Анализ сложностей использования юридически значимой ЭЦП в РФ сегодня

Эта запись в мое блоге была навеяна статьей Натальи Храмцовской «Проблемы использования ЭЦП в оперативной деятельности организации» (далее «Статья»), которую я имел удовольствие прочитать в последние выходные. Статья датирована 2005 годом и, соответственно, немножко устарела. Однако, автор предлагает, на мой взгляд, логичную систему оценки «применимости» ЭЦП на практике. Что если применить эту же систему оценки к сегодняшним реалиям и непосредственно к практике межкорпоративного ЭДО на основании единого пространства ЭЦП в России, сузив тем самым область анализа?

Анализ сдерживающих факторов

4 года назад, как правильно замечает автор Статьи, имелся ряд факторов, существенно сдерживающих развитие ЭЦП. Существуют ли они сегодня и насколько они действительно существенны? Кроме того, от себя также добавлю пару пунктов.

1. Рост объемов производимых бумажных документов. В России он продолжается и сегодня. Безусловно, подавляющее большинство всех организаций продолжают использовать бумажный документооборот. Если бы это было не так, дискуссии вокруг применения или неприменения ЭДО вообще не было бы. Следует назвать это не сдерживающим фактором, т.е. причиной, а, скорее, следствием неразвитого ЭДО в нашей стране.
2. Не предполагается переводить в электронную форму ряд наиболее ответственных документов. Следует отметить, что и на сегодняшний день, это ограничение имеет место быть. Юридическую силу принимают только те электронные документы, для которых прямо не предусмотрена законодательством бумажная форма. Кроме того, ряд документов, подтверждающих, например, право на недвижимое имущество и т.п., оформляются государственными органами. В настоящий момент недостаточно нормативной базы для реализации полноценного ЭДО в государственных органах, и соответственно ряд документов действительно нельзя перевести в электронный вид.
3. В первую очередь в электронный вид переводятся наиболее массовые оперативные документы, такие как платежные документы, квитанции и т.п. Действительно, на сегодняшний день большинство организаций подходит к вопросу ЭДО именно так: минимальное, что можно перевести в электронный вид – взаимодействие с банком (пресловутый «банк-клиент»), максимальное – внутренний корпоративный документооборот, для которого вопрос о юридической силе вообще не стоит, ибо он регулируется внутренними регламентами компании или группы компаний. Однако, является ли это сдерживающим фактором? Думаю, нет. Какая разница, с чего организации начнут свой путь к ЭДО. Кроме того, этому подходу есть вполне понятное объяснение: организации начинают изучать неизведанную им область с того, что для них: а) наиболее безопасно (не регулируется законодательством) – внутрикорпоративный ЭДО; б) где им проще всего увидеть результат и, соответственно, повысить эффективность – «банк-клиент». Не думаю, что именно эту причину можно назвать сдерживающим фактором (см. п. 5).
4. Отсутствие законодательства, признающего в полной мере юридическую силу электронных документов. За прошедшие 4 года законодательство существенно изменилось. Основной комментарий по этому пункту такой: ограничения остались, однако на сегодняшний день они совершенно не критичны для внедрения юридически значимого ЭДО (подробнее см. https://www.ecm-journal.ru/docs/O-juridicheskojj-sile-ehlektronnykh-dokumentov.aspx).
5. (новое!) Инерционность мышления и консерватизм российских руководителей. Под инерционностью я понимаю такое поведение руководителей, когда на оценку и исследование результатов внедрения новой ИТ-системы уходят годы. Внедрят, к примеру, систему консолидации отчетности на уровне Группы и любуются ей на протяжении 2-3 лет, а потом начинают заниматься дальнейшим развитием своих ИТ-систем. Консерватизм – это такое качество руководителей, которое не позволяет им использовать новые технологии только потому, что «и так все неплохо». Возможно, именно это качество руководителей и является причиной явлений, описанных в пп. 1 и 3.
6. (новое!) Дороговизна внедрения. На сегодняшний день одно рабочее место, на котором предполагается использовать ЭЦП, стоит ~ 4,000 руб. (по прайсу КриптоПро). Причем, стоимость самого сертификата ЭЦП не является капитализируемым расходом, т.к. сертификат необходимо обновлять каждый год. Кроме того, внедрение юридически значимого ЭДО предполагает существование системы архивного хранения ЭД или аутсорсинг этой услуги, что также придется записать в расходную часть. Для многих организаций (особенно малого бизнеса) такие расходы будут несравнимо выше эквивалентной стоимости преимуществ, получаемых от такого ЭДО.
7. (новое!) Несовершенство системы контролей в российских организациях. Как будет показано ниже, в ряде случаев несовершенная система контролей может являться хорошей почвой для злоупотреблений ЭЦП. Думается, большинство руководителей все-таки знают о недостатках системы контролей в своей компании и, оценив здраво эффект от потенциально возможных злоупотреблений, откажутся внедрять межкорпоративный ЭДО до лучших времен (когда хотя бы контроли поставят).
8. (новое!) Неразвитая сеть УЦ. На сегодняшний день существующие УЦ расположены в основном в крупнейших городах РФ. Это делает малодоступной использование ЭЦП в регионах, где УЦ нет вообще или УЦ находится на неудобном для оперативного доступа расстоянии.

Вопросы надежности и защищенности

В Cтатье автор выделил несколько видов преступлений, связанных с технологией ЭЦП. Не все они, по моему мнению, связаны непосредственно с ЭЦП, однако в той или иной степени действительно присутствуют. Кроме того, я считаю, целесообразно добавить п.5.

1. Неавторизованное использование средств создания ЭЦП. К сожалению, мне сложно представить, какова была техническая база для использования ЭЦП во время написания Статьи, однако могу описать существующую на сегодняшний день техническую базу. Средства создания ЭЦП находятся во владении или управлении удостоверяющих центров (далее - УЦ). С их помощью УЦ генерируют и выдают сертификаты ЭЦП и секретные ключи. Все УЦ зарегистрированы в т.н. «корневом» УЦ. Любой сертификат, выданный обычным УЦ, регистрируется в корневом УЦ. Представим, что злоумышленник узнал пароль администратора к средству создания ЭЦП одного из обычных УЦ и создал подпись сам себе. Если он ее не зарегистрировал в корневом УЦ, то ни один документ, подписанный такой ЭЦП, не пройдет тест на валидность. Если он зарегистрировал ее в корневом УЦ, то пусть пользуется на здоровье. Единственный, кто проиграет в этом случае – это УЦ, который не сможет стребовать со злоумышленника вознаграждение за выпуск ЭЦП.
2. Подделка ЭЦП. Что касается подделки ЭЦП, то фактически для злоумышленника эта задача сводится к созданию собственной ЭЦП, которая будет идентична оригинальной ЭЦП. Не силен в технической стороне этого вопроса, однако точно знаю, что время, необходимое в настоящий момент самым мощным суперкомпьютерам для полного перебора ключей при использовании 256-битного шифрования исчисляется тысячами лет. Замечу, что любой документ имеет срок актуальности. Более того, срок хранения большинства используемых документов регламентируется законодательством и не превышает десятков лет (например, для трудовых книжек), а если говорить о счетах-фактурах, то 3 года – и в помойку. Таким образом, опасность действительно есть, но вероятность успешной подделки ЭЦП, думается, сравнима с вероятностью успешной подделки собственноручной подписи.
3. Незаконное использование личных данных владельца сертификата ЭЦП с целью изменить статус сертификата ЭЦП. Т.е. есть вероятность того, что злоумышленник от имени владельца сертификата попросит прекратить действие сертификата. Действительно, технически защититься от этого невозможно, хотя средства защиты есть (ключевые слова, известные только владельцу, например). Однако, здесь стоит ответить на вопрос: насколько велики последствия такого преступления? Аналогичной опасности подвергаются ежечасно владельцы пластиковых карт, тем не менее, пластиковые карты не теряют популярности.
4. Неавторизованное применение ЭЦП. Действительно, для нашей страны характерна ситуация, когда руководитель доверяет своему заместителю или секретарю подпись документов от своего имени. Вот это, пожалуй, более опасная область использования подписи. Однако, она свойственна не только ЭЦП. Угрозы в этой области имеют корни в слабой системе контролей в организации. Если руководитель доверит секретарю ЭЦП, это значит, что, скорее всего, он ему доверял подписываться от своего имени на бумаге и ранее. На мой взгляд, это просто несовершенство системы контролей. Однако, оно порождает седьмой сдерживающий фактор.
5. (новое!) Искажение ЭЦП или самого документа в момент осуществления подписания/проверки подписи. Этот пункт я решил включить после прочтения статьи Сергея Бушмелева «Бомба формата DOC. Еще раз о безопасности электронных документов» (https://www.ecm-journal.ru/docs/Bomba-formata-DOC-Eshhe-raz-o-bezopasnosti-ehlektronnykh-dokumentov.aspx). Суть заключается в том, что никто не застрахован от наличия на компьютере АРМ вредоносных программ, которые будут так или иначе мешать криптопрограмме корректно осуществлять свои функции (вносить изменения в документ на этапе подписывания, например). В итоге возможны различные неблагоприятные сценарии развития событий – см. ссылку выше.

Намеренно не подвожу итоги, так как рассчитываю на то, что список будет пополняться: ваши добавления всегда приветствуются :)