Зигзаги электронной подписи

«Директор информационной службы» от 2 марта

Принятый в прошлом году закон «Об электронной подписи» прогрессивен по сравнению со своим предшественником, однако и его ближайшее будущее вряд ли станет безоблачным.

Минувший год был необычайно урожайным на законодательные и нормативные акты в области информационной безопасности. Правда, внимание сообщества в первую очередь концентрировалось на Федеральном законе РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года, тогда как другие законы оставались в тени, и, между прочим, незаслуженно, поскольку, например, Федеральный закон РФ № 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года способен принести очень много пользы компаниям и организациям, работающим в России. Удручающе малое количество реализованных проектов с применением электронной подписи заставляет более детально разобраться в сложившейся ситуации.

Впрочем, далеко не все адекватно представляют себе, что подразумевается под персональными данными и что собой представляет электронная подпись. И если многие понимают, по крайней мере в общих чертах, что такое персональные данные, то, по наблюдениям Артема Сычева, заместителя директора департамента безопасности «Россельхозбанка», относительно того, что такое электронная подпись, далеко не у каждого будет хотя бы версия трактовки. Андрей Комаров, руководитель отдела аудита и консалтинга компании Group-IB, считает, что должен пройти еще как минимум год, а то и больше, чтобы польза электронной подписи стала очевидна.

Виталия Лепехина, руководитель направления аудита и консалтинга компании Softline, напомнила, что, в отличие от закона о персональных данных, закон об электронной подписи — не новый для России. Давно действует закон № 1-ФЗ «Об электронной цифровой подписи» от 10 января 2002 года, однако положения этого документа действительны до 1 июля 2012 года, после чего вступят в силу нормы и требования принятого в прошлом году закона № ФЗ-63. Надо признать, что оба закона требуют дополнений и подзаконных актов. Именно этой причиной обусловлено очень малое число проектов, связанных с внедрением электронной подписи в компаниях.

По мнению Комарова, давно назрела необходимость международного сотрудничества в области обмена электронными документами с соблюдением их юридической значимости. Закон №1-ФЗ не позволял этого делать, так как не коррелировал с требованиями разных государств относительно ЭЦП и практикой ее применения. Новый закон смог приблизиться к европейским принципам использования ЭЦП.

Сейчас готовится пакет приказов со стороны ФСБ и Минкомсвязи, которые должны детализировать правила применения закона об ЭЦП. Отсутствие подобной нормативной поддержки сильно сдерживало использование предыдущего закона на практике. До этого деятельность вокруг ЭЦП не была в достаточной степени регламентирована. «Было непонятно, кто должен заниматься подготовкой подзаконных актов. Эти функции разделяли ФСТЭК и ФСБ по линии криптографии, но никакой координации между их действиями не было. Кто отвечает за проект в целом, было неясно, а одной криптографией вопросы не решить», — комментирует Комаров.

В новой редакции пароль для доступа приравнивается к простой подписи — это хорошо. В законе № 1-ФЗ не было четкого определения, что такое электронный документ, поэтому непонятно, к каким документам закон имеет отношение. В этом основная сложность, считает Сычев: «Согласно предыдущему закону, должен быть создан государственный корневой удостоверяющий центр, который раздавал бы «грамоты» доверия. В новом законе эту идею трансформировали, но как она будет реализована, пока непонятно. Неясно, как будет происходить аккредитация удостоверяющих центров и как она повлияет на возможность приема ЭП в разных информационных системах. Несмотря на то что новый закон декларирует возможность применения единожды выданной электронной подписи в разных информационных системах, на самом деле это не работает — нет единых стандартов и не решен вопрос совместимости разных средств и систем».

По новому закону под понятие «электронная подпись» подпадают одноразовые коды и пароли. Это хорошо, так как необязательно будет применять криптографию — чтобы удостоверить что-то, достаточно воспользоваться одноразовым кодом, полученным через SMS. Это удобно. Тем не менее Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco, сдержанно относится к оценке перспектив использования этих возможностей, так как, по его мнению, если приказ ФСБ, касающийся требований к средствам генерации подписей, примут в том виде, в каком он есть сейчас, то одноразовые коды подпадут под средства криптографической защиты. Следовательно, их применение будет связано с рядом сложностей, в том числе получением лицензий, сертификацией и пр.

Перед лицом мобильности

Несмотря на большой набор противоречий и недопонимание, в корпоративной среде существует практика использования ЭЦП в рамках отдельной компании. Правда, при этом приходится мириться с множеством ограничений. Решение о праве издания электронной подписи принимает владелец соответствующей информационной системы, он может подготовить регламент, сославшись на закон об электронной подписи, который устанавливает применение ЭП как физическими, так и юридическими лицами. Кроме того, от этого же владельца зависит и развитие отношений в случае продажи или приобретения нового актива. Сможет ли он сделать эти отношения комфортными, прозрачными и защищенными для всех или только для ключевых пользователей? Конфликта тут нет, напротив, новый закон предусматривает обеспечение баланса между желанием конечного бизнес-потребителя и его потребностями, с одной стороны, и его возможностями — с другой.

Постепенно появляется практика расследования инцидентов, связанных с ЭП. По опыту экспертов Group-IB, в первую очередь следует обратить внимание на случаи мошенничества. «Были, например, ситуации, когда бухгалтер либо его помощник осуществлял экспорт сертификата рабочей станции (с помощью вредоносного кода либо иным образом) и проводил банковские поручения в отсутствие ключевого сотрудника. Подобная практика, когда несколько бухгалтеров используют один ключ для обращения в банк и ряд сотрудников имеют к нему доступ, — очень распространенная ошибка. Процедура установления, кто именно из сотрудников осуществил операцию, довольно трудоемкая, поскольку требует анализа всех событий на машине, и собрать полноценную доказательную базу бывает очень сложно», — рассказывает Комаров.

Ситуация с электронной подписью — далеко не единственный пример того, как современные технологии стремительно развиваются, в то время как законотворчество очень отстает. До появления новой редакции закона были предпосылки к форсированию некоторых крипопровайдеров на мобильных платформах, но с большим ограничением — средства криптографической защиты должны проходить обязательную сертификацию, и установка подобных средств на мобильные платформы с закрытым исходным кодом либо с кодом, не прошедшим процедуру аттестации на отсутствие недекларированных возможностей, не представляется возможной по ряду причин.

По мнению Сычева, неприятный момент в том, что новый закон предполагает следующее: если речь идет о юридически значимом документообороте, то должна быть задействована только «классифицированная подпись», в противном случае — это некая договоренность между участниками обмена, которая дальше может быть подвергнута сомнению в суде. В то же время в случае с квалифицированной подписью возникают другие ограничения — те, что касаются технических средств, прошедших в установленном порядке оценку соответствия. «По сути, это означает сертификацию в ФСБ, — считает Сычев. — Но много ли у нас подобных средств, способных работать на мобильных устройствах? Мне не известно ни одного. Поправьте меня, если я не прав».