Добрый день, друзья.
Новое постановление правительства произвело шок в кругу специалистов-айтишников. Если бы оно касалось только их, то я бы промолчал, но оно будет касаться каждого жителя нашей страны. Жителю-то абсолютно пофиг, ну, будет у государства прямой доступ в его телефон ко всем фотографиям, переписке и что? Что с него брать? Кому он нужен, по большому счету. Лишь бы не бунтовал и сидел смирно. А вот если к бизнесмену залезут в телефон, будет все немного иначе... Поэтому берем и изучаем это постановление.
Недавно я проводил вебинар по цифровым технологиям. И одна моя приятельница мне написала, что у нее возникает животный страх. Я рассказывал про закон об искусственном интеллекте, который вступил в силу с 1 июля — закон № 168-ФЗ. Хоть я старался быть очень аккуратным, но все равно это людей почему-то пугает. Но вернемся к нашей теме.
Постановление Правительства РФ от 30.06.2020 № 963 «О реализации пилотного проекта по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах».
Целью пилотного проекта является организация электронного взаимодействия федеральных органов исполнительной власти с гражданами. Если у власти будет своя криптография, то и у нас должна быть своя. Потому что вышел, например, закон о проведении эксперимента, когда у нас паспорта потихонечку будут заменяться телефоном. В телефоне будет QR-код, с помощью которого вы сможете осуществлять сделки, продавать-покупать недвижку, автомобили, получать выписки из ЕГРЮЛ, ЕГРН. Здесь же у вас будет встроенная усиленная квалифицированная электронно-цифровая подпись и вся биометрия. Но никто не сказал, что делать, если телефон украли.
Давайте я процитирую мнение одного моего друга-программиста. Он пишет, что после внедрения будет так: «вплоть до того, что могут сайт твой подменить, блог подменить, что-нибудь нехорошее там написать». А тебе потом доказывать, что это не ты написал.
Цитирую дальше: «К сожалению, переход государственных органов, организаций и граждан на электронное взаимодействие с использованием сертифицированных, по требованию ФСБ, шифровальных криптографических средств, в рамках работы информационных систем — это как раз и является целями проекта». Чтобы мы были под контролем ФСБ.
Цитирую Постановление:
«...переход государственных органов, организаций и граждан на электронное взаимодействие с использованием сертифицированных по требованиям Федеральной службы безопасности Российской Федерации шифровальных (криптографических) средств в рамках работы информационных систем».
На этот счет есть много постановлений правительства. И дальше расписаны сроки:
- «до 10 июля 2020 г. представляют в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации предложения по плану реализации пилотного проекта в части выполняемых ими работ и сроков их выполнения»;
- «до 1 августа 2020 г. актуализируют модели угроз безопасности информации в информационных системах и согласовывают их с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю»;
- «до 1 декабря утвердить временные рекомендации федеральным органам исполнительной власти»;
- «до 1 марта внести в правительство соответствующие законодательные акты».
Вплоть до того, что, как говорят компьютерщики, может случиться такое, что мы будем с вами пользоваться российскими разработками. Сейчас, чтобы выйти в интернет, мы используем (я в этом плохо разбираюсь) иностранные TSL-сертификаты, а дальше будут использоваться российские. Давайте я лучше прочитаю вам, что думают на этот счет программисты.
«15 июля начинается эксперимент по использованию российской криптографии в государственных информационных системах. При этом будут использоваться только российские криптографические алгоритмы и средства шифрования (алгоритм шифрования «Кузнечик» и другие) и только российские TLS-сертификаты.
Согласно Постановлению Правительства Российской Федерации от 30.06.2020 № 963, в пилотном проекте участвуют Государственная информационная система ЖКХ (ГИС ЖКХ), федеральные государственные информационные системы «Реестры программ для электронных вычислительных машин и баз данных», Единый портал государственных и муниципальных услуг (ЕПГУ) и Единая государственная информационная система социального обеспечения (ЕГИССО).
<...>
Пилотный проект продлится до 1 марта 2021 года. К этому сроку министерство цифрового развития, связи и массовых коммуникаций РФ должно внести в правительство проекты соответствующих актов.
<...>
Источник, близкий к НИИ «Восход», подтверждает, что предустановка софта, который поддерживает TLS с отечественной криптографией, возможна. «Но тут надо действовать очень осторожно — у нас граждане мнительные, везде видят „большого брата“, слежку. В принципе, это сделать можно, и такая возможность обсуждается, но стоит иметь в виду общественную реакцию», — сказал собеседник «Медузы» (является иностранным агентом).
И вот я хочу от вас услышать, какая общественная реакция будет, особенно если вы в этом разбираетесь. Я в этом не разбираюсь. Мне только программисты сказали, что это плохо.
«Вся эта история с отечественными TLS-сертификатами — лишь часть государственных амбиций по переводу всего российского сегмента сети на отечественную криптографию, — сказал руководитель крупной IT-компании в интервью «Медузе». — Есть еще масштабные истории по переводу всех платежных систем к 2024 году на российскую криптографию, продаже «доверенных» сим-карт с отечественным шифрованием. В общем, размах довольно впечатляющий — это такое «импортозамещение 2.0».
Я специально зачитал вам очень аккуратные, консервативные отзывы. Потому что мне вообще компьютерщики говорили вещи намного более жесткие. Но так как я в этом не являюсь специалистом, то не знаю, что значит замена иностранных TSL-сертификатов на российские. Я не знаю, что значит замена иностранной криптографии на российскую, под контролем ФСБ. Но чувствую, что для бизнесменов это не очень хорошо.
Бизнес и так под колпаком, а теперь у них будет в каждой организации, в каждом доме филиал ФСБ. Прав я или нет? Верны ли мои опасения? Не надо меня закидывать яйцами и помидорами, я честно признался, что не специалист. Выскажитесь, если вы специалисты. Разжуйте мне, бестолковому, может, я зря волнуюсь? Может, мои знакомые айтишники излишних страхов нагоняют?
Спасибо и удачи в делах.
Комментарии
3Я тоже не специалист, может быть бизнес и пострадает каким-то образом, но вам не кажется нелепым, что гос.службы используют иностранные сертификаты? О какой тайне и государственной безопасности, в таком случае, может идти речь в том же самом ФСБ, а также на стратегических объектах нашей страны.
Статью надо было озаглавить "одна бабка сказала". Вот какая нам разница как там они будут работать. Если ты органам инетересен - они и так уже всё про тебя знают
Ахахахаха. Сертификаты ФСБ имеет куча отечественного софта СКЗИ. Чтобы получить такой сертификат, ФСБ полностью изучаются исходники софта (если я не ошибаюсь) - дабы исключить наличие так называемых "закладок" (недокументированных возможностей софта, например, чтобы при нажатии определенной комбинации клавиш (условно) прога не слила все ваши секреты кому надо). Здесь же идет речь скорее всего о повышении требований к софту гос. органов и т.п.
infotecs