Принято считать, что для развития средств поддержки ЭП достаточно идти по пути соответствия организационным и технологическим требованиям заказчиков. Однако в «Компании “Актив”» говорят еще о необходимости развития «технологий доверия». Обладает ли ими существующий с 2021 года «Госключ»? Какой сервис ЭП нужен бизнесу?
- Введение
- Ключевые тренды в аутентификации: ИИ, биометрия, постквантовая криптография
- Что выбрать для ЭП: браузерный плагин или нативное приложение?
- Баланс между безопасностью и удобством ЭП: взгляд вендоров
- Нужен ли супер-API для электронной подписи? Аргументы экспертов
- «Госключ» и развитие государственных сервисов электронной подписи
- Будущее ЭП в России: кросс-платформенность, стандартизация и доверие
- Выводы
Введение
«Компания “Актив”» провела в Москве вторую технологическую партнерскую конференцию «Рутокен Day 2025». Компания давно и хорошо известна на рынке своими средствами поддержки аутентификации и электронной подписи «Рутокен», технологиями защиты ПО от копирования и пиратства Guardant, активной деятельностью в направлении ИБ-консалтинга и аудита. Что нового появилось на этом рынке, о чем в «Активе» хотели бы рассказать и обсудить вместе с коллегами на своем ежегодном мероприятии?
Отличительной особенностью пленарной части конференции стала серия диалогов, проведенных в формате круглого стола с представителями ключевых компаний по соответствующей теме. На этот раз были выбраны три темы, касающиеся развития ИБ: развитие технологий электронной подписи (ЭП), управление доступом, безопасность киберфизических систем.
Рисунок 1. Вторая технологическая партнерская конференция «Рутокен Day 2025»
Во второй части конференции акцент был сделан на более детальном рассмотрении деятельности компании по ряду направлений: управление маркетингом продуктов в ИБ, технологии в составе продуктов «Актива», развитие технологий FIDO2 и Passkey.
Расскажем о ключевых трендах, связанных с развитием ЭП в России. Как оказалось, эта тема таит в себе много подводных камней, от которых хотят отмахнуться многие пользователи. Они хотят иметь простой инструмент ЭП, освобождающий их от необходимости учета рисков. Но насколько это просто для реализации? Что делается, чтобы прийти к намеченной цели? Почему рынку нужны «технологии доверия», чтобы реализовать эту востребованную задачу? Об этом пойдет речь в данной статье.
Другие важные темы, которые обсуждались на «Рутокен Day 2025» мы рассмотрим следом уже в другом материале.
Ключевые тренды в аутентификации: ИИ, биометрия, постквантовая криптография
Конференцию «Рутокен Day 2025» открыл Андрей Стёпин, замгендиректора по управлению «Компании “Актив”». Он сразу выделил три новых ключевых технологических тренда в нише аутентификации: использование искусственного интеллекта (ИИ), применение биометрии, развитие средств безопасности на базе постквантовой криптографии.
Видно, что среди них нет упоминания темы доверия. Но эта тема присутствует неявно во всем, что сейчас происходит на рынке. На это обратил внимание в своей визионерской оценке рынка Андрей Стёпин: данные и информация, используемые в различных программных системах, требует сегодня не только повышенного внимания с точки зрения их безопасности, но и развития отношений доверия среди всех субъектов, взаимодействующих с данными.
Рисунок 2. Заместитель генерального директора по управлению «Компании “Актив”» Андрей Стёпин
Реалии рынка демонстрируют иную картину:
- 90% данных, производимых в мире, никак не защищены.
- Применяемые технологии выращены «без корней», то есть без усиленного внимания к реализации доверия при работе с данными.
- Единственный на сегодняшний день надежный щит — это шифрование данных.
Поэтому Андрей Стёпин предложил рассматривать требования к аутентификации шире. Несмотря на простоту процесса с точки зрения пользователя, под капотом используются технологии, требующие особого отношения к формам доверия. Парольная защита фактически утратила эффективность в силу разных причин. Незашифрованные данные легко приобретают форму «программного мусора», который подбирают все заинтересованные стороны: «спецслужбы, корпорации, взломщики и т. д.». Как указывает статистика опросов, 70% пользователей уверены, что «их данные уже украдены».
На всех уровнях, в том числе на глобальном, наблюдается мнение: пароли как таковые создают только иллюзию безопасности. Из-за существования различных технологических и социальных форм компрометации, защита на базе паролей получается очень слабой. Широкое внедрение на мировом рынке принципов Zero Trust отражает по сути кризис классической системы доверия, выстроенное на базе парольных технологий.
«Сейчас нужно менять не пароли, а подходы. Доверие к паролям было утрачено 10 лет назад. Пять лет назад было утрачено доверие к подтверждению личности через СМС. Сейчас многие уже утратили доверие к собственному голосу и лицу, — отметил Андрей Стёпин. — Надежная аутентификация сегодня подразумевает не просто получение разрешения на вход, ещё необходимо доказать, что запрос исходит именно от того лица, за кого он выдает себя».
Что выбрать для ЭП: браузерный плагин или нативное приложение?
Круглый стол «Рутокен Day 2025» на тему трендов в аутентификации был посвящен тому, что же реально происходит сейчас в сфере применения электронной подписи. Как изменяется клиентский путь, по которому должны идти пользователи при подписании документов?
Все участники круглого стола были согласны со мнением, что главным в области применения ЭП было и остается простота клиентского пути. Все необходимые для надежности технологии, лежащие в основе данного процесса, мало интересуют пользователей. Вендорам и интеграторам ИБ-решений приходится считаться с таким мнением.
Рисунок 3. Владимир Иванов, директор по развитию «Компании “Актив”»
Какие технологические формы поддержки ЭП могут использоваться на стороне вендора? Требование простоты клиентского пути подразумевает, что сервис должен работать в любых условиях применения: различные ОС; настольные и мобильные платформы; доступность удостоверяющих центров; многообразие применяемых приложений и так далее.
Владимир Иванов, директор по развитию «Актива», также отметил, что основой для доверия к технологиям ЭП может быть только применения «железа», то есть физических токенов, которые «не отдают свои секреты даже при жестких попытках их компрометации».
В такой постановке очень остро стоит вопрос относительно выбора способа реализации поддержки ЭП — браузерный плагин или нативное приложение. Как отметил Сергей Лапшин, менеджер по развитию и работе с технологическими партнерами УЦ «СКБ Контур», многие российские пользователи сейчас живут в ожидании, что их могут заставить работать через нативные приложения для удостоверения ЭП.
По их мнению, этот выбор оказывается более сложным в применении и менее удобный, чем использование веб-плагинов в браузерах. Те позволяют проводить подтверждение аутентификации «бесшовно» и удобно. Поэтому пользователи считают их правильным выбором, потому что он максимально избавляет их от необходимости постоянно думать о безопасности при работе с ЭП. Подобное происходит «везде и всегда, на любом устройстве, даже в условиях недоступности сети».
Рисунок 4. Сергей Лапшин, менеджер по развитию и работе с технологическими партнерами УЦ «СКБ Контур»
Баланс между безопасностью и удобством ЭП: взгляд вендоров
Павел Анфимов, руководитель отдела продуктов и интеграции «Компании “Актив”», обратил внимание, что безопасность — это всегда «весы».
«С одной стороны, есть удобство пользователя, с другой стороны — ФСТЭК. Приходится всегда соблюдать баланс. Поэтому если требования к безопасности очень высокие, то лучше подходит нативное приложение. Оно позволяет лучше контролировать использование данных, учитывать реальный периметр их доступности».
Рисунок 5. Павел Анфимов, руководитель отдела продуктов и интеграции, «Компания “Актив”»
«Песочница в браузерах сделана неслучайно, — добавил Павел Мельниченко, технический директор SafeTech. — Она позволяет оградить доступ приложений к данным, находящимся за пределами работы браузера. Однако плагины пробивают эту форму защиты. Они допускают сценарии, которые делают всю программную и аппаратную часть компьютера доступными».
Если оценивать общую картину мнений участников круглого стола, то они не видят серьезных возражений против использования плагинов для ЭП в корпоративном секторе. Но это должно происходить при условии квалифицированной ИБ-настройки и ограничении доступа к тем сетевым адресам, «которые нежелательны для конкретного пользователя».
В то же время установка нативных приложений более безопасно и лучше с точки зрения производительности, отметил Павел Мельниченко. Она также снимает ограничения, связанные с риском попадания защищаемых данных в песочницу браузера.
Рисунок 6. Павел Мельниченко, технический директор компании SafeTech
Но и у нативных приложений для ЭП также есть свои трудности, отметил Сергей Аносов, руководитель отдела продуктовой экспертизы ОС «Аврора». Даже в случае гипотетического перехода российских бизнес-пользователей к нативным приложениям для работы с ЭП, у них останется предостаточно проблем. Например, обеспечение кросс-платформенности, которая должна распространяться не только на поддержку сертифицированных ОС (их насчитывается около 40 шт.), но и на интеграцию с многочисленными удостоверяющими центрами и CSP (набор средств для криптографической защиты информации).
Нужен ли супер-API для электронной подписи? Аргументы экспертов
Выбор поддержки ЭП не ограничивается только вариантом «плагин или нативное приложение». Как отметил Николай Смирнов, директор по продуктам в компании «ИнфоТеКС», подпись в вебе не обязательно должна работать через плагин. Она также может работать через нативное приложение, если используется соответствующий API. Во-вторых, в мобильных браузерах тоже можно сделать подпись не через плагин. В результате, сложности с размещением плагинов в магазинах приложений (одна из проблем российских вендоров) можно избежать.
Рисунок 7. Николай Смирнов, директор по продуктам компании «ИнфоТеКС»
Существует другой возможный вариант — создание единого нативного приложения с полным набором вариантов поддержки, которые востребованы в России. «Но кто возьмет на себя реализацию такого приложения на уровне страны?», — спрашивает Николай Смирнов. Вопрос доверия и взаимодействия стоит поэтому не только на уровне пользователей. Развитие доверия необходимо и среди вендоров ИБ-решений.
«Возможное решение — это создание универсального SDK, который будет доступен всем разработчикам и позволит им объединить подходы к ЭП. В этом случае установка локального сервера поддержки ЭДО позволит компании осуществлять электронную подпись в любых ее приложениях», — считает Николай Смирнов.
Если такой супер-API появится, то он сможет привести к «взрывному росту популярности» для применения ЭП в мобильных браузерах, где сейчас наблюдаются наиболее серьезные трудности с точки зрения предоставления гарантий для безопасности.
В перспективе в таком приложение можно реализовать даже такие функции, которые сейчас могут показаться фантастическими:
- Автоматическое заполнение запросов. Система может обучаться на предыдущих примерах и заполнять новые, в том числе с «защищенной» подстановкой контрольных данных. Подделать запросы в этом случае станет практически невозможно.
- Голосовые пояснения. Они помогут пользователю правильно выполнить операции взамен нынешнего способа с применением кнопки «Далее», когда пользователь автоматически принимает предлагаемый ему вариант, не вдумываясь в смысл. Если же он начинает вдумываться, то процесс становится слишком сложным для него и он отвергает его.
- Стандартизация при интеграции ЭП с приложениями.
Эти технологии только ожидают своего внедрения. Но благодаря им, уровень безопасности процесса аутентификации можно будет сделать еще выше.
«Госключ» и развитие государственных сервисов электронной подписи
Не обошли участники круглого стола и такую важную тему, как появление мобильного нативного приложения «Госключ». Оно было разработано по заказу Минцифры, его запуск состоялся в 2021 году, соответствующий сервис появился в экосистеме «Госуслуг».
Технологическим партнёром при разработке «Госключа» выступила компания «Инфотекс Интернет Траст». На нее была возложена задача поддержки работоспособности сервиса. Сертификаты усиленной квалифицированной электронной подписи для физических лиц создает аккредитованный удостоверяющий центр этой компании. Они применяются при регистрации или аутентификации пользователя, при передаче им данных и для интеграции сторонних систем ради обмена информацией и документами.
Рисунок 8. Как получить электронную подпись через «Госключ»
По оценкам Минцифры, на конец 2024 года сервисом «Госключ» уже пользуются более 2 млн российских граждан. Мобильное приложение работает на Android и iOS, доступно для скачивания через App Store, Google Play, RuStore. Все средства создания ЭП хранятся на устройстве и в приложении, для его работы не нужны ни USB-токен, ни установка других приложений, ни специальная настройка.
В то же время, по мнению участников круглого стола на «Рутокен Day 2025», опция «Госключа» подходит сейчас только для физических лиц в рамках предоставления им госуслуг. Хотя создатели сервиса вместе с Минцифры продвигают создание нативного приложения, в составе которого будут объединены все возможные функции подписания через ЭП, его применение для бизнеса вызывает сейчас множество вопросов.
Задача создания единого государственного сервиса поддержки ЭП для бизнеса потребует согласования среди участников рынка. До сих пор остаются вопросы, по которым еще не достигнут консенсус: в каком виде должна существовать точка входа? как будут интегрированы разные прикладные системы? Таких вопросов немало, на них обращают внимание. Поэтому не могли обойти эту тему стороной и на круглом столе «Рутокен Day 2025».
Будущее ЭП в России: кросс-платформенность, стандартизация и доверие
Разработка универсального мобильного плагина, который обеспечит удобную поддержку ЭП, сопряжена с рядом сложностей, отметил Сергей Аносов («Актив»). Как пример, это — отсутствие управления жизненным циклом для движка, отсутствие поддержки встроенных функций браузера. Даже в случае появления рабочего приложения под уже существующую версию браузера нет гарантий в сохранении его работоспособности для будущих версий.
Созданное российское решение может легко перестать быть работоспособным в случае внесения любых изменений, причем даже непреднамеренно. Потребуется обеспечить присутствие корневых сертификатов для российских удостоверяющих центров, что до сих пор является недостижимой целью в браузерах иностранной разработки.
Рисунок 9. Сергей Аносов, руководитель отдела продуктовой экспертизы ОС «Аврора»
Продолжающая практика использования подтверждений ЭП через телефонный звонок или одноразовые коды в СМС и пуш-сообщениях — «это чудовищно с точки зрения безопасности», отметил Сергей Лапшин («СКБ Контур»), но пользователи продолжают применять этот способ, потому что он прост и понятен.
Павел Мельниченко (SafeTech) отметил, что важная задача сейчас — объединить всех участников рынка, чтобы создать общий инструмент для поддержки ЭП, который хранил бы в себе все необходимые данные и позволял бы единообразное применение».
Владимир Иванов («Актив») подчеркнул, что сейчас важно выстроить простой и удобный клиентский путь для пользователей в применении ЭП.
«Наша общая задача — сделать так, чтобы пользователи не задумывались о вопросах безопасности, место хранения ключа и пр. Они должны просто брать документ, нажимать на кнопку «Подписать» и не беспокоиться ни о чем, быть уверенными в безопасности и надежности операции».
Николай Смирнов («ИнфоТеКС») отметил, что с позиций вендора сейчас важно правильно выстроить пространство доверия, с которым будут согласны все участники рынка.
Выводы
Круглый стол на тему аутентификации и технологий реализации ЭП, состоявшийся на второй технологической партнерской конференции «Рутокен Day 2025», показал, насколько важно сейчас для всех участников рынка найти общую точку зрения на выбор технологий и способ их реализации. Существует немало возможностей, но необходимо доверие между участниками рынка, чтобы итоговое решение стало удобным, простым и надежным для всех.
