Специалисты говорят о несовершенстве действующего закона об ЭЦП и различных российских законодательных и нормативных актов, касающихся электронного документооборота. Тем не менее в последние годы росло количество удостоверяющих центров, их услуги становились качественнее, а использование электронной цифровой подписи — более широким. В настоящее время наметился переход к следующему этапу развития — гармонизации решений и интеграции систем
Международная научно-практическая конференция «Актуальные проблемы создания системы удостоверяющих центров России. Аспекты международного сотрудничества в области ЭЦП», которая прошла в Санкт-Петербурге, впервые собрала представителей всех реально работающих российских удостоверяющих центров и ведомств, заинтересованных в широком использовании электронной цифровой подписи.
Организаторами мероприятия выступили Федеральное агентство по информационным технологиям РФ (Росинформтехнологии), Ассоциация защиты информации и ЗАО АНК.
Три года для поверки и отработки
Первые удостоверяющие центры, которые осуществляют генерацию ключей электронных цифровых подписей и обеспечивают их корректное использование, появились в 2002 году, сразу после принятия закона об ЭЦП. Можно считать, что прошедшие два-три года были периодом отработки технологий и продвижения идеи безбумажного документооборота. ЭЦП в настоящее время большей частью используется во внутреннем документообороте коммерческих организаций и государственных структур, а также между ними и отдельными контрагентами, в соответствии с их договоренностями.
Специалисты говорят о несовершенстве действующего закона об ЭЦП и различных российских законодательных и нормативных актов, касающихся электронного документооборота. Тем не менее в последние годы росло количество удостоверяющих центров, их услуги становились качественнее, а использование электронной цифровой подписи — более широким. В настоящее время наметился переход к следующему этапу развития — гармонизации решений и интеграции систем. На прошедшей конференции эта актуальная тема в той или иной степени затрагивалась в большинстве выступлений.
Конец раздробленности
Специалистов на форум привлекло и то, что регулятору со стороны государства было что сказать. Прежде всего — о развитии системы удостоверяющих центров. Таковых, по данным Росинформтехнологий, насчитывается около 300. Некоторые из них имеют разветвленную сеть представительств, охватывающих всю Россию.
Большинство функционирующих удостоверяющих центров предполагается объединить в общую систему, что должно привести к формированию в России национальной инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Во многих государствах она уже существует. Выполнение задачи по созданию PKI (и ряда других задач) в России возложено на федеральный удостоверяющий центр, созданный на базе НИИ «Восход». Он запущен в опытную эксплуатацию в июне нынешнего года.
Головные центры должны быть также во всех семи федеральных округах. В некоторых они уже имеются. Так, на Северо-Западе головной центр создан на базе компании АНК, а в Центральном округе его функции выполняет уже существующий федеральный центр.
Федеральный и региональные головные центры образуют корневой удостоверяющий центр. Он спроектирован Росинформтехнологиями как территориально распределенный объект, объединенный общей системой управления и обеспечения комплексной информационной безопасности. Заработать этот центр (уже не в режиме опытной эксплуатации) должен в начале 2006 года. Он способен изготовить до тысячи сертификатов ключей подписи в сутки, вести реестр на 300 тыс. сертификатов и поддерживать архив на 2 млн. сертификатов.
«Для обеспечения юридически значимой обработки информации создаваемая инфраструктура должна иметь унифицированные технологии электронной цифровой подписи», — заявил заместитель начальника Управления государственных услуг Росинформтехнологий Алексей Домрачев. В частности, необходимо применение одних и тех же криптографических стандартов.
Программное обеспечение корневого удостоверяющего центра включает в себя «доверенную» операционную систему «Феникс» и специальное программное обеспечение российской разработки. («Феникс», Unix-подобная система с микроядром, разработана несколько лет назад по заказу ФАПСИ в Санкт-Петербургском государственном техническом университете.)
Электронная дружба народов
По словам Домрачева, проблема несовместимости программных продуктов различных производителей при использовании ЭЦП возникает во многих странах. В России вопросы информационной безопасности всегда были приоритетными. В Европе же развитие удостоверяющих центров шло от экономических потребностей. Однако это различие вряд ли будет серьезным препятствием для международного сотрудничества в области применения ЭЦП. Тем более что и в европейских странах акценты уже смещаются в сторону информационной безопасности.
Электронная цифровая подпись уже в обозримом будущем может эффективно использоваться для межгосударственного делового общения. Недавно в Польше прошла пятая международная конференция, посвященная взаимодействию систем удостоверяющих центров разных стран. В ней приняли участие около 150 делегатов из 13 стран Европы и Азии. И впервые на европейском форуме по электронной цифровой подписи была представлена российская делегация во главе с руководителем Росинформтехнологий Владимиром Матюхиным.
Уже есть положительные примеры взаимодействий на международном уровне. В частности, в рамках проекта «Электронная Азия» подписано трехстороннее межправительственное соглашение (Япония — Китай — Южная Корея) о взаимном признании электронных цифровых подписей, эмитируемых единым удостоверяющим центром, расположенным в Южной Корее. В этом году в целях развития трансграничной электронной торговли планируется осуществить взаимосогласованное функционирование удостоверяющих центров в России и на Украине, а также в России и Польше на уровне коммерческих удостоверяющих центров.
Неравное проникновение
Несмотря на начавшуюся интеграцию на международном уровне, в самой России популярность ЭЦП колеблется в очень широких пределах. Особенно в органах региональной власти. Например, около 90% случаев применения ЭЦП на Северо-Западе приходится на Петербург и Карелию.
Среди субъектов федерации признанным лидером в области использования ЭЦП чиновниками вместе с Москвой является Петербург. Сейчас в администрации города выдано 800 электронных цифровых подписей. Еще 400 имеется в системе городского заказа. По словам финансового директора АНК Александра Карпова, «Петербург в отличие от многих других российских городов мог позволить себе внедрить дорогостоящую систему электронного документооборота». По его мнению, скоро поставщики таких систем начнут работать с другими мегаполисами, а потом и с небольшими населенными пунктами. При этом просто «выдавать каждому чиновнику ЭЦП бессмысленно».
«Нужно сначала отстроить в органе власти систему электронного документооборота, в которой он может использовать ЭЦП», — полагает Карпов.
Неплохо обстоят дела с использованием ЭЦП в некоторых федеральных ведомствах. Например, в МЭРТ использование ЭЦП позволило существенно ускорить работу. За один и тот же промежуток времени через чиновников этого министерства теперь проходит в 20 раз больше документов. Скорость рассмотрения документов — один из главных критериев эффективности внедрения электронного документооборота и ЭЦП в органах государственной власти. Практика показала, что, например, экономия бумаги таким критерием никак не может считаться. Электронный документооборот и ЭЦП даже приводят к увеличению канцелярских расходов. Раньше чиновник подписывал документ и передавал его дальше, как правило не оставляя у себя копию; сегодня — обязательно распечатывает.
Теперь не затормозить
Карпов считает, что 2006 год станет годом перехода к массовому использованию ЭЦП, этому отчасти способствует и активная деятельность в области создания системы удостоверяющих центров Росинформтехнологий. Сразу после конференции, прошедшей в Петербурге, Мининформсвязи, в которое входит это агентство, направило заинтересованным ведомствам на рассмотрение новую редакцию федерального закона «Об электронной подписи». Как показала практика, ныне действующая версия вступает в противоречие с внутренней законодательной базой РФ и препятствует международному сотрудничеству.
Тем не менее основная предпосылка для массового использования ЭЦП уже в ближайшем будущем не в активности Росинформтехнологий. Сегодня слишком много мощных ведомств (на конференции, например, были участники из ФСБ и внутренних войск) и коммерческих структур заинтересовано в широком использовании электронной цифровой подписи.
Татьяна Парамонова, первый заместитель председателя Банка России, на конференции объявила о планах перехода к осуществлению расчетов в режиме реального времени. Это потребует повышения безопасности и более широкого использования ЭЦП.
Коммерческие банки также проявляют большой интерес к этой технологии. Они первыми (вместе с госучреждениями) начали применять ЭЦП. За последний год количество сфер, в которых достаточно широко применяется электронная подпись, расширилось вдвое — в том числе за счет страхования, здравоохранения и образования. Однако банки и в будущем будут играть важную роль в расширении сферы применения ЭЦП.
Свою роль может сыграть приход в Россию западных банков и развитие ипотечного кредитования. В частности, зарубежные финансисты привнесут свои технологии проверки претендента на получение кредита. Также банки с другими заинтересованными коммерческими и некоммерческими структурами могут профинансировать выпуск ЭЦП для физических лиц. ЭЦП может размещаться, например, на социальной карте, которая уже имеется во многих городах и выполнена, как смарт-карта.
Обеспечить всех взрослых россиян ЭЦП технически вроде бы уже совсем не сложно. Необходимо лишь решить ряд организационных вопросов. Проблема в том, как заинтересовать спонсоров (если это коммерческие организации), не нарушив закона о защите конкуренции. Например, в небольшом городе банк теоретически может «привязать» к себе граждан социальной картой, если будет финансировать ее выпуск.
С помощью ЭЦП можно идентифицировать граждан в Internet, следовательно, они смогут подавать жалобы в госструктуры по Сети. Такие обращения рассматриваются гораздо быстрее по сравнению с «бумажными». В то время как жалобы, поданные в электронном виде и без ЭЦП, не могут рассматриваться, так как считаются анонимными. Можно даже обойтись без собственной электронной подписи, если, например, сотрудник почты, который ее имеет, уполномочен идентифицировать подателя жалобы по его документам.
На конференции было представлено несколько технических новинок, однако что-либо принципиально новое в этой области сложно придумать. Имеющихся аппаратных и программных средств вполне достаточно, хотя их совершенствование позволяет облегчить переход к массовому использованию электронной цифровой подписи.
Большое значение, по мнению Карпова, имеет активность компаний, выпускающих смарт-карты и токены, которые используются как носители ЭЦП и ключей. В течение прошедшего года почти все они провели работы по сертификации носителей и встраиванию в них алгоритмов ГОСТ. Также важно, что позиция российских контролирующих органов по допуску на рынок носителей на зарубежных микросхемах стала значительно менее жесткой.
Бесприбыльный бизнес?
Несмотря на то что областей применения электронных цифровых подписей много и непреодолимых препятствий к их массовому использованию нет, Карпов считает, что мечта о получении прибыли на выдаче ЭЦП вряд ли у кого-нибудь сбудется. И сейчас большинство владельцев удостоверяющих центров это уже поняли.
Если какие-то компании и получают прибыль благодаря генерации ЭЦП, то делают это не напрямую. Например, «СКБ Контур» имеет 60 тыс. клиентов, которым предлагает системы сдачи отчетности собственной разработки, а чтобы отчетность в электронном виде имела юридическую значимость, еще функционирует в качестве удостоверяющего центра. Зарубежный опыт также свидетельствует о том, что удостоверяющие центры являются либо некоммерческими организациями, либо в лучшем случае оправдывают затраты за счет полученных доходов.
Как бы то ни было, рыночные механизмы регулирования все же работают и в отношении удостоверяющего центра, — за последний год проявилось их определенное стремление к специализации. Требования по защищенности зависят от области применения электронной цифровой подписи. Следовательно, используются различные технологии и программное обеспечение. Поэтому экономичнее специализироваться на какой-то одной области применения ЭЦП.
Однако желание сэкономить, по мнению Карпова, может иметь и негативные последствия. Конкуренция между удостоверяющими центрами может привести к ценовым войнам, поэтому компании будут стараться сократить расходы любым способом. А значит, возникнет соблазн делать это за счет упрощения систем безопасности (то есть за счет повышения рисков при использовании ЭЦП).
Так что погоня за прибылью в системе удостоверяющих центров не только вряд ли имеет смысл, но еще может быть и опасной. В то же время, даже в условиях гарантированной бесприбыльности заинтересованных структур достаточно, чтобы обеспечить все необходимые финансовые вливания в инфраструктуру открытых ключей. Следовательно, массовое использование ЭЦП уже выглядит не фантастикой и даже не отдаленным будущим.
Сеть станет другой
Можно уже говорить о том, что изменится в обществе и различных сферах бизнеса благодаря проникновению ЭЦП в массы. Карпов считает, что практическое решение вопроса надежной персональной идентификации физического лица коренным образом повлияет на информационные технологии, сделав их более простыми и надежными. По его мнению, если сотрудник компании получает смарт-карту со своей ЭЦП и закрытым ключом длиной 512 разрядов, то нелепо не использовать этот ключ в качестве персонального идентификатора для доступа сотрудника в офис, к компьютеру на рабочем месте и т. д. Это означает переход всех систем защиты информации на принципиально новый уровень. ЭЦП также позволяет решать наболевший вопрос авторизации в Internet и защиты переписки.
Все последствия применения этой технологии — а они могут оказаться не только позитивными — сейчас довольно сложно просчитать, поскольку и в других странах национальная инфраструктура открытых ключей существует недавно.