Институт развития интернета (ИРИ) рассматривает легализацию технологии электронной цифровой подписи в «облаке». Данная норма содержится в «дорожных картах» к программе развития интернета в России, которую ИРИ подготовил для президента РФ. В случае ее реализации россияне получат возможность использовать электронную подпись без материального носителя (USB-флешки или sim-карты) уже в III квартале 2016 года.
В настоящее время сертификаты ключей проверки электронной подписи (СКП) выпускаются на физических носителях, при этом средняя стоимость такого СКП составляет около 5 тыс. рублей. В Минкомсвязи говорят, что система облачной электронной подписи позволит создавать подпись без материального носителя. Это существенно снизит стоимость ее использования и повысит безопасность применения.
Как вы оцениваете потенциал использования и безопасность облачной ЭЦП?
Если наша страна делает только первые шаги в данном направлении, то в Европе данная технология уже давно активно используется. В октябре 2013 г. Европейский Комитет по Стандартизации (CEN) принял техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», описывающую требования к серверу электронной подписи, реализующего процессы создания и проверки подписи.
Преимущества данной технологии очевидны. Пользователю не обязательно иметь при себе токен и СКЗИ (средство криптографической защиты информации), установленный на его компьютере или мобильном устройстве. Для формирования электронной подписи ему будет достаточно открыть браузер, пройти аутентификацию в Личном кабинете и начать работу с электронной подписью.
Основной проблемой в использовании данной технологии может стать процедура аутентификации пользователя. Если ранее вся ответственность по хранению и обеспечению конфиденциальности ключа электронной подписи, записанного на токен, лежала на самом пользователе, то теперь возникают вопросы взаимного доверия между пользователем и Удостоверяющим центром. Отсутствие необходимости иметь токен при себе, накладывает ответственность на процедуру аутентификации пользователя на сервере электронной подписи. Для минимизации рисков несанкционированного доступа, аутентификация пользователя в системе должна быть усилена дополнительными мерами защиты, например двухфакторной аутентификацией.
Как правило, технология облачной электронной подписи строится на использовании HSM-модуля, представляющего собой аппаратно-программный комплекс для безопасного хранения ключей электронной подписи. Доступ к ключу электронной подписи осуществляется через Личный кабинет пользователя, аутентификация в котором проводится обычно с помощью пары логин-пароль и одноразового SMS-пароля. При этом все операции с ключом выполняются внутри HSM, а возможность извлечения ключа из устройства технологически невозможна.
К сожалению, на текущий момент времени использование облачной электронной подписи сдерживается отсутствием сертифицированных средств и нормативно-правовых документов, регламентирующих применение электронной подписи в облаке, что также может являться препятствием для признания электронной подписи равнозначной собственноручной в случае возникновения конфликтных разбирательств.
Конечно, облачная ЭП, которая доступна везде и всегда, - это очень удобно. Такой подход уже используется в ответственных системах, например, при работе в клиент-банке, в соцсетях, в госуслугах. То есть, двухфакторная аутентификация без ключевого носителя (например, пароль+подтверждение по SMS) считается достаточно надежной.
Конечно, эта безопасность не абсолютна, но её вполне можно сравнить с безопасностью при использовании ключевого носителя, который может потеряться, сломаться, его замена требует физического присутствия, имеются технологические сложности, например, при работе с мобильного устройства. По интегральному критерию безопасность/удобство облачная ЭП смотрится даже выигрышнее.
Мы живем во времена гипер-ускорения прогресса. Могу сказать, что облачные технологии в банковском секторе - это реальность сегодняшнего дня. И электронная подпись - не исключение.
Совершенно случайно в последнюю неделю я познакомилась с банком, который уже реализовал все, о чем я мечтала, как предприниматель. В первую очередь - мне открыли счет в течение 15 минут. При этом я находилась дома на больничном. Удобный и простой интерфейс.
Так случилось, что этим летом, пока я пребывала в отпуске своей мечты (впервые позволила себе уехать на 3 месяца на море и вернулась только в сентябре), я неожиданно лишилась счета в любимом банке. Банк закрыли.
Вернувшись из отпуска, я так же "неожиданно" обнаружила, что закончился российский паспорт (по возрасту). Значит еще минус несколько недель на получение паспорта. Потом - вирусная инфекция, которая при моем железном отношении к здоровью расцвела за неделю активных поездок в осенней промозглости по встречам и переговорам и заставила меня перейти на домашний режим.
Бизнесмены меня поймут - я на какое-то время остаюсь без расчетного счета, а, значит, без возможности принимать оплаты. Конечно, русскому человеку преграды создавать бесполезно - он от этого становится только предприимчивее, но счет мне был нужен срочно.
Это можно назвать случайным совпадением, но у меня в жизни именно так и бывает - всегда приходит именно то, что необходимо. Здесь реализация желаемого не заставила себя долго ждать. "Случайно" человек, с которым я познакомилась в бизнес-сообществе оказался причастным к некоему "Модульбанку". Благодаря ему я просто узнала о существовании такого банка и прочитала в интернете его историю.
После закрытия счета (к величайшему облегчению денег на момент закрытия там не было), я отношусь осторожно к выбору банков, но иногда - дорога ложка к обеду! Привлекло то, что сайт, оформленный по современным принципам СЕО обещал открытие счета за 15 минут.
У меня уже была история, когда мы для компании открывали счет несколько месяцев, требовалась масса бумаг, договора с клиентами и т.д., поэтому такое обещание меня удивило. Но как же я удивилась, когда мне не просто зарезервировали номер счета, которым я сразу смогла воспользоваться, но и сделали мне ЭЦП, от которой я давно уже отказывалась в виду необходимости дополнительной суеты. При этом, скажу Вам по секрету, дополнительных затрат это не составило! В базовом тарифе идет оплата только за совершаемые платежи.
Итак, за 15 минут я стала обладателем счета и ЭЦП - при этом она находится в облачном сервисе самого банка и никакая флешка не понадобится. Для завершения процедуры мне надо явиться в банк лично, с паспортом и уставными документами, а до этих пор я могу принимать деньги на счет, но не могу ими воспользоваться - это первый уровень безопасности удаленной регистрации. Каждый раз, при входе в банк он-лайн, я получаю подтверждающий код на телефон, каждая дополнительная операция так же проходит через код.
Относительно безопасности. Безусловно, несколько уровней паролей и кодов прохождения при совершении операций становятся гарантами. Однако - не придумана еще такая абсолютная защита, которая была бы абсолютно недосягаема для для человеческого разума. Если ЭЦП на флешке, она так же имеет свои уязвимые места, хотя бы в том, что она легче может попасть в чужие руки и стать, если не ключом к Вашим финансам, то объектом шантажа.