Национальные сертификаты безопасности сайтов используют только 30% россиян

Российские TLS-сертификаты, использующиеся для создания зашифрованного соединения между сайтом и его пользователями, сейчас установлены на 25–30% устройств. Об этом 16 июня на сессии ПМЭФ-2023 «Развитие критической информационной инфраструктуры: угрозы и перспективы» рассказал руководитель блока «Технологии» Сбербанка Андрей Белевцев.

После начала СВО иностранные удостоверяющие центры, например, южноафриканский Thawte Consulting, американский Digicert и др., начали отказывать в продлении сертификатов безопасности подсанкционным российским компаниям. Из-за этого пользователи из России при посещении сайтов начали сталкиваться либо с их блокировкой браузером, либо с предупреждением о небезопасности ресурса.

Минцифры решило разработать собственные TLS-сертификаты, их выпуском занимается Национальный удостоверяющий центр (НУЦ). В марте 2022 г. на «Госуслугах» заработал сервис выдачи сертификатов, после этого российские компании начали переводить на них свои сайты и советовать клиентам их установить. Так, Сбербанк перевел свои сайты и сервисы на сертификаты НУЦ осенью прошлого года.

Обычные пользователи могут установить сертификаты вручную или скачать браузер, куда они встроены по умолчанию, например, «Яндекс Браузер» и «Атом» от VK. Для корректной работы сертификат должен быть и у сайта, и установлен на пользовательском устройстве.

Представитель Минцифры уточнил, что браузерами, которые поддерживают работу национальных сертификатов без дополнительных действий пользователя, ежемесячно пользуются более 75 млн человек. Он также напомнил, что сейчас в Госдуме рассматривается законопроект, который сделает обязательной поддержку таких сертификатов разработчиками ПО.

Статистика «Сбера» свидетельствует, что российские сертификаты в данный момент установлены только на 25–30% устройств, заходящих на сайт банка, следует из слов Белевцева. «Это большая проблема, потому что это означает, что в 70% случаев мы пользуемся сертификатами из неизвестного для нас источника, – сказал он. – C этим надо бороться разными способами, прежде всего просветительским путем – просвещением и пропагандой, если хотите». Он также выразил надежду, что присутствующие на сессии, среди которых были замминистра цифрового развития Александр Шойтов, зампред правления Газпромбанка Дмитрий Зауэрс и другие, объединят усилия, чтобы повысить процент пользователей с российскими сертификатами безопасности.

Представитель «Сбера» уточнил, что для увеличения этого показателя важно ускорить перевод на национальные сертификаты государственных сервисов, включая сайт «Госуслуги», а также повышать уровень информированности граждан по этому направлению.

Сертификаты Минцифры нужны прежде всего для того, чтобы работоспособность крупного портала или сайта не была внезапно нарушена путем отзыва сертификата западной компанией, которая подчиняется санкционной политике, сказал гендиректор Safetech Lab Кирилл Мещеряков. Если сертификат будет отозван, то пользователи, на компьютеры или смартфоны которых не установлены сертификаты Минцифры, не смогут зайти на портал и получить услугу, объяснил он. По его словам, некоторые банки из топ-10 до сих пор пользуются иностранными сертификатами для своих сайтов.

Кроме того, цифровые сертификаты позволяют пользователю убедиться, что канал связи с сервером зашифрован и это именно тот веб-сайт, который ему нужен, а не созданный хакерами «двойник», сказал замдиректора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслан Пермяков. Такие «двойники» часто используются для мошеннических действий: клиент уверен, что подтверждает нужную ему финансовую операцию, а в действительности он передает код подтверждения мошенникам, которые от его имени выводят средства с его банковского счета, объяснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.

Количество устройств с российскими сертификатами необходимо наращивать, согласился с Белевцевым директор РИЦ «Сэйфнэт» Вадим Куракин. Сейчас 70% устройств используют ненадежные сертификаты, часть которых – самоподписанные (бесплатные и не подписанные центром сертификации. – «Ведомости»), а остальные – зарубежные, которые в любой момент могут отозвать, добавил он. Кроме того, они «не несут суверенной защиты», поскольку ключи шифрования известны зарубежным партнерам, которые выпускают эти сертификаты, отметил Куракин.

Руководитель направления «Расследование инцидентов информационной безопасности» FBK Cybersecurity Игорь Собецкий, напротив, считает, что доля в 25–30% устройств кажется внушительной. Процесс замены сертификатов не самый удобный для пользователя, поскольку требует некоторых дополнительных действий со смартфонами или компьютерами, объясняет он. Поскольку Минцифры выпустило сертификаты только в прошлом году, показатель в 25–30% — это уже неплохо, согласен с ним эксперт по информационной безопасности компании Axenix Евгений Качуров. Видимо, некоторые россияне просто не почувствовали необходимости в сертификатах, предположил он.

В реальности устройств, на которые действительно необходимо устанавливать сертификаты безопасности Минцифры, не так много, пояснил Кузнецов. По его словам, в основном это пользовательские устройства, с которых выполняются финансовые операции на крупные суммы или юридически значимые операции. «Доля таких устройств в рунете сравнительно невелика – нет таких угроз, ради устранения которых действительно требовалось бы устанавливать сертификаты на домашний игровой компьютер, умный телевизор или на планшет, который используется для развлечений», – объяснил эксперт. Российские сертификаты ставятся вместе с некоторым ПО, поэтому 30% установивших приходятся преимущественно на корпоративный сектор, например, на бухгалтерию и тендерных специалистов, добавил Мещеряков.