Леонид Волков: «В России исторически сложилось искаженное представление о том, каким образом лучше обеспечивать информационную безопасность»Россия намного обогнала Евросоюз по количеству удостоверяющих центров, которые осуществляют генерацию ключей электронных цифровых подписей. Однако это не вызывает восторга у участников седьмой ежегодной международной научно-практической конференции «PKI — Форум 2009», прошедшей в Санкт-Петербурге в конце ноября. По мнению экспертов, Россия движется не совсем в правильном направлении, а в некоторых отношениях и вовсе топчется на месте.

Конференция в целом довольно точно показала то, что происходит в России в сфере применения электронных цифровых подписей и формирования национальной инфраструктуры открытых ключей (Public Key Infrastructure, PKI). С одной стороны, многие доклады первого дня форума были актуальны лет десять назад или не очень подходили для данного мероприятия. С другой — свободных мест на заседаниях почти не было, на круглых столах и в кулуарах шли бурные дискуссии. Это говорит о том, что сами по себе темы, связанные с ЭЦП, весьма актуальны.

Стимуляция отчетностью

Застой наблюдается, несмотря на положительную динамику ряда показателей, касающихся удостоверяющих центров и сервисов на основе PKI в России. Статистику на форуме представил Александр Карпов, генеральный директор компании АНК. Он сообщил, что в России зарегистрировано 230 удостоверяющих центров. Чаще всего ЭЦП используется для сдачи в госорганы отчетности в электронном виде, для электронных торгов, корпоративного электронного документооборота, регистрации прав, дистанционного обучения, здравоохранения и электронных платежей. При этом основной сферой применения является предоставление отчетности в Пенсионный фонд, Росстат, Федеральную налоговую службу и прочие госорганы. Действия этих органов стимулировали генерацию около 1,5 млн электронных подписей.

Судя по данным, приведенным Карповым, использование ЭЦП в документообороте между компаниями и госструктурами расширяется. Возможно, это свидетельствует о положительных изменениях. Однако объявленная экономия, которую призваны обеспечить электронные торговые площадки и электронный документооборот, требует подтверждения, поскольку расчеты делаются госорганами, которые с их помощью демонстрируют свои достижения. Очевидно, что стремительное размножение удостоверяющих центров говорит о том, что чиновники не очень нацелены на сокращение каких-либо затрат.

Рост числа удостоверяющих центров по большей части вызван принятыми технологиями выдачи ЭЦП. Согласно российским законам, во многих случаях от пользователей ЭЦП требуется личное посещение удостоверяющих центров. Поскольку представителям компаниям неудобно ездить в соседние города ради электронной подписи, то удостоверяющие центры сами продвигаются к клиентам в регионы. Кроме того, не везде в России хорошие каналы связи, что не позволяет качественно обслуживать удаленных клиентов.

Однако только в одной Москве более 30 удостоверяющих центров. Следовательно, главная причина все же в разобщенности различных ведомств. Из-за этого у одной компании образуется целая «связка» ключей электронных подписей. Один — для ФНС, второй — для Пенсионного фонда, третий — для Росстата и т. д. Каждое ведомство и каждое его региональное подразделение (иногда даже районное) стремится иметь собственный удостоверяющий центр. Между тем, по словам Карпова, мировой опыт развития структуры PKI свидетельствует о том, что достаточно одного центра на 10 млн жителей.

Заместитель генерального директора «СКБ Контур» Леонид Волков считает, что в России исторически сложилось искаженное представление о том, каким образом лучше обеспечивать информационную безопасность. Например, в Германии соответствующие процессы передаются на аутсорсинг специализированной организации, а у нас считается, что такая передача повышает риски. Поэтому, по его словам, на весь Евросоюз 94 удостоверяющих центра, а в России их уже более 200.

Некоторые участники конференции считают, что ведомства, создавая собственные удостоверяющие центры, стремятся не столько обеспечить безопасность, сколько увеличить подконтрольные денежные потоки.

Формальный регулятор

Какие бы ни были причины размножения удостоверяющих центров, но пока именно госструктуры стимулируют генерацию подавляющего большинства ключей ЭЦП. «За последний год возросло количество электронных торговых площадок с широким применением электронных подписей. Однако по-прежнему около 90% из них используется для предоставления отчетности», — отметил Волков.

Алексей Сабанов, заместитель генерального директора компании Aladdin, кроме постепенного расширения сферы применения ЭЦП, отметил развитие технологий (технологические проблемы в России решают не хуже, чем в других странах), а также то, что многие специалисты стали лучше разбираться в таких вопросах, как юридически значимый электронный документооборот, понятие квалифицированной ЭЦП, применение защищенных носителей для генерации и хранения ключевой информации и т. п.

Других позитивных изменений не только за год, но даже за несколько лет не наблюдается. Большинство застарелых проблем, связанных с применением ЭЦП, остаются нерешенными по вине государства.

Карпов опроверг распространенное мнение о том, что российское законодательство не позволяет наладить электронный документооборот между двумя компаниями. По его словам, законодательно закреплена необходимость наличия некоторых форм документов в бумажном виде, но и в этих случаях можно найти компромиссное решение, которое позволяет не нарушать закон и использовать документы с ЭЦП. Тем не менее он признал, что массовым применение электронной подписи в бизнесе не стало. Исключением являются некоторые крупные компании, которые обмениваются электронными документами с дочерними структурами или ключевыми партнерами.

«Нужно отменить большое количество ненужных ограничений и требований, связанных с лицензированием специального программного обеспечения, работой удостоверяющих центров и применением ЭЦП. Тогда все наладится», — считает Волков.

Однако непонятно, кто в органах власти будет инициировать такую отмену или реализовывать другие предложения, поскольку, по словам Сабанова, за создание национальной инфраструктуры с унифицированными технологиями в России никто не отвечает.

«Это вроде зона ответственности Росинформтехнологий, но у них не хватает полномочий, — заявил Сабанов. — В Китае правительство начало заниматься проблемой электронных цифровых подписей позже, чем в России, всего три-четыре года назад, но уже добилось большего прогресса».

Тем не менее он ожидает перелома. Для этого имеется две основные предпосылки. Во-первых, Россия стремится вступить в ВТО, а это требует гармонизации российского и зарубежного законодательства, затрагивающего применение ЭЦП и электронный документооборот. Во-вторых, президент России Дмитрий Медведев в последние месяцы часто поднимает вопрос о массовом применении ЭЦП. Следовательно, есть надежда, что все-таки появится орган, который будет способен решать существующие проблемы в данной сфере.