Президент ассоциации «РусКрипто» Алексей Волчков в своем докладе отметил, что в мире быстро растет спрос на продукцию для защиты информации, особенно в Интернет-приложениях, а это увеличивает интерес инвесторов к данной области.
Заметен рост числа исследований по криптографии в частных компаниях, ранее не связанных напрямую с информационной безопасностью (ИБ), таких, как Xerox, Sony, Mitsubishi, Siemens, NEC и др. Понятен интерес к технологиям ИБ и криптографии в проектах «Электронное правительство» в странах Юго-Восточной Азии и Тихоокеанского региона, причем активное неприятие там американских технологий дает неплохие шансы отечественным компаниям.
Участники конференции отмечали, что российские специалисты предлагают достаточно большой набор ПO в области ИБ и криптографии как для корпоративных систем, так и для ПК. Например, системы защиты электронного документооборота предлагают фирмы «Анкад», «ЛАН Крипто», «Сигнал Ком» и «Информзащита», средства мониторинга действий персонала — компании «Инфосистемы Джет» и «ЛАН Крипто», контроля доступа — ОКБ САПР, «Конфидент», «Информзащита», системы идентификации пользователей — «Информзащита», защиты телефонных переговоров — «Сигнал Ком». Следует отметить, что «Информзащита» и «Анкад» работают преимущественно с государственными заказчиками, а «ЛАН Крипто» и «Сигнал Ком» — с частными.
Директор департамента по работе с госорганизациями «Элвис+» Сергей Вихарев подчеркнул, что многие наши технологии в области ИБ не уступают западным. Тем не менее некоторые клиенты предпочитают использовать зарубежные системы. В какой-то мере их можно понять: участники конференции отмечали и слабые стороны российских технологий, обусловленные, с их точки зрения, малым количеством теоретических разработок. Ведь открытые исследования в России до сих пор имели лишь образовательную и общетеоретическую направленность, прежде всего вследствие традиционной закрытости данного направления. Разработкой же криптографических алгоритмов и протоколов для коммерческого применения государственные организации практически не занимаются. Кроме того, гражданские вузы начали готовить специалистов по защите информации совсем недавно.
Необходимо отметить, что российские исследователи практически не принимают участия в международных конференциях.
Президент «ЛАН Крипто» Анатолий Лебедев рассказал, что его компания принимала участие в одном из международных конкурсов по разработке криптографических алгоритмов и протоколов для Европейского Союза. Для того чтобы участвовать в конкурсе, специалистам компании пришлось преодолеть немалые препятствия (во многом из-за претензий к качеству перевода материалов), но все же им удалось сделать небольшой доклад. Сейчас отечественные разработчики задумываются об участии в конкурсе на создание блока криптографических стандартов Японии. Анатолий Лебедев посоветовал коллегам участвовать в подобных конкурсах, так как это поможет фирмам лучше ориентироваться на мировых рынках. «Нас там не особенно ждут, но и не гонят», — добавил он.
Среди наиболее перспективных направлений участники конференции назвали cоздание средств разработки и криптографических алгоритмов на заказ, оценку надежности систем защиты информации, использование технологий ИБ и криптографии для защиты интеллектуальной собственности.
Одна из проблем сферы ИБ и криптографии — государственное регулирование. Оно осуществляется в основном пятью организациями: ФАПСИ, Гостехкомиссией, ФСБ, МО, СВР. Компаниям, работающим в области криптографии, как правило, приходится иметь дело с первыми двумя.
Алексей Волчков отметил, что законодательная база по регулированию технологий ИБ и криптографии в России несовершенна. Нет единого нормативного документа, определяющего подход к регулированию. Не всегда оправданы ограничения в области экспорта и импорта систем, и это во многом осложняет вполне перспективный бизнес. Как при экспорте, так и при импорте товар, по требованию Государственного таможенного комитета, должен пройти экспертизу в ФАПСИ. А данная экспертиза, по мнению специалистов, признает шифровальным средством даже банкоматы, использующие алгоритм DES не для шифрования, а для аутентификации. Специалисты делают вывод: такой подход позволяет ФАПСИ получать плату за выдачу лицензий на экспорт-импорт и частично контролировать производителей. В то же время в области технологий ИБ и криптографии некоторые виды деятельности можно осуществлять вообще без лицензий. Это разработка алгоритмов шифрования и управления ключами, анализ надежности шифрования. На этом и предполагают базироваться некоторые компании.
На конференции также обсуждались новая редакция закона о лицензировании отдельных видов деятельности и закон об электронной цифровой подписи (ЭЦП). При общей тенденции к уменьшению лицензируемых видов деятельности в сфере ИБ число их значительно увеличилось, что осложнит работу компаний. Закон же об ЭЦП просто поверг специалистов в изумление.
Достаточно привести высказывание Елены Волчинской, консультанта Комитета Государственной Думы по безопасности: «Я испытываю горечь по поводу принятия этого закона. Он не соответствует, по моему мнению, ни международным актам, ни накопленному в других странах опыту. Кроме того, многие его положения не воспринимаются однозначно, что затруднит их правоприменение». По ее мнению, огромные усилия для продвижения закона приложило ФАПСИ, но, в конечном итоге, недостатки закона обернутся и против этого ведомства. Елена Волчинская полагает, что закон об ЭЦП отнюдь не будет способствовать развитию открытой криптографии в России.
Участники конференции отмечали, что в соответствии с принятым законом владельцем ЭЦП должно быть физическое лицо. По международным же нормам (а на них построены взаимоотношения и в российских организациях) владельцем подписи может быть и лицо юридическое. Это крайне важно для правоотношений между юридическими лицами, предполагающих ответственность именно юридического лица.
Представителей крупных банков и бирж также крайне волновала ситуация с принятием закона и пугали немалые затраты — ведь исполнение нового закона для них напрямую связано с необходимостью приобретать новое оборудование и ПО. А с точки зрения Алексея Волчкова, принятие закона создало парадоксальную ситуацию, так как многие из участников рынка, реально использующие ЭЦП, в законе вовсе и не нуждаются.
Большой интерес вызвало выступление профессора МЭИ Юрия Мельникова о методах современной стеганографии. Некоторые участники специально приехали на конференцию, чтобы его послушать. Докладчик рассказал, что компьютерная стеганография — это электронная версия древнейших методов тайнописи. Был представлен программный комплекс Stego S, разрабатываемый на кафедре ВМСС МЭИ и позволяющий скрывать любую информацию в текстовых и графических файлах.
В период проведения конференции компания «ЛАН Крипто» — один из инициаторов создания ассоциации «РусКрипто» — отметила свое 10-летие. За годы своего существования «ЛАН Крипто» создала национальные стандарты по защите информации (шифрование, подпись, протоколы, управление ключами) для Республики Беларусь; отраслевые стандарты по защите информации для Газпрома и ряда других крупных организаций.
«Разработки в области криптографии — наше национальное достояние», — заметил представитель одного из крупных банков. Действительно, ИБ и криптография — одна из немногих областей ИТ-индустрии, где, продумав все технологические и юридические аспекты, можно стать полноправным участником мирового рынка.