ЭОС: Пока регулятор не даст гарантий, люди не станут доверять ЭЦП

01.01.2010

Интерес к системам криптозащиты и возможностям электронной цифровой подписи в последнее время растет лавинообразно. Причины тому и в инициативах регулятора, и в росте проникновения ШПД, и в компьютеризации. Однако ситуация с развитием и регламентацией этого сегмента рынка все еще оставляет желать лучшего. О том, что сейчас представляет собой рынок криптозащиты в России, каковы перспективы его развития и с какими сложностями игрокам этой отрасли и пользователям решений предстоит столкнуться, рассказывает Василий Овчинников, начальник отдела информационной безопасности компании "Электронные Офисные Системы".

CNews: Василий, скажите, сформирован ли на данный момент спрос на системы криптозащиты?

Василий Овчинников: Назвать российский рынок систем криптозащиты окончательно сложившимся нельзя: он еще продолжает формироваться и увеличиваться. Скорее можно говорить о том, что он динамично растет. Особенно этому способствовали последние изменения федеральных законов, которые регламентируют хождение электронных документов.

Правда, пока мы еще отстаем от европейских стран и США, причем достаточно сильно по целому ряду показателей, и тому есть несколько причин. Во-первых, Россия до недавнего времени жила по, мягко говоря, "неправильному" закону – 1-ФЗ. К реальному хождению цифровых подписей он имел весьма опосредованное отношение. Соответственно, и те криптографические системы, которые были представлены на российском рынке, приходилось "подгонять" под него. Во-вторых, многие наши документы на данный момент в принципе не могут существовать в электронной форме, чего, к примеру, об аналогичных европейских или американских документах сказать нельзя. В-третьих, для признания документов юридически значимыми, в соответствии с 1-ФЗ, требовалось, чтобы средства, которыми эти документы подписывались, проходили сертификацию, достаточно дорогостоящую и длительную. Это приводило к повышению цены на системы, спрос был маленьким, а значит, не было и развития таких продуктов.

CNews: Насколько высока конкуренция среди разработчиков в сегменте средств криптозащиты? Конкурентны ли на российском рынке предложения зарубежных производителей?

Василий Овчинников: В России рынок криптозащиты де-факто монополизирован. У нас есть "Крипто-Про" - и все остальные. При этом в отдельных сегментах рынка некоторые, как правило, крупные компании используют для внутреннего документооборота решения зарубежных производителей – только потому, что у них гораздо ниже стоимость владения. Однако на общий рынок это не сильно влияет, и изменить ситуацию может только доработка и вхождение в силу нового 63-ФЗ "Об электронной подписи". Да и то нельзя утверждать со стопроцентной гарантией, что это кардинально изменит ситуацию: монополисты никогда не отдают свой рынок просто так. Но какие-то изменения обязательно появятся. К примеру, в России наиболее распространен стандарт Х 509, по нему все и живут, но ведь есть другие стандарты, которые в ряде случаев могут быть существенно дешевле и удобнее с точки зрения организации инфраструктуры. Сейчас сложно прогнозировать, как будет развиваться рынок в случае приведения закона в порядок – слишком много изменений в целом случилось за год, слишком сложно предсказать их последствия.

Ясно одно: без воли регулятора развития рынка не будет. Все боятся оказаться в такой ситуации, когда даже при условии договоренностей с партнерами об использовании определенных решений для обмена документами в электронном виде, эти документы не будут признаваться юридически значимыми. И если один из партнеров нарушает правила игры, и необходимо судебное разбирательство, никто не поручится, что суд признает документы действительными. В России есть примеры того, как электронный документ без цифровой подписи был признан юридически значимым на основе анализа переписки и поведения партнеров до конфликтной ситуации. А есть и обратные прецеденты: документ с электронной подписью не признавался. Так что пока не будет урегулирован вопрос с юридической значимостью, люди не будут доверять электронным документам и подписям, будут бояться пользоваться этим инструментом, хотя он и удобен. Или хуже: будут дублировать все на бумаге на всякий случай, и, как следствие, нести двойные расходы.

CNews: Сейчас зачастую в административном порядке пытаются научить людей пользоваться ЭЦП: выдают ихи нотариусам, и женщинам для оформления "детских пособий", и так далее. Насколько запуск таких проектов может способствовать развитию отрасли?

Василий Овчинников: К сожалению, большая часть проектов по продвижению ЭЦП несостоятельна из-за незнания сущности электронной подписи. Это напоминает мне историю с созданием школьником операционной системы, которая на поверку оказалась уже давно существующей с другим логотипом. Выдать криптографический сертификат на срок больше нескольких лет нереально. По истечении этого срока сертификат может быть дискредитирован – это особенности математики, и чего-либо принципиально нового никто пока не придумал. Соответственно, его надо будет менять, а для этого нужно организовывать инфраструктуру. Так что это утопия: раздать всем сертификаты и обязать пользоваться. В час Х все равно надо будет их обновить – пусть даже в автоматическом режиме. А инфраструктуры для проведения подобной операции нет. Все упирается в необходимость ее создания, организации службы техподдержки, а для этого нужно время и большие деньги.

CNews: В каком направлении будет развиваться рынок криптографических решений и какие тенденции в этом сегменте могут стать определяющими?

Василий Овчинников: Мне кажется, рынок будет развиваться в сторону использования средств криптозащиты на мобильных устройствах. Об этом говорит динамика спроса: если в прошлом году запросов о возможности подписания документов с мобильных устройств практически не было, то сейчас их уже десятки и даже сотни. Так или иначе, производители как криптосредств, так и прикладных решений будут разрабатывать и уже разрабатывают такие системы.

Еще один тренд будущего – решения для частных пользователей. Это как раз то направление, куда многие хотят идти, но ни у кого пока не получается. Если корпоративных пользователей можно обязать обменивать сертификат раз в год – их немного, инфраструктура у компании для этого в том или ином виде должна быть, то частному пользователю придется сначала объяснять, что собой представляет сертификат и зачем его менять, да и уже упомянутые проблемы с инфраструктурой встанут в полный рост. Здесь сложностей много, но и потенциальная выгода может быть высокой.

При этом развитие будет идти в сторону снижения порога вхождения для пользователя и упрощения самих решений. Еще 5 лет назад нормой была ситуация, когда функция подписания электронных документов существовала только интегрировано с ERP-системой. Зачастую после подписания внизу страницы документа печаталась строка непонятных нормальному человеку символов, либо где-то ставилась галочка и т.п. - и по наличию этого элемента человеку надлежало судить о том, что документ подписан. Сейчас же в России представлены решения, которые выводят подписи понятным пользователю образом, привычным по работе с бумагой. С точки зрения получения сертификатов это, конечно, не приносит облегчения, но с точки зрения использования разница очевидна.

CNews: Облегчает ли ЭЦП жизнь пользователям? Каких подводных камней следует опасаться при ее использовании?

Василий Овчинников: Здесь все просто: никто не любит стоять в очередях, терять время, тратить лишние деньги, и работа с электронными документами и подписями может помочь этого избежать. К примеру, у одного из наших клиентов ежедневный документооборот – около 500 документов, причем их обязательно надо хранить. В течение полугода они своими бумагами заполняют немаленький склад. Мы нашли решение, которое позволило ровно в пять раз уменьшить бумажный документооборот. У заказчика сразу решился ряд проблем, накладные расходы на хранение документации снизились в разы.

Пока, правда, говорить о том, что электронная подпись однозначно облегчит жизнь, нельзя – существуют вопросы с хранением подписанных документов. Когда срок действия сертификата подписи истекает, надо как-то "переподписывать" документ, и пока эта процедура не установлена. Можно использовать опыт других стран. К примеру, в Италии есть некие автоматизированные системы, которые перед окончанием срока действия сертификата электронной подписи "подписывают" документ вместе со старой подписью, тем самым гарантируя целостность и ее, и самого документа.

В условиях действия нашего устаревшего закона использование итальянской системы было невозможно в принципе, потому что подпись, поставленная автоматически, не считалась подписью вообще. В новом законе появились упоминания о том, что такая подпись равнозначна подписи, созданной человеком.

Интересно, что согласно нашему "старому" закону, да и новому тоже, если срок действия сертификата электронной подписи истек, подписанный документ все равно считается юридически значимым, если есть доказательства того, что подпись была создана в момент "жизни" этого сертификата. Технически это очень странное решение: если срок действия сертификата истек, он может быть скомпрометирован, а значит и документ изменен, следовательно, и доверять ему в чистом виде нельзя. К сожалению, люди, ориентируясь на этот пункт закона, не задумываются о том, каким опасностям подвергаются их документы и к каким последствиям это может привести.

CNews: ЭОС недавно объявила о завершении бета-тестирования новых версий сразу двух продуктов: системы криптозащиты КАРМа и средства для работы с электронной подписью EDSIGN. Что собой представляет процесс бета-тестирования? Какие задачи решаются в рамках этого этапа?

Василий Овчинников: Альфа-тестирование предполагает запуск и выявление ошибок разработчиками решения непосредственно после его создания. Основная задача альфа-тестирования – заставить решение работать стабильно в идеальных условиях и при идеальной работе пользователя. Бета-тестирование проводится уже тогда, когда продукт, в общем и целом, не "падает", однако при каждом нестандартном шаге могут возникнуть какие-то "непросчитанные" трудности. То есть работать с решением уже можно, но все еще недостаточно комфортно и удобно. Бета-тестирование призвано превратить продукт в полностью работоспособный. Проводится оно практически всегда и внутри организации, и за ее пределами.

Тестирование ядра КАРМы заняло всего неделю. Здесь основной задачей было максимально возможное устранение ошибок в работе системы, потому что приложение критическое, работает с криптографией и от результатов его работы многое зависит. Можно сказать, что полученная версия КАРМы фактически представляет собой патч, решающий существовавшие в предыдущей версии проблемы.

В случае с EDSIGN мы действительно создали другую версию программы: был переработан весь интерфейс, например, добавлены неограниченные по длине текстовые поля, полноценная работа со штампами времени и многое другое. Кроме того, необходимо было определить, насколько комфортно работать с решением,стало ли удобнее, чем в предыдущей версии. Бета-тестирование EDSIGN заняло около месяца.

CNews: Расскажите подробнее о системе криптозащиты КАРМа и средстве для работы с электронной подписью EDSIGN.

Василий Овчинников: Приложение КАРМа выросло из внутренней разработки компании, которая использовалась нами для работы с электронными подписями успешно и довольно давно. Основная задача существования КАРМы – встраивание в другие приложения возможностей криптографии без необходимости сложной интеграции и специальных знаний. Был даже пример, когда пользователь, зная азы программирования в 1С, "прикрутил" работу с электронными подписями к своей системе всего за 40 минут. При этом благодаря КАРМе пользователь получает практически все возможности использования криптографии, которые на данный момент можно представить.

Вторая задача КАРМы – использование ЭЦП конечными пользователями. Для этого в ней есть интерфейс, в котором сделан упор на простоту и максимальную функциональность. В новой версии для каждой операции предусмотрено еще меньшее количество действий для получения результата: если было 3, то стало 2. Кроме того, то приложение, которое ориентировано на конечных пользователей, может служить примером встраивания КАРМы в ERP-систему.

При создании EDSIGN основной задачей была популяризация ЭЦП. В нем мы старались повторить приемы работы с бумажными документами. Точно так же, как в бумажных документах, предлагаются поля: где подписать, куда ввести текст и так далее. Реализована и функция внесения дополнительной информации в уже подписанный документ, ведь в деловой практике документ без регистрационного номера не считается документом, часть реквизитов ставится уже после подписания документа. Формат EDSIGN позволяет вносить в строго отведенные поля документа информацию уже после первого подписания без его разрушения. То есть все происходит так же, как с бумажным документом: сначала руководитель ставит подпись, а потом регистратор вносит номер. В новой версии мы также постарались учесть потребности пользователей, число которых стремительно выросло за последнее время, а соответственно, увеличилось и количество запросов по расширению возможностей приложения. И это не предел, мы будем работать и дальше.

CNews: Что нового появилось в протестированных версиях КАРМыи EDSIGN? Есть ли планы по продвижению этих решений и их дальнейшему развитию?

Василий Овчинников: Разумеется, мысли о будущем есть. Мы планируем угнаться за новейшими технологиями, максимально соответствовать требованиям рынка и увеличивать функционал. К примеру, часть возможностей, которые можно реализовать в EDSIGN и которые для КАРМы являются внешними, мы постараемся реализовать и в КАРМе. Так что каждый желающий сможет сделать аналог EDSIGN в том виде, в котором захочет – в разумных пределах, конечно. То есть мы и дальше пойдем по пути облегчения встраивания работы с электронными подписями в обычные бизнес-процессы. Ориентировочно новые возможности появятся в конце этого – начале будущего года.

Кроме того, идет разработка возможностей подписания документов с любых устройств: удаленных компьютеров, мобильных устройств и так далее. Возможно, этот функционал будет включен в комплект поставки системы КАРМа, а может быть, будет представлен как отдельный продукт.

EDSIGN будет развиваться в сторону повышения юзабилити, расширения функционала. Но главное – мы рассчитываем обеспечить работу с различными наиболее распространенными форматами, такими как .xls, .pdf. Об этом мы говорили уже тогда, когда только представляли EDSIGN, и задача не потеряла актуальность.

Тематики: Интеграция, ПО

Ключевые слова: системы хранения данных, система управления, автоматизация бизнес процессов, автоматизация документооборота, автоматизация делопроизводства, система документооборота, электронный документооборот