По данным РБК, участники российского ИТ-рынка совместно с Минцифры, ФСБ и ФСТЭК — в рамках создания системы сертификации кода — разрабатывают Отраслевой технологический удостоверяющий центр (ОТУЦ), который будет выдавать отечественным разработчикам сертификаты подписи ПО.

В рабочую группу вошли «РусБИТех-Астра» (ГК «Астра»), «Сбертех», «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТекс», «Лаборатория Касперского» и другие вендоры. Как сообщил один из её руководителей, гендиректор «КриптоПро» Станислав Смышляев, ОТУЦ уже работает в пилотном режиме с прошлого ноября — протестировавшие механизм уже получили сертификаты, подписали свои продукты и обменялись ими для взаимной проверки.

Цифровая подпись программного кода — это электронная метка подлинности, подтверждающая, что софт выпустил конкретный разработчик, а код при этом не был изменён. Сегодня российские компании в массе своей зависят от сертификации зарубежными удостоверяющими центрами, и при отзыве сертификата операционные системы перестают доверять подписи, что в свою очередь приводит либо к полной блокировке запуска программы, либо к предупреждению о небезопасном издателе.

Крупнейшие провайдеры сертификатов — американские Sectigo и DigiCert, а также японская GlobalSign — прекратили взаимодействие с разработчиками из РФ ещё в 2022 году. Как в плане выдачи, так и в плане продления.

В Минцифры напомнили, что новый комплексный антифрод-закон среди прочего наделяет Национальный удостоверяющий центр ведомства правом выпускать сертификаты подписи кода. Отраслевые эксперты же указали: в случае отзыва иностранных сертификатов последствия для отечественных вендоров «могут быть критическими» — например, возникнут проблемы с запуском и обновлением российского софта в различных ОС, а полный отказ от подписи кода создаст «благоприятную среду» для распространения вредоносных программ.