ФСТЭК России готова сделать российскую криптоподпись обязательной для ПО

ФСТЭК России допускает введение обязательной подписи программного обеспечения с применением отечественных криптографических механизмов. Заявил об этом на конференции ЦИПР начальник управления службы Дмитрий Шевцов. Сейчас по предложению Минцифры идёт эксперимент, по итогам которого регулятор поймёт, насколько такой механизм готов к массовому внедрению и не превратится ли он в тормоз для разработчиков.

Тема поднялась на сессии, где гендиректор Национального технологического центра цифровой криптографии Игорь Качалин напомнил, что требование контролировать целостность ПО и обновлений давно прописано в документах ФСТЭК. Сейчас обсуждается следующий шаг — не просто проверять целостность, а использовать для подписи кода российские криптографические алгоритмы.

Шевцов подтвердил, что эксперимент уже запущен. Предложение поступило от Минцифры, в испытания вовлечены разработчики системного ПО и средств сетевой защиты. Выбор логичный — такие продукты находятся близко к инфраструктурному уровню и влияют на доверие к целому ряду компонентов:

• обновлениям и драйверам;
• компонентам операционных систем;
• сетевым сервисам;
• средствам защиты информации.

Сама механика подписи кода устроена просто. Разработчик заверяет программный продукт или обновление, а система проверяет, что файл действительно пришёл от заявленного поставщика и не был изменён по дороге. Если подпись не сходится, продукт считается подозрительным. В корпоративной среде это снижает риск подмены обновлений, внедрения вредоносного кода и атак через цепочку поставки.

В случае ФСТЭК речь не о подписи как таковой. Упор сделан на российских криптографических механизмах. Для некоторых классов ПО в перспективе может потребоваться заверение кода отечественной криптографией, а не привычными зарубежными алгоритмами и инфраструктурой сертификатов.

«После успешного эксперимента у службы появятся основания сделать это необходимым требованием», — указал Дмитрий Шевцов.

При этом регулятор не хочет вводить требование без проверки практической стороны. Нужно отработать механизмы, понять, можно ли выдавать российские подписи без задержек, удобно ли это разработчикам и не перегрузит ли новая процедура рынок. Момент существенный. Если подпись кода станет обязательной, командам придётся перестраивать процессы сборки, релизов, обновлений, проверки компонентов и поставки продуктов заказчикам. Крупным вендорам это по силам. Для небольших команд, интеграторов и производителей нишевых решений процедура может стать заметной операционной нагрузкой.

Завершить эксперимент в ФСТЭК рассчитывают в этом году. При положительном результате требование об использовании российских механизмов подписи кода может стать обязательным.

Для рынка это станет очередным шагом к формированию национального контура доверенной разработки. В последние годы требования к ПО смещаются от простого функционала к другим вещам:

• происхождению компонентов;
• прозрачности сборки;
• контролю обновлений;
• защите цепочки поставки;
• проверке целостности.

Подпись кода отечественной криптографией хорошо ложится в эту линию. С одной стороны, мера способна повысить доверие к российскому ПО в чувствительных отраслях. Когда заказчик видит, что обновление заверено по российским правилам, а механизм проверки встроен в инфраструктуру, ему проще контролировать происхождение поставки. Для госсектора, КИИ, промышленности, связи, финансов и оборонных контуров это весомый аргумент.

С другой стороны, обязательность всегда повышает цену ошибки. Если процесс выдачи подписей окажется медленным, неудобным или плохо автоматизированным, разработчики столкнутся с задержками релизов. В сфере ИБ это рискованно вдвойне. Патчи, обновления средств защиты и исправления уязвимостей часто нужно выпускать быстро, и любая бюрократическая задержка расширяет окно риска.

Поэтому практическая реализация значит больше декларации. Рынку понадобится понятный процесс получения сертификатов и набор сопутствующих условий:

• интеграция с CI/CD и автоматическая подпись сборок;
• проверка артефактов;
• поддержка разных платформ;
• прозрачные правила для обновлений и ясные сроки обработки.

Без этого хорошая задумка рискует превратиться в новый узкий участок поставки. Отдельный вопрос — как новая криптоподпись будет уживаться с уже работающими механизмами. Многие разработчики используют зарубежные инструменты подписи, репозитории, контейнерные реестры, пакеты, библиотеки и системы доставки обновлений. Полный переход на российские механизмы потребует совместимости с реальными рабочими процессами, иначе компаниям придётся тянуть сразу два параллельных контура.

Ранее сообщалось, что полномочия по ИБ в Минцифры могут быть перераспределены между ФСТЭК и ФСБ. По данным РБК, в ведомстве обсуждалась реорганизация, способная затронуть направления, значимые для IT-рынка, ИБ, искусственного интеллекта, облачных сервисов и цифрового образования. На таком фоне усиление роли ФСТЭК в вопросах подписи ПО смотрится частью более широкой перестройки регулирования.

Служба и без того движется в сторону измеримых требований к защищённости — ранее мы писали, что ФСТЭК разработает методику оценки уровня защищённости объектов КИИ и других значимых информационных систем. Мониторинг показателей предлагается проводить не реже одного раза в шесть месяцев, а результаты направлять в Совет безопасности России.

Мнение редакции CISOCLUB. Возможная обязательная подпись ПО российской криптографией выглядит логичным следующим шагом в регулировании доверенной разработки. Но успех будет зависеть не от формулировки требования, а от удобства механизма для разработчиков, скорости выдачи подписей, защиты ключей, интеграции с CI/CD и понятных правил для обновлений. Если эксперимент ФСТЭК и Минцифры завершится удачно, рынок получит новый обязательный слой контроля цепочки поставки ПО, а разработчикам придётся относиться к подписи кода как к полноценной части ИБ-процессов.