Безопасна ли «есимизация»: пара слов о барьерах и рисках использования eSIM

По данным исследования Juniper Research к 2025 году в мире будет 3,4 млрд устройств с установленными eSIM. 

В аналитическом отчете рассмотрены потребительский, промышленный и государственный сектор, при этом львиную долю подключений ожидают именно в потребительском секторе. Это логично: основные промоутеры внедрения и использования eSIM — производители устройств Apple и Google, а их конечные клиенты — среднестатистические потребители, мы с вами 🙂

Напомним, что eSIM или Embedded SIM — это «вшитый» в устройство программируемый модуль, который выполняет функцию обычной симки. Подробнее о технологии читайте здесь.  

Барьеры: почему операторы не спешат с массовым внедрением eSIM

Вышеописанные масштабы распространения технология сможет получить, только если ее будут активно поддерживать сотовые операторы. 

И пусть сейчас купить eSIM можно у всех представителей большой пятёрки, это далеко не флагманский продукт, и пиарят его не сильно. И вот почему:

  1. Пока не проработан вопрос информационной безопасности решения: чипы для eSIM и интеграционные решения для загрузки профилей производят за рубежом. То есть невозможно обеспечить безопасность хранения криптографических ключей и, как следствие, защиту тайны связи, чего ФСБ России и другие заинтересованные ведомства допустить не могут. 
  2. Используемая техническая конфигурация eSIM не позволяет использовать применительно к ней инициативу о внедрении отечественной криптографии на SIM-картах. Как это обойти — пока большой вопрос.
  3. Максимально простой переход между операторами (подключиться/отключиться можно удаленно в личном кабинете) обострит конкуренцию, обрушит тарифы и может кардинально изменить позиции на рынке — лидерам это совсем не нужно.

Подробнее плюсы и минусы eSIM с точки зрения абонентов и операторов разбирали тут

Риски: что может пойти не так при переходе на eSIM

После перехода на новую технологию всё, начиная с производства чипов для симок и заканчивая записями ключевой информации, окажется за пределами нашей страны. Отсюда и категорийные риски:

  1. Полная замена классических SIM-карт eSIM потребует заключения специальных соглашений с разработчиками мобильных операционных систем. Это нужно для реализации российских алгоритмов шифрования в сотовой связи, однако вряд ли производители пойдут на такие соглашения.
  2. Размещение корневых сертификационных центров и серверов обработки запросов eSIM от устройств не на территории России может повлечь за собой отзыв сертификатов или вообще прекращение обслуживания.
  3. eSIM технически реализована таким образом, что может содержать скрытый от пользователя функционал. Он способен передавать без согласования третьей стороне — разработчику Java-апплета (специальной прикладной программы, нужной для работы eSIM) — конфиденциальную информацию (например, тип используемой сети, уровень сигнала, геоположение, журналы звонков и т.п.).
  4. Доступ к ключам шифрования или данные об уязвимости криптографического протокола во время передачи данных в связке «SIM-карта —> пользовательское устройство —> оборудование ядра сети оператора» даёт злоумышленникам  возможность дублировать и/или заменить eSIM, прослушивать звонки, записывать образцы голоса либо копировать передаваемые данные. 

У eSIM есть и экономические риски, и риски со стороны обеспечения безопасности передачи и хранения данных. Но мы сейчас — в самом начале пути создания новой экосистемы. В течение ближайших 3-5 лет она будет развиваться как с технической, так и с организационной точки зрения, и основные барьеры на ее пути наверняка устранят. 

Close