Уже 25 лет РусКрипто играет важную роль в консолидации сообщества экспертов в криптографии и информационной безопасности и вовлечении молодых специалистов. В этом году юбилейная конференция собрала больше 500 участников из бизнеса, госорганов, научного сообщества, ведущих университетов страны, включая студентов НИЯУ МИФИ, которые стали победителями конкурса студенческих докладов РусКрипто и получили грант на участие от оператора конференции Академии Информационных Систем.
«Становление гражданской криптографии в России в существенной степени заслуга конференции РусКрипто, — сказал на открытии конференции заместитель главы Минцифры России Александр Шойтов. — Сейчас криптография везде: идет массовое внедрение технологий защиты информации, кибертехнологий, киберзащиты и криптографической защиты. Она уже пронизывает все информационные технологии. В том числе и все граждане незримо используют средства криптографической защиты. Ни у кого не остается сомнений, что необходимо применять сертифицированные отечественные криптографические средства защиты информации».
Он призвал с помощью внедрения отечественных криптографических решений добиваться роста защищенности информационных систем, связанных с искусственным интеллектом, беспроводной связью, квантовыми и облачными технологиями.
На РусКрипто замминистра услышали ведущие ИБ-специалисты, а соответствующие темы впоследствии обсуждались участниками тематических секций.
«РусКрипто — это квинтэссенция науки и практики, где собираются специалисты всех типов от теоретиков до внедренцев и получают возможность услышать друг друга. Второй такой конференции по криптографии я не знаю», — говорит Алексей Уривский, заместитель гендиректора по науке и инновациям ИнфоТеКС.
Институционализация отрасли
Если РусКрипто собирает сообщество вместе и задает вектор развития отрасли, то все остальное время вопрос коммуникации и взаимодействия рынка по большей части был результатом саморегуляции. Это не идеальный формат, поэтому Правительство РФ в лице Минцифры планирует создать АНО «Национальный технологический центр цифровой криптографии», который на РусКрипто в этом году презентовал Александр Шойтов.
НТЦ ЦК станет новой постоянной площадкой для взаимодействия государственных структур, бизнеса и научного сообщества, в рамках которой планируется совместно разрабатывать и тестировать технологии, а также наладить коммуникацию между разработчиками, потребителями и независимыми экспертами.
«На мой взгляд, ключевая роль государства в развитии криптографии — организационная. Ровно для этого создается «Национальный технологический центр цифровой криптографии». Сейчас мы в него вкладываем большое значение, — пояснил г-н Шойтов. — То, что происходит здесь на конференции РусКрипто каждый год, мы планируем организовать на постоянной основе на площадке этой организации».
Компания «КриптоПро», которая выступает соучредителем НТЦ ЦК, надеется, что за счет массовости внедрения российской криптографии в рамках проекта можно ожидать развития и области применения продуктов и решений по кибербезопасности, говорит заместитель гендиректора компании Станислав Смышляев.
Он также отметил, что санкционное давление не привело к существенным изменениям задач отрасли, а лишь обострило и ускорило уже начатые процессы. Согласен с таким посылом и заместитель гендиректора ИнфоТеКС Дмитрий Гусев:
«Криптография в области защиты информации — это одно из направлений, где наша страна обладала, продолжает обладать и будет обладать технологической независимостью. Здесь у нас существенный задел».
Банковская ИБ
Отдельную секцию на конференции посвятили информационной безопасности (ИБ) в банках. На ней эксперты и представители Центробанка обсудил вопросы, связанные с изменениями Положения Банка России № 683-П и утверждением Положения Банка России № 757-П.
На тематическом круглом столе и в ряде докладов экспертов компании «Системы практической безопасности» также обсуждалась проблема защищенной работы карточных платежных систем, в том числе необходимость разработки и стандартизации ключевого контейнера TR31, который в отличие от ACS X9 TR 31-2018 позволил бы хранить российские криптографические стандарты.
«Фокус Банка России сосредоточен на разработке отечественных криптографических алгоритмов и протоколов, которые позволяют обеспечить весь стек взаимодействия, когда присутствуют и карточка, и терминал, и банк, а также безопасность платежей в рамках электронной коммерции, — пояснил директор Департамента информационной безопасности Банка России Вадим Уваров. — При этом протоколы и средства их реализации должны обеспечивать привычный для российских граждан клиентский путь».
Представитель банковского регулятора также подчеркнул, что в сегменте платежной системы ЦБ уже применяются исключительно отечественные средства криптографической защиты информации.
Многие ИБ-компании в этом году представили средства криптографической защиты информации на стендах РусКрипто. К примеру, SpaceBit продемонстрировала свои флагманские продукты: систему автоматизации деятельности органов криптографической защиты X-CONTROL и решение для управления конфигурациями безопасности X-CONFIG. Свои стенды также представили Газпромбанк (Акционерное общество) и Академия Информационных Систем.
Постквантовая реальность
Необходимость защиты от квантовой угрозы еще пару лет назад многие считали неактуальной: устройства с достаточными для обхода современных алгоритмов шифрования вычислительными мощностями, казалось, появятся не скоро. Однако после дискуссий на полях январского Всероссийского форума КВАНТ стало очевидно, что тема созрела для серьезного обсуждения в криптографическом сообществе.
На РусКрипто в этом году активно обсуждались решения, основанные на различных квантовых технологиях, однако основная дискуссия развернулась на тематической секции «Квантовые коммуникации и квантовая криптография», посвященной вопросам доказательства теоретической и практической криптостойкости, научным и практическим вопросам внедрения и развития продуктов на базе квантовой и постквантовой криптографии.
На РусКрипто в этом году активно обсуждались решения, основанные на различных квантовых технологиях, однако основная дискуссия развернулась на тематической секции «Квантовые коммуникации и квантовая криптография», посвященной вопросам доказательства теоретической и практической криптостойкости, научным и практическим вопросам внедрения и развития продуктов на базе квантовой и постквантовой криптографии.
«Используемая сейчас криптография основана на предположениях о том, что некоторые задачи могут быть менее вычислительно сложными, чем их обращение. Например, перемножение чисел — простая задача, а обратная к ней — разложение больших чисел на простые множители, факторизация — сложная, но не для квантового компьютера, — объясняет Алексей Федоров, руководитель научной группы «Квантовые информационные технологии» РКЦ, директор по стратегии QApp. — А есть ли такая задача или такие задачи, которые сложны как для классического, так и для квантового компьютеров? Оказывается, есть. Например, они связаны со свойствами хэш-функций».
Сейчас, по его словам, наряду с развитием квантовой криптографии в России и в мире идет активная работа над стандартами для постквантовой криптографии. С использованием данной технологии создаются программные продукты информационной безопасности, которые относительно легко внедряются как в мобильные, веб-приложения, так и в серверную инфраструктуру, защищая данные конечных пользователей, бизнеса и государства. «В этом их колоссальное достоинство, — говорит эксперт. — Их просто внедрить, но, конечно, процесс формирования доверия к ним нельзя «перепрыгнуть», их нужно действительно глубоко изучать».
Продемонстрировали выступающие и конкретные достижения в квантовых коммуникациях: Николай Смирнов из ИнфоТеКС рассказал об опыте компании по разработке комплексных решений, основанных на системах квантового распределения ключей (КРК), процессе их сертификации и внедрения, а технический директор QRate Игорь Павлов представил доклад о передатчике для городской сети КРК с пассивным приготовлением состояний и предложил варианты дальнейшего развития, которые позволят увеличить дальность их работы до 25-30 км и удешевить передатчик.
Тем временем на стенде партнера QSpace представили макет создаваемого компанией квантового спутника-передатчика, а компания Integra рассказала о своем видении развития отечественного производства компонентов и оборудования для квантовых коммуникаций.
На секции докладчики рассматривали не только практические, но и «лабораторные» задачи. К примеру, посвященное динамике наблюдаемой в системах КРК с непрерывными переменными в терминах P-функции Глаубера-Сударшана исследование, о котором рассказали специалисты «СМАРТС-Кванттелеком» Антон Козубов и Андрей Гайдаш. Или результаты исследования атаки ослепления однофотонных лавинных фотодиодов (SPAD) на основе структуры InGaAs, которые используются в системах КРК, модулированным лазерным излучением, представленные группой докладчиков компании «СФБ Лаборатория».
Криптография и криптоанализ
РусКрипто для специалистов — это «криптографический Новый год», говорит управляющий партнер компании «Актив» Дмитрий Горелов. Он признается, что в компании ежегодную конференцию воспринимают как условный дедлайн, до которого «надо успеть, надо придумать» новые решения, чтобы продемонстрировать их коллегам по цеху.
Секции «Криптография и криптоанализ» на РусКрипто традиционно отводится больше всего времени, но даже в режиме двухдневного марафона удается ознакомиться лишь с самыми важными докладами и наработками российских специалистов.
Не обошли стороной и классическую криптографию. К примеру, Денис Фомин из ТК 26 в докладе подробно разобрал плюсы и минусы двух самых часто упоминаемых в отечественной литературе подходов к оценке стойкости криптографических механизмов: первый определяется средней трудоемкостью алгоритма нарушения свойств безопасности данных, а второй — доказуемой стойкостью.
Технологии ЭДО
Стремительное развитие электронного документооборота (ЭДО) в России было бы невозможно без надежной опоры в виде отечественный СКЗИ и развития криптографии и информационной безопасности. Поэтому на РусКрипто при поддержке профильной Ассоциации РОСЭУ уделяется большое внимание вопросам, посвященным технологическим аспектам ЭДО.
В этом году отдельная секция была посвящена технологиям цепной записи данных и распределенных реестров, где участники обсудили структурные особенности, которые нужно принимать в расчет при адаптации блокчейн-технологий для конкретных решений. Провел секцию Роман Чубаров, представитель ФНС России, которая в прошлом году успешно запустила обмен машиночитаемыми доверенностями (МЧД) через свой распределенный реестр.
На секции «Практические вопросы применения технологий электронной цифровой подписи (ЭЦП)» эксперты по криптографии и ИБ под председательством Дмитрия Горелова («Актив») обсудили проблемы, связанные с эксплуатацией и применением криптосредств защиты в контексте встраивания электронных подписей (ЭП) в информационные системы, включая применение алгоритмов асимметричного шифрования для идентификации и аутентификации субъектов и объектов информационных систем.
А наиболее прикладные вопросы о состоянии ЭДО и перспективах его развития обсуждались на экспертной панели «Электронный документооборот и электронная подпись». Ее можно назвать «разогревом» перед предстоящим IV Всероссийским форумом по электронному документообороту (Форум ЭДО — Практика), который пройдет 6-9 июня в отеле Солнечный в Подмосковье.
Секция преимущественно состояла из ответов на вопросы участников представителями федеральных ведомств и обсуждения, которое модерировал руководитель Аналитического центра Ассоциации «РОСЭУ» Илья Виноградов.
Он подвел статистику по развитию ЭДО в 2022 году, отдельно отметив появление пилотных проектов по трансграничному ЭДО с Беларусью, Арменией, Казахстаном и Китаем. При этом советник гендиректора Газинформсервис Сергей Кирюшкин добавил, что между резидентами России и Казахстана в рамках трансграничного взаимодействия уже передано 1 300 электронных документов.
Больше всего вопросов адресовали директору Правового департамента Минцифры России Роману Кузнецову, который предупредил, что после снятия моратория на проверки ряд удостоверяющих центров (УЦ) рискуют потерять свой статус в результате проверки ведомства, если их несостоятельность уже подкреплена судебными решениями.
Он также уточнил, что для внутреннего кадрового ЭДО можно использовать универсальный формат МЧД, и рассказал о планах ведомства провести совещание по наполнению классификатора полномочиями для В2В-взаимодействия после утверждения новой структуры классификатора.
Со стороны начальника управления электронного документооборота ФНС России Федора Новикова, в свою очередь, прозвучало мнение о том, что поддержка пользователей распределенного реестра налоговой должна осуществляться владельцами узлов, которые предоставляют услуги по размещению доверенности, а сервисы распределенного реестра планируется доработать в части расшифровки причины отказа в регистрации доверенности.
Он также предупредил, что операторы ЭДО могут потерять статус за несоблюдение положений в рамках их взаимодействия для оптимизации роуминга, когда это станет нормативным требованием.
Федеральная нотариальная палата в лице Михаила Веселова заверила участников РусКрипто, что в рамках работы распределенного реестра решены почти все вопросы, связанные с получением МЧД с нотариальным заверением, а ведомство намерено делать нотариально удостоверенные доверенности по универсальному формату МЧД (версия 003).
Федеральное казначейство на секции представил заместитель начальника Управления режима секретности и безопасности информации Артем Нагдаев, отметивший, что при сопровождении госзакупок формирование МЧД будет происходить исключительно на портале госзакупок.
Он также пояснил, что ведомство видит перспективу полного отказа от бумаги при подтверждении полномочий должностных лиц в своей системе с помощью внедрения МЧД, ускорение бизнес-процессов при распределении полномочий и движение в сторону электронных архивов.
«Как государственный УЦ мы даем пользователю возможность работать в цифровом пространстве, ключ для работы с финансовой системой. С ним мы также будем предоставлять сервисы по МЧД, ее обеспечению, хранению, обработке. Для меня этот пазл сложился: пользователь получил ключ, сформировал доверенность и работает с учетом требований законодательства в информационных системах Федерального казначейства», — пояснил г-н Нагдаев.
Криптографические решения для ГИС и энергетики
Внедрение криптографических решений в государственные информсистемы (ГИС) обсуждалось на отдельном круглом столе, который провели Кирилл Романов, начальник отдела информационной безопасности и технической защиты информации Службы информационной безопасности Главного управления информационных технологий ФТС России и Юрий Маслов, коммерческий директор «КриптоПро». Участие в ней также приняли Артем Нагдаев (Федеральное казначейство) и Сергей Данилов (Росреестр).
Эксперты рассказали о реализованных в ведомствах госинформсистемах, об их создании и жизненном цикле проектных решений, используемых способах обеспечения участников ГИС СКЗИ, как они переживали реформу ЭП, имплементации МЧД и многом другом.
Обсуждалось и резко возросшее число атак на ГИС в прошлом году. Спикеры пришли к консенсусу, что единственным существенным изменением в структуре атак стало вовлечение большого количества хакеров-любителей, эффект от которых сравним с DDoS-атаками и не создает серьезных угроз для ГИС. По словам г-на Данилова, за 2022 год Росреестр отразил больше 150 млн атак при лишь восьми инцидентах: в одном из них специалисты ведомства за пять часов «переписали весь сайт», убрав оттуда возможные уязвимости, которые могли эксплуатировать хакеры.
Криптография в энергетической отрасли
Как отметил Дмитрий Гусев (ИнфоТеКС), организованные на РусКрипто дискуссии по криптографическим ИБ-решениям в энергетике — «очень хороший показатель», так как это демонстрирует реальные шаги в направлении создания практических отраслевых решений:
«Основной принцип [при внедрении СКЗИ] — не навреди. Когда такие системы создаются, инженеры-отраслевики стараются сразу их оптимизировать, чтобы добиться максимально возможных характеристик. И когда мы в эту систему пытаемся нагрузить элементы ИБ, инженеры высказывают серьезные опасения, что характеристики могут быть нарушены, — объясняет эксперт. — И основные проблемы для нас как для разработчиков специализированных СКЗИ — научиться говорить на одном языке с отраслевиками, предложить такое решение и обосновать таким образом отсутствие его влияния на исходные системы, чтобы убедить их».
В рамках секции прошел круглый стол, посвященный адаптация и развитию текущих решений российских разработчиков под нужды энергетической отрасли. Президент компании «С Терра» Сергей Рябко выступил с докладом «Интеллектуальный учет», посвященным проблемам и решениям по криптографической защите приборов учета электрической энергии, устройств сбора и передачи данных (УСПД) и информационно-вычислительного комплекса.
В свою очередь, гендиректор научно-технического центра «Нартис» Дмитрий Зарецкий рассказал о встраивании СКЗИ в УСПД и шлюзы интеллектуальных систем учета электроэнергии (ИСУЭ) и поделился практическим опытом по интеграции оборудования с СКЗИ различных производителей, включая модификацию оборудования, лицензирование, сертификацию и последующие испытания.
Подготовка кадров
За 25 лет проведения РусКрипто многие специалисты по криптографии и ИБ успели войти в профессию и состояться в ней. Дмитрий Горелов («Актив») признается, что «вырос вместе с конференцией и благодарен ей за свой профессиональный рост». Но мы не останавливаемся и рассказываем о нашей области новым, в том числе совсем молодым специалистам.
«На РусКрипто у молодежи появляется возможность пообщаться с уже известными специалистами по криптографии, послушать их выступления и сформулировать новые вопросы, которые часто оказываются для нас неожиданными и очень интересными», — говорит Дмитрий Гусев (ИнфоТеКС).
Конференция также помогает отрасли выработать решения по подготовке квалифицированных кадров для ИБ и криптографии. В этом году мы организовали для этого профильные секции: экспертную панель «Кадры завтрашнего дня. Популяризация криптографии и вовлечение в профессию» (провела руководитель Криптографического центра, заведующая лабораторией криптографии Международного математического центра НГУ Наталья Токарева), и круглый стол «Подготовка и трудоустройство специалистов в области ИБ» (провел Евгений Белов, зампред ФУМО ВО ИБ, председатель ФУМО СПО ИБ).
Эксперты обменялись опытом вовлечения молодежи в профессию, обсудили возможные пути популяризации криптографии и кибербезопасности, а также программы повышения квалификации и роль работодателей в составлении учебных программ. Впрочем, самым действенным способом привлечь начинающих специалистов, как согласились участники РусКрипто, остается наиболее очевидный — интересные задачи:
«Как только появляются интересные задачи, молодые люди «слетаются», как пчелы на мед. Даже когда организационно еще ничего не понятно, драйвером является задача», — уверен Алексей Уривский (ИнфоТеКС).
Неформальная программа
РусКрипто славится не только деловой программой, но и развлекательной частью. Гала-ужин, вручение благодарственных наград почетным гостям, партнерам и спикерам, розыгрыш призов, 3D торт, иммерсивный театр, дискотека и даже боксерские турниры – гармонично вписались в программу юбилейной конференции и стали ее ярким дополнением.
Директор Академии Информационных Систем Юрий Малинин во время финального вечера конференции отметил ее вклад в развитие криптографии и консолидацию профессионального сообщества:
«Криптографии уже больше трех тысяч лет и в этом промежутке времени 25 лет — очень мало, но в масштабах человеческой жизни 25 лет — большой период, за который конференция РусКрипто сделала очень многое для отрасли информационной безопасности в России: как для науки, так и для практики. Участники РусКрипто — это ценнейшие кадры».