Прогрессивное движение, обозначенное президентом в минувшем году, в сторону облегчения эспортного контроля для СКЗИ безусловно радует, не смотря на искаженную позицию некоторых СМИ, сразу заявивших о допуске зарубежных гигантов информационной безопасности и грядущем обвале российского рынка.
Но хотелось бы обратить внимание, что поручение правительству носит всё-таки более точечный характер. Состоявшееся совещание, посвященное созданию международного финансового центра в России, довольно резко снижает степень распространения данных послаблений для электронного рынка в целом, и нацелено, прежде всего, на интеракции в рамках инвестиционной или биржевой деятельности агентов, что вполне логично, учитывая падение уровня инвестиций на протяжении всего года и ожидаемые финансовые потрясения Европы. Хотя риск явно преувеличивается спекуляцией.
Смотреть на перспективу довольно приятно, но даже в рамках государсттвенных границ действует непонятная система работы в области развития использования электронных ключей, да и всей информационной безопасности в целом. Каждый день появляется огромное множество подзаконодательных актов, определяющих порядок применения ЭЦП.
Более того, разброд рынка отражается не только на возможности определиться пользователю с видом ключа, но и полной фальсификацией услуг отдельными компаниями (Последний пример - закрытие УЦ "Лисси"). Если смотреть финансовый рынок, то происходит объединение систем, которое снимает массу ограничений для инвестора, увеличивает объемы, оставляя сервис на должном уровне. Но сейчас, в результате, мы получаем огромную связку "носителей" для большого "амбарного" информационного пространства, где уйдет достаточно много времени, чтобы подобрать нужный ключ, а все это потому, что за дело взялось государство и влезло в самодостаточную среду рынка со своими правилами. К сожалению, чем выше конкуренция, тем нужнее коррупция :(.
Для снижения ограничений реально можно рассматривать три направления:
1. Реестр ключей (о нем писал ранее). Можно провести аналогию с Root Certification Center, который интегрирован в наиболее распространенные операционные системы. Только неувязка - российский ОСей нет, международным гигантам (а тем более самим ИС) до этого нет ни малейшего дела.
2. Снятие ограничений экспортного контроля для средств электронной подписи. Путь довольно логичный и, если мы ориентируемся на открытый рынок, приемлемый. Тем более, что различие может покрыть необходимость использования ключа в большинстве ИС. Но, мы же боимся открытого рынка, да и контролирующие органы не смогут допустить без контроля зарубежные алгоритмы на рос. рынок. Потребуется приведение российских стандартов информационной безопасности к международным требованиям. Пусть государственная тайна остается под надежным замком российского ГОСТа, но коммерческие системы должны использовать другие алгоритмы без потери степени защиты (к сожалению, я не математик и не берусь говорить об алгоритмах). За основу мировой ИБ можно взять Web of trust, я думаю с этим сложно не согласится, хотя...
3. Использование технологии ДТС (доверенной третьей стороны). Но дорого, долго, сложно... и не гарантируется масштабное покрытие сети, относительно повышает цену, ведь проверка сервисом подписи предполагает некую операцию, которая для пользователя будет стоить денег.
Получается, что оптимального единственного пути не существует. Соответственно, нам следует говорить о планомерном, четко определенном сочетании трех возможных векторов, тем более они не являются взаимоисключающими, даже скорее наоборот. С точки зрения ИС, я бы использовал все 3 под управлением единого "Оператора", в первую очередь, независимого от государства, владельцев технологии, который был бы способен взять основную нагрузку работы с конечными пользователя ИС. Но, подобных "Операторов" не существует, может им станет Ростелеком...
Так или иначе рынок придет к принципу "Единого универсального ключа", по крайней мере, я на это надеюсь.
P.S.: Недавно из Европы (не буду называть конкретно), я получил следующее: "Having spent some time in the industry and
working with e-business, both on the technology and governance side I think
this is incredibly stupid for a number of reasons to use digital signatures, so
without further ado – here are six reasons why you should NOT use digital
signatures in e-business transactions.
"
Может потом напишу и об этих 6 причинах. И знаете, я думаю, здесь есть доля Истины...
ЭЦП - это ЗЛО.
Комментариев нет:
Отправить комментарий