Разработчиков устройств с поддержкой виртуальных сим-карт eSim собираются заставить разместить на территории России серверы, где будут храниться абонентские профили и криптографические ключи. По мнению представителей рабочей группы, в которую вошли сотрудники Минкомсвязи, ФСБ и операторы, в противном случае нельзя гарантировать сохранность тайны связи для российских абонентов.
Правда, пока что тестирование виртуальных сим-карт не помогло обнаружить проблемы с безопасностью, о чем говорят противники регулирования. Зато, по их мнению, адаптация технологии поможет на физических сим-картах.
Институт исследований интернета (ИИИ) подготовил аналитический доклад, в котором излагаются результаты изучения технологии. По словам составителей доклада, эта технология в текущей конфигурации противоречит инициативе о внедрении отечественной криптографии на сим-картах. Доклад был сформирован по итогам совещаний с представителями Минкомсвязи, ФСБ, Федеральной антимонопольной службы (ФАС), «Вымпелкома», МТС, «МегаФона» и научно-производственной компании «Криптонит» (входит в «ИКС Холдинг» Антона Черепенникова). 3 июня доклад направлен вице-премьеру РФ Максиму Акимову.
Что касается самой технологии eSIM, она дает абоненту возможность одновременно использовать сразу несколько профилей операторов связи, переключаться между ними абонент может самостоятельно. Переход от одного оператора к другому можно выполнить в любое время. Таким образом, отпадает необходимость установки обычной физической сим-карты определенной компании. В РФ с eSIM совместимы такие устройства, как iPhone XR, XS и XS Max от Apple, а также, например, Google Pixel 3 и Pixel 3 XL. Разрабатывают собственные решения для eSIM Gemalto, Idemia, Ericsson, GigSky, Samsung, Nokia HPE, Huawei, China Telecom и др.
Поскольку производство чипов для eSIM находится за границей, то и криптографические ключи виртуальных карт тоже расположены за рубежом, где просто невозможно гарантировать их безопасность. А это, по словам авторов доклада, негативным образом виляет на защиту тайны связи отечественных пользователей.
По мнению составителей документа, все данные, которые имеют отношение к виртуальным картам в РФ, должны храниться в России. Инициализация eSIM-чипов тоже должна проходить на территории России, причем с исполнением особых условий. Более того, чиновники считают, что на территории страны нужно размещать серверные системы для платформ загрузки eSIM-профиля. Производителей устройств с eSIM и поставщиков платформ следует обязать открыть российские представительства (если их еще нет), получить соответствующие лицензии и хранить данные на территории страны. Более того, производители должны обеспечить открытый для операторов связи доступ к технологии. Интерфейс же смартфона с виртуальной картой должен быть таким, «чтобы даже косвенно не было возможности предопределить выбор абонентом оператора или платформы», отмечается в отчете.
В Минкомсвязи подтвердили, что ведомство принимало участие в подготовке доклада. Представители министерства отметили, что в документ вошло много предложений министерства. Также подтвердили свое участие «МегаФон» и МТС, в «Вымпелкоме» заявили, что согласны с выводами документа. В ФАС, кроме того, еще добавили, что обязательно нужно прорабатывать риски информационной безопасности eSIM.
Технологию eSIM уже тестировал в столице оператор Tele2. По словам источников «Коммерсанта», оператор использует для загрузки профиля виртуальной карты одну из китайских платформ, причем противоречий с требованиями в области безопасности не выявлено. Внедрение технологии дает возможность сократить «серый ввоз» смартфонов Apple с поддержкой eSIM, снизив расходы операторов на классические сим-карты.
По словам представителя АО ГЛОНАСС Ильи Аксельрода, стоит прояснить законодательные требования к работе с eSIM и удаленном управлению профилями, убрав «серые зоны». Другие эксперты считают, что отсутствие локализации криптографии и производственной базы, в теории, позволяет использовать из-за рубежа «логические бомбы» для нарушения связи или конфиденциальности переговоров. В России внедрение eSIM и последующая «бесконтрольная регистрация» в сетях операторов может снизить контроль спецслужб за абонентами, усложнив процесс мониторинга.