Электронная подпись из технической сущности превращается в мейнстрим
Аналитический центр Anti-Malware.ru решил провести круглый стол о развитии российского рынка электронной подписи (ЭП) в России. На вопросы отвечают ведущие эксперты отрасли: Дмитрий Горелов, коммерческий директор компании «Актив», член совета директоров ассоциации «РусКрипто», Юрий Маслов, коммерческий директор «КриптоПро», член экспертного совета по вопросам совершенствования правового регулирования в области использования электронных подписей, и Юрий Малинин, директор Академии Информационных Систем, президент Ассоциации РОСЭУ.
-
-
Дмитрий Горелов: Если мы хотим построить красивый цифровой мир, надо создавать новые продукты и развивать новые технологии, разрабатывать новые стандарты.
Anti-Malware.ru : Каково текущее состояние электронной подписи в России? Насколько широко она применяется и где используется? Из каких основных частей состоит рынок электронной подписи?
Дмитрий Горелов: Электронная подпись (ЭП) является важным сегментом всего ИТ-рынка России. По сравнению со многими развитыми странами в России с ЭП все оптимистично. Мы занимаем лидирующее положение среди других держав по использованию ЭП в электронных торгах. Достаточно широко ЭП используется во взаимоотношениях государства и бизнеса, государства и физлиц.
Последние 5 лет появляются проекты, где ЭП является основой взаимодействия. Без нее трудно сделать это взаимодействие доверенным и юридически значимым. Мантра «юридически значимый электронный документооборот» позволяет решать очень важную задачу — сделать так, чтобы бумажный документ с подписью и печатью мигрировал в онлайн.
Лица, принимающие решения, учитывая только коммерческие причины, выбирают электронный документооборот для того, чтобы бизнес стал более эффективным. Во-первых, это происходит потому, что каналы связи в России достаточно развиты. К примеру, во многих европейских странах ситуация с Интернетом гораздо хуже чем у нас. Во-вторых, компьютеры и гаджеты прочно вошли в жизнь современного человека. Ни у кого не возникает проблем с тем, что работать необходимо именно с электронным документом. Современная жизнь подталкивает к тому, что ЭП применяется все шире и шире. Когда речь идет о безопасной передаче информации, то сразу возникает технология PKI и технология ЭП.
Если много лет назад документ печатали на пишущей машинке, то сегодня ситуация изменилась настолько, что в некоторых организациях редко используют даже принтеры. А большинство бизнес-процессов, связанных с передачей важной информации от одного субъекта к другому, полностью переходит в онлайн.
Самый первый сегмент, где ЭП начала широко применяться — это кредитно-финансовая сфера. Риски здесь связаны с денежными операциями, которые должны быть защищены. Процесс передачи информации также требует защиты.
Для совершения платежных операций в системе дистанционного банковского обслуживания (ДБО) корпоративные клиенты широко применяют ЭП. Те времена, когда бухгалтер брал кучу платежек, ставил на них печати, шел в ближайшее отделение банка, стоял в очереди, уходят в прошлое. Все организации, начиная от ИП и заканчивая крупными корпорациями, в работе с банками сейчас используют дистанционные каналы, и там повсюду есть ЭП. Без нее система ДБО для юрлиц в нашей стране просто невозможна. ЭП сократила массу времени бухгалтеров, операционистов. Для юрлиц электронный канал взаимодействия с банком — это данность, разве только «физикам» еще может быть в новинку «цифровой банк».
Больше всего ЭП сейчас применяется в сегменте B2G. Государство взаимодействует с бизнесом и гражданами — для сбора налогов и для регулирования тех сфер, в которых работает бизнес. Активно развивается процесс сдачи отчетности в электронном виде. Первопроходцем электронного взаимодействия была ФНС. После нее подтянулись и другие ведомства. Сейчас подавляющее большинство отчетности сдается в электронном виде, в частности, в Росстат, Росалкогольрегулирование, ФНС, ФТС России, государственные внебюджетные фонды и т. д.
Любая госструктура, которая взаимодействует с юрлицом, имеет электронные каналы, в которых принимает информацию от других участников, и все эти данные подписываются при помощи ЭП. Благодаря этому упрощаются процессы согласования внутри организации. По данным ФНС, резко повысилась собираемость налогов. Цифровизация помогает настроить сквозной учет. А сквозной учет — это всегда более прозрачные правила для организаций и государства в целом.
В корпоративном секторе также распространена технология ЭП. Здесь есть взаимодействие между компаниями одной группы, организацией и контрагентами. Это достаточно большой сегмент, где все взаимодействие осуществляется на электронных торговых площадках. Широко используется ЭП и во внутрикорпоративном документообороте. Юрий Маслов сможет рассказать об этом подробнее. Рынок ЭП для средних и крупных корпораций — это очень заметный сегмент, занимающий значимую долю рынка. ЭП, применяемая в системах автоматизации СМБ-сегмента, делает данную среду доверенной и безопасной.
Также в стране есть серьезные значимые проекты, связанные с автоматизацией медицины. Это электронные больничные и электронные карты пациентов.Такие данные являются критическими для человека и должны быть защищены. Существуют различные автоматизированные системы. Примером такой системы является ЕМИАС. В каких-то регионах она используется достаточно давно, где-то только пилотируется. На сегодняшний день в столице у каждого врача есть доступ к ЕМИАС. А это говорит о том, что в скором времени врачи в Москве будут использовать ЭП в своей работе повсеместно.
Юрий Маслов: В РФ ЭП как объект отношений, объект правоотношений и объект регулирования, применяется с 90-х годов. Наиболее активно — после выхода федерального закона, регулирующего применение ЭЦП как электронного документа, устанавливающего условия равнозначности документа, подписанного собственноручной подписью, документу, подписанному ЭЦП. В 2001 году вышел закон об ЭЦП. Тогда ЭП получила массовое применение. В настоящий момент область использования ЭП расширяется. В первую очередь, наиболее массовый сегмент — налоговая и бухгалтерская отчетность. На втором месте — отчетность в федеральные фонды (ПФР, ФСС, ФОМС), электронное таможенное декларирование. Отдельный сегмент — электронная подпись платежных документов в системах ДБО.
Как можно судить о широте применения ЭП — минимум по одной ЭП имеет каждая организация, каждый ИП, которые являются налогоплательщиками нашей страны. Чаще по две, три для разных правоотношений. Физлица в меньшей степени используют ЭП, т. к. для этой категории граждан область применения сужена. Нет тех услуг, которые можно получить при наличии ЭП. Сейчас при получении услуги обычно необходимо личное присутствие человека.
Юрий Малинин: ЭП есть во всех сферах нашей жизни, начиная от взаимодействия с государством (через портал государственных услуг) и через общение с различными ведомствами через сдачу различных видов отчетности. ЭП активно используется в B2B. Если говорить о массовости применения, то электронная подпись может быть теоретически ограничена только численностью населения страны. Сейчас, к сожалению, и половина россиян не использует электронную подпись. Рынку ЭП есть куда стремиться и развиваться. Не факт, что стопроцентное покрытие населения ЭП ждет нас в ближайшие 5 лет, несмотря на то, что мы идем в цифровую экономику. Но задача использования ЭП как средства и инструмента идентификации личности должна быть решена.
Рынок ЭП состоит из сегментов B2G, С2G, B2B. Граждане применяют ЭП в основном, взаимодействуя с государством, в меньшей степени с бизнесом. Все зависит от предоставляемых сервисов, которые использует каждый конкретный человек. К примеру, бухгалтер может иметь несколько сертификатов ЭП.
Ассоциация РОСЭУ прилагает усилия к тому, чтобы чтобы рынок электронной подписи и рынок электронных услуг развивался в сторону унификации. Заметим, что сейчас кроме ЭП мы обращаем взгляд профессионального сообщества и на развитие применения биометрии при идентификации личности. В скором времени синтез ЭП и биометрии даст свой сильный эффект. И это тоже усиление безопасности.
ЭП может передаваться от человека к человеку, и мы знаем о мошеннических действиях, которые производятся с ЭП. Это следствие несовершенства текущего законодательства, в частности, отсутствия ряда необходимых нормативных правовых актов, касающихся регулирования уже сформировавшегося рынка ЭП. Мы со своей стороны, имея высокую экспертизу в этой области, готовы помогать законодателям и регуляторам в формировании и обсуждении необходимых НПА, реализация требований которых повысит ответственность и качество услуг, предоставляемых игроками рынка.
Anti-Malware.ru : Расскажите подробнее о самой технологии электронной подписи и пространстве доверия. В каких современных проектах используется электронная подпись?
Дмитрий Горелов: Технология ЭП подразумевает наличие секрета, которым владеет человек. На основе этого секрета по сути и происходит ЭП. Есть некоторое секретное число, которое называется ключом подписи. На основе этого ключа происходит криптографическое преобразование и подписывается документ. Чтобы проверить, действительно ли человек является тем, за кого себя выдает, используется «альтер-эго» ключа подписи — ключ проверки подписи, который является публичным. На основе этого публичного ключа можно на 100% проверить, этот человек подписывал документ или нет.
PKI — это технология, связанная с доверием. Понятно, что если я обладаю сущностью, в которой есть ключ подписи, я должен всем остальным доказать, что именно я им владею. Для этого в нашей стране существует система аккредитованных удостоверяющих центров (УЦ). Сотрудники УЦ смотрят документы и подтверждают, что этот человек имеет соответствующие полномочия и может ЭП подписывать определенные документы. УЦ выступает гарантом доверия. Если УЦ подтвердил личность человека, то все остальные участники этому доверяют.
Эта система построена таким образом: человек или УЦ генерирует пару ключей — ключ подписи и ключ проверки подписи. На основе ключа проверки подписи, зная, что он принадлежит конкретному человеку, создается специальный документ — сертификат ключа проверки подписи. Это некоторая структура (файл), в котором есть ключ проверки подписи. Далее этот блок данных подписывается сертификатом конкретного УЦ.
УЦ подтверждают принадлежность человеку ключа проверки подписи, а сам ключ подписи связан с ключом проверки математически. УЦ является электронным «нотариусом», доверенной стороной для самой системы доверия, которая строится на базе асимметричной криптографии.
В нашей стране действует пространство доверия, выстроенное на квалифицированной ЭП. Есть 63-ФЗ, в котором достаточно подробно прописано, что и как работает для механизма квалифицированной ЭП. То, что человек владеет квалифицированной ЭП означает, что он получил сертификат открытого ключа в аккредитованном УЦ и ему априори доверяют все участники рынка.
Банки квалифицированную ЭП используют меньше, т. к. у них пространство доверия ограничивается самим банком. Из-за того, что у банков высокие требования к безопасности, они используют программно-аппаратные средства для работы с ЭП. Банки и госструктуры сейчас переходят на технологию неизвлекаемых ключей ЭП, когда криптографические преобразования совершаются на борту аппаратного устройства, и нет никакой возможности сделать дубликат ключа подписи. Проще говоря, нет возможности без ведома пользователя скопировать контейнер, содержащий ключ подписи. Токены и смарт-карты с неизвлекаемыми ключами — это значимая технология, которая используется в современных проектах. Более 90% новых проектов на рынке ДБО применяют технологию неизвлекаемых ключей и продукты, основанные на данной технологии, в частности, Рутокен ЭЦП 2.0.
Чтобы закрытые ключи никаким образом не попадали во внешнюю среду, закрытый ключ хранится и используется «на борту», в памяти самого аппаратного устройства. В нашем случае это Рутокен ЭЦП 2.0 или КриптоПро Рутокен CSP.
Есть общая тенденция в целом повышения информационной безопасности систем, построенных на ЭП и закрытых каналах передачи информации. Есть повышенные требования безопасности, которые нам диктуют регуляторы. Этот рынок в последнее время достаточно бурно развивается. И ЭП из технической сущности превращается в мейнстрим, без которого рядовой ИТ-специалист не видит новых проектов. Это замечательно.
Юрий Маслов: Из последних веяний сейчас в жизнь входят онлайн-кассы. Говоря о дальнейшем развитии сдачи бухгалтерской и налоговой отчетности, подаваемой в федеральные органы, предстоит обновление контрольно-кассовой техники как физической сущности в онлайн через операторов фискальных данных.
Другой интересный проект — «ЭРА-ГЛОНАСС», в котором федеральным законом предусмотрено использование технологии электронной подписи. Для событий, происходящих в этой системе, связанной с в автомобилем — возникновение ДТП, подача сигнала SOS.
Многие проекты сейчас пилотируют в медицине — RFID-метки, электронные карты. Совершенствуется взаимодействие медучреждений друг с другом, там тоже необходимо обеспечение юридической значимости.
Также был инициирован федеральный проект по внедрению электронных удостоверений личности гражданина РФ, правда сейчас заморожен на 2 года. Страна у нас большая, множество разнообразных ведомств. Есть сложности. К примеру, в Эстонии с 1,2 млн человек реализовать подобный проект проще. Но потихоньку мы двигаемся в нужном направлении. Каждого человека ждет не только удостоверение личности, но и электронная подпись. Эти задачи неразрывно связаны друг с другом. Как только у каждого гражданина будет ЭП, то игроки рынка найдут способы, как предоставить людям услуги при помощи ЭП. Соответственно, востребованность будет только расти — люди идентифицированы, с ними можно вступать в правовые отношения электронным способом, не требуя личной явки.
Anti-Malware.ru : Получается, что электронная подпись и PKI является серьезным сегментом российского рынка информационной безопасности. Правильно я понимаю что на этом рынке доминируют именно российские разработчики, почему?
Дмитрий Горелов: Наличие собственной криптографической школы — важный элемент национальной безопасности. Наряду с криптографией для военных применений, у нас мощно развита гражданская коммерческая криптография. Во многом это заслуга регулятора! Согласно требованиям нашего законодательства, госструктуры должны использовать только отечественные разработки. Отрасль сохранена благодаря этому.
Если компания коммерческая и делает что-то для своих клиентов, то вольна использовать средства, которые считает нужными. Если структура государственная и в наличии государственная информационная система, то есть четкие прозрачные требования — все разработки должны удовлетворять требованиям регулятора (прим.редакции: должны быть сертифицированы). Заниматься отечественной криптографией, получать лицензию на разработку, делать информационные системы, в которых есть криптография, аттестовать их, имеют права только российские компании.
У нас существует протекционизм на государственном уровне, чтобы на этом рынке не было западных игроков. Во многих странах аналогичная ситуация. На мой взгляд, это правильно. Критически важные сферы с точки зрения безопасности должны быть защищены законодательно. От всего остального мира помимо ядерного оружия нас отличает сильная криптографическая школа. Не так много стран в мире с такой базой знаний. Можно пересчитать по пальцам: Россия, США, Великобритания, Германия, Франция, Китай, Япония. Развитие российского рынка криптографии — важный аспект цифровой независимости нашей страны. С советских времен сохранилась математическая школа, старые разработки не были утеряны и сегодня получают развитие.
Пользуясь случаем хочу пригласить всех читателей на конференцию «Рускрипто-2018». Изначально она задумывалась с целью сохранения гражданской криптографии в России. В конце марта 2018 года состоится юбилейная XX конференция. На ней традиционно соберутся представители регулятора, которые ее поддерживают на протяжении многих лет, математики, разработчики СКЗИ и те, кто использует криптографию в своих информационных системах. Участников ждет сплав науки, бизнеса и образования. Отрадно, что уникальная по своей сути конференция существует уже много лет в такой узкой нише и продолжает развиваться.
Юрий Маслов: PKI — это технология, которая де-факто и уже даже де-юре стала на уровне стандартов и требований нормативных документов регулятора ФСБ РФ технологией применения электронной подписи. Трудно разделить эти два понятия. Применение ЭП — это часть рынка PKI. Вторая часть рынка связана с аутентификацией в системах на основе инфраструктуре открытых ключей. Есть системы, обеспечивающие защиту каналов и соединений, защиту трафика в интернете, в корпоративных сетях. Технология открытых ключей объединяет несколько сфер. Как правило, все эти сферы пересекаются друг с другом. К примеру, там где используется ЭП, есть защита трафика при помощи ключа электронной подписи. Можно использовать шифрование данных. Та же сдача налоговой отчетности подразумевает не только подписание документов, но и защиту коммерческой тайны при помощи методов шифрования. PKI — это просто другое название рынка средств криптографической защиты информации.
На этой части рынка ИБ действительно доминируют российские разработчики. Это связано с тем, что в соответствии с законодательством в государственных информационных системах должны использоваться средства защиты, удовлетворяющие требованиям уполномоченных федеральных органов. В криптографии это ФСБ. Требования, выдвигаемые ФСБ — это сертификация, согласно которой в системах должны использоваться только российские разработки. Сертифицированы могут быть только российские продукты и решения. Подобное положение дел защищает нас от иностранных продуктов.
Юрий Малинин: Да, российские разработчики доминируют. Каждая страна защищает свои интересы, свой рынок и своих разработчиков. Отсутствие регулирования в такой чувствительной сфере, как криптография, в принципе невозможно. Использование криптографии регулируется в каждой уважающей себя стране. Это необходимо с точки зрения защиты рынка, и не только рынка, но и государственных интересов. Применение отечественных алгоритмов и стандартов необходимо. В США, к примеру, рынок также защищается своими регуляторами.
Anti-Malware.ru : Из ответов на предыдущие вопросы я понял, что рынок электронной подписи достаточно сильно зарегулирован государством? Какие есть положительные и отрицательные моменты в усилении роли государственного регулирования? Что сейчас мешает и помогает развитию?
Дмитрий Горелов: Надо понимать, что государство необходимо для регулирования. Его главная цель — создание правил игры. Государство — это гарант исполнения установленных правил. Есть правила и на рынке ЭП, которые с криптографической точки зрения регулируются ФСБ России. Минкомсвязи России, в частности, отвечает за деятельность аккредитованных УЦ. Очень бы хотелось, чтобы у Минкомсвязи было больше ресурсов для выполнения этой функции. Важно не только создать правила игры, но и неукоснительно следить за их исполнением.
Что касается процесса распространения и сертификации СКЗИ, подотчетного ФСБ России и аккредитованных лабораторий, то здесь построены хорошо работающие системы, которые позволяют делать качественные продукты с поддержкой необходимого уровня безопасности. Также благодаря работе регулятора формируется большой новый сегмент, связанный с массовой криптографией, массовыми средствами ЭП. Благодаря этому отечественная криптография и дальше будет занимать значимую часть российской экономики. Если 10 лет назад о криптографии думали в разрезе гостайны, то сейчас пользователи госресурсов априори пользуются каким-либо криптографическим средством.
Юрий Маслов: У нас регулирование отлажено на этапах разработки, производства и тиражирования средств ЭП, средств автоматизации деятельности удостоверяющих центров. Со стороны ФСБ выстроена стройная система регулирования. Она достаточно полная и объемлющая. Что касается сферы применения ЭП (порядок создания, порядок проверки), то здесь полный провал. На данный момент, к сожалению, нет даже проектов нормативно-правовых актов. Есть попытки что-то сделать через технические комитеты по стандартизации. Но в нашей стране стандартизация носит необязательный характер, а рекомендательный.
Сейчас функция проверки сфер применения ЭП удостоверяющими центрами закреплена за правовым департаментом Минкомсвязи, что является непрофильной деятельностью для этих специалистов. По моему мнению, должен быть отдельный департамент, который должен заниматься только этим вопросом. Отсутствие регулирования в сфере применения ЭП тормозит развитие всего рынка ЭП. Нет прозрачности, которая существенно бы уменьшила риски, связанные с применением ЭП. Уменьшение рисков привлекло бы больше организаций, использующих в своей деятельности ЭП.
Двигателем развития рынка ЭП является, в первую очередь, государство. Сейчас пришли к осознанию того, что государство не может плодить армию чиновников, которые бы обрабатывали бумажные документы. Чтобы оптимизировать свою деятельность, чтобы уменьшить людские затрачиваемые ресурсы на документирование, на взаимоотношения, улучшить взаимодействие на уровне G2B, G2C, государство делает упор на развитие электронных сервисов, с использованием технологии ЭП, технологии PKI. Бюджета и ресурсов вести документооборот в бумажном виде нет.
Юрий Малинин: Ежеквартально по различным видам отчетности мы наблюдаем, как используется ЭП и какие тенденции есть. Мы сверяем цифры участников ассоциации и ФНС. Корреляция достаточно высокая. Развитию рынка ЭП способствует всеобщий переход на электронный документооборот. Лавинообразного перехода с бумажного документооборота в электронный нет. Есть проблемы с унификацией форматов документов, в том числе формата ЭП.
Что тормозит развитие электронного документооборота? Дмитрий Львович уже упомянул об этом. Вернемся к тому, сколько удостоверяющих центров, выдающих ЭП, действуют сейчас в России. С одной стороны количество УЦ в нашей стране уже немало, их более 400, из них более половины ведомственные и корпоративные. Сейчас, на мой взгляд, наметился тренд к уменьшению количества УЦ, и возможно в скором времени мы увидим новые сделки и новые укрупнения некоторых. Но это не приведет к уменьшению использования ЭП. Встает вопрос повышения эффективности имеющихся механизмов выдачи и взаимодействия с заявителями, получателями ЭП. Что сильно может помешать развитию? Это монополизация рынка. Тренд на монополизацию со стороны государственных, ведомственных организаций явно заметен на рынке. В Ассоциации РОСЭУ мы стараемся взаимодействовать как с рынком, так и с госорганами, сигнализируя о плюсах и минусах новых реформаций.
Что касается усиления роли государственного регулирования, оно необходимо в части исполнения всеми участниками рынка единых правил, которое установит регулятор в лице Минкомсвязи России. Необходимо принятие ряда нормативных правовых документов. Рынок ждет уточненные требования к осуществлению деятельности аккредитованных УЦ. Положение о государственной аккредитации действует, но по мнению экспертного сообщества, оно требует изменений, доработки. При этом сами эксперты готовы помогать регулятору в формировании новых требований к рынку. Необходимо осуществлять регулярный мониторинг за деятельностью аккредитованных УЦ, выполнения ими установленных требований, а в случае невыполнения — наложения ответственности, а это в настоящий момент отсутствует.
Рынок УЦ будет видоизменяться в ближайшие годы, безусловно. Но изменения должны идти в сторону повышения качества предоставляемых сервисов с использованием ЭП, спектра предоставляемых услуг, но не в сторону государственной монополизации всего рынка
.Anti-Malware.ru : Почему отсутствует саморегулирование на рынке электронной подписи? И как бы вам виделся баланс государственного и саморегулирования?
Дмитрий Горелов: В том или ином виде неформальное саморегулирование всегда существует на рынке. Компаниям выгодно договариваться друг с другом, чтобы государство не вносило жесткие директивы в их работу. Есть и общественные организации, к примеру, РОСЭУ, которые создаются для механизмов прозрачного и интеллигентного взаимодействия хотя бы между участниками объединения. Не делать те вещи, которые законом разрешены, но с точки зрения деловой этики недопустимы и мешают рынку.
Саморегулирование — действенный инструмент, который не должен отменять государственного регулирования. Это хорошее дополнение для рынков со сложными правилами игры.
Юрий Маслов: Отсутствие любого регулирования — это плохо. В части прозрачности и юридической надежности, конечно, выигрывает госрегулирование. Саморегулирования нет, потому что пока нет острой конкурентной борьбы, рынок не насыщен. Конкуренты не собираются вместе, чтобы думать о том, как соответствовать поставленным стандартам и выработать единые правила игры в этом поле. Баланс должен быть таким, чтобы государство формировало требования и нормативно-правовые акты, а саморегулирование должно способствовать тому, чтобы игроки проверяли себя на соответствие этим стандартам, правилам, требованиям. Проверочные функции должны быть на уровне саморегулирования. Такой баланс сохраняется на западе, в частности, в Евросоюзе.
Разработка собственных криптографических стандартов защищает наших производителей от вмешательства со стороны, которое не всегда является экономически выгодным, чаще носит политический характер. Здесь же идет речь и о вопросах национальной безопасности. Собственно криптография — это элемент национальной безопасности.
Юрий Малинин: Саморегулирование может появиться на рынке ЭП, но этот вопрос может решиться только при взаимодействии и диалоге регулятора, участников рынка и экспертных профессиональных сообществ.
В то же время учитывая важность ЭП в тех или иных областях применения, государству не нужно отдавать все регулирование рынка ЭП в СРО. На мой взгляд, саморегулирование не является самым оптимальным инструментом регулирования на рынке ЭП. Я приемлю вариант, когда на рынке будет несколько саморегулируемых организаций, но при условии четких прописанных утвержденных правилах игры, которых на настоящий момент нет.
Anti-Malware.ru : В законе об электронной подписи предстоят возможные изменения. Как вы можете прокомментировать эти изменения?
Дмитрий Горелов: Помешать дальнейшему развитию рынка ЭП может проект изменений в 63-ФЗ. В нем вводится понятие государственной монополии на рынок ЭП. Я считаю, что любая монополия — это путь в никуда, если речь идет о массовом явлении. А мы ведь хотим сделать криптографию и электронную подпись доступной для каждого гражданина РФ. Поэтому государство должно формировать требования, следить за исполнением, а саму работу будут выполнять независимые коммерческие организации, которые благодаря рыночным механизмам развивают продукты. Только такие механизмы позволят рынку совершенствоваться.
Нововведения, со слов авторов проекта, запланированы для повышения доверия к системе УЦ. Я не уверен, что не получится ровно противоположной ситуации. Перерегулирование и помещение в узкие рамки таких сложных вещей с точки зрения технологии и требований к персоналу будут реализованы при помощи «взмаха топора». Существуют следующие прогнозы: если изменения утвердят, то люди вместо ЭП начнутся пользоваться чем-то другим или вообще откажутся от ее применения. Мы можем серьезно откатиться назад. Для текущего состояния рынка это не принесет ничего кроме вреда. Поставленные авторами проекта задачи могут быть решены при помощи более грамотного регулирования.
По моим оценкам, игроки рынка на сегодня готовы к более жестким требованиям со стороны законодательства и могут сделать так, чтобы доверие к ЭП у граждан и государства было еще выше.
Юрий Маслов: Конечно, возможные изменения — это плохо. Я согласен с Дмитрием Львовичем. Типичный пример — оказание почтовых услуг. Сейчас ситуацию можно представить так — давайте мы уберем экспресс-доставку, уберем других операторов почтовых услуг и оставим только одного — Почту России. Вам это понравится? Такой же расклад предлагают нам сейчас. Государство хочет монополизировать целый сектор экономики. Зачем государству брать на себя такие несвойственные ему функции?
Зачем государству шить все сапоги? Наиболее правильно контролировать процесс производства обуви, контролировать качество товара, качество услуг, оказываемых рынком. То же и с рынком УЦ. Давайте введем саморегулирование, сделаем требования, установим порядок, как они будут сами себя проверять, вывешивать лейблы «проверено», и кто будет за эти лейблы отвечать.
Мое отношение к сложившейся ситуации крайне отрицательное. Это принесет не только большую потерю рабочих мест и недостачу в бюджет, но и негативно отразится на качестве оказываемых услуг и существенно повысит риски. Возможно, нас ждет отказ от документооборота, связанного с квалифицированной ЭП. Неквалифицированную подпись, которая более затратна, введут в теневой сектор экономики. Возникнет проблема существования дорогой ЭП.
Юрий Малинин: Сейчас надо говорить о тех положениях в законе, которые необходимо усиливать и улучшать. РОСЭУ оказывает помощь по формированию нормативных документов, подзаконных актов, которые могут способствовать усилению регулирования рынка ЭП и рынка УЦ. Мы направляем свои предложения, озвучиваем в открытом сообществе, в том числе в федеральных СМИ. Со своей стороны мы готовим проекты документов по идентификации личности при получении ЭП, по формату ЭП и ряд других, которые направляются в Минкомсвязи России и смежные ведомства. Эта тема достаточно проблемная. Часто сталкиваемся с необходимостью уточнения понятийного аппарата, терминологии. В части предложенных изменений в текущей версии законопроекта, считаем, что государственная монополизация рынка ЭП может навредить развитию ЭП, внедрению юридически значимого ЭДО и уменьшить доверие граждан к использованию самой электронной подписи.
Anti-Malware.ru : С 2019 года в нашей стране будут действовать новые криптографические стандарты, утвержденные в 2012 году. Почему стандарты, принятые достаточно давно, оказывают влияние на рынок электронной подписи именно сейчас?
Дмитрий Горелов: ГОСТ 2001 года (прим. редакции: имеется в виду стандарт ГОСТ Р 34.10-2001) разрабатывался еще в прошлом веке. Тогда было другое понимание развития компьютерной техники, роста производительности. Со временем надо обновлять криптографические алгоритмы, чтобы противостоять криптоанализу в ближайшие 30-40 лет.
Понятно, что ГОСТ 2001 года, который сейчас выводится из употребления, даже если он был бы легитимным ближайшие 2-3 года, вряд ли будет взломан современными компьютерами. Но специалисты всегда закладывают необходимый запас прочности. Сейчас есть приказ ФСБ, связанный с переходом на новые стандарты электронной подписи, есть документ Минкомсвязи, где прописана смена стандарта ЭП и хеширования. Все государственные информационные системы, подпадающие под регулирование, должны до конца 2018 года перейти на новые ГОСТы 2012.
На этап перехода было заложено 5 лет. Регуляторы дали разработчикам достаточно много времени для создания новых СКЗИ, средств ЭП и соответствующего обновления данных в информационных системах. Сейчас готово достаточное количество новых СКЗИ. Сертифицированный «Рутокен ЭЦП 2.0» с поддержкой новых ГОСТов доступен заказчикам уже больше года и широко используется на рынке. Наши коллеги давно выпустили «КриптоПро УЦ 2.0» и «КриптоПро CSP» c новыми ГОСТами. 2018 год — последний для окончательного перехода на новые криптостандарты.
Юрий Маслов: Принятие стандартов еще ничего не означает. Сначала необходимо сформировать требования, потом разработчикам необходимо сделать новые продукты, далее продукты проходят процедуру соответствия и сертификации. Процесс этот длительный и затратный. Поэтому дорожная карта была определена до 1 января 2019 года. Старые стандарты действуют до 31 декабря 2018 года. Более 5 лет было дано на эту процедуру перехода. Период достаточно длительный, чтобы плавно и с минимальными затратами перейти на новые стандарты. Новые стандарты нужны потому, что математическая наука не стоит на месте, растут производственные мощности, криптографическая стойкость со временем падает, ее опять повышают путем введения новых стандартов.
Другой вопрос, что не все готовы к грядущему переходу, т. к. привыкли жить по принципу «пока гром не грянет, мужик не перекрестится». Поэтому паника есть у отдельных операторов электронного документооборота, которые решили готовиться к экзамену в последнюю ночь. В целом рынок к новым стандартам готов
.Anti-Malware.ru : Если немного заглянуть в будущее, то что, по вашему мнению, будет? Какие продукты, технологии, информационные системы на базе электронной подписи будут развиваться быстрее?
Дмитрий Горелов: В грядущие 2-3 года будут развиваться информационные системы, в которых использование ЭП удешевляет и ускоряет бизнес-процессы. В ближайшие 5-10 лет нас ждет все то же самое и много нового. Пока мало, что свершилось из фильмов «Терминатор» и «Назад в будущее». Будет расширена сфера применения электронной подписи. В каких-то случаях технологии пойдут по пути, когда ЭП станет незаметной частью систем. В других случаях ЭП станет органичной частью жизни людей. Когда у человека будет личный электронный паспорт или жетон, применяемый в том числе для входа в определенные системы.
В ближайшее время ожидается массовое применение ЭП в судебной системе. Там намечен переход на электронный документооборот. Это важный и большой сегмент, где процесс перевода документов в электронный вид для адвокатов, судей и истцов, будет экономить время и деньги. При возникновении каких-либо споров между организациями в качестве доказательства в суде уже могут использоваться электронные документы.
Я слабо верю в любые проекты уникального аутенфикатора, средства ЭП для всего и вся. За всю историю развития человечества продукты «все в одном» показали свою нежизнеспособность. Что-либо универсальное, связанное с ЭП для всех и вся, это некоторый путь в никуда. Для каждого применения необходимо свое защищенное средство. Это выгоднее и дешевле.
Я прогнозирую, что ЭП станет очень важным элементом доверия и коммуникации для новой цифровой эры. Сейчас в России широко обсуждается проект цифровой экономики, предполагающий электронное взаимодействие с различными субъектами. И во многих случаях это не человек, а некая компьютерная сущность. Чтобы ко всему этому было доверие, технология PKI будет работать и для роботов и для искусственного интеллекта. Это новый вызов для игроков рынка ЭП.
Юрий Маслов: В части применения ЭП есть тренд перехода к виртуализации, в облака, поэтому облачные средства ЭП, которые впервые в этом году появились на рынке и были сертифицированы, уже начинают захватывать свою долю на рынке. Облачные сервисы, облачная бухгалтерия, облачные системы ЭДО — это хорошо, правильно, это будущее. Они повышают удобство, мобильность использования ЭП, убирают высокие требования к квалификации пользователей средств ЭП, уменьшают требования к безопасности компьютера, переносят их на сервер в облако.
В Европе это существует уже давно, есть директивы, стандарты, требования по надежности и защиты к облачным серверам. У нас этого пока нет. Мы живем в существующей традиционной концепции применения ЭП, но движение уже началось. В августе 2017 мы получили сертификаты на облачное средство ЭП. На данный момент аналогичных нигде нет на рынке. Вместе с «Активом» мы реализуем государственный проект по облачной системе применения ЭП с применением средств аутентификации Рутокен к ключам, находящимся в облаке.
Юрий Малинин: Цифра прочно вошла во многие сферы нашей жизни, также как и электронная подпись. Поэтому ЭП будет появляться во всех новых сервисах. Возможно, какие-то сервисы будут взаимодействовать с гражданами без использования ЭП. Сейчас государство идет к созданию единого агрегатора сервисов. Банки все реже общаются с клиентами в оффлайне. Аналогичная ситуация будет и по взаимодействию гражданина с государством. В будущем все уйдет в онлайн.
Anti-Malware.ru : Спасибо большое за интересную беседу. Уверен, что тема криптографии и электронной подписи, в частности, теперь будет регулярно освещаться на Anti-Malware.ru. О чем или о ком вы рекомендуете рассказать нашим читателям?
Дмитрий Горелов: Тема, связанная с ЭП и криптографией, на страницах Anti-Malware.ru в силу излишней технологичности и наличия большого количества знаний, необходимых для понимания всех деталей, ранее не поднималась так широко. Я считаю, что читателям будет интересно узнавать и дальше про разные сегменты рынка криптографии. Рынок большой, есть интересные игроки, которые делают интересные продукты.
Одна из задач нас, как разработчиков, осуществлять просветительскую миссию. Без криптографии цифровой экономики не будет. Если мы хотим построить красивый цифровой мир, надо создавать новые продукты и развивать новые технологии, разрабатывать новые стандарты. Если люди поймут, зачем нужна криптография, они будут больше ее использовать в своих проектах.
Anti-Malware.ru : Спасибо за встречу и дальнейших успехов в работе!