По ее словам, многие пользователи выражают недовольство из-за необходимости предоставлять свои данные в открытом доступе. Доверенная сим-карта позволяет, не раскрывая данные, предоставить достоверную информацию для бизнеса. Например, при покупке алкоголя или сигарет можно подтвердить, что вам больше 18 лет, не раскрывая даты рождения.
В ближайшие дни участники проекта планируют продемонстрировать представителям Минцифры и Минпромторга сервисы удаленной идентификации, выпуска электронной подписи и подписание документов с ее помощью, работающие на сети «Воентелекома». Осенью прошлого года это решение было показано Федеральной налоговой службе (ФНС).
Как сообщил РБК представитель «Воентелекома», основные целевые сегменты их виртуального оператора — b2b и b2g. Он подтвердил, что компания начала «тестирование и параллельное использование сим-карт с российской криптографией». «Использование упомянутых сим-карт позволяет улучшить защищенность сети и обеспечивает доверенность потребителей в получении сервисов оператора», — пояснил представитель «Воентелекома».
Работа над созданием доверенных сим-карт началась в 2013 году, ее целью было повысить безопасность отечественных сетей. Для создания полностью доверенной среды российскую криптографию необходимо внедрить как в сим-карты, так и в телеком-оборудование, установленное у сотовых операторов. С декабря 2019 года вступили в силу требования Минцифры аутентифицировать и идентифицировать абонентов с использованием криптографии, одобренной ФСБ. С этой даты поставщики телеком-оборудования для сетей сотовой связи должны были или начать сертифицировать некоторые элементы собственной инфраструктуры как средство криптографической защиты информации, или установить внешний HSM. Еще в 2018 году Минцифры разработало проект приказа с требованием внедрять отечественное шифрование в сим-карты, но он так и не был утвержден. Но внедрение российской криптографии в сим-карты и оборудование операторов мобильной связи названо целесообразным в «Концепции развития в России технологии пятого поколения мобильной связи (5G)», напомнила Белова.
В рамках пилота ни Институт им. Лебедева, ни IDX не зарабатывают на проекте, утверждает Белова. Какой может быть выручка после перехода на коммерческие условия сотрудничества и как она будет делиться между партнерами, компании не раскрывают. Но, как уточняет собеседник РБК, институт рассчитывает получать доход от производства и реализации оборудования, а IDX — зарабатывать на предоставлении сервисов. Платить за эти сервисы, по мнению Беловой, должен будет бизнес, потому что он в первую очередь заинтересован в достоверной информации о пользователе. По словам Александра Князева, ИТМиВТ — это научно-исследовательский институт, поэтому главным коммерческим ожиданием от проекта по внедрению отечественной криптографии в мобильную связь, когда он перейдет из стадии пилота, станет «возможность вернуть государству субсидию, полученную в конце 2019 года».
По прогнозу компании Markets and Markets, объем рынка сервисов управления идентификацией и доступом в мире может вырасти с $12,3 млрд в 2020 году до $24,1 млрд к 2025-му. Объем российского рынка представитель IDX оценил в 20–25 млрд руб. в 2020 году.
IDX ведет переговоры о внедрении сервисов, работающих на доверенной сим-карте, с несколькими банками и компаниями, занимающимися логистикой, платежными системами, рассказала Светлана Белова, отказавшись раскрыть детали. По ее словам, помимо «Воентелекома» интерес к внедрению таких сим-карт проявляли другие участники рынка и госорганы. В частности, администрация Оренбурга рассматривает возможность выпуска на такой сим-карте карточки горожанина вместо пластиковой карты. В пресс-службе Минцифры подтвердил РБК, что они сделали официальный запрос IDX «для технического изучения решений <…> в условиях разработки виртуальной универсальной карты жителя Оренбургской области», но пока ожидают ответ. Сейчас универсальная карта выпускается с использованием физического носителя, старт массовой эмиссии намечен на июнь этого года.
Среди основных минусов такого решения эксперты ранее называли то, что эти сим-карты относятся к средствам криптографической защиты (СКЗИ) и их нельзя свободно продавать в салонах связи, вывозить за рубеж, криптографические ключи необходимо перевыпускать каждые 15 месяцев и др. Еще несколько лет назад ФСБ разработала проект постановления правительства, которое могло бы решить эти проблемы, но документ до сих пор не принят. «Вопросы удобства использования доверенной сим-карты многократно обсуждались разработчиками и регуляторами. Принято решение о легализации механизма вывоза сим-карт за рубеж, а также о том, что срок жизни первичных ключей будет совпадать со сроком жизни доверенных сим-карт. Готовятся соответствующие нормативные документы», — сообщила Светлана Белова. РБК направил запрос в Центр общественных связей ФСБ.
Анна Балашова, Роман Кирьянов