Публикации

11.06.2021

Электронная подпись: время перемен

В конце 2019 года в Федеральный закон № 63-ФЗ «Об электронной подписи» были внесены изменения. Многие оценили их неоднозначно, и в первую очередь — игроки рынка удостоверяющих центров.

Но я позволю себе не согласиться с критиками новой редакции закона: она не просто благотворно сказывается на распространении электронной подписи, но и закладывает основы для радикального изменения подходов к её использованию — а также к порядку юридического взаимодействия не только среди бизнеса, но и среди конечных пользователей.

Что вызвало опасения рынка

Требования к удостоверяющим центрам, согласно новой редакции № 63-ФЗ, заметно ужесточаются: минимальный размер уставного капитала увеличивается с 7 млн рублей до 1 млрд, сокращается срок действия лицензии. При этом фактически переаккредитоваться УЦ должны уже до 1 июля 2021 года.  Можно смело говорить о том, что большинство работающих сегодня в нашей стране УЦ таким нормам не соответствуют, и после 1 июля их число сократится в разы. Если сегодня в стране работают около 500 таких центров, то по прогнозам экспертов их останется всего несколько десятков. Полагаю, что большинство — удостоверяющие центры, которые структурно входят в состав крупнейших корпораций и обслуживают их интересы.

Да, рынок УЦ ждут серьёзные изменения, которые многими участниками воспринимаются негативно. Но исчезновение множества коммерческих центров, как ни странно, стоит воспринимать скорее позитивно. Дело в том, что подавляющее большинство таких компаний не способны зарабатывать серьёзные средства. Недостаточная прибыльность не позволяет им инвестировать в технологическое развитие, внедрять и развивать современные цифровые системы — а это не лучшим образом отражается на рынке в целом. При этом крупные игроки, напротив, стремятся не просто к технологическому развитию, а разрабатывают новые системы и сервисы, помогающие значительно упростить не только получение ЭП, но и ее использование.

Новое содержание ЭП

Новая редакция закона «Об электронной подписи» коренным образом меняет сложившийся в нашей стране подход к использованию ЭП. Традиционно сертификат ЭП содержал информацию о юридическом лице, а также физическом лице, которое действует от его имени. Новации в законодательстве предусматривают, что электронную подпись юридического лица сможет получить только его руководитель, а все остальные сотрудники организации должны использовать подпись физического лица с прикреплённой к ней доверенностью для совершения действий. Предполагается, что такие доверенности будут машиночитаемыми, и ожидается, что требования к ним будут опубликованы регулятором уже совсем скоро.

Это добавит удобства многим предпринимателям. В качестве примера можно привести бухгалтеров-аутсорсеров, которые теперь могут получить от своих заказчиков необходимые доверенности пользоваться собственной подписью.

Для рынка же это означает важнейшие технологические изменения. Многие УЦ не могут больше работать с юридическими лицами и уже сейчас вынуждены переходить на выдачу подписи «физикам». Но сертификат ключа проверки электронной подписи для физического лица отличается, — как по составу полей и атрибутов, так и в части процедуры его выдачи (УЦ придется проводить проверку данных, указанных в заявлении, во многих ведомственных сервисах, в том числе с использованием СМЭВ).

Это требует от УЦ существенного переоснащения. Все изменения приходится поддерживать технологически: перерабатывать существующие бизнес-процессы и заменять используемое программное обеспечение, а в некоторых случаях – и элементы аппаратной инфраструктуры. Это особенно актуально для компаний, которые используют устаревшее ПО и оборудование, не подходящее для перенастройки под процессные изменения, – им придется инвестировать в собственное перевооружение. Зато те удостоверяющие центры, которые используют современные адаптивные программные решения, не испытывают каких-либо трудностей в реорганизации и перенастройке своих процессов.

Токен или облако: как получать ЭП по новым правилам

Заметные изменения намечены и в процессе выдачи сертификатов электронной подписи руководителям организаций и индивидуальным предпринимателям. Начиная с 1 января 2022 года они будут обязаны получать сертификаты ЭП у одного из трёх федеральных удостоверяющих центров — УЦ ФНС. По той же схеме, только в Федеральном казначействе, будут поступать все государственные служащие, а руководителей банков, страховых компаний и всех организаций, которые регулируются ЦБ, будет обслуживать УЦ Банка России. Таким образом, создаются три федеральных удостоверяющих центра, которые будут заниматься выдачей сертификатов выделенным категориям пользователей.

Среди важных изменений стоит отметить и то, что государство признало использование облачной квалифицированной электронной подписи. Это большой шаг вперед. Кроме того, Правительство теперь наделено полномочиями определять предельную стоимость услуги по выдаче сертификата ЭП. Наконец, определяются правила по удалённой идентификации заявителя на получение сертификата ЭП. Это явное влияние пандемии COVID-19.

Признание квалифицированной облачной электронной подписи — очень важное, знаковое событие. Государство, по сути, декларирует, что заявитель может делегировать удостоверяющему центру право хранить закрытую часть ключа ЭП. Это открывает возможность массового ухода от физических носителей, которые сегодня используются повсеместно. Конечно, это сильно ударит по рынку производителей «токенов», но комфорт и удобство работы пользователей с ЭП повысится в разы. Остаётся ещё множество вопросов, связанных с обеспечением безопасности использования облачной подписи, но потенциал у этой технологии огромен.

Как быть с электронными доверенностями

Одновременно с введением в законодательство новой схемы создания электронной подписи над документом возникают серьезные вопросы: как создавать машиночитаемые доверенности и управлять ими, а также как обеспечить возможность решения конфликтных ситуаций в случае их возникновения, при этом не нарушая существующие бизнес-процессы.

Решение этих вопросов, очевидно, требует создания соответствующих информационных систем и сервисов.

Сервисы управления машиночитаемыми доверенностями и сервисы доверенной третей стороны являются новыми, и готовых программных решений для их обеспечения еще не существует. Крупные игроки задумываются об их создании на базе своих технологических платформ, ищут соответствующих вендоров и разработчиков, которые смогут им их обеспечить, но до решения задачи еще далеко. При этом требования, которые предъявляются законом доверенной третьей стороне, по своей строгости аналогичны тем, что предъявляются к удостоверяющим центрам. Соответствовать им смогут только крупные компании.

Считаю, что владельцем сервисов доверенной третей стороны и электронной доверенности должно стать государство в лице своих ведомств. Таким ведомством, к примеру, может стать Министерство цифрового развития, связи и массовых коммуникаций. Дело не только в том, что создание этих сервисов требует высокой квалификации и объемных инвестиций. Гораздо серьезнее ответственность, ведь речь идет о регулировании отношений между юридическими лицами. В перспективе речь может идти о создании информационной системы федерального масштаба, работающей под эгидой государства. Существование отдельных коммерческих решений, обеспечивающих сервисы третьей доверенной стороны, мне кажется нецелесообразным в силу отсутствия потенциала к массовым продажам на рынке и, как следствие, — экономической необоснованностью создания подобного продукта.

ЭП и технологии

После того, как было принято решение об организации одного из удостоверяющих центров в рамках ФНС (а именно на это ведомство легла самая большая нагрузка, -- ему придется обслуживать огромное количество ИП и юридических лиц), налоговая служба выпустила API для внешних подключений к своей системе для доверенных лиц. Данный API доступен для партнеров ФНС, в задачи которых теперь входит выпуск квалифицированных сертификатов ЮЛ и ИП. Конечно, интеграция с налоговыми сервисами требует от компаний необходимых компетенций и уже упомянутых изменений в бизнес-процессах, а также инвестиций в дооснащение своих систем соответствующим программным обеспечением.

На этой волне и в рамках нашего продукта появилась функциональность, которая позволяет организовать рабочее место оператора УЦ ФНС «из коробки» и реализовать в нём все процессы, связанные с ЭП: от проверки заявителя до выдачи сертификата. Оператор или клиентский менеджер банка (доверенного лица) может подключиться к нашему сервису, заполнить заявление для получения ЭП, отправить все необходимые данные и получить ответ от УЦ ФНС. При этом все необходимые данные в заявку сами «подтягиваются» из различных внешних источников — автоматизированных банковских систем, CRM-систем и других баз данных. В результате создаётся полностью прозрачный бизнес-процесс, который позволяет сформировать необходимый пакет документов, проверить его у регулятора и получить электронную подпись.

Вывод

Первые результаты изменений, внесённых в законодательство, заметны уже сегодня. Прежде всего, начались процессы по созданию федеральных удостоверяющих центров в ФНС, Федеральном казначействе и Банке России. Конечно, это потребовало соответствующего технического дооснащения ведомств, которое вызвало заметное оживление на рынке. Производители ПО столкнулись с необходимостью масштабирования своих продуктов, которые совсем скоро будут обеспечивать массовую выдачу сертификатов ЭП.

Реформа ЭП должна создать новый триггер и для развития систем электронного документооборота. Переход на выдачу машиночитаемых доверенностей будет стимулировать его использование как внутри предприятий, так и при взаимодействии между организациями.

Переход на удалённый режим работы оказал благотворное влияние на распространение электронного документооборота. На него (пусть даже поначалу вынужденно) перешло множество организаций — и в результате число предприятий, которые ведут обмен в электронной форме, значительно возросло. За короткий срок «неофиты» ЭДО смогли убедиться, что пользоваться им гораздо быстрее, удобнее и безопаснее, чем заниматься рассылкой бумажных документов контрагентам. И это ещё один аргумент в пользу изменений законодательства.

Евгений Галкин, системный архитектор Аванпост
Инвест-Форсайт
16.03.2021

Интервью Андрея Конусова: Как снизить риск утечки информации

Злоумышленникам стало легче получить доступ к корпоративным ресурсам в связи с переходом компаний в онлайн-формат. Бизнес почувствовал необходимость создать реальный долгосрочный механизм защиты критически важных информационных систем. Об этом RSpectr рассказал генеральный директор компании «Аванпост» Андрей Конусов. 

25.12.2020

Слабое звено — персонал

Ущерб от утечек информации в российских компаниях ежегодно оценивается в миллиарды рублей, и цифры только растут. В числе главных угроз, если не считать целевых хакерских атак, остаются инсайдеры, готовые за деньги предоставить доступ в IT-периметр злоумышленникам. Однако опасаться стоит не только их — немало утечек происходит из-за банальной халатности и неграмотности сотрудников. Как защитить бизнес от самого слабого звена, «Ко» рассказал Андрей Конусов, генеральный директор компании «Аванпост», разработчика систем идентификации и управления доступом.

Заказать демонстрацию

Спасибо!

Ваша заявка принята! Очень скоро Вы получите письмо с дополнительной информацией.

Спасибо!

Ваш пароль изменен.

Ошибка!

Пожалуйста, заполните корректно все поля.

ок