Журнал о системах электронного документооборота (СЭД)
Электронные документы и обмен ими (ЮЗЭД)

Обмен электронными документами с "физиками": проблемы с подписью

  12 комментариев Добавить в закладки

История с «гражданским» электронным документооборотом развивается давно, но только с появлением электронных госуслуг она получила ощутимый стимул. С этого момента вся теория электронного взаимодействия «гражданин-государство» превратилась в конкретную практику, а электронный документооборот между ними – в реальность.

Но кроме взаимодействия с государством гражданину необходимо общаться с другими организациями. При чем, больше в этом заинтересованы сами компании, которые желают наладить электронное взаимодействие с физическими лицами – медиа-холдинги, пресса, разработчики ПО, дизайн-студии и многие другие. В основном, это те организации, которые часто работают с фрилансерами, внештатными сотрудниками, удаленными авторами и корреспондентами.

Разумеется, работа таких компаний сильно зависит от эффективности процессов документооборота: договоры надо подписывать и закрывать их соответствующими документами, а ждать, пока придет бумага, не хочется. E-mail подходит плохо (хотя Гражданский кодекс и разрешает), поскольку работодателю придется думать, как доставать из электронной почты и обрабатывать все эти документы, особенно, если таких подрядчиков у организации сотни. Нужен не просто «транспорт», а система.

Решение этой задачи может взять на себя оператор документооборота, с помощью которого коммерческие компании обмениваются первичкой. Для этого у него есть необходимая функциональность, зачастую доступная в любом браузере, а физическому лицу достаточно просто приобрести сертификат квалифицированной электронной подписи и зарегистрироваться в сервисе обмена.

Но не всегда обычный «физик» готов заплатить около 1500 рублей и провозиться с установкой СКЗИ только ради того, чтобы, возможно, единственный раз подписать контракт на удаленную работу. А если сумма контракта настолько небольшая, что затраты на подпись превышают размер гонорара? А если удаленный сотрудник далеко от удостоверяющих центров?

Получается, что даже при наличии готовой и доступной технологической платформы главное препятствие для построения комфортного (подчеркиваю) электронного документооборота с физическими лицами – это слабое распространение квалифицированной подписи. Я вижу несколько возможных решений этой проблемы для тех организаций, которые уже не желают ждать, когда электронную подпись можно будет приобрести в каждом почтовом отделении страны.

Простая электронная подпись

Постановлением правительства от 25 января 2013 г. N33 утверждено, что простая электронная подпись (фактически, пара логин/пароль) может использоваться для документооборота в рамках предоставления государственных услуг. Такая подпись не требует установки СКЗИ, создания сертификата, наличие токена, что делает процесс получения проще, быстрее и заметно дешевле. Получить ее можно, всего лишь предоставив паспорт. Выдать простую подпись может сам оператор документооборота, а для дополнительной безопасности можно осуществлять подписание с дополнительной верификацией, например, через SMS-код.

Использование простой подписи для документооборота с физическими лицами – первое, что приходит на ум. Плюсы очевидны: простота использования и бесплатность. Подписать можно любой документ, что для физического лица решает все проблемы… Но не для организации, которая обязана представлять в контролирующие органы документы, подписанные квалифицированной электронной подписью. Как в этом случае действовать – не ясно. Плюс потребуется предварительно заключить на бумаге соглашение об обмене электронными документами с физическим лицом (согласно ФЗ 63). Таким образом, бумагу исключить все равно не получится.

Неквалифицированная электронная подпись от работодателя

Медиа-компания, телеканал или новостное агентство вполне может развернуть у себя собственный удостоверяющий центр для того, чтобы самостоятельно выдавать неквалифицированные электронные подписи своим контрактникам и внештатным сотрудникам. Это могут быть одноразовые или тестовые подписи.

Правда, все равно придется заключать с физическим лицом соглашение об обмене, но зато есть возможность выдавать столько подписей, сколько нужно. И работодателю все-таки придется решать вопрос с предоставлением документов в контролирующие органы, которые не будут принимать акты с неквалифицированными подписями.

Квалифицированная электронная подпись от оператора

Многие операторы уже предоставляют своим абонентам возможность приобретения сертификатов квалифицированной электронной подписи. Это нормальная практика для крупнейших сервисов обмена, которые выдают подписи либо сами, либо через партнеров. В этом случае не надо заключать дополнительных соглашений, все решается удаленно, а подписанные документы можно отправлять в налоговую. А расходы по покупке сертификата может взять на себя сам работодатель, то есть - просто оплатить все за удаленного сотрудника.

УЭК

Универсальная электронная карта (УЭК) – это противоречивый, но весьма интересный проект Минкомсвязи РФ, открывающий возможности и для документооборота. Карта может хранить не только персональные данные и платежную функциональность, но и сертификат электронной подписи.

Граждане получают УЭК в Сбербанке или специальных центрах выдачи. Распространяется карта по всей стране, а значит, является доступным инструментом для всех. Сертификат в УЭК действует три года и совершенно бесплатен, нужен только картридер (card reader), который стоит не очень дорого.

Повозиться с настройкой рабочего места все равно придется: установить картридер и развернуть СКЗИ. Но даже в этом случае дополнительные возможности УЭК – от проезда в транспорте до получения медицинского обслуживания и госуслуг – выгодно отличают этот вариант от других. С учетом того, что ни работодатель, ни оператор не несут дополнительных расходов.

Правда, есть одно «но» – у нас нет практики этого решения, мы не знаем, как по факту будет этот способ работать, и какие доработки операторам документооборота придется делать. Так что, этот способ пока из ряда фантазий.

***

Как видите, вариантов обеспечения физических лиц электронной подписью достаточно для того, чтобы уже сейчас что-то выбрать. Этот список еще можно дополнить другими решениями, даже такими экзотическими, как электронная подпись в облаке или подпись на SIM-карте. Уверен, что и вы сможете добавить парочку, и они тоже, в той или иной степени, будут вполне реализуемыми. Вопрос только в том, какой из них получит наибольшее распространение и поддержку среди операторов документооборота.

Конечно, с ростом межкорпоративного обмена электронными документами, мы ожидаем и развитие практики обмена с физическими лицами. Это будет особенно актуально в свете последних государственных инициатив, направленных на упорядочивание трудовых отношений, например, с фрилансерами. Похоже, что в будущем нас ожидают очень интересные кейсы.

 

Источник: klerk.ru

Ещё материалы автора
Похожие записи
Комментарии (12)
Вадим Майшев 16 апреля 2014 г. 16:03  
История с «гражданским» электронным документооборотом развивается давно, но только с появлением электронных госуслуг она получила ощутимый стимул. С этого момента вся теория электронного взаимодействия «гражданин-государство» превратилась в конкретную практику, а электронный документооборот между ними – в реальность.

Заблуждение. "Электронные госуслуги" не обеспечивают электронный документооборот гражданина.

Получается, что даже при наличии готовой и доступной технологической платформы главное препятствие для построения комфортного (подчеркиваю) электронного документооборота с физическими лицами – это слабое распространение квалифицированной подписи.

Для использования квалифицированной электронной подписи (как и неквалифицированной) нужно создавать условия. Если задача важная (в первую очередь, "окупаемая"), то такие условия создаются - все отработано, никаких проблем нет и все распространено!

Постановлением правительства от 25 января 2013 г. N33 утверждено, что простая электронная подпись (фактически, пара логин/пароль) может использоваться для документооборота в рамках предоставления государственных услуг. Такая подпись не требует установки СКЗИ, создания сертификата, наличие токена, что делает процесс получения проще, быстрее и заметно дешевле. Получить ее можно, всего лишь предоставив паспорт. Выдать простую подпись может сам оператор документооборота, а для дополнительной безопасности можно осуществлять подписание с дополнительной верификацией, например, через SMS-код.

Подпись - это не логин/пароль, ее не "выдают", это нечто, присоединенное к документу, позволяющее установить авторство и обеспечить контроль его подлинности/целостности/достоверности. Пока что нет ни одной технологии, которая бы реализовала простую электронную подпись В электронных госуслугах со стороны гражданина вообще нет подписи, только аутентификация: пароль или криптография.

ПЭП по замыслу законодателя не обеспечивает контроль целостности/подлинности/достоверности (не позволяет "обнаружить факт внесения изменений в электронный документ после момента его подписания") -для чего она нужна? Простой пример - документ при доставке/хранении был изменен, простая подпись это не обнаружила, вопрос: является ли гражданин автором измененного документа? Как можно обеспечить авторство без контроля целостности/подлинности/достоверности?

И работодателю все-таки придется решать вопрос с предоставлением документов в контролирующие органы, которые не будут принимать акты с неквалифицированными подписями

В этом вся проблема применения неквалифицированных подписей и даже простых (которых нет).

Это нормальная практика для крупнейших сервисов обмена, которые выдают подписи либо сами, либо через партнеров.

Подписи не выдают, УЦ изготавливают сертификаты ключей проверки электронной подписи.

Универсальная электронная карта (УЭК) – это противоречивый, но весьма интересный проект Минкомсвязи РФ, открывающий возможности и для документооборота.

Это проект Сбербанка, а не Минкомсвязи! Там нет документооборота, УЭК с точки зрения использования криптографии лишь носитель криптоключей, как дискета, USB-токен, реестр ОС - не больше, не меньше.

Сертификат в УЭК ...совершенно бесплатен,

Не питайте иллюзий, это весьма дорогое удовольствие для бюджетов регионов.

Правда, есть одно «но» – у нас нет практики этого решения, мы не знаем, как по факту будет этот способ работать, и какие доработки операторам документооборота придется делать. Так что, этот способ пока из ряда фантазий.

С точки зрения использования УЭК в части идентификационного приложения для документооборота - фантазии, в части использования как носителя криптоключей - нет никаких проблем.

Это будет особенно актуально в свете последних государственных инициатив, направленных на упорядочивание трудовых отношений, например, с фрилансерами.

Ну уж это направление использования электронной подписи будет не в числе первых десяти :-)

 

Сергей Рудин 17 апреля 2014 г. 09:27  

Мне кажется, что самый правильный вариант - единый носитель и единая подпись. Мы же не расписываемся в банке и на почте разными ручками. Возможно, не УЭК, а что-то другое. Но для этого необходимо единое информационное пространство, в рамках которого любое лицо может сформировать подпись на основе одного ключа. Это либо один криптопровайдер для всех и единая сеть УЦ, либо разные, но совместимые провайдеры и отношения доверия между их УЦ. Судя по всему, выстроить такую систему если и удастся, то очень не скоро.

Андрей Подкин 17 апреля 2014 г. 10:12  
Мне кажется, что самый правильный вариант - единый носитель и единая подпись.

Перечитайте комментарий Вадима Майшева. Не надо путать подпись (поставленную на документ) и ключ/токен/сертификат.

 

Мы же не расписываемся в банке и на почте разными ручками.
  1. Именно, что расписываемся. Я в каждой организации расписываюсь той ручкой, что они дают.
  2. Подпись на бумаге невозможно скомпроментировать (есть графологическая экспертиза и все такое). Ключ/сертификат ЭП - легко. Поэтому говорить о едином и неизменном ключе/сертификате ЭП - невозможно.

 

Вадим Майшев 17 апреля 2014 г. 11:54  
Но для этого необходимо единое информационное пространство, в рамках которого любое лицо может сформировать подпись на основе одного ключа. Это либо один криптопровайдер для всех и единая сеть УЦ, либо разные, но совместимые провайдеры и отношения доверия между их УЦ. Судя по всему, выстроить такую систему если и удастся, то очень не скоро.

Единое информационное пространство в части УЦ создано, оно было сделано и в рамках предыдущего закона об ЭЦП. Для "понимания криптосообщений" не нужно чтобы у всех были одинаковые СКЗИ, достаточно чтобы создаваемые ими криптосообщения были сделаны по стандартам.

Вся проблема в информационных системах. Она не была решена в конструкции 1-ФЗ, не решена и в 63-ФЗ. Никто не может/не хочет обязать всех организаторов ИС перевести их корпоративные ИС (со своими правилами игры) в ИС общего пользования (в т.ч. опирающихся на единое пространство доверия УЦ).

Подпись на бумаге невозможно скомпроментировать (есть графологическая экспертиза и все такое). 

Психологически доверие к подписи/печати на бумаге выше и исправления на бумаге обнаруживаются проще. В электронном документе этот уровень (и даже выше бумажного) можно достичь, используя только подпись на криптометодах.

Ключ/сертификат ЭП - легко. Поэтому говорить о едином и неизменном ключе/сертификате ЭП - невозможно.

Не уловил мысль...

 

Андрей Подкин 17 апреля 2014 г. 13:23  
Не уловил мысль...

Если закрытый ключ утечет, придется его менять. Поэтому говорить о едином сертификате (ключе) подписи на все времена - нельзя. Всегда надо быть готовым к смене. А попадание ключа в руки злоумышленников - вполне рядовой риск. Чего стоит хотя бы последний скандал с OpenSSL.

 

Вадим Майшев 17 апреля 2014 г. 16:06  
Всегда надо быть готовым к смене.

Так смена криптоключей - это стандартное действие. Не бывает вечных криптоключей, срок их жизни определяется перспективной способностью противостоять будущим атакам.

А попадание ключа в руки злоумышленников - вполне рядовой риск.

Да, поэтому в PKI предусмотрен отзыв сертификата.

Чего стоит хотя бы последний скандал с OpenSSL.

А разве там пропадали клиентские криптоключи? Это атаки на серверы, да и криптоключи не передаются по каналам связи.

 

Андрей Подкин 18 апреля 2014 г. 15:11  
Так смена криптоключей - это стандартное действие. Не бывает вечных криптоключей, срок их жизни определяется перспективной способностью противостоять будущим атакам.
Так я это и имел в виду, отвечая на комментарий Сергея Рудина.
А разве там пропадали клиентские криптоключи?
Уязвимость была и в клиентских библиотеках. Но что реально утекло через них - я не в курсе.
Павел Овчинников 22 апреля 2014 г. 17:25  

Спасибо за ваши комментарии. Вижу много претензий к терминологии в статье, все справедливо. Но обратите внимание на первоисточник статьи - текст писался далеко не для технических специалистов, юристов и безопасников. Поэтому в нем много бытовых смыслов, для того, чтобы было понятнее аудитории. А для специалиста здесь слишком много упрощений.

Заблуждение. "Электронные госуслуги" не обеспечивают электронный документооборот гражданина.

Я заявляю заявку на оформление загранпаспорта на портале госуслуг. Эта заявка потом не распечатывается и я не ставлю там свою живую подпись. Чем это не электронный документ, который я подписываю простой подписью? 

 
Если задача важная (в первую очередь, "окупаемая"), то такие условия создаются - все отработано, никаких проблем нет и все распространено!

Речь не о том, что недоступно. У многих ли "физиков" есть сегодня КЭП? А покупать за свой счет подпись удаленному автору за 1,5 тысячи рублей ради 2-3 итераций с ним мало кому покажется разумным. И дело, наверное, даже не в цене. 

Вадим Майшев 22 апреля 2014 г. 19:32  
Я заявляю заявку на оформление загранпаспорта на портале госуслуг. Эта заявка потом не распечатывается и я не ставлю там свою живую подпись. Чем это не электронный документ, который я подписываю простой подписью?

А Вы действительно "подписываете"? М.б. там кнопка "отправить"? И чем Вы подписываете? А свой электронный документ Вы видите? Можно его выгрузить со всеми реквизитами? А подпись свою в документе Вы видите? Можете убедиться, что она верна? А если отображаемые на экране поля не те, что Вы указали и "подписали простой подписью", то как Вы будете доказывать, что они изменены с момента Вашего "подписания"?

У многих ли "физиков" есть сегодня КЭП? А покупать за свой счет подпись удаленному автору за 1,5 тысячи рублей ради 2-3 итераций с ним мало кому покажется разумным. И дело, наверное, даже не в цене.

Нет, потому что нет информационных систем, где ее можно применять. Действительно, ради 2-3 итераций обычно не покупают. А если эти 2-3 итерации многократно окупают (время/расстояние/деньги/...) затраты на работу в информационной системе, то покупают.

 

Павел Овчинников 22 апреля 2014 г. 19:37  
А если эти 2-3 итерации многократно окупают (время/расстояние/деньги/...) затраты на работу в информационной системе, то покупают.

Разумеется. И в этом случае, это как раз не проблема. А если речь идет о разовом контракте, например, издания с удаленным автором, гонорар которого 5 т.р, то нет. И таких авторов у издания может быть сотни-полторы. 

 

 

Вадим Майшев 22 апреля 2014 г. 19:38  
Поэтому в нем много бытовых смыслов, для того, чтобы было понятнее аудитории. А для специалиста здесь слишком много упрощений.

Считаю, что все упрощения не должны приводить к потере смысла предмета, иначе получается профанация.

 

Сейчас обсуждают
Больше комментариев