Россиян могут перевести на новые сим-карты, оснащенные сертифицированной ФСБ системой шифрования. Для этого сотовым операторам придется закупить дополнительное оборудование и заменить около 260 миллионов сим-карт. Авторы идеи мотивируют нововведение заботой о безопасности российских абонентов: новая система шифрования якобы сделает невозможными некоторые виды атак с целью получить доступ к данным абонентов. Эксперты сомневаются, что мера окажется эффективной, зато говорят, что она может серьезно отразиться на стоимости услуг связи и затормозит развитие телекоммуникационных технологий в России.
Предложение перейти на новую систему шифрования внесло Минкомсвязи, соответствующий проект опубликован на официальном портале проектов нормативных правовых актов. Проект приказа министерство направило в Минюст еще 3 августа, но 15 августа по просьбе Минэкономики документ вернули на доработку с большим количеством замечаний о возможных негативных последствиях закона.
В чем же заключается идея Минкомсвязи? Сим-карта – своего рода уникальный электронный ключ, с помощью которого абонент получает доступ к телекоммуникационной сети. Прежде чем устройство входит в сеть, происходит процесс авторизации. Для этого сеть отправляет на аппарат абонента случайно сгенерированное число, процессор сим-карты с помощью особого алгоритма вычисляет по этому числу и по зашитому в память карты ключу новое число, которое возвращается в сеть. Если результаты вычислений со стороны абонента и со стороны сети совпали, то абонент регистрируется в сети. Еще одно действие, которое осуществляет сим-карта, – генерация криптографического ключа, с помощью которого ведется шифрование данных. Получается этот ключ опять же на основе встроенного в симку исходного ключа и случайного числа, полученного от сети.
Оба алгоритма – и авторизации, и шифрования – универсальны и используются во всех GSM-сетях в мире. С одной стороны, это удобно: универсальность протокола обеспечивает работу сим-карт в любых сетях – благодаря этому, например, мы пользуемся роумингом. С другой стороны, из-за единой архитектуры сети на абонентов из любой точки мира можно осуществлять атаки, вплоть до получения полного доступа к разговорам, СМС-сообщениям, интернет-трафику и информации о местоположении человека.
Исполнительный директор Общества защиты интернета Михаил Климарев полагает, что возможность таких дистанционных взломов и стала мотивацией Минкомсвязи: особый национальный алгоритм шифрования (тот, который отвечает за авторизацию сим-карты, а не за шифрование данных) исключит некоторые из типов атак на российских абонентов из-за рубежа. "Возня с ГОСТовским шифрованием связана с паранойей отдельных личностей в Минкомсвязи, которые считают, что возможна утечка по регистрации сим-карт на базовых станциях", – предполагает Климарев.
В то же время эксперт сомневается, что переход на российское шифрование инспирирован желанием российских спецслужб облегчить себе доступ к переписке и разговорам пользователей. Нововведение не коснется алгоритма шифрования данных, кроме того, "у ФСБ уже есть все инструменты, чтобы следить за россиянами, и ничего больше не нужно, – считает Климарев. – Параноики те, кто занимается утечкой, это контрразведка. В профессиональном сообществе все считают, что это большая глупость. Это не потому, что хотят кому-то плохо сделать, а просто такая глупая, никому не нужная инициатива".
Так как алгоритм аутентификации жестко зашит в сим-карту, для перехода на новый способ аутентификации придется перейти на новые сим-карты, кроме того, потребуется новое сетевое оборудование и программное обеспечение. Сейчас российские операторы закупают сим-карты и в России, и за рубежом (крупнейший иностранный поставщик – нидерландская компания Gemalto). Опрошенные Радио Свобода эксперты отметили, что новая система сыграет на руку российским производителям, например, зеленоградскому ПАО "Микрон". Всего, по оценкам Минэкономразвития, заменить придется порядка 260 миллионов сим-карт: именно столько сегодня в России зарегистрировано абонентов мобильной связи. Более того, по сведениям газеты "Коммерсант", предполагается обязать абонентов менять сим-карту каждые 15 месяцев.
"Не очень своевременные цели"
В ближайшие годы на операторов связи уже и так ляжет большая финансовая нагрузка. Основные требования "пакета Яровой" обойдутся им, по разным оценкам, в сумму от 30 до 45 миллиардов рублей, которые в течение пяти лет придется потратить на хранение текстовых сообщений, голосового и интернет-трафика пользователей. Теперь к этому могут добавиться еще и расходы на обеспечение российского шифрования: здесь оценки отличаются еще сильнее, от 5 до 83,2 миллиардов рублей. В Минкомсвязи считают, что одна единица оборудования обеспечит работу 3,25 миллиона сим-карт, а ее стоимость составит 3,2 миллиона рублей. В "Мегафоне" уверены, что одна единица оборудования сможет обслужить только 10 тысяч абонентов.
Аналитик агентства MForum Analytics Алексей Бойко видит только два источника средств для выполнения закона, и оба они приведут к неприятным последствиям. Первый источник – это средства операторов, которые они могли бы использовать на содержание существующих сетей и развитие сети 5G. Второй – кошельки абонентов.
"На сегодняшний день обычные инвестиции оператора в течение квартала – это где-то десяток миллиардов рублей, – говорит Бойко. – Если оператор начнет тратить такие же средства на безопасность по данному направлению, то у него просто не останется возможности для инвестиций непосредственно в то, чем он должен, по идее, заниматься. Некоторым кажется, что в существующие сети уже вложены инвестиции, в них можно больше ничего не вкладывать, и они будут дальше работать. Идея совершенно неверная, потому что с каждым годом нам требуется все больше трафика из-за появления более новых абонентских устройств".
По словам Бойко, трафик растет ежегодно на десятки процентов. Чтобы защитить старые сети от перегрузок, придется вводить сеть нового поколения, что и хотят сделать сотовые операторы:
"Сейчас у них планы, как и у всего мира – переход на технологию 5G. Это совсем не прихоть. Это требуется для дальнейшего развития экономики, в том числе чтобы защитить сети предыдущих поколений от перегрузки, потому что трафик растет. Если не вложить в 5G те необходимые десятки миллиардов рублей, существующая связь станет хуже, плюс Россия будет все больше отставать от стран, которые активно внедряют 5G. Как мы знаем, Америка собирается в этом году запускать, от нее не сильно отстанут азиатские страны: Китай, Южная Корея, Япония. Сейчас тот момент, когда операторам и так непросто, у них и так большие стимулы взять с абонентов чуть больше, чтобы побыстрее развернуть новую технологию. Вместо этого им сейчас предлагают укрепить безопасность и потратить практически все собранные деньги на эти, возможно, полезные для страны цели, но не очень своевременные".
Проблемы со связью могут появиться также из-за сбоев в работе нового оборудования, которое должны приобрести операторы. По заключению Минэкономразвития, одна единица необходимого оборудования сможет обеспечить работу 3,25 миллионов сим-карт. Однако в случае технической неисправности даже одной единицы оборудования HSM поддержка услуг связи для 3,25 миллиона сим-карт станет технически невозможной, что может привести к существенным негативным последствиям для значительного числа абонентов, – сказано в заключении об оценке регулирующего воздействия на проект приказа. Чтобы этого избежать, операторам придется иметь в резерве определенное количество оборудования, что приведет к дополнительным затратам.
В том же документе отмечается, что ведущие производители смартфонов и других устройств постепенно отказываются от сим-карт и переходят на такие технологии, как eSIM и iSIM. "Фактически предлагаемое в части сим-карт регулирование "замораживает" технологическое развитие отрасли на уровне, достигнутом за последние несколько лет, и предписывает обязательное использование в устройствах пользователей сим-карт, в то время как мировым трендом последних лет является отказ от данного формата средств абонентского оборудования", – отмечают авторы заключения.
Куратор рабочей группы "Связь и IT" экспертного совета при правительстве Ирина Левова считает, что инициатива ввести отечественное шифрование правильная, но преждевременная.
– Это должен быть системный проект, комплексный подход к проблеме, а не ситуативное нововведение с непонятными последствиями как для бизнеса, так и для граждан. Цифры, которыми оперирует министерство экономического развития и которые предлагает Минсвязи и операторы, совершенно недостоверны. Фактической оценки стоимости внедрения и использования такого оборудования произведено не было. Мне представляется это преждевременным и потенциально очень коррупциогенным.
Хотя отзыв Минэкономразвития на проект Минкомсвязи содержит предметную критику, заключение является положительным: "На основе проведенной оценки регулирующего воздействия проекта акта Минэкономразвития России сделан вывод о наличии достаточного обоснования решения проблемы предложенным способом регулирования", – сказано в документе.
Алина Пинчук, "Радио Свобода"