19.01.2021
Электронных подписей всё больше: как за ними уследить в рамках организации?
Институт электронных подписей в России проникает во все сферы: электронными подписями (ЭП) пользуются как частные лица, так и организации. Регулятор в свою очередь стимулирует распространение ЭП. Однако ЭП изначально имеет довольно короткий «срок годности» и сертификат ключа её проверки планово и неизбежно истекает, делая подпись «недействительной» в части доверия к сертификату подписи. Это осложняет применение ЭП в «быту» и СЭД. О том, как разработки лидера отечественного рынка ECM-решений ГК «ЭОС» позволяют автоматизировать работу с цепочками доверия сертификатов ЭП в крупных организациях, рассказывает Елисей Иодковский, специалист по информационной безопасности ГК «ЭОС».
- Почему ЭОС решил разработать PKI-сервис? Зачем это нужно компании, которая специализируется на СЭД и ECM?
- В России обращается порядка 5 млн квалифицированных сертификатов ЭП, а также множество внутрикорпоративных неквалифицированных сертификатов ЭП. Во всех СЭД используется электронная подпись, причем ее значимость растет: фактически, в нормативке даже прослеживается идея, что электронная подпись – это основной компонент электронного документа. Есть ЭП – электронный документ, нет ЭП – филькина грамота. Решения ЭОС – не исключение, ЭП в наших продуктах используется очень широко, поэтому именно в нашу техподдержку в первую очередь обращаются клиенты, если у них возникают проблемы с проверкой ЭП. Решение подобных задач отвлекает наших специалистов от тех вопросов, которые действительно могут находиться на нашей стороне.
Конечно, на уровне инструкций PKI все действия прописаны, но кто же их читает? К тому же надо учитывать и тот факт, что многие предприятия и организации используют ЭП в закрытой инфраструктуре, т.е. проверить сертификат онлайн возможности нет. Усугубляет проблему и то, что число используемых сертификатов электронных подписей в крупных организациях растет быстрыми темпами, и сами пользователи часто забывают отслеживать сроки их действия, а специального сервиса для этого до сих пор в экосистеме ЭОСа не было. Сервис, который мы создали, как раз и призван решить данную проблему.
- Какова целевая аудитория данного сервиса? Будет ли он интересен бизнесу или госсегменту?
- Он будет интересен и тем, и другим – всем тем большим организациям, для которых управление сертификатами электронных подписей в какой-то момент превращается пусть и в небольшой, но постоянный процесс, под который необходимо выделять сотрудников. Автоматизация труда этих людей и есть цель сервиса.
- Большие организации в данном контексте – это сколько сотрудников или электронных подписей? Каково должно быть минимальное количество ЭП, чтобы организация задумалась о внедрении подобного инструмента?
- Если опираться на личный опыт, то я ощутил сложности, когда в моей зоне ответственности накопилось больше тридцати сертификатов ключей ЭП. Мне приходилось постоянно вспоминать, какой сертификат еще действует, какой ключ надо использовать и т.д. Для организации мне видится критичным показатель в 50 сертификатов электронных подписей.
- Расскажите, какие базовые принципы лежат в основе решения PKI-сервис?
- Прежде всего, мы опираемся на управление открытой информацией. На рынке есть широкий спектр решений, которые берут на себя весь цикл работы с внутрикорпоративной инфраструктурой электронной подписи, включая управление пользователями, их секретными ключами и носителями ключевой информации. Хорошие, достойные, но и тяжеловесные системы. Однако для наших клиентов более важна часть, являющаяся априори открытой – сертификаты открытого ключа, по которым можно проверить валидность ЭП, но какие-либо действия за владельца сертификата ЭП произвести нельзя. С этой информацией мы и работаем.
Также мы не опираемся на PKI-инфраструктуру, предоставляемую операционной системой, то есть построение и проверка цепочек доверия квалифицированных сертификатов ЭП проходит целиком на российском ПО. Небольшой, но значимый шаг в сторону импортонезависимости в важном вопросе доверия сертификатам ЭП.
Ну и, конечно, сервис делает многие вещи «немножко заранее», поэтому для конечного пользователя многие вещи происходят быстрее.
- Как это работает на практике?
Давайте представим, что сотрудник организации работал с ЭП, его сертификат был поставлен на наблюдение в ЭОС PKI-сервис, как и его коллег. Затем по каким-то причинам этот работник уволился и его сертификат был отозван. ЭОС PKI-сервис поймет это буквально в тот же день, когда удостоверяющий центр опубликует список отзыва, и пересчитает цепочку для этого сертификата. Так что при следующем обращении по проверке ЭП будет выдавать информацию о том, что сертификат отозван. Но это «штатный», автоматический режим, имеющий время срабатывания от суток до недели и даже месяца – это регламентируется работой Удостоверяющего Центра. В ЭОС PKI-сервисе вы можете сразу сделать такой сертификат недоверенным, и это сразу же будет отображаться в СЭД.
- Почему было принято решение сделать отдельный продукт? Может, стоило встроить «ЭОС PKI-сервис» в СЭД «ДЕЛО»?
Да, мы безусловно рассматривали такой вариант. Но у нас есть успешный опыт разработки системы криптографического обеспечения «КАРМА», как отдельного продукта, который может интегрироваться не только с СЭД «ДЕЛО». Так что и в этом случае мы пошли тем же путем: будет создан модуль взаимодействия с СЭД «ДЕЛО», информация из этой системы будет подтягиваться при необходимости, но это будет реализовано на уровне API, межсистемного взаимодействия.
- Сколько времени было потрачено на разработку этого решения?
- Идея разработать подобный продукт у нас возникла достаточно давно – порядка четырех лет назад. Но заказчик, который бы выказал потребность во внедрении решения, появился лишь весной этого года. Один из наших крупных клиентов попросил создать продукт, который бы оповещал о том, что истекает сертификат какой-либо ЭП из находящихся в обращении. В этой организации сталкивались с ситуацией, когда один из руководителей не может поставить электронную подпись на документ или следующий проверяющий видит, что подпись просрочена. Из-за этого останавливаются важные процессы, руководитель недоволен. Мы взялись за дело: проектирование и разработка заняли порядка двух с половиной месяцев. С этим заказчиком и был реализован пилотный проект – весьма успешно.
- Потребовалось ли по результатам пилотного проекта проводить доработку решения?
- Да, это обычная практика. Например, мы изменили принцип оповещения об истечении срока сертификата. Изначально время оповещения было указано с точностью до секунды по каждому сертификату. В результате система высчитывала точное время окончания срока действия сертификата и ровно за 30 дней до этого начинала оповещать. Так как сертификатов у Заказчика много, то и оповещения могли приходить массово и очень невовремя. Мы доработали решение и перешли на отправку агрегированной информации один раз в день. В результате ответственный за процесс сотрудник получает не 20 писем, а одно.
- Каковы планы по развитию решения?
- Мы планируем доработать сам интерфейс продукта, добавить новый функционал. Например, мы обнаружили, что с помощью «ЭОС PKI-сервис» очень удобно сравнивать сертификаты, например, одного и того же удостоверяющего центра. Но чтобы это было не только удобно, но и визуально красиво, надо провести некоторые доработки.
Также мы будем работать над тем, чтобы у администраторов была возможность проводить настройки не через командную строку, а прямо в интерфейсе, предоставим возможность структурировать выгружаемые списки сертификатов – например, по конкретному пользователю.
Добавим и функционал, который будет автоматизировать выпуск нового сертификата ЭП на основе старого. Для организаций, где насчитывается пятьдесят-шестьдесят тысяч пользователей квалифицированной ЭП, это критичный процесс. Сложность в том, что за такое «переиздание» ЭП отвечают коммерческие центры, поэтому необходимо обеспечить еще и процесс оплаты. У нас уже есть идеи, как сделать его максимально простым и прозрачным.
- Есть ли у сервиса экспортный потенциал?
- Безусловно. Хотя при разработке данного продукта мы ориентировались прежде всего на нужды российских организаций, он вполне может быть использован и в других странах – просто цепочки доверия сертификатам ЭП там будут просчитываться с использованием соответствующей криптографии. Если спрос будет, мы будем продавать решение и за рубеж.
Подробнее узнать о возможностях решения «ЭОС PKI-сервис» можно здесь https://www.eos.ru/eos_products/EOS_PKI-servis.php