Производителям устройств с поддержкой виртуальных сим-карт eSIM, среди которых Apple и Google, придется размещать на территории России серверы для загрузки абонентских профилей и хранить здесь криптографические ключи. Иначе гарантировать сохранность тайны связи для российских абонентов невозможно, пришла к выводу рабочая группа с участием Минкомсвязи, ФСБ и операторов. Пока тестирование eSIM не выявило проблем с безопасностью, а скорейшее внедрение технологии помогло бы сэкономить на физических сим-картах, возражают противники жесткого регулирования.

Технология eSIM в существующей технической конфигурации противоречит инициативе о внедрении отечественной криптографии на сим-картах, говорится в аналитическом докладе (есть у “Ъ”), подготовленном Институтом исследований интернета (ИИИ) по итогам совещаний с представителями Минкомсвязи, ФСБ, Федеральной антимонопольной службы (ФАС), «Вымпелкома», МТС, «МегаФона» и научно-производственной компании «Криптонит» (входит в «ИКС Холдинг» Антона Черепенникова). По словам директора ИИИ по стратегическим проектам Ирины Левовой, 3 июня доклад будет направлен вице-премьеру РФ Максиму Акимову.

Технология eSIM дает возможность занести на специальный чип в смартфоне несколько профилей операторов связи, между которыми абонент может переключаться самостоятельно. Возможность удаленной загрузки профиля таким образом позволит избавиться от необходимости приобретать физическую сим-карту. В России среди смартфонов с поддержкой eSIM представлены iPhone XR, XS и XS Max от Apple, а также, например, Google Pixel 3 и Pixel 3 XL. Решения для удаленной инициализации eSIM в мире развивают Gemalto, Idemia, Ericsson, GigSky, Samsung, Nokia HPE, Huawei, China Telecom и др.

Производство чипов для eSIM находится за рубежом, платформы загрузки профилей также исключительно иностранные, констатирует доклад ИИИ. Получается, что криптографические ключи eSIM-карт также хранятся за рубежом, где гарантировать их сохранность невозможно, что напрямую влияет на защиту тайны связи, предупреждают авторы.

Инициализация eSIM-чипов должна проходить на территории России с исполнением особых условий, говорится в докладе. Также необходимо обязательное размещение на территории страны серверов для платформ загрузки профиля eSIM. Производителям устройств с eSIM и поставщикам платформ потребуется иметь российские представительства, получить соответствующие лицензии и хранить данные на территории страны. Кроме того, производители должны давать операторам связи равный доступ к технологии, а интерфейс смартфона должен быть таким, «чтобы даже косвенно не было возможности предопределить выбор абонентом оператора или платформы», отмечается в отчете.

В Минкомсвязи подтвердили, что участвовали в подготовке доклада, отметив, что в него вошло много предложений министерства. В «МегаФоне» и МТС также подтвердили участие в его подготовке, в «Вымпелкоме» сообщили, что согласны с выводами документа. В ФАС добавили, что необходимо тщательно прорабатывать риски информационной безопасности eSIM.

Технологию eSIM в России уже тестировал Tele2 (см. “Ъ” от 20 мая). В компании не комментируют выводы доклада ИИИ. Собеседник “Ъ”, знакомый с позицией Tele2, утверждает, что оператор использует для загрузки профиля eSIM одну из китайских платформ и не выявил противоречий с требованиями в области безопасности. Внедрение технологии позволит сократить «серый ввоз» iPhone с поддержкой eSIM и снизить расходы операторов на классические сим-карты, указывает собеседник.

Прояснить законодательные требования к работе с eSIM и удаленному управлению профилями и убрать «серые зоны» было бы крайне полезно, считает заместитель гендиректора по развитию бизнеса АО ГЛОНАСС Илья Аксельрод. Но есть и риски, указывает он: отечественный механизм удаленного управления профилями eSIM может быть несовместим с уже существующими глобальными инструментами.

Отсутствие локализации криптографии и в целом производственной базы теоретически позволит использовать из-за рубежа «логические бомбы» для нарушения связи или конфиденциальности переговоров, допускает руководитель центра мониторинга и реагирования на инциденты «Инфосистемы Джет» Алексей Мальнев. В России же, добавляет он, внедрение eSIM и последующая «бесконтрольная регистрация» в сетях операторов может, напротив, снизить контроль спецслужб за абонентами и усложнить мониторинг.

Юлия Тишина, Кристина Жукова