Минкомсвязь усилит защиту сотовых сетей от несанкционированного доступа со стороны зарубежных спецслужб. Для этого ведомство планирует перейти на отечественные криптоалгоритмы.
Минкомсвязь изменило требования к отдельным модулям оборудования коммутации сетей сотовой связи. Ведомство хочет применять отечественные алгоритмы шифрования в процедурах аутентификации и идентификации абонентов. Минкомсвязь ссылается на ПП РФ от 25 июня 2009 года №532, в котором перечислены средства связи, подлежащие обязательной сертификации. Применение российских алгоритмов позволит «защитить сети связи от вредоносных действий зарубежных спецслужб».
В конце 2017 года Министерство связи и массовых коммуникаций разработало и проект приказа об изменениях в правилах применения оборудования коммутации в сетях LTE. «Правила…» утверждены приказом Минкомсвязи №130 от 6 июня 2011 года. И в правилах применения оборудования коммутации в сетях стандартов UMTS и/или GSM 900/1800. «Правила …» утверждены приказом Минкомсвязи №160 от 27 июня 2011 года. Документ ведомство опубликовало на портале regulation.gov.ru
Минкомсвязь защитит российские сотовые сети
Предложенный Минкомсвязью проект договора должен увеличить уровень защищенности российских сетей сотовой связи от несанкционированного доступа к ним. А также защитить передаваемую по ним информацию. Это станет возможным за счёт внедрения сертифицированных средств криптографической защиты информации с использованием отечественных алгоритмов шифрования.
Замена алгоритмов необходима российским сотовым сетям, чтобы избежать возможных вредоносных действий зарубежных спецслужб. Они могут использовать иностранные центры аутентификации пользователей услугами сотовой связи (HLR/AuC) для доступа к сетям связи и передаваемым по ним конфиденциальным сообщениям пользователей. Зарубежные спецслужбы могут использовать полученную информацию в своих целях и нанести значительный вред безопасности государства.
Как пояснили разработчики проекта приказа Минкомсвязи, внесение соответствующих поправок в законодательство интересно не не только государству. Сотовые операторы тоже могут выиграть от использования российских алгоритмов. Они могут значительно снизить свои издержки, связанные с нарушением функционирования сетей связи.
У государства действительно есть причины для беспокойства. В 2015 году произошла успешная атака на компьютерную сеть одного из крупнейших производителей SIM-карт — Gemalto. SIM-карты этой компании покупают мобильные операторы из разных стран мира. После проведенной внутренней проверки представители Gemalto не подтвердили факт кражи информации.
Какие изменения
В первоначальной версии проекта приказа с 1 декабря 2019 года в сетях LTE можно будет эксплуатировать сервер абонентских данных и центр аутентификации (Home Subscriber Server / Authentication Center, далее – HSS/AuC) только в случае наличия сертификата соответствия средств криптографической защиты требованиям ФСБ России к шифровальным средствам класса КА. Такие же требования к СКЗИ будут действовать и для сетей подвижной радиотелефонной связи стандартов GSM/UMTS.
В проекте представлены «Требования к протоколу взаимодействия опорного регистра местоположения HLR и/или центра аутентификации AuC с отдельным аппаратным модулем безопасности HSM, выполняющим криптографические функции аутентификации абонентов». Из этого следует, что оборудование коммутации сетей подвижной радиотелефонной связи включено в перечень средств связи, подлежащих обязательной сертификации.
Если поправки пройдут, то операторы российских сотовых сетей должны будут произвести изменения, чтобы в процедурах аутентификации и идентификации абонентов применялись отечественные средства криптографической защиты информации класса КА для оборудования коммутации узлов связи до 1 декабря 2019 года. Средства криптозащиты должны соответствовать требованиям, установленным ФСБ.
Разработчики документа отметили, что единовременные расходы компаний-производителей SIM-карт на сертификацию составят примерно 0,5% от стоимости партии готовой продукции.
Минкомсвязь планирует производство отдельных модулей HSM (Hardware Security Module — аппаратный модуль безопасности), которые реализуют российские алгоритмы шифрования. Создание и тестирование отечественных средств криптографической защиты на специально созданных сегментах сети связи будут выполнены в следующем году. Доработку модулей HSM должны произвести до 1 декабря 2019 года.
В рамках публичного обсуждения проекта собеседниками высказывались сомнения по поводу быстрого перехода на СКЗИ с отечественными алгоритмами шифрования. Однако представители Минкомсвязи пояснили, что применение существующих устройств AuC продлят до момента полной готовности перейти на российские модули HSM.
Минкомсвязь не будет одновременно заменять 260 млн SIM-карт
С 1 декабря 2019 года может вступить в силу ещё и обновлённый приказ Министерства информационных технологий и связи Российской Федерации от 9 января 2008 года № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации».
В тексте проекта приказа добавили про объекты связи, которые относят к критической инфраструктуре. Также в рамках проекта предложили замену текущих алгоритмов, которые используют в процедурах аутентификации абонентов, на отечественные аналоги с сертификатом ФСБ. Чтобы защитить сети от несанкционированного доступа к информации, сотовые операторы должны осуществлять процедуры аутентификации и идентификации абонентов с использованием СКЗИ класса КА для оборудования коммутации узлов связи. И класса КС3 для модуля идентификации абонентов USIM (R-UIM) в составе абонентского оборудования.
Российские операторы связи МТС, Вымпелком, МегаФон, ПАО «Ростелеком» и Международная Академия Связи предоставили свои отзывы о проекте. Также прошли рабочие совещания с участием представителей Минкомсвязь. В доработанной версии проекта приказа разработчики учли некоторые замечания коллег. Так, например, требования не распространяются на SIM-карты, закупленные оператором связи до вступления в силу изменений в приказе №1 от 9 января 2008 года.
Минэкономразвития указало на несколько важных моментов, которые связывают с затратами операторов в связи с принятием нормативного документа. Существующие центры аутентификации (AuC) могли бы эксплуатироваться без замены. А теперь появится необходимость закупки дополнительных модулей AuC и HSM. Чтобы обеспечить работоспособность «старых» и «новых» SIM-карт.
По оценке МегаФона, HSM придётся закупать на каждые 10 000 абонентов ввиду технических особенностей хранения данных, а также быстродействия в HSM. Помимо этого, в нормативном акте предусматривается класс защиты — КА. Его реализация сопряжена с дополнительными организационными и техническими мерами. А также крупными затратами порядка 700 млн. рублей.
В то время как совокупные затраты операторов на внедрение проектируемых требований превысят 5 млрд. рублей, подсчитали в Вымпелкоме.
Стоит заметить, что для бесперебойной работы сети должно быть обеспечено резервирование модулей HSM.
Нужно ли менять требования к SIM-картам
Изменения привычных SIM-карт на отечественные фактически закрепляет их использование в устройствах пользователей. А весь мир пытается уйти от данного формата средств абонентского оборудования.
Такая политика грозит тем, что производители устройств с встроенными полнофункциональными модулями сотовой связи и с использованием технологий со встроенными модулями сотовой связи (технологии eSIM и iSIM) не смогут поставлять и реализовывать уже произведенную и поставленную продукцию на российский рынок. Минэкономразвития считает, что Минкомсвязи следует проработать и нормативно закрепить специальный механизм подтверждения соответствия устройств со встроенными модулями eSIM сотовой связи требованиям их сертификации.
В настоящее время в обороте находится около 260 миллионов SIM-карт.
Замена на новые USIM с российской криптографией не будет проходить массово. В таком случае, необходимо определить круг лиц, которым первоочередно нужно перейти на российские SIM-карты с определенной степенью криптозащиты. Это помогло бы операторам связи снизить расходы на новое оборудование.
Новая проблема возникает и из-за того, что USIM становится сертифицированным средством криптографической информации. А оборот и применение таких СКЗИ должны соответствовать постановлению Правительства Российской Федерации от 16 апреля 2012 года № 313 и приказу ФАПСИ от 13 июня 2001 года № 152. То есть, как минимум, необходимы изменения данных НПА. С учётом изменения статуса USIM, эти карты придётся выдавать, соблюдая процедуры, описанные в инструкции ФАПСИ. Что, по мнению операторов, сложно реализовать при работе на массовом рынке.
Тем не менее, Минэкономразвития дало документу положительное заключение. Это даёт возможность отправки проекта приказа на регистрацию в Министерство юстиции.
Фото: Twitter.