Европейские стандарты против национальных интересов в MobileID
Совсем скоро украинцы смогут абсолютно безопасно использовать свои смартфоны и как ручку для подписи документов, и как кошелек при покупке в магазине и интернете. На первый взгляд все хорошо и налицо прогресс в электронных сервисах для обычных граждан. Но если изучить вопрос, оказывается, что огромный рынок MobileID может достаться не украинцам, а крупным компаниям из стран, которые у себя развили эти технологии. И это в то время, когда украинский IT-бизнес имеет свои решения, а сам рынок услуг с использованием технологии идентификации посредством мобильного телефона становится объектом критической инфраструктуры.
Читайте также - Одно MNP хорошо, а два - лучше: что тормозит старт новой услуги
В конце марта этого года Министерство юстиции Украины по согласованию с Администрацией Государственной службы специальной связи и защиты информации Украины разрешило использовать европейский алгоритм ECDSA (Elliptic Curve Digital Signature Algorithm) для обеспечения электронной аутентификации персон. Данный алгоритм действует во многих европейских странах, и на его основе работает множество крупных иностранных компаний. Следующим шагом может стать и разрешение использования этого алгоритма в электронной цифровой подписи (ЭЦП). И если это произойдет в ближайшее время, возможность внедрить в Украине технологию MobileID получат уже не украинские компании, а зарубежные.
Становление украинской инфраструктуры PKI (Public Key Infrastructure - Инфраструктура Открытых Ключей) происходило на протяжении более десяти лет, и только сейчас форматы начали приобретать форму интероперабельности, когда ключи одних АЦСК (Аккредитованный Центр Сертификации Ключей) в полном объеме поддерживаются другими, и наоборот. Чтобы достичь этого, и государство и разработчики вкладывали немалые усилия и инвестиции.
Читайте также - Защитить прогресс: Как кражи кабеля могут оставить нас без 5G
На текущую инфраструктуру PKI настроено и в ней же эксплуатируется уже большое количество электронных сервисов. Сегодня в Украине фактически весь рынок традиционных электронных услуг (подача деклараций, аутентификация граждан по ЭЦП, получение данных из государственных реестров, электронный документооборот и т.п.) занят местными разработчиками. А вот новый рынок MobileID пока еще свободен, и ряд украинских разработчиков уже подготовили свои решения, которые на 100% поддерживаются текущей инфраструктурой PKI. Они готовы их внедрять, если, конечно, им в этом не помешают. Такой угрозой может стать выход на рынок иностранного игрока с собственным решением, которое основывается на новых алгоритмах (например, ECDSA), и с собственными решениями для инфраструктуры PKI.
Существующая в Украине инфраструктура открытых ключей, обеспечивающая эксплуатацию электронных сертификатов и ключей, не поддерживает упомянутый алгоритм ECDSA. В случае внедрения этой технологии на основании новых алгоритмов мы получим подобие монополии одной или нескольких международных компаний. Для обеспечения интероперабельности всем отечественным компаниям необходимо будет дорабатывать свои решения, следовательно, инвестировать новые средства. То есть тратить деньги и усилия будет украинский бизнес, а не иностранный.
Не проще ли внедрять отечественные решения, уже разработанные нашими предприятиями и лицензиатами по криптографии? Эти решения имеют поддержку как отечественных стандартов, так и зарубежных, и полностью совместимы с национальной инфраструктурой PKI. Они также поддерживаются инфраструктурой PKI Европейского Союза, которая, к сведению, сама еще не располагает полной внутренней совместимостью. В противном случае мы получим систему, не совместимую с существующей в Украине. И что еще хуже, украинское государство таким образом позволит иностранным компаниям экономить, не инвестируя в адаптацию своих решений под существующую национальную инфраструктуру PKI, а отечественных разработчиков заставит снова тратить деньги.
Читайте также - Под колпаком. Чиновники и спецслужбы хотят мониторить весь УАнет
Государство сегодня должно прежде всего позаботиться о том, чтобы в этом стратегически важном для национальной безопасности секторе защитить украинские интересы. Государственные решения должны обеспечить запуск рынка MobileID в первую очередь с использованием тех алгоритмов, с которыми уже работают отечественные разработчики. В противном случае мы бездумно даем возможность заработать кому-то, а не нашей отрасли, о которой так любят говорить политики, когда речь идет о достижениях.
Международный опыт показывает, что практика адаптации своих решений под стандарты страны, на чей рынок выходит компания, абсолютно приемлемая и распространенная. Для опытных иностранных компаний сделать это не составит большого труда и не потребует много времени и инвестиций. Так было сделано в Беларуси, России и ряде других стран постсоветского пространства.
Один из самых важных аспектов такой угрозы - национальная безопасность. Если мы не защитим наши национальные интересы, то получим новый сегмент PKI инфраструктуры, который будет принадлежать иностранным компаниям, а ведь это объект критической инфраструктуры. Можно ли представить обратную ситуацию, когда, к примеру, украинский производитель выйдет на рынок европейской страны и ему позволят внедрить свое решение, базирующееся на стандартах, не поддерживаемых инфраструктурой той страны?
Читайте также - Укртелеком на связи. Звонки с домашних телефонов могут подорожать
Принимать европейские стандарты нужно и правильно, но только с учетом интересов Украины и отечественного бизнеса. Соответственно, необходимо дать время и преференции для украинских разработчиков либо отсрочить принятие решения относительно использования стандарта ECDSA в MobileID. Иначе мы в результате получим два стандарта, две сети с собственными инфраструктурами, которые будут практически несовместимы, а значит, будем снова тратить время и деньги, чтобы изобретать механизмы взаимодействия этих сетей.