BIS Journal №4(23)/2016

12 декабря, 2016

Обострение практикой

В сентябре, уже в который раз в Санкт-Петербурге состоялся PKI-форум. Так сложилось, что в его работе традиционно принимают участие разработчики средств электронной подписи, представители государственных регуляторов, работники Удостоверяющих центров, юристы – специалисты в области информационного права, руководители крупных государственных структур, а также зарубежные коллеги, прекрасно владеющие самой последней информацией и нормативными актами Европейского Союза в сфере электронной подписи и электронного документооборота. Интересные доклады и возникающие дискуссии придают этому мероприятию какой-то особый, одновременно и деловой и творческий дух.
 
ДОСТОЯНИЕ МАСС

 
Смею предположить, что в значительной степени это связано с тем, что тематика электронной подписи (ЭП) + PKI + электронный документооборот вышла из стадии формирования и начинает применяться на практике. Сейчас это уже происходит широко, с вовлечением в нее миллионов организаций и десятков миллионов наших граждан. Более того, на повестку дня начинают выдвигаться новые, без преувеличения глобальные проекты, требующие решения концептуальных, законодательных, технических и технологических задач и проблем.

Все это дает неоценимый опыт практического внедрения новых технологий электронного документооборота и безопасности, а заодно позволяет увидеть, как реализуются в жизни те концепции по использованию средств обеспечения конфиденциальности и доверия к электронному документообороту, которые были сформированы, заложены в законодательство и нормативную базу 5-10 лет назад. В свою очередь, анализ этого опыта предоставляет уникальную возможность откорректировать, ранее выбранные концепции и тем самым более эффективным образом приблизиться к реализации задачи создания в стране успешно действующего «электронного правительства», улучшения взаимодействия граждан и государства, создания инфраструктуры «доверия» на национальном и транснациональном уровне.

Так как основным инструментом обеспечения доверия к электронному взаимодействию является электронная подпись, достаточно обстоятельно обеспеченная в настоящее время законодательной и нормативной поддержкой и практически используемая уже в массовом порядке, то и выступающие в своих докладах так или иначе касались практики использования как самой электронной подписи, так и различных механизмов обеспечения доверия к ней.

Важно отметить, что вопрос доверия постепенно начинает формулироваться не только как организационно-техническая задача обеспечения доверия к работе самих механизмов электронной подписи или идентификации, а как правовой вопрос обеспечения доверия к документу как основному элементу гражданского права, как к необходимому условию реализации и обеспечения прав, порождаемых или фиксируемых документом вне зависимости от формы его представления.

Если под этим углом зрения рассматривать доклады, выступления, и дискуссии, состоявшиеся на форуме, то можно выделить следующие темы, привлекшие наибольший интерес слушателей.
 
ОТ СЕГМЕНТА ДОВЕРИЯ
 
1.Деятельность удостоверяющих центров. Либертарианская правовая концепция, положенная в основу процедур по предоставлению аккредитации удостоверяющим центрам при выполнении ими достаточно простых требований, установленных регулятором, привела к возникновению целой подотрасли УЦ, разросшейся до масштабов среднего республиканского министерства времен СССР – свыше 400 отдельных юридических лиц. Есть еще филиалы и доверенные агенты, на которые предполагается возложить ответственность по выдаче сертификатов гражданам и юридическим лицам (отметим, что именно при выдаче квалифицированных сертификатов в конце прошлого года были совершены махинации, стоившие добропорядочным гражданам потери дорогой квартиры и головной боли по ее возвращению обратно в свою собственность). Для сравнения - в США, известных своими либеральными свободами в части предпринимательства, таковых только 3, а в Польше – целых 5, правда только один из них выдает квалифицированные сертификаты, а остальные - нет. И справляются.

Ответственность за выдачу гражданам и юридическим лицам квалифицированного сертификата, обладающего признаками документа, удостоверяющего личность (паспорта) и нотариально оформленной доверенности обеспечивается, в соответствии с со сложившейся практикой, только уставным фондом удостоверяющего центра и его административной ответственностью, при полном отсутствии какой-либо адекватной ответственности у персонала, собственно и совершающего эти операции. Напомним, что нотариус, выдающий сходные по правовой силе документы, в соответствии с законом отвечает за совершаемые им операции всем своим имуществом (следует подчеркнуть, что лично нотариус, а не его нотариальная контора), а люди, выдающие паспорта до сих пор являются работниками силовой структуры, со всей вытекающей ответственностью их перед законом.

К сожалению, следует отметить, что качество работы созданной системы УЦ недостаточно высокое. Так, например, Минкомсвязь проверив в прошлом году всего 9 УЦ, сразу лишило двух их них аккредитации и еще у одного она приостановлена (30% от общего числа, что является крайне тревожным показателем). Добавим, что готовность сервисов проверки выданных таким большим количеством УЦ сертификатов составляет на практике около 80-85%, то есть в ряде случаев сертификат быстро проверить невозможно, а большое количество квалифицированных и неквалифицированных сертификатов просто не принимаются некоторыми сервисами. Поэтому набирает силу движение по созданию при некоторых системах электронного взаимодействия доверенных УЦ, создающих свои, выделенные в рамках общего пространства, «сегменты доверия».

Вывод напрашивается один – работа УЦ в целом организована неудовлетворительно и по некоторым параметрам является рисковой. Также совершенно очевидно, что управление работой такого большого количества УЦ и обеспечение надлежащего качества их деятельности – объективно сложная задача, требующая приложения огромных усилий со стороны регулятора. Для сравнения, Банк России решал в некотором сходную по размеру задачу по повышению уровня информационной безопасности в кредитных организациях в течение почти 10 лет и в конце концов ему пришлось резко усилить нормативное регулирование этой деятельности. Понятно, что в этих условиях говорить о создании единого пространства доверия на основе квалифицированных сертификатов, выданных аккредитованными удостоверяющими центрами, а значит и универсальных сервисов электронного взаимодействия по крайней мере, преждевременно.
 
ВОКРУГ КЛЮЧА ПОДПИСИ
 
2. В полный рост возникает задача более гибкого и эффективного управления использованием ключа подписи, что потребовало отдельной проработки вопроса со стороны Минкомсвязи, вылившейся в идею выдачи хранящегося централизованно дополнительного квалифицированного «Уполномоченного» сертификата. Подготовлен соответствующий проект федерального закона.

Добавим, что не за горами возникновение задачи управления статусом документа, например, правами на объект, который зафиксирован в самом документе. В случае решения задачи управления собственностью это означает разделение объекта собственности и собственника, владеющего этим объектом (собственник может меняться, а зафиксированный в реестре БТИ или в ФНС объект собственности продолжает существовать в неизменном виде). Подобная задача может быть к примеру, решена применением так называемого «атрибутивного» сертификата документа. Но все эти дополнения означают серьезное усложнение технологии электронного документооборота и электронного взаимодействия, не говоря уже об организации архивного хранения документов в электронном виде. Этот вопрос требует глубокой и тщательной проработки.

Все сказанное усложняется отсутствием удовлетворительных решений по мгновенному, в реальном масштабе времени, отзыву и уничтожению ключа подписи в случае утраты владельцем ключа подписи либо полномочий на его использование, либо утраты им дееспособности. Нельзя сказать, что эта задача новая. Она известна и решается в бумажном документообороте, но почему-то в электронном взаимодействии пока удовлетворительного решения нет.
 
ТЕНЬ ПРЕЗИДЕНТА
 
3. Все больше вызывает вопросов практическое использование самой электронной подписи. В извечной борьбе между безопасностью, простотой и трудоемкостью использования этого инструмента доверия к электронному документу похоже начинает побеждать простота и дешевизна. Уже прошло десять лет с тех пор, как Президент Российской Федерации поставил задачу «окончательно разобраться с использованием электронной подписи», уже даны поручения решить вопрос о бесплатной выдаче всему населению страны средств электронной подписи (имеется в виду усиленная квалифицированная подпись), а на практике мы наблюдаем массовый интерес граждан к использованию простой или неквалифицированной электронной подписи и прежде всего потому, что это удобно, гораздо проще и ничего не стоит. При этом, в некоторых службах соотношение в использовании усиленной неквалифицированной и квалифицированной подписи достигает уже 95% к 5%, не говоря уже о том, что доступ к личным кабинетам (в ЕПГУ, налогоплательщика в ФНС, сдачи отчетности в Банке России и т.д.), в том числе к сервисам облачной подписи, осуществляется с помощью инструмента, поразительно похожего на простую электронную подпись. Можно предположить, что подобный механизм через некоторое время станет весьма и весьма распространенным. Видимо, необходимо обратить внимание на разработку механизмов обеспечения доверия к простой электронной подписи для повышения уровня ее безопасности при массовом практическом использовании.
 
К ИНФРАСТРУКТУРЕ ДОВЕРИЯ
 
4. Наконец о доверии в цифровом мире. 
Становятся заметными различия в использовании этого понятия. Применительно к правовым, техническим и организационным сторонам общего процесса различаются:
  • доверие к электронному документу в гражданском процессе, включая его архивное хранение;
  • доверие к технологическому средству обеспечения доверия к электронному документу – электронной подписи;
  • доверие к статусу квалифицированной подписи, обеспечиваемое УЦ;
  • доверие к сертификату электронной подписи;
  • доверие к процедурам идентификации, аутентификации и авторизации;
  • доверие к стандартам электронной подписи, Хэш-функции, стандартам и сертификатам ключей шифрования, протоколам взаимодействия т.д.
То есть, следует очевидно говорить о наличии целой инфраструктуры доверия как отдельной сущности, требующей внимания специалистов как технического, так и гуманитарного, юридического профиля.
 
О ЧЕМ ГОВОРИЛИ ЗАРУБЕЖНЫЕ КОЛЛЕГИ?
 
При этом, наши зарубежные коллеги отмечают крайнюю важность наличия универсального идентификатора (ID) как базового инструмента для реализации процедур идентификации и аутентификации личности, использования электронной подписи во всех ее вариантах, включая мобильную и облачную подписи, работы с базами данных и с архивами документов. Так, в Европейском союзе в 2018 году запланировано введение единого аутентификатора, создание единого реестра таких аутентификаторов (elDAS) и сопоставления с ними наборов «услуг доверия», предоставляемых физическим лицам - гражданам ЕС: сертификатов, штампов времени и т.д. Не отстает от них и Республика Азербайджан, запустившая в этом году универсальный мобильный сервис идентификации и электронной подписи. Представляется, что этот опыт целесообразно внимательнейшим образом изучить, а может быть и рассмотреть возможность принятия, естественно с учетом наших особенностей.
 
И что крайне отрадно, вновь начинает затихший было вопрос о необходимости подготовки Федерального закона «Об электронном документообороте» или «Об инфраструктуре доверия к электронным документам», а вместе с ним – вопрос об официальной электронной почте или электронном взаимодействии, официальных электронных адресах, едином ID, как это уже упоминалось, терминологии и определениях.

Хочется верить, что следующий PKI–форум даст ответы на некоторые из поставленных вопросов.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных