Виртуальная виза

Артем Попов
31 октября 2005, 00:00
  Сибирь

Закон об электронной цифровой подписи принят в России еще в январе 2002 года, но ее до сих пор нельзя признать полноценной заменой собственноручной подписи человека

Законопроект, разработанный по поручению правительства Министерством связи РФ, был призван перевести электронный документооборот на качественно новый уровень, обеспечив юридическую значимость цифровых документов. Но оказалось, что разработанная законодательная база далека от реальности. Документ, подписанный электронной цифровой подписью (ЭЦП), сохраняет юридическую силу только до тех пор, пока находится в электронном виде, то есть до момента возникновения разногласий между участниками документооборота. Когда речь заходит о выходе документа за пределы электронной сделки, тупиковая ситуация неизбежна. Безусловно, принятый закон требует доработки и коррекции. Сейчас большие надежды возлагаются на государственный единый удостоверяющий центр (УЦ), который постепенно разворачивает свою деятельность. Тем не менее перспективы новой редакции деловая общественность воспринимает скептически. Мало кто надеется на то, что изменения позволят существенно облегчить решение существующих проблем.

Попробуем отвлечься от несостоятельности нормативно-законодательной базы и объективно оценить другие, не менее важные моменты, препятствующие массовому внедрению систем на основе ЭЦП.

Электронная совместимость

Главный фактор, замедляющий интеграцию ЭЦП в рынок, - отсутствие совместимости стандартов. На первом этапе внедрение электронной подписи отдали под контроль коммерческих организаций, которые создавали свою продукцию на основании единых ГОСТов и правил, но по разным технологиям. В результате каждое ведомство, организация или управление стало использовать собственную схему шифрования и обмена данными. Бизнесменам до сих пор приходится заключать договоры о взаимном признании электронных форм документов. Сегодня, чтобы внедрить единый стандарт, необходимо не только его создать, но и обеспечить совместимость со всеми ранее используемыми. Для этого нужно скоординировать действия различных ведомств и коммерческих организаций во всех регионах страны, а такая задача под силу только государству.

Необходимость образования уполномоченного федерального органа (УФО) признают все. Наиболее рациональным вариантом организации единого государственного удостоверяющего центра могла бы стать передача его функций на аутсорсинг компании с хорошо развитой инфраструктурой региональных сетей, но власти выбрали иной путь развития. 10 июня 2005 года Федеральное агентство по информационным технологиям начало опытную эксплуатацию корневого удостоверяющего центра. Правда, за четыре месяца его существования никаких изменений не произошло, но само появление такого центра вызвало широкий резонанс.

"После завершения опытной эксплуатации УФО наша компания планирует подписывать сертификаты ключей пользователей своего головного удостоверяющего центра подписью корневого УЦ, обеспечив тем самым вхождение в единую национальную инфраструктуру открытых ключей. Такая интеграция положительно скажется на создании инфраструктуры УЦ в России и ускорит процессы внедрения и широкого использования цифровой подписи в системах юридически значимого электронного документооборота", - говорит директор дирекции защищенных информационно-телекоммуникационных систем компании " ТрансТелеКом" (Москва) Борис Терещенко.

Предполагается, что УФО будет вести единый государственный реестр сертификатов уполномоченных лиц удостоверяющих центров и органов государственной власти. Уполномоченные лица УЦ, получив свои сертификаты, смогут использовать их для удостоверения подлинности сертификатов конечных пользователей.

- Удостоверяющий центр ekey.ru организован в 2002 году с целью создания в России региональных сегментов национальной инфраструктуры электронной цифровой подписи. В Сибири наши центры уже работают в Омской, Новосибирской, Иркутской областях, Алтайском и Красноярском краях, республиках Хакасия и Бурятия.

Наша работа предполагает сквозное использование единого сертификата во всех сервисах: на электронных торговых площадках, в налоговой службе для сдачи отчетности, в Пенсионном фонде, для обмена данными между коммерческими организациями и муниципальными образованиями.

Региональная политика внедрения ЭЦП - это самая важная часть построения инфраструктуры электронной цифровой подписи. Дело в том, что нельзя выдать сертификат ЭЦП без проверки достаточно объемного пакета документов - клиент должен собрать подлинники или заверенные копии бумаг по списку и лично предоставить их специалисту, который проверит эти документы, подаст заявку на создание ключей ЭЦП, заверит ее своим сертификатом и отправит в удостоверяющий центр.

Я убежден, что в нашей стране центр обслуживания клиентов должен быть в каждом населенном пункте. Ведь именно в тех местах, где доставка документов в бумажном виде наиболее проблематична, использование ЭЦП необходимо вдвойне. Только наличие регистрационных и сервисных центров в "шаговой доступности" для любой организации Российской Федерации обеспечит полноценное функционирование инфраструктуры электронной цифровой подписи.

"Организация УЦ в единую систему необходима для формирования в стране национальной инфраструктуры открытых ключей, способствующей развитию современных информационных технологий в интересах государства и бизнеса. Такая система позволит работать с запросами пользователей по подтверждению подлинности ЭЦП, выданных различными удостоверяющими центрами. Это значительно упростит работу пользователям", - считает Галина Дронова, начальник отдела информационной безопасности ЗАО "Информационные технологии и связь" холдинга "Новосибирскэнерго".

Помимо объединения стандартов, УФО позволит повысить уровень доверия к технологии электронной цифровой подписи и многочисленным удостоверяющим центрам, уже существующим в России. "Сертификат ключа подписи, подлинность которого удостоверена государственным корневым удостоверяющим центром, безусловно, вызовет у пользователей неизмеримо большее доверие, чем самоподписанный сертификат, выпущенный коммерческой организацией на свой страх и риск. А будет доверие - будет и развитие ЭЦП в России", - убежден Сергей Ветров, ведущий аналитик департамента банковского программного обеспечения RS-Bank V.6 компании R-Style Softlab (Москва).

На хранение под ключ

Сегодня остро стоит проблема долгосрочного хранения данных. Технология ЭЦП очень молода, и специфика систем, где она применяется, не предполагает продолжительного хранения документов. Оно должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи на протяжении установленного срока. Это возможно только при сохранении вместе с документом ключей ЭЦП, с помощью которых он был подписан и проверен, на всех этапах электронного обмена. Кроме того, требуется поддерживать в рабочем состоянии оборудование и программное обеспечение, на котором был создан ключ, а также устаревшие версии программного обеспечения, которое используется всеми участниками обмена, для совместимости с современными. При этом у каждой организации объем хранимой программно-аппаратной базы достаточно внушителен.

На имеющийся опыт организации долгосрочного хранения удостоверенных электронных документов надеяться не приходится. До настоящего времени в России не создано ни одной специализированной библиотеки для хранения информации в электронном виде. Существующие государственные архивы не в состоянии обеспечить сохранность такой документации, поскольку для этого нет ни материальных, ни технических, ни кадровых ресурсов. "Как такового окончательного решения нет - есть лишь растянутый во времени процесс, в течение которого проблему хранения можно считать решенной в большей или меньшей степени, но все равно лишь частично", - подтверждает Сергей Ветров.

Внедрение защищенной системы электронного документооборота началось в Министерстве по налогам и сборам в 1999-2000 годах. Московская компания "Фактор ТС" разработала программное обеспечение для передачи данных по защищенным каналам связи и использования электронной цифровой подписи. До этого времени опыта массового внедрения ЭЦП в российских государственных органах не было. Сначала работала вертикальная схема: регион - министерство, а в 2002 году началась раздача ключевых данных территориальным налоговым органам.

К началу 2003 года вся налоговая система России стала использовать электронный обмен документами, заверенными цифровой подписью. Сейчас практически 100% внутреннего документооборота Федеральной налоговой службы ведется с применением ЭЦП. Кроме того, мы выдаем электронные ключи государственным органам, с которыми взаимодействуем: Госкомстату России, Фонду обязательного медицинского страхования, правоохранительным органам и другим.

Основной проблемой, как и раньше, является совместимость при использовании нескольких систем разных разработчиков. Отсутствие поддержки единого стандарта в применяемом программном обеспечении создает проблемы даже при взаимодействии двух ведомств одного министерства (например, Федерального казначейства и Федеральной налоговой службы), не говоря уже о других организациях. Это влечет массу неоправданных затрат.

Федеральный закон об ЭЦП был призван обеспечить совместимость, но реальных изменений после его принятия не последовало. По нашему мнению, его работа тормозится отсутствием единого центра на уровне государства, который отвечал бы за выдачу электронных ключей всем участникам документооборота: государственным органам, юридическим и физическим лицам.

Но даже в сложившейся ситуации мы считаем ЭЦП очень удобной формой взаимодействия. К нам большим потоком идут разнообразные документы и сведения, и было бы гораздо проще, если бы каждое юридическое и физическое лицо, имея доступ в Интернет, могло отправить заверенный ЭЦП документ в государственные органы и проконтролировать его исполнение.

Более того, не существует и единых стандартов хранения. Организации пытаются создавать свои регламенты, а в результате вновь возникает проблема разрозненности стандартов. Впрочем, некоторые компании-операторы и вовсе не видят особых сложностей, связанных с этой процедурой. "Нерешаемых вопросов, связанных с хранением информации, в настоящий момент нет. Несколько бумажных библиотек можно записать на один DVD. А сохранение устаревших версий программного обеспечения потребуется только в случае коренного изменения самого стандарта цифровой подписи. Хранение документов в электронном виде гораздо удобнее, это очевидный плюс систем электронного документооборота", - заявляет начальник отдела ИТ Новосибирского филиала компании "Крипта" (Иркутск) Данила Костин.

Еще один важный момент - сама по себе подлинность открытых ключей нуждается в проверке. Элементарная подмена открытого ключа в архиве позволяет легко изменить и сам документ. Удостоверение подлинности открытых ключей традиционно обеспечивается удостоверяющими центрами, но и их открытые ключи имеют ограниченный срок действия и могут быть скомпрометированы. Да и сами УЦ могут к моменту проверки прекратить свое существование. И тогда возникает интересная ситуация.

По закону об ЭЦП, при ликвидации негосударственных удостоверяющих центров документация и обязанности по проверке "старых" подписей переходят к уполномоченному федеральному органу исполнительной власти. Но, во-первых, такой орган появился лишь спустя три с половиной года после принятия самого закона, поэтому все удостоверяющие центры, прекратившие деятельность за этот период, сделали это без правопреемства. А значит, все документы, подписанные с помощью их ключей, автоматически утратили юридическую силу. Во-вторых, реальная работа УФО до сих пор не начата. Наконец, сама по себе процедура передачи документации на государственное хранение вызывает немало трений и возражений со стороны частных компаний.

Фактор доверия

Распространение ЭЦП, помимо прочего, тормозится еще и психологическим фактором. Бумажный документ с подписью и синей печатью вызывает больше доверия, чем зашифрованный текст на дискете, проверенный и утвержденный компьютерной программой. Именно поэтому многие руководители промышленных предприятий и управленческих структур скептически относятся к переходу на использование электронной подписи. Сегодня находится сравнительно мало желающих заключить значимый двусторонний договор в электронной форме. Со стороны пользователей недоверие возникает в процессе самой процедуры подписания: тонкости криптографических технологий понятны далеко не каждому.

Надежность визуального контроля бумажного документа находится в прямой зависимости от состояния человека, который этот контроль производит. Использование ЭЦП избавляет человека от необходимости такого контроля.

С одной стороны, плюс ЭЦП в том, что подделка обычной подписи и печати под силу почти любому мошеннику, а для фальсификации электронной требуются несоизмеримо большие трудозатраты, которые в подавляющем большинстве случаев экономически не оправданы. Но в отличие от личной подписи человека, завладеть электронно-цифровым дубликатом относительно просто. Например, далекий от компьютера руководитель, из-за недостатка времени и желания самостоятельно подписывать электронные документы, может передать свою ЭЦП технически грамотному сотруднику. Тем самым он фактически теряет единоличное владение ЭЦП, так как скопировать дискету с цифровой подписью не составляет труда. Подобная ситуация с передачей личной подписи и печати организации вряд ли возможна.

Психологический аспект тесно переплетается с проблемой арифметического и логического контроля вводимых данных. Например, если на бумаге человек может несколько раз проверить правильность оформления документа, то программа проводит только проверку заполнения его полей, тогда как арифметические ошибки остаются незамеченными.

Что такое ЭЦП

Электронная цифровая подпись (ЭЦП) - это реквизит электронного документа, позволяющий идентифицировать его отправителя (автора), защитить от подделки, а также установить отсутствие искажений информации в документе. Существуют два вида проставления электронной подписи:

- внедрение ее в структуру документа;
- присоединение отдельного файла, связанного с "родительским".

В первом случае наложение ЭЦП возможно только на отдельный документ. Второй предусматривает заверение пакета документов, но в этом случае, чтобы убедиться в подлинности любого документа, необходимо выполнить проверку ЭЦП пакета в целом, что позволяют сделать далеко не все прикладные программы.

С технической точки зрения ЭЦП - это последовательность символов, полученная в результате криптографического преобразования информации, которая добавляется к блоку данных. Шифрование осуществляется с помощью так называемого закрытого ключа, который выдается на год. Это самое важное звено криптографической системы, которое должно храниться в тайне. Ключ представляет собой уникальную последовательность символов, известную только отправителю документа (он получает ключ в удостоверяющем либо регистрационном центре - это специальная организация или сторона, которой доверяют все участники информационного обмена). Зашифрованный файл передается его получателю, который может проверить ЭЦП, получив предварительно открытый ключ отправителя, - также уникальную, но общедоступную последовательность символов, однозначно связанную с закрытым ключом. В случае внесения изменений в документ ЭЦП теряет силу.

Схема. Схема электронного документооборота при представлении налоговых деклараций

Логические ошибки, допущенные вне специализированной программы, также остаются на совести пользователя. Например, в теме электронного письма с финансовой отчетностью, направленного в подразделение Федеральной налоговой службы, обязательно должен содержаться индивидуальный номер налогоплательщика (ИНН). Если бухгалтер, сдающий отчетность, сотрет из темы письма ИНН, который выставляется автоматически, и заменит его, скажем, призывом прочитать отчет до конца срока сдачи, то такой документ, естественно, попадет в разряд отклоненных, а бухгалтер еще долго будет пытаться найти и устранить ошибки.

По оценкам Управления Федеральной налоговой службы по СФО, компьютерная неграмотность имеет место примерно в 30% случаев предоставления отчетности по каналам связи. Решение этой проблемы - знакомство пользователей с новой технологией, компьютерный ликбез. Когда ход и результаты выполнения всех операций будут прозрачны и максимально приближены к бумажной форме, владельцы ЭЦП станут более осознанно относиться к возложенной на них ответственности. Возможно, для этого в комплекте с базовым программным обеспечением производителям стоит поставлять вводные обучающие программы с дружелюбным анимированным интерфейсом, способные наглядно показать все стадии процесса электронного подписания.

И все-таки активность производителей ЭЦП, здоровая конкуренция между ними наряду с высоким, хотя и осторожным интересом бизнеса свидетельствуют: рынок электронной подписи жив, несмотря на фактическое бездействие закона. Усилия по внедрению и распространению технологии пока обеспечиваются энтузиазмом отдельных компаний, некоммерческих организаций и некоторых государственных органов. Есть надежда, что вопрос распространения ЭЦП в конце концов выйдет на государственный уровень.

Генеральный директор Удостоверяющего центра ekey.ru (Нижний Новгород) Георгий Афанасьев

Георгий Афанасьев
Георгий Афанасьев

Начальник отдела информационных технологий Управления Андрей Снегирев федеральной налоговой службы России по Новосибирской области

Андрей Снегирев
Андрей Снегирев