Проблематика применения СКЗИ в ЭДО
Краткие теоретические сведения
В рамках этой темы нами будет рассмотрена проблематика применения СКЗИ в таких прикладных вещах, как систмеа электронного документооборота (ЭДО). Мы обсудим, с какими вызовами сталкиваются организации при введении ЭДО. На примере Сбербанка посмотрим, как можно решить основные проблемы при переходе на ЭДО.
ЭДО: две стороны медали.
В любом процессе всегда имеется две стороны. ЭДО — не исключение.
1. Рассмотрим лицевую сторону медали (рис. 15, слева):
Мобильность предполагает, что с любого мобильного телефона, в любой точке мира сейчас можно подписать документ и отправить.
Гарантированность доставки. Текущие средства информационных систем и средства информационной системы электронного документооборота позволяют, в отличие от Почты России, гарантировать доставку документа до адресата, контрагента либо участника сделки.
Прозрачность процесса.
В отличие от бумажного документооборота участник может отследить, где сейчас находится подписанный им документ.
Каждый этап жизненного цикла документа квитируется системой ЭДО и подписывается электронной подписью. То есть документ сформировали, подписали, отправили. Факт отправки также подтверждается электронной подписью. Документ поступил в личный кабинет контрагента, этот факт тоже подписывается. Все артефакты собираются, хранятся в системе ЭДО. В случае конфликтных ситуаций они могут быть представлены в суд, т. е. прозрачность - 100 %.
Скорость. В отличие от всех бумажных видов электронный составляется за секунды.
2. Обратная сторона медали (рис. 15, справа). Рассмотренные преимущества ЭДО подразумевают:
разветвленную архитектуру;
высокие требования к каналам передачи данных;
возможность утечек;
вероятность DDoS-атак на информационные системы (в частности, весной 2022 г.);
необходимость поддержания обратного формата совместимости документов (это означает, что через 15—20 лет будет возможность прочитать документы, сгенерированные в электронном виде, проверить электронную подпись);
жесткие временные рамки: в отличие от бумажного документооборота подписать документ в ЭДО «задним числом» невозможно.
Как указанные проблемы решаются в Сбербанке?
В банке есть SOC, который позволяет отслеживать DDoS-атаки и прочие вещи, связанные с утечками. Существует также фонд проектной документации — своего рода архив, в котором «складируются» дистрибутивы программного обеспечения. С целью резервирования каналов связи банк заключает договоры с крупнейшими операторами связи, магистральными провайдерами. Каждое решение проходит через архсовет. Электронный документооборот позволяет обеспечивать конфиденциальность передаваемых данных за счет соответствующих средств защиты.
В основном применяются СКЗИ. Их надо поддерживать в актуальном состоянии: следить за сертификатами, обновлять, внедрять парольные ролевые политики, которые позволяют предотвращать доступ к личным кабинетам. В Сбербанке это решается за счет СКЗИ канального и программного уровня.
Внедряются виртуальные рабочие станции, системы удаленного доступа и ролевой модели, DLP-системы, IRM-системы защиты документов. Крайне важно физическое разделение зон (EMZ, DMZ, Дельта, Сигма, Альфа). Самая защищенная зона, не имеющая прямого выхода в Интернет, - Пенал. Там располагаются критически важные системы, в том числе системы удостоверяющего центра. Современная система ЭДО не может существовать без комплексного подхода, развитой IT-инфраструктуры.
Набор политик, стандартов, регламентов позволяет правильно распределить зоны ответственности и порядок действий в случае конфликтных ситуаций. Согласно последним исследованиям, затраты на электронный и бумажный документооборот сопоставимы.
Для крупных компаний, в том числе для Сбербанка, на первый план выходит не экономия, а удобство использования.
ЭДО - это удобный поиск и удобное архивирование. Основное назначение СКЗИ в системах ЭДО — это обеспечение юридической значимости.
В соответствии с Федеральным законом № 63-ФЗ существует три вида электронной подписи:
простая;
усиленная квалифицированная (УКЭП), используется без дополнительных соглашений;
усиленная неквалифицированная (УНЭП), используется с соглашением.
В банке есть СберДокс — внутренняя система ЭДО. Там применяется как УНЭП, так и УКЭП.
3. При отправке документов через систему межведомственного электронного взаимодействия в госорганы, при приеме сотрудников на работу используется УНЭП, а также соответствующее соглашение. СфераКурьер — бизнес-продукт банка. Клиенты — юридические лица — могут обмениваться юридически значимыми электронными документами. Также СКЗИ используется для идентификации пользователей и обеспечения конфиденциальности.
В совокупности это обеспечивает высокий уровень кибербезопасности. Сбербанк использует сертификаты усиленной электронной подписи, сертифицированные СКЗИ и криптографическую аутентификацию по протоколу НМАС для облачных сервисов электронной подписи. ЭДО возможен только с применением СКЗИ.
Что будет, если СКЗИ не применять?
Обеспечение юридической значимости. Целостность документа достигается средствами системы, а неотказуемость от авторства достигается логами системы. Здесь фактически доверие происходит в отношении самой системы ЭДО без дополнительных средств.
Согласно Федеральному закону № 63-ФЗ, криптография при использовании простой электронной подписи не нужна. Целостность документа средствами системы теоретически и технически можно обеспечить, но это требует повышенного внимания — так же, как и логи системы.
Соответственно, и простая электронная подпись (логин, пароль, биометрия, палец, лицо) плюс соглашение тоже очень пограничная вещь. Но для нерисковых операций применяется простая электронная подпись плюс соглашения.
Например, в СБОЛе, когда вы нажимаете «Подтвердить перевод», используется простая электронная подпись. И в кадровом ЭДО есть варианты использования простой электронной подписи. Каждый сотрудник при приеме на работу/при кадровых изменениях подписывает соответствующее соглашение.
Для идентификации пользователей может быть применен цифровой ID либо биометрия, но конфиденциальность передаваемых данных без СКЗИ может достигаться только штатными мерами или самими средствами системы. Для идентификации пользователей в Сбербанке используются Сбер ID и SmartBIO. При этом конфиденциальность передаваемых данных обеспечивается не штатными мерами, а сертифицированными СКЗИ. Применение средств криптографической защиты информации в ЭДО позволяет обеспечивать высокий уровень кибербезопасности.
Проблемы при использовании средств с СКЗИ
Прежде всего встраивание CSP Необходимо проводить оценку влияния окружения. Однако в режиме DevOps это делать невозможно. Выход есть — реализация концепции «непрерывной сертификации» и согласование подхода с регулятором. Еще одна проблема — встраивание SDK. Любой SDK, существующий на рынке, содержит ограниченный набор клиентских сценариев и пользовательского интерфейса.
Здесь поможет кастомизация решений с привлечением вендоров и регулятора.
4. Сбербанк участвует в профильных комитетах (ТК-26, ТК-362), ведет прямой диалог с регуляторами и вендорами, как и некоторые другие крупные компании (Мегафон, ВТБ, Тинькофф). Однако большинство игроков рынка занимают выжидательную позицию.
Из регуляторных проблем самой острой является отсутствие на рынке сертифицированных средств УЦ и ЭП, которые можно использовать для предоставления облачного сервиса КЭП. После регистрации приказа ФСБ аккредитованные УЦ смогут оказывать сервис облачной КЭП при условии прохождения дополнительной аккредитации и наличии сертифицированных СКЗИ.
Решение простое — сертификация новых средств и аккредитация удостоверяющих центров. Также проблемы связаны с ограниченным перечнем дистанционных способов идентификации при выдаче сертификатов УКЭП.
Есть четыре способа дистанционной идентификации:
УКЭП на УКЭП, когда по квалифицированным действующим сертификатам можно пройти дистанционную идентификацию;
загранпаспорт с биометрией;
использование единой системы идентификации и единой биометрической системы;
ПЭП ЕСИА как дополнительный способ идентификации для выдачи неквалифицированных сертификатов. Решить проблемы можно расширением способов дистанционной идентификации (УНЭП на УНЭП, использование ПЭП ИС).
Организационные проблемы. Полная реализация требований документации на СКЗИ тяжело осуществима и затратна. В этой связи необходима работа с вендором и регулятором по гармонизации требований для соблюдения баланса между «удобно» и «безопасно».
Сбербанк, как и другие крупные игроки, для решения этих вопросов совершенствует внутренние процедуры, регламенты, проактивно работает с регулятором и вендорами.
Вызовы и перспективы
За последние 1,5—2 года мы видим колоссальное снижение количества аккредитованных УЦ. По состоянию на 2-й квартал 2021 года их было более 50, в 3-м квартале 2022 года — 42. Предполагается, что это должно привести к снижению мошенничества в сфере электронной подписи, а также повышению доверия к институту электронной подписи.
Однако проблемы остаются прежними: у каждого аккредитованного УЦ есть свои доверенные лица, которые должны проводить идентификацию (будущего владельца, квалифицированного или неквалифицированного сертификата). К ним доверия пока нет.
Кроме того, никаких других проверок (кроме документарных) при первичной аккредитации нет. Для получения «звания» аккредитованного УЦ достаточно просто собрать пакет документов и отправить в Минцифры. При этом никто не приезжает на место, не смотрит, как организован доступ к серверам УЦ, какие средства там установлены.
5. Со стороны государства возникают предпосылки национализации сферы электронной подписи. С 2020 года вступил в силу Федеральный закон от 27.12.2019 № 476-ФЗ, установивший, что три государственных УЦ могут выдавать электронные подписи по подведомственности:
ФНС - для юридических лиц, индивидуальных предпринимателей;
Казначейство - для федеральных органов исполнительной власти;
ЦБ - для финансово-кредитных организаций.
Существуют также предпосылки национализации сферы платформ подписания. Все это может привести к контролю хозяйственной деятельности субъектов ЭДО. Но в этом есть и минусы для бизнеса — перестройка всех клиентских сценариев. Если раньше Сбербанк как аккредитованный УЦ мог выдавать клиентам квалифицированный сертификат, то сейчас выдает его через УЦ федеральных Госуслуг.
Сбербанк стал доверенным лицом УЦ ФНС. При этом все равно существует зависимость от сторонних поставщиков сертификатов, то есть банк обращается в УЦ ФНС.
Возникает вопрос, кто платит за недоступность сервисов. Из-за этой тенденции наблюдается миграция на аналоги электронной подписи.
Бизнес старается выйти из-под действия Федерального закона № 63-ФЗ и использовать, например, не электронную подпись, а электронную квитанцию/электронный документ.
Развитие облачных платформ очень важно как крупному бизнесу, так и клиенту. К концу 2023 года появились первые аккредитованные УЦ, которые предоставляют сервис дистанционной квалифицированной электронной подписи. Проблема — в отсутствии легитимного облачного сервиса УКЭП.
Бизнес вынужден переходить на мобильную подпись. Там есть определенные ограничения, связанные с хранением ключей на устройстве. Это легитимно, но не всегда хороший клиентский путь. УНЭП и простая электронная подпись в критически значимых сделках и бизнес-процессах должны исчезнуть, останется только УКЭП.
В отношении дистанционных сервисов существует усиленная электронная подпись Госуслуг.
Преимущества:
можно получить за 5 минут (главное — иметь подтвержденную учетную запись);
доступность гос. сервисов;
все документы - в одной корзине.
Последнее преимущество одновременно является и проблемой: когда все документы в одном месте, то в случае утечки база данных будет полностью утеряна.
Все граждане РФ имеют возможность взаимодействия в электронном виде с органами исполнительной власти, муниципальными учреждениями.
Проблемы - те же (все документы в одной корзине, зависимость от стороннего поставщика услуг и самое главное — кто заплатит за ущерб). Внедрение МЧД - автоматизация проверки полномочий подписантов.
Среди проблем - дополнительные расходы бизнеса на внедрение, неочевидная выгода, отсутствие порядка реализации.
Появляются новые способы дистанционной идентификации при выдаче сертификатов ЭП (УНЭП на УНЭП и ПЭП ИС УЦ). Это удобно для клиента, а для бизнеса происходит сокращение затрат.
6. Законодательная база ЭДО как предмет не преподается, научной литературы по этой теме нет.
Однако существует ряд законов и подзаконных актов, на которых держится текущая инфраструктура ЭДО РФ.
1. Федеральный закон от 06.04.2011 № 63-ФЗ (ред. от 02.07.2021) «Об электронной подписи» (с изм. и доп., вступ. в силу с 04.08.2023).
2. Постановление Правительства РФ от 15.07.2021 № 1207 «О проведении эксперимента по использованию усиленной электронной подписи при предоставлении услуг и осуществлении иных действий с использованием федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».
3. Постановление Правительства «О внесении изменений в отдельные акты Правительства Российской Федерации» № 1786 от 07.10.2022.
4. Постановление Правительства РФ от 01.12.2021 № 2152 «Об утверждении Правил создания и использования сертификата ключа проверки усиленной неквалифицированной электронной подписи в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».
5. Распоряжение Правительства РФ от 10.04.2021 № 933-р (ред. от 24.09.2021) «Об утверждении состава Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров».
6. Постановление Правительства РФ от 28.11.2011 № 976 (ред. от 25.09.2018) «О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи».
7. Постановление Правительства РФ от 28.12.2020 № 2309 «Об утверждении требований к порядку предоставления владельцам квалифицированных сертификатов сведений о выданных им квалифицированных сертификатах с использованием единого портала государственных и муниципальных услуг».
8. Постановление Правительства РФ от 29.06.2021 № 1044 (ред. от 04.02.2022) «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи».
9. Приказ Минкомсвязи России от 13.04.2012 № 108 (ред. от 11.04.2017) «Об обеспечении осуществления Министерством связи и массовых коммуникаций Российской Федерации функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров» (вместе с «Положением об информационной системе головного удостоверяющего центра, функции которого осуществляет федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи») (зарегистрировано в Минюсте России 26.04.2012 № 23950).
10. Приказ Минцифры России от 29.10.2020 № 559 «Об утверждении Административного регламента предоставления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственной услуги по аккредитации удостоверяющих центров и Административного регламента осуществления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственного контроля (надзора) за соблюдением аккредитованными 7 удостоверяющими центрами требований, которые установлены Федеральным законом «Об электронной подписи» и на соответствие которым эти удостоверяющие центры были аккредитованы» (зарегистрировано в Минюсте России 03.11.2020 № 60735).
11. Приказ Минцифры России от 13.11.2020 № 584 «Об утверждении Требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей» (зарегистрировано в Минюсте России 02.12.2020 № 61213).
12. Приказ Минцифры России от 02.11.2021 № 1134 «Об утверждении Порядка передачи реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи, в случае прекращения деятельности аккредитованного удостоверяющего центра» (зарегистрировано в Минюсте России 30.11.2021 № 66141).
13. Приказ Минцифры России от 08.12.2021 № 1313 «Об утверждении индикативных показателей, применяемых при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».
14. Приказ Минцифры России от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи» (зарегистрировано в Минюсте России 18.02.2022 № 67348).
15. Приказ Минцифры России от 08.11.2021 № 1138 «Об утверждении Порядка формирования и ведения реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров, включая требования к формату предоставления такой информации» (зарегистрировано в Минюсте России 30.11.2021 № 66117).
16. Приказ Минцифры России от 19.11.2020 № 603 «Об утверждении требований к порядку действий аккредитованного удостоверяющего центра при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а также при приостановлении (прекращении) технической возможности использования хранимыхключей электронной подписи, включая информирование владельцев квалифицированных сертификатов ключей проверки электронной подписи о событиях, вызвавших приостановление (прекращение) технической возможности использования хранимых ключей электронной подписи, об их причинах и последствиях» (зарегистрировано в Минюсте России 22.12.2020 № 61708).
17. Приказ Минцифры России от 26.11.2020 № 624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя — физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре» (зарегистрировано в Минюсте России 22.12.2020 № 61689).
18. Приказ ФСБ России от 04.12.2020 № 554 (ред. от 13.04.2021) «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных 8 сертификатов электронной подписи» (зарегистрировано в Минюсте России 30.12.2020 № 61971).
19. Приказ ФСБ России от 20.04.2021 № 154 «Об утверждении Правил подтверждения владения ключом электронной подписи» (зарегистрировано в Минюсте России 31.05.2021 № 63700).
20. Приказ ФСБ России от 27.12.2011 № 795 (ред. от 29.01.2021) «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (зарегистрировано в Минюсте России 27.01.2012 № 23041).
21. Приказ ФСБ России от 27.12.2011 № 796 (ред. от 13.04.2022) «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» (зарегистрировано в Минюсте России 09.02.2012 № 23191).
22. Постановление Правительства РФ от 21.02.2022 № 222 «Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона «Об электронной подписи».
23. Постановление Правительства РФ от 21.02.2022 № 223 «Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона «Об электронной подписи» доверенностей».
24. Постановление Правительства РФ от 21.02.2022 № 224 «Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона «Об электронной подписи» случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона «Об электронной подписи» случае».
25. Приказ Минцифры России от 18.08.2021 № 856 «О порядке формирования, актуализации классификатора полномочий и обеспечения доступа к нему» (зарегистрировано в Минюсте России 08.10.2021 № 65350).
26. Приказ Минцифры России от 18.08.2021 № 857 «Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи» (зарегистрировано в Минюсте России 08.10.2021 № 65353).
27. Приказ Минцифры России от 18.08.2021 № 858 «Об утверждении единых требований к машиночитаемым формам документов о полномочиях» (зарегистрировано в Минюсте России 08.10.2021 № 65351).
28. Федеральный закон от 06.04.2011 № 63-ФЗ (ред. от 02.07.2021) «Об электронной подписи» (с изм. и доп., вступ. в силу с 01.03.2022).
29. Постановление Правительства РФ от 15.12.2020 № 2101 «Об утверждении размера финансового обеспечения гражданской ответственности юридического лица, предполагающего оказывать услуги доверенной третьей стороны, за ущерб, причиненный третьим лицам вследствие оказания таких услуг ненадлежащего качества».
30. Приказ Минкомсвязи России от 11.04.2017 № 187 «Об обеспечении осуществления Министерством связи и массовых коммуникаций Российской Федерации функции доверенной третьей стороны» (вместе с «Положением о доверенной третьей стороне при обмене электронными документами в случаях, если ее участие в таком обмене предусмотрено международными договорами Российской Федерации») (зарегистрировано в Минюсте России 04.05.2017 № 46598).
31. Приказ Минцифры России от 30.11.2020 № 641 «Об утверждении требований к порядку реализации функций аккредитованной доверенной третьей стороны и исполнения ее обязанностей» (зарегистрировано в Минюсте России 23.12.2020 № 61746).
32. Приказ Минцифры России от 30.11.2020 № 642 «Об утверждении Административного регламента предоставления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственной услуги по аккредитации доверенных третьих сторон и Административного регламента осуществления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственного контроля (надзора) за соблюдением аккредитованными доверенными третьими сторонами требований, которые установлены Федеральным законом «Об электронной подписи» и иными принимаемыми в соответствии с ним нормативными правовыми актами».
33. Приказ ФСБ России от 04.12.2020 № 556 (ред. от 13.04.2021) «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи» (зарегистрировано в Минюсте России 30.12.2020 № 61970).
Перспективные СКЗИ в ЭДО Сбербанка. Примеры успешного внедрения облачных сервисов в Сбербанке:
Облачный сервис неквалифицированной электронной подписи в Сбербанк бизнес-онлайн (УНЭП в СББОЛ) - текущая аудитория - более 320 тысяч пользователей, потенциал - более 800 тысяч. Например, через месяц после внедрения сервиса один из крупных клиентов Сбербанка смог подписать электронной подписью важный документ с борта ледокола в центре Северного Ледовитого океана.
Мобильный УКЭП для клиентов внутренней системы Сенат - используется для принятия решения коллегиальных органов руководителей Сбербанка.
Облачный сервис УНЭП для кадрового ЭДО. Аудитория - более 300 тысяч сотрудников, в потенциале — тиражирование сервиса на процесс приема внешних кандидатов.
Мобильный УКЭП для клиентов Private Banking - в настоящее время пилотируется на группе из 250 клиентов, в перспективе - 6 тысяч.
