Концепция форума предполагает предметный диалог органов власти, науки и промышленности, российских и зарубежных экспертов о создании и внедрении современных технологий электронной подписи (ЭП) и удостоверяющих центров. Мероприятие проходило при поддержке медиа-группы «Авангард», генеральным партнером форума выступает федеральный оператор цифровых сервисов «Ростелеком», официальными партнерами — компании «КриптоПро» и «Газинформсервис».
PKI-форум открыл председатель программного комитета форума, первый заместитель генерального директора — научный руководитель АО «НИИАС» Владимир Матюхин. Он выразил уверенность в том, что благодаря подобным мероприятиям будет решен целый спектр актуальных и злободневных вопросов: например, учтены нормативные аспекты юридически значимого электронного документооборота (ЮЗЭДО) в рамках программы «Цифровая экономика РФ», созданы технические и организационные условия для формирования цифровой среды доверия, урегулированы условия трансграничного взаимодействия, выработаны совместные стратегии для развития бизнеса участников рынка.
Прозвучали также приветственные слова представителей Аппарата Совета безопасности РФ, Правительства Санкт-Петербурга (Комитета по информатизации и связи) и официальных партнеров форума.
Заметная особенность мероприятия — деятельное участие в обсуждении проблем безопасности инфраструктуры открытых ключей (public key infrastructure, PKI) представителей администрации связи. На пленарном заседании с докладами выступили статс-секретарь — заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации Олег Пак и директор правового департамента Минкомсвязи РФ Роман Кузнецов.
Олег Пак остановился на вопросах изменений в законодательных актах государства, связанных с совершенствованием регулирования в сфере электронной подписи. Это необходимо, поскольку на лицо кризис доверия к электронной подписи, обусловленный механизмами ее получения. В Госдуму внесен проект, связанный с повышением требований к удостоверяющим центрам. Поправки к законодательным актам будут касаться полномочий сертифицирующих центров, функции которых выполняют коммерческие организации, что позволит минимизировать различные риски. Кроме того, будет разработан ряд мер, направленных на популяризацию электронной подписи среди физических лиц. Так, запуск проекта электронного паспорта может, по сути, трансформировать работу PKI-инфраструктуры и облегчить пользователям получение госуслуг.
Роман Кузнецов продолжил тему планируемой реформы в сфере квалифицированной электронной подписи. По его словам, удостоверяющие центры недостаточно хорошо справляются со своими задачами: проверки показывают различные нарушения, например, сертификаты выдаются неустановленным лицам, происходит несанкционированный перевод пенсионных накоплений граждан. Государство видит необходимость перехода к выдаче электронных паспортов с одновременным использованием распределенного реестра полномочий. В готовящемся законопроекте будет пункт о том, что за коммерческими удостоверяющими центрами останутся полномочия по выдаче ЭП физлицам, а юридическим лицам подпись будут выдавать госорганы. «Все это должно сохранить и преумножить кредит доверия граждан к электронной подписи», — резюмировал он. Докладчик затронул вопрос о применении облачной электронной подписи и изменении законодательства для того, чтобы благодаря специальной аккредитации облачная подпись также была юридически правомерна.
Александр Баранов, заведующий кафедрой информационной безопасности ВШЭ, рассмотрел актуальные угрозы применения ЭП. По его мнению, главная философская проблема развития ЭП заключается в противоречии между коммерческой выгодой удостоверяющих центров и наложенной на них ответственности перед гражданами и государством, что приводит к повышению затрат и уменьшению прибыли. Спикер поблагодарил Правительство, в первую очередь, за Постановление № 555 от 11.05.2017, предполагающее обязательную аттестацию по ИБ. Он также обратил внимание на то, что в больших массовых системах вместо квалифицированной электронной подписи сейчас используется по сути неквалифицированная (НКЭП), юридические особенности применения которой законодательно слабо определены, и напомнил о новом направлении отрасли — архивном.
В первый день форума состоялись еще две сессии. На сессии, посвященной российским инфраструктурным проектам в отрасли PKI и электронных подписей, были представлены истории успеха в различных сферах экономики.
Пример проекта, реализованного в рамках госсектора, имеет отношение к таможенным органам, где уже несколько лет действует автоматизированная система электронного декларирования. К 2020 году до 80% принятия решений в организации будет происходить без участия сотрудников, что ускорит бизнес-процессы и избавит их от рисков «человеческого фактора» (например, невнимательного просмотра документа и пропуск поддельных бумажных документов), заявил начальник отдела информационной безопасности и технической защиты информации службы информационной безопасности Главного управления ИТ ФТС России Кирилл Романов. Проблемы безбумажного документооборота и использования ЭЦП спикер видит в незаконном использовании ЭП (отсутствие механизма управления квалифицированным сертификатом, передача квалифицированных сертификатов иным лицам, халатное отношение к процессу выдачи, поддельные доверенности
Активно развиваются безбумажные технологии в транспортной отрасли, где грузоперевозки осуществляются на основе электронных юридически значимых документов. Этот процесс начался еще в 2008 году с внутренних перевозок, не требующих вовлечения сторонних организаций и ведомств. Сейчас внутренний электронный документооборот РЖД охватывает более 3700 станций, 12 000 предприятий, 100 тысяч пользователей и 2 млн различных документов ежемесячно. В «цифру» переведены даже такие, казалось бы, консервативные документы, как вагонный лист. Компания нацелилась на цифровизацию импорта, экспорта грузов и транзитных перевозок, и здесь уже требуется участие других организаций, в том числе международных, и контролирующих госорганов: в первую очередь, налоговой и таможенной служб, — говорит заместитель главного инженера Центра фирменного транспортного обслуживания ОАО «РЖД» Юрий Суродин. Отработку технологий внешнего безбумажного взаимодействия в компании начали в 2012 году, к 2017 году был подготовлен и утвержден план совместных действий РЖД, ФТС и ФНС России. В 2017—2018 годах технология уже была отработана на уровне железнодорожных администраций в ходе опытных перевозок — в частности, между Россией и Китаем. Тиражирование технологий безбумажного импорта планируется начать во 2 полугодии 2019 года. Таможенные службы ряда стран уже готовы к электронному взаимодействию не только по грузоперевозочным, но и по товарно-сопроводительным документам.
Позитивный опыт применения PKI в корпоративном удостоверяющем центре продемонстрировал «МегаФон» в рамках совместного проекта с компанией-интегратором «Аванпост». Были реализованы процессы самообслуживания пользователей, достигнуты сокращение времени на выпуск сертификатов и снижение трудозатрат операторов УЦ, обеспечены учет и соответствие законодательству (63-ФЗ и инструкции ФАПСИ). Ядром внедренной системы стал кастомизированный продукт «Аванпост PKI», интегрированный с системой электронного документооборота SAP, СМЭВ, решениями «КриптоПро» и другим смежным софтом оператора. В рамках проекта реализован процесс мобильной электронной подписи, когда мобильное устройство с SIM-картой пользователя можно использовать как средство аутентификации. Подробности проекта раскрыл директор по развитию компании «Аванпост» Олег Губка. «Мы обеспечили выполнение жестких SLA, получили возможность более чем 40 тысячам сотрудников компаний „МегаФон“ и „МегаФон Ритейл“ оперативно получить электронную подпись, снизили различные регуляторные риски и уменьшили трудозатраты операторов УЦ», — резюмировал руководитель удостоверяющего центра ПАО «МегаФон» Игорь Поздняков.
В государственных медицинских учреждениях тоже учатся грамотно применять технологии электронной подписи. Теорией и практикой информационного обеспечения деятельности современного госпиталя поделился помощник директора по медицинским информационным технологиям Всероссийского центра экстренной и радиационной медицины МЧС России им. А.М. Никифорова Михаил Бахтин. В распределенной сети госпиталей в 2010 году перешли с иностранного ПО на отечественное и начали внедрять инструменты PKI. Сегодня в электронной медицинской карте учреждения собраны все данные пациента: записи врачей, результаты анализов, диагностика. Эта информация может быть доступна как врачу, так и пациенту. Кроме того, каждому медработнику выдан сертификат личной электронной подписи. Решена проблема аутентификации специалиста в системе, значительно сократился объем бумажных документов. Определен порядок назначения в электронном виде лекарственных препаратов. Тем не менее стационарная история болезни также ведется: это необходимо для контролирующих органов и прежде всего судмедэкспертов. Однако процесс межведомственного взаимодействия в отрасли еще не до конца проработан.
Руководитель департамента НИИ «Восход» Андрей Пьянченко рассказал о принципах перехода на использование российских криптографических алгоритмов в коммуникациях между государством и обществом. «Мы вынуждены покупать сертификаты за границей, пользоваться западной криптографией при информационном взаимодействии и использовать западную реализацию алгоритмов и протоколов. В результате мы не можем гарантировать доверие к веб-ресурсу, обеспечить защиту данных гражданина и управлять инфраструктурой PKI», — посетовал спикер. Для решения этой проблемы в рамках программы «Цифровая экономика» создается Национальный удостоверяющий центр. К концу 2020 года центр должен быть запущен в эксплуатацию. Кроме того, в перспективе ближайших двух лет в НИИ планируется разработка бесплатного государственного решения для граждан.
Модератор сессии, посвященной доверенным PKI-сервисам, доверенной идентификации и аутентификации, заместитель генерального директора ЗАО «Аладдин Р.Д.» Алексей Сабанов поднял проблему злоупотреблений на рынке электронной подписи. Источником проблемы чаще всего становится недостаточное качество идентификации и аутентификации. Спикер определил понятия доверенного сервиса, уровня доверия, доверия и уверенности; выделил основные проблемы идентификации и аутентификации: нормативно-правовые, организационные, образовательные и научные. Среди организационных — отсутствие единого заказчика со сбалансированными сфере ИБ требованиями, недостаточное количество специалистов. Обозначена также роль этих процессов в PKI: в частности, они должны обеспечить определенный уровень доверия к определению лица, подписавшего документ. Совместно с волеизъявлением при подписании документа, наличием штампа и проверкой полномочий они позволяют решить задачу неотказуемости подписи. Уровни доверия к идентификации продиктованы требованиями ISO/IES 29 003. За рубежом инструментом оценки уровней доверия является NIST SP 800−63−3. Критериями доверия к результатам идентификации становятся достоверность результатов, функциональная надежность системы и выполнение требований ИБ.
Юридические аспекты доверенных PKI-сервисов рассмотрела старший научный сотрудник Института государства и права РАН Нина Соловяненко. По ее словам, доверенные данные -- объект внимания для авторов Концепции устойчивого развития, принятой на Конференции ООН по развитию и окружающей среде в городе Рио-де-Жанейро в 1992 году. К созданию универсальной международной модели сервисов доверия в юриспруденции должно привести преодоление ряда препятствий, таких как отсутствие законодательства, придающего юридическую силу идентификационным данным и доверенным сервисам, различие в законах и подходах, отсутствие механизмов трансграничного юридического признания и других. «Мы переходим от понимания документа как имущества к пониманию электронного документа как действия, процесса, процедуры. Имущественный подход в юриспруденции уходит. Хранение информации рассматривается как некий этап ее движения», — отметила Нина Соловяненко.
Об опыте использования механизмов единой аутентификации пользователей в АС ОАО «РЖД» рассказал начальник Отделения разработки программного обеспечения сервисов электронной подписи АО «НИИАС» Александр Калашников. В компании сегодня используется несколько тысяч автоматизированных систем, так что сотруднику приходится работать с несколькими одновременно. В рамках пилотного проекта в инфраструктуру компании была внедрена система единой аутентификации на базе открытого стандарта OAUTH 2.0 — протокола, позволяющего выдать одному сервису (приложению) права на доступ к ресурсам пользователя на другом сервисе. Использование OAUTH 2.0 возможно на любой платформе с доступом к сети и браузеру на сайтах, в мобильных и десктоп-приложениях, плагинах для браузеров. Возможны несколько вариантов получения маркера доступа: неявный, через пароль пользователя, по коду авторизации, по коду авторизации с ключом подтверждения для обмена кода, по учетным данным клиента. Среди преимуществ системы: упрощение процедуры администрирования пользователей, возможность аутентификации с использованием УЭП, упрощение мониторинга и разбора инцидентов ИБ.
Старший менеджер отдела развития продукта компании «ИнфоТеКС» Римма Бадмаева представила результаты тестирования на площадке НИИ «Восход» решения TLS (Transport Layer Security) ГОСТ в рамках выполнения поручения президента Пр-1380 об использовании отечественных средств шифрования. Исследовались TLS шлюзы нескольких вендоров на общедоступном госпортале ГИС ЖКХ. Главные выводы, сделанные по результатам тестирования: для полномасштабного перехода на TLT ГОСТ необходимо обеспечить доверие к сертификату серверной стороны, иметь возможность использовать любой браузер для доступа к информационным ресурсам, защищенным на алгоритмах ГОСТ, а также принять изменения нормативной базы, упрощающие порядок разработки и оборота СКЗИ на TLS ГОСТ.
Об актуальных трендах услуг доверия в ЕС — спустя три года после внедрения европейского регламента электронной идентификации eIDAS — говорила Алла Столярова-Мыц, менеджер проектов польского провайдера ИТ-решений и оператора удостоверяющего центра Asseco Data Systems. Директива eIDAS, регламентирующая электронную идентификацию и услуги доверия в странах Евросоюза, была опубликована в 2014 году и вступила в силу два года спустя. Положение определяет основные термины, такие как электронная подпись и печать, квалифицированные сертификат и подпись, квалифицированная услуга
Использованы материалы сетевого издания ib-bank.ru (BIS Journal)