Электронная подпись выполняет такую же функцию, как ваша обычная подпись, скрепленная печатью:
- Подтверждает подлинность документа: помогает убедиться, что документ не изменили, и что он дошел до получателя в первоначальном виде.
- Позволяет идентифицировать автора документа.
Электронная подпись состоит из открытого и закрытого ключей. Открытый ключ также называется публичным, он доступен всем и используется, чтобы проверить, действительна ли подпись, помогает определить владельца и подтвердить достоверность документа, под которым поставлена подпись. Закрытый ключ — секретный. С его помощью подписывают документ, он доступен только обладателю электронной подписи. С технической точки зрения электронная подпись — это набор символов, закодированных криптографическими средствами.
Ещё подпись защищает документы от несанкционированного доступа через шифрование . Документооборот с контролирующими органами обязательно происходит в зашифрованном виде.
Как работает электронная подпись?
Прежде чем отправить отчёты в налоговую при помощи криптографического средства и открытого ключа получателя, ваш отчет, подписывается, шифруется и передается по защищенным каналам связи. Расшифровать документ сможет только инспектор, получатель отчетности, если у него есть свой секретный закрытый ключ. Затем инспектор присылает вам ответные документы, они шифруются уже на рабочем месте инспектора с помощью вашего открытого ключа и криптографического средства, а расшифровываются на вашем рабочем месте с помощью вашего закрытого секретного ключа.
При расшифровке проверяется соответствие открытого ключа, на который зашифрован документ, и закрытого ключа пользователя.
Электронную подпись выпускает удостоверяющий центр — организация, которая имеет на это право и аккредитацию. После подписания договора и других документов УЦ выпускает сертификат для вашей фирмы.
Электронную подпись можно хранить на компьютере, флешке или рутокене. Рутокен — это usb-средство аутентификации с дополнительной защитой доступа к ключам. Тогда для того, чтобы электронная подпись работала, установите на компьютер криптографическое программное обеспечение.
Квалифицированная электронная подпись
1 июля 2013 года утратил силу Федеральный закон № 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. Ему на смену пришел закон № 63-ФЗ «Об электронной подписи» от 06.04.2011, который вводит понятие квалифицированной электронной подписи или КЭП.
В связи с изменениями законодательства электронная подпись для представления отчетности в КО действует до 31 декабря 2013 года, а с 1 января 2014 года её нужно заменить на квалифицированную.
С 1 июля 2013 года, все пользователи Контур.Эльбы начали получать квалифицированную электронную подпись. Если вы получали электронно-цифровую подпись до 1 июля, то сервис предложит заменить ЭЦП на КЭП. Процедуру можно пройти онлайн, без визита в сервисный центр, если на момент оформления заявки ваша подпись действительна, а реквизиты не менялись.
Чем электронная подпись отличается от квалифицированной электронной подписи?
Принципиальных отличий между ними нет. Есть несколько законодательных и технических моментов.
Например, по закону № 63-ФЗ электронный документ, подписанный КЭП равнозначен документу на бумажном носителе, подписанному собственноручной подписью. В законе №1-ФЗ равнозначными признавались подписи.
Технические преобразования электронной подписи не изменят вашу работу. Вы по-прежнему сможете отправлять отчетность с любого устройства и из любого места на карте мира.
В облако могут быть перенесены только крипто ключи выпущенные с СКЗИ КриптоПро.
Перенос производится в 2 этапа, они описаны ниже.
Проверка ЭЦП на соответствие предъявляемым требованиям
- В окне «» (Рисунок 3) заполните поле «Имя ключевого контейнера». Оно может быть найдено в списках контейнеров (кнопка «Обзор ») или сертификатов (кнопка «По сертификату »).
Откройте панель управления средства криптографической защиты информации (СКЗИ) КриптоПро CSP («Пуск» – «Панель управления» – «КриптоПро CSP») от имени администратора (Вкладка «Общие» - «Запустить от имени администратора») и перейдите на вкладку «Оборудование» (Рисунок 1).
Рисунок 1 – Настройка считывателей
Нажмите кнопку «Настроить считыватели …». Считыватель USB флеш-накопителя и дискет устанавливается по умолчанию при установке КриптоПро CSP. Проверьте, что на закладке «Считыватели» присутствует пункт «Все съемные диски ». В случае, если пункт «Все съемные диски» отсутствует, его необходимо добавить через кнопку «Добавить …» (Рисунок 2).
Рисунок 2 – Управление считывателями
Убедитесь, что чистый USB флеш-накопитель подключен и доступен.
Перейдите на вкладку «Сервис» и нажмите кнопку «Скопировать
».
Рисунок 3 - Вкладка «Сервис» кнопка «Скопировать»
Откроется окно «Копирование контейнера закрытого ключа».
После того, как ключевой контейнер будет найден, нажмите кнопку «Далее ». Если на доступ к закрытому ключу установлен пароль, то он будет запрошен.
Введите пароль и нажмите кнопку «ОК
». Откроется окно ввода параметров нового контейнера закрытого ключа (Рисунок 4).
Рисунок 4 - Окно ввода параметров нового контейнера закрытого ключа
Откроется окно «Копирование контейнера закрытого ключа
» (Рисунок 5).
Рисунок 5 - Окно «Копирование контейнера закрытого ключа»
Введите имя нового ключевого контейнера и установите переключатель «Введенное имя задает ключевой контейнер
» в положение «Пользователь
».
Нажмите кнопку «Готово». Откроется окно, в котором необходимо выбрать USB флеш-накопитель для размещения скопированного контейнера (Рисунок 6).
Рисунок 6 - Окно выбора носителя
Нажмите кнопку «ОК
». Откроется окно создания пароля на доступ к контейнеру закрытого ключа (Рисунок 7).
Рисунок 7 - Окно ввода пароля
На данном шаге следует создать пароль для нового контейнера закрытого ключа и подтвердите его. Этим паролем будет защищена цифровая подпись
, его понадобится вводить при каждом обращении к ней. После ввода необходимых данных нажмите кнопку «ОК». Средство криптографической защиты информации (СКЗИ) «КриптоПро CSP» осуществит копирование контейнера закрытого ключа на USB флеш-накопитель.
Для копирования открытого ключа ЭЦП запустите панель настройки Internet Explorer («Пуск
» – «Панель управления
» – «Свойства браузера
» (Рисунок 8)) и перейдите на вкладку «Содержание
» (Рисунок 9).
Рисунок 8 - «Панель управления
» – «Свойства браузера
»
Рисунок 9 - «Свойства браузера » - «Содержание » - «Сертификаты »;
На вкладке «Содержание» нажмите на кнопку «Сертификаты». В окне «Сертификаты» выберете связанный с закрытым ключом сертификат ЭЦП и нажмите кнопку «Экспорт…» (Рисунок 10).
Рисунок 10 – Оснастка «Сертификаты»
Откроется окно «Мастер экспорта сертификатов
» (Рисунок 11).
Рисунок 11 – Мастер экспорта сертификатов
В открывшемся окне мастера экспорта сертификатов нажмите кнопку «Далее
». На следующем шаге откажитесь от экспорта закрытого ключа, установив флажок «Нет, не экспортировать закрытый ключ
» (Рисунок 12) и нажмите кнопку «Далее».
Рисунок 12 – Выбор типа ключей для экспорта
На следующем шаге выберете формат файла сертификата ЭЦП, установив переключатель в поле «Файлы X.509 (.CER) в кодировке DER», и нажмите кнопку «Далее
» (Рисунок 13).
Рисунок 13 – Выбор формата файла сертификата ЭЦП
На завершающем этапе укажите имя и расположение файла и нажмите кнопку «Далее
». На последнем шаге мастера проверьте выбранные параметры и нажмите кнопку «Готово
» (Рисунки 14 и 15).
Рисунок 14 – Указание пути сохранения и наименования сертификата
Рисунок 15 – Сохранение сертификата ЭЦП
Файлы полученные в результате вышеописанных манипуляций следует поместить в папку и скопировать в облако по пути «W:\ЭЦП ». Данная папка доступна только основному пользователю .
В результате должно получиться примерно следующее «W:\ЭЦП\ООО Тест» (рисунок 16).
Рисунок 16 - ЭЦП скопирован в облако.
Установка производится специалистами по информационной безопасности, они работают по будням с 9 до 18 по Мск. В заявке следует указать название папки, в которую вы сохранили ЭЦП.
Если Ваши ключи выпущены с помощью СКЗИ VipNet, то работать на терминальной ферме (через удаленный рабочий стол или RemoteApp) они не будут. В таком случае работа может производиться на локальном ПК с использованием тонкого клиента, подробнее об установке и работе в .
Если вариант работы в тонком клиенте Вам не подходит, то ЭЦП следует перевыпустить через КриптоПро, по вопросу одобрения заявки на переиздание сертификата следует обращаться в свою обслуживающую организацию.
Тенденция нескольких последних лет говорит о том, что многие сервисы переходят из традиционных десктопных инстилляций в облака. Не стало исключением и электронная подпись . Однако миграция ЭП в облака воспринимается сообществом пользователей и экспертов пока еще весьма неоднозначно. Среди несомненных преимуществ новых облачных решений особняком стоят вопросы обеспечения информационной безопасности. Однако, ни технологии ни законодательство не стоят на месте, и вскоре можно ожидать нового витка развития электронной подписи с участием облачных вычислений
Электронная подпись как основа юридически значимого электронного документооборота
Электронная подпись (далее по тексту - ЭП) согласно Федерального закона №63-ФЗ от 06.04.2011 года является обязательным юридически значимыми реквизитом электронного документа. По мимо этого в законе так же сказано, что ЭП является абсолютным аналогом собственно ручной подписи поставленной на бумажном документе. В виду этого логично и вполне обосновано считать, что электронный документооборот является реальной альтернативой традиционному делопроизводству в целом и в частности отдельным процессам заключения и подтверждения различных сделок, соглашений, договоров, контрактов и т.п.
Согласно выше обозначенного федерального закона ЭП, как обязательный элемент ЭДО призвана обеспечить три ключевых задачи:
1. Обеспечить однозначную идентификацию лица, подписавшего
документ;
2. Обеспечить защиту от несанкционированного изменения документа;
3. Обеспечить юридическую силу электронного документа.
Юридическая значимость использования ЭП закреплена в ряде отечественных нормативных документов. Приведем несколько основных ссылок:
- · Ст. 160, 434, 847 ГК РФ, которые регламентируют практическое использование электронных подписей в документообороте.
- · Федеральный закон №63-ФЗ «Об электронной подписи» от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.
- · Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.
- · Федеральный закон 402-ФЗ «О бухгалтерском учете» от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.
- · Согласно п.3 ст.75 Арбитражного процессуального кодекса РФ , документы, полученные с использованием информационно-телекоммуникационной сети Интернет и подписанные электронной подписью, допускаются в качестве письменных доказательств в арбитражных спорах.
Все выше указанные факты и доводы означают, что, используя ЭП мы всегда можем чётко знать кем и когда был подписан документ, быть уверенным в том, что после подписания в документ не были внесены какие-либо изменения, и в случае разногласия сторон и последующих судебных разбирательств обеспечить неотказуемость факта свершения сделки (заключения контракта и т.д.).
В настоящее время законодательством установлена три варианта использования ЭП на территории Российской Федерации, это:
- · Простая ЭП;
- · Усиленная не квалифицированная ЭП;
- · Усиленная квалифицированная ЭП.
Чем же они отличаются и какую же ЭП можно и нужно использовать для совершения финансовых операций? Чуть ниже мы их разберем . И так, начнем (см. рисунок 1)
1. Простая электронная подпись
Простая подпись или как часто ее еще называют связка «логин-пароль» - это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Классический пример, когда вы введёте пин-код вашей кредитной карты, скажите парольную фразу (метка голосом) в телефонном разговоре с кол-центром банка и тому подобное – всё это будет вашей Простой Электронной Подписью . Иными словами, единственная функция такой подписи - подтверждение авторства , идентификация личности. Простая ЭП обеспечивает базовый уровень защиты и аутентификации. К примеру. Она подпись применяется для получения доступа к возможностям Единого портала госуслуг . Простую электронную подпись категорически нельзя использовать при подписании электронных документов или в государственной информационной системе (ГИС), которые содержат гостайну.
2. ЭП является усиленной НЕквалифицированно й , если выполняются следующие условия:
- · получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- · позволяет определить лицо, подписавшее электронный документ;
- · позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- · создается с использованием средств электронной подписи.
Усилинная НЕквалифицированная ЭП позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают надежную защиту документов в соответствии с российскими ГОСТ по шифрованию. Такая подпись вполне подойдет для внутреннего документооборота в компании, а также для отправки электронных документов из одной компании в другую. Неквалифицированная электронная подпись также подходит для участия в электронных торгах.
3. Ну и, наконец третий вариант, когда ЭП является усиленной квалифицированной , если соответствует всем вышеперечисленным признакам неквалифицированной ЭП и двум следующим дополнительным признакам:
- · ключ проверки электронной подписи указан в квалифицированном сертификате;
- · для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом
Стоит отметить. что программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности . Следовательно, квалифицированная электронная подпись наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. Контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП
Рисунок 1. Виды электронных подписей
За последние несколько лет в ИТ-индустрии прочно закрепились тренды перехода от эксплуатации собственной ИТ-инфраструктуры к использованию облачных вычислений. Это прежде всего замена традиционных ИТ-систем изначально разворачиваемых на материально-технической базе каждой отельной взятой компании на сервисы по требованию, т.к. SaaS,PaaS и IaaS. По данным свежего исследования «Облачные услуги в корпоративном секторе, Россия 2017». от компаний SAP и Forrester, облачные технологии в России будет расти быстрее, чем весь ИТ рынок взятый в целом: так при среднегодовом темпе в 21% рынок облаков вырастет в 3 раза по сравнению с показателями 2015 года. В докладе сообщается, что крупный бизнес в настоящее время максимально готов к использованию облачных услуг: в этом сегменте свыше 90% опрошенных знают про облачные услуги, в малом бизнесе – свыше 70%. В крупном бизнесе 54,5% опрошенных пользуется одновременно облачными услугами из двух и более категорий, в среднем бизнесе – 50%, в малом – 43%.
Текущая ситуация с использованием облачной ЭП в РоссииСовсем недавно, в июне 2017 года стало известно о том, что ФСБ совместно с «Ростелекомом» создают электронную подпись, которая «взорвет и перевернет рынок» . Идея все та же, создать ЭП не требующую использования токена (носителя на флешке). Об этом рассказал директор по электронному правительству в «Ростелекоме» Михаил Бондаренко. «У меня есть данные от коллег с Лубянки о том что до конца года должно выйти некое решение, которое позволит делать доверенные ЭЦП облачными, - сказал он, не приведя каких-либо подробностей, но противопоставляя это решение распространенным сегодня электронным подписям на токенах. - На наш взгляд это взорвет и перевернет рынок доверенной авторизации и идентификации», - добавил он. Но есть нюанс, по мимо использования «облаков» предполагается еще и задействовать биометрию, т.е. индивидуальные биометрические характеристики каждого человека как параметры для его уникальной аутентификации.
Как сообщает тот же источник со слов Бондаренко - «Предполагается, что «Ростелеком» станет оператором этой платформы и два года будет проводить пилотный эксперимент с банками, в точение этого времени услуги по биометрической идентификации будут предоставляться им бесплатно» , отметив, что в уже стартовавшем пилоте участвует порядка десяти банков, включая Сбербанк, ВТБ и Газпромбанк.
При этом закончить создание платформы оператор намерен до конца 2017 г. К тому же только с 1 января 2018 г. предположительно вступят в силу поправки в 115 федеральный закон, разрешающие использовать биометрическую идентификацию в финансовом секторе - для открытия-закрытия счетов, размещения и снятия вкладов, переводов и т. д. Таким образом, по словам топ-менеджера, уже рассматривается идея создания на базе национальной биометрической платформы «национального банка идентификации и авторизации» жителей России.
Комментарии экспертов:
«По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона. Технология «облачной» электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов «СКБ Контур», сделавших выбор в ее пользу», – рассказывает эксперт Казаков.
«Облачная» электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, «в облаке», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптовалют. - Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО». Чепкасов отмечает , что одно из ключевых преимуществ «облачной» подписи – это возможность подписания документов и их отправки из любой точки мира и с любого устройства.
Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.
Игорь Чепкасов рассказывает о возможностях использования ЭП в новых сервисах и услугах, к примеру, построенных на технологии Blockchain , а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компрометации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом» , – рассказывает он. Так по мнению эксперта, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в роли одной из сторон, участвующей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей» , – отмечает он.
В настоящее время сертификаты ключей проверки электронной подписи (СКП) выпускаются на специальных носителях, рассказал замглавы Минкомсвязи Михаил Евраев. При этом средняя стоимость такого СКП составляет около 5 тыс. рублей. «Система облачной электронной подписи позволит создавать подпись без материального носителя, что значительно снизит стоимость ее использования и повысит безопасность применения», - пояснил замминистра.
Ситуацию так же прокомментировал интернет-омбудсмен Дмитрий Мариничев, который уверен, что в технологиях ЭП произойдет настоящая революция, как это уже случилось несколько лет назад с накопителями информации. Например, еще в 90-х фильмы продавались на VHS-кассетах, в 2000-х они появились на CD, затем на DVD, и через десять лет в конце концов распространяются на флеш-накопителях и в интернете.
Перспективы использования облачной ЭП для банковской отраслиЭлектронная подпись задумывалось как универсальное средство подтверждения юридической силы совершаемых операций, и в виду этого имеет широкий спектр применения, от пользования порталом гос услуг до обеспечения электронного документооборота между организациями и государственными контролирующими органами. Для банковской отрасли ЭП физическими и юридическими лицами чаще всего используется для совершения финансовых операций через сервисы ДБО. Это включает в себя и онлайн доступ в личный кабинет посредством web-технологий и мобильный банк, т.е. управление счетом через социализированное приложение со смартфонов и планшетов.
К примеру, ЭП для физических лиц в крупнейшем федеральном банке - Сбербанке дает возможность банковской организации уменьшить оборот бумаги и увеличить скорость обслуживания посетителей. То есть во время открытия депозита вместо установки подписи на 4-х разных документах посетителю нужно будет 1 раз набрать свой ПИН (пароль к ЭП). Данный вид технологии сможет обеспечить проведение двойной клиентской идентификации с использованием паспорта и при помощи карточки с ПИН-кодом, который сможет знать лишь владелец. Благодаря этому можно также будет предотвратить вероятные факты мошенничества. Так по внутренним данным Сбербанка актуальных на 2014 год, в течении двенадцати месяцев после запуска такого сервиса, только жителями Москвы было совершено больше трёх миллионов операций с применением подписи в электронном виде.
Процедура получения соответствующего ключа электронной подписи банка России довольна проста, необходимо пройти онлайн-регистрацию на специализированном сайте «Сбер ключ». Так право на электронную подпись банк даёт любому его владельцу принимать участие в торгах и делать размещение на необходимых электронных ресурсах личные заявления.
Еще одним наглядным вариантом массового использования облачной ЭП может послужить , доступный в интернет-банке «Сбербанк Бизнес Онлайн», который стал официальным инструментом Сбербанка для электронного подписания многосторонних и двусторонних договоров между любыми юридическими лицами и индивидуальными предпринимателями (ИП) – так называемый межкорпоративный ЭДО. Как пояснил , благодаря этой системе трудозатраты на обработку одного документа сокращаются с 2-3 минут до 10-15 секунд. Кроме того, отказавшись от бумажного документооборота, компания может значительно снизить расходы на канцелярские товары, аренду складских помещений, замену расходных материалов для офисного оборудования и т.п.
Проблемы безопасности облачной ЭПНе смотря на все ощутимые плюсы от использования ЭП в облаках, данная концепция не нашла широкой поддержки у экспертов по информационной безопасности. Так, по мнению некоторых специалистов использование средств ЭП в мобильном телефоне тает в себе существенную угрозу безопасности. Не нужно быть специалистом, что бы разглядеть удручающую статистику роста числа мобильных вредоносных программ, перехватывающих СМС-сообщения пользователя, маскирующимся под официальные приложения мобильного банкинга и выполняющие другие несанкционированные действия без ведома пользователя.
В виду этого гарантировать информационную безопасность использования ЭП может только доверенная среда (изолированная), в которой пользователь и технические средства в момент взаимодействия защищены от посторонних вмешательств. Мобильный телефон такой доверенной средой назвать сложно - пользователь может устанавливать любые приложения на свое усмотрение. Хуже ситуация, если только если операционная система устройства «рутована». Однако, выход есть – как уже описывалось ранее это использование специальной SIM-карты, интегрированной с ЭП.
При использовании сервисов ДБО злоумышленники нередко проводят атаку типа «человек в браузере », являющееся частной реализацией атаки «человек-по-середине», когда, подменяя реквизиты легального платежа, показывая пользователю правильные данные, а в банк отправляя свои, подмененные. С новой функцией безопасности такой трюк злоумышленника уже не пройдет - получив реквизиты, специальный апплет на сим-карте выведет их на экран телефона и запросит ПИН-код. Визуально проверив корректность реквизитов, пользователь для подтверждении вводит ПИН-код своей электронной подписи, подписывает их и после отправляет обратно на шлюз, который передает информацию банку.
Сергей Груздев, генеральный директор компании-разработчика отечественных систем криптографической защиты «Аладдин Р. Д» выделяет еще один способ применения данной технологии - «Помимо аутентификации и подписания документов, разработанная система может использоваться для уведомления клиента банка об операциях с его счетом, что стало особенно актуальным в свете вступления в действие девятой статьи 163-ФЗ «О национальной платежной системе» . В отличие от самого популярного на данный момент способа - СМС-информирования, в этом случае гарантируется банковская тайна (никто не сможет прочитать уведомления, ни заразив смартфон вирусом, ни даже подменив базовую станцию), и исключена подмена сообщений злоумышленниками».
Остается другая проблема, когда например, в случае утери и умышленной кражи телефона и сохраненным ПИН-кодом в заметках или иной внутренней памяти телефона. В этом случае злоумышленник, сможет потратить все деньги как минимум с мобильного счета владельца, и, например, подписать обязывающие абонента документы, скажем, оплатить покупки в кредит на одном и популярных онлайн-магазинов. Однако, и эти риски достаточно уверенно предотвращаются примерно так же, как и с платежными и кредитными картами. Владелец счета (карты) может ограничить ежедневный объем и содержание сделок, допустимых с данной SIM-карты, так же использовать опцию отключения своей ЭП на временной период, пока он ею не пользуется.
Как известно, задача электронной подписи состоит в том, чтобы упростить документооборот. Согласно закону 2011 года «Об электронной подписи», цифровой документ, который подписан ЭП, приравнивается к бумажному с рукотворным автографом.
«“Облачная” электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, “в облаке”», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптовалют. Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО. Эксперт отмечает, что одно из преимуществ «облачной» подписи – возможность подписания документов (включая отчетность) и их отправки из любой точки мира и с любого устройства.
Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.
Зачем нужна электронная. Сергей Казаков, эксперт в области информационной безопасности компании «СКБ Контур», напоминает, что с помощью ЭП компании представляют отчетность в налоговую и другие контролирующие органы, ведут электронный документооборот. Цифровая подпись также широко применяется в сфере государственных закупок. «По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона», – отмечает эксперт. «Технология “облачной” электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов “СКБ Контур”, сделавших выбор в ее пользу», – рассказывает г-н Казаков.
Обратите внимание
Пока эксперты рассуждают о распространении «облачной» ЭП, есть одна проблема – вопросы ее применения не прописаны в нормативных актах.
Как отмечает Алексей Дашков, руководитель направления ИБ компании «Системный софт», ЭП выполняет такую же функцию, как и подпись, закрепленная печатью. «Она обеспечивает подлинность документа и состоит из закрытого и открытого ключа. Подписание документа производится с помощью закрытого ключа, который обычно хранится на специальном носителе – токене. Приобрести сервис можно у целого ряда компаний-провайдеров подобных услуг, никаких специальных требований, кроме наличия стандартного комплекта учредительных документов, не требуется», – рассказывает он.
«“Облачная” электронная подпись – это обычная электронная подпись, но с одним отличием: закрытый ключ хранится на серверах удостоверяющего центра, и подписание документов осуществляется там же. Подтверждение личности подписанта происходит обычно с помощью отправки смс с кодом на мобильный телефон», – поясняет г-н Дашков.
Цена вопроса
Игорь Чепкасов рассказал, что стоимость ЭП зависит от ее функциональных возможностей и сферы применения и колеблется от 1000 до 15 000 рублей. «По крайней мере, такие цены я встречал лично, когда мне ЭП нужна была по работе. “Облачная” электронная подпись в некоторых известных мне компаниях стоит 3000 рублей», – делится эксперт.
Стоимость «облачной» подписи варьируется у разных компаний-операторов. Можно найти предложение и за 900 рублей в год. Однако не стоит безоговорочно верить рекламным обещаниям. Советуем подробно ознакомиться с прайсом на «облачную» подпись и узнать, что входит в стоимость, и только после этого принимать решение о ее приобретении.
«Стоимость “облачной” электронной подписи, как правило, включена в тариф того сервиса, который покупает клиент. Единственный сервис “СКБ Контур”, который продает ее отдельно, – это система электронного документооборота “Диадок”. В нем она составляет 900 рублей. При этом обычный сертификат на носителе с лицензией на средстве криптографической защиты информации (СКЗИ) обойдется в 3000 рублей», – рассказывает Сергей Казаков.
Как работает?
В основе работы технологии – специализированный сервер электронной подписи, находящийся «в облаке». «Если пользователю необходимо, например, отправить отчет в налоговую инспекцию, его учетная система взаимодействует с сервером электронной подписи и передает ему документ, который нужно подписать. Сервер электронной подписи обязан запросить разрешение у пользователя – это можно сделать, отправив на его мобильный телефон код подтверждения операции, как в интернет-банке», – отмечает Сергей Казаков. Вводя код подтверждения в учетной системе, пользователь санкционирует доступ к ключу ЭП, и для документа создается подпись. «Все ключи электронной подписи хранятся в зашифрованном виде на специализированном устройстве, отвечающем самым строгим требованиям безопасности. Оператор сервера электронной подписи должен предпринимать все меры для того, чтобы минимизировать риск несанкционированного доступа к ключам», – рассказывает г-н Казаков.
Для того, чтобы использовать «классическую» электронную подпись, нужно приобрести токен и специализированное программное обеспечение – криптопровайдер. «Это немалые расходы, особенно для начинающих предпринимателей. Затем это программное обеспечение нужно установить и настроить, а если вы собираетесь использовать подпись на нескольких рабочих местах – для каждого места отдельно. “Облачная” электронная подпись не требует приобретения ПО и предварительной настройки, ее нельзя потерять или забыть», – отмечает г-н Казаков. В отличие от традиционных технологий, «облачная» подпись доступна пользователям на любой операционной системе и платформе, в том числе на мобильных устройствах.
Алексей Дашков отмечает, что «облачные» ЭП популярны у небольших компаний или индивидуальных предпринимателей, активно использующих сервисы «типа онлайн-бухгалтерий и онлайн-документооборота». В крупных организациях, не использующих «облака», применение такой подписи, по его словам, может оказаться дороже и сложнее, чем применение обычной ЭП.
Каковы перспективы?
По словам Антона Еликова, распространение применения «облачных» электронных подписей очень ждет вся транспортная отрасль России. «Стоит только представить себе ситуацию, когда водитель-экспедитор едет в рейс не с пачкой бумаг, а с планшетом. И прямо на месте отгрузки подписывает с клиентом товарно-транспортную накладную! Но основную пользу “облачная” электронная подпись могла бы принести в случае, когда документ поставки расходится с фактически отгружаемым объемом продукции (пересорт, бой в процессе транспортировки)», – отмечает он. По словам г-на Еликова, таких случаев на практике порой бывает до 40 процентов. «И все эти документы сейчас отправляются в длинный путь взаимодействия бухгалтерий со стороны поставщика и покупателя. Хотя вопрос расхождений мог бы быть урегулирован прямо в месте отгрузки, и факт изменения был бы подтвержден “облачной” подписью», – делает вывод эксперт.
Игорь Чепкасов рассказывает, что в настоящее время уже имеются совершенно новые разработки, использующие технологию Blockchain, а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компрометации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом», – рассказывает он. По словам г-на Чепкасова, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в ро-и одной из сторон, участвующей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей», – отмечает он.
Тем временем, пока эксперты рассуждают о распространении практики применения «облачной» электронной подписи и говорят о возможностях развития технологий, есть одна проблема. Связана она с тем, что сегодня вопросы применения такой ЭП должным образом не прописаны в нормативных актах. Но в скором времени, а именно – в III квартале 2016 года, – россияне получат законодательную возможность использовать электронную подпись без материального носителя – USB-флешки или SIM-карты. Такая норма содержится в «дорожных картах» к программе развития интернета в России, которую Институт развития интернета подготовил для президента РФ. Так что можно ожидать, что компании в скором времени перестанут бояться «облачных» технологий и начнут более активно использовать такую электронную подпись в своей работе.