Электронная подпись, витающая в облаках. Электронная подпись и бизнес: применяют ли в России облачную ЭП

В последнее время речь часто заходит об электронной подписи (ЭП) в облаке. В основном, эту тему обсуждают IT-специалисты. Однако с развитием сервисов электронного документооборота (ЭДО), в тему облачной ЭП стали втягиваться и специалисты-предметники - бухгалтеры, секретари, аудиторы и другие.

Облачная электронная подпись подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. Сопровождается это заключением соответствующих договоров и доверенностей. А фактическое подтверждение личности подписанта происходит, как правило, с использованием авторизации по SMS.

Необходимость использования облачной ЭП бухгалтером зависит от того, в каком режиме он работает.

Если вы часто находитесь вне офиса, или, например, работаете в компании, которая оказывает услуги по бухучету (аутсорсинг бухгалтерии), то облачная ЭП поможет вам подписывать документы из любого места.

При этом не понадобится устанавливать никакого дополнительного программного обеспечения. Однако, несмотря на простоту применения, не все компании готовы использовать эту возможность.

Чтобы вы смогли сами выбрать, нужна вам облачная электронная подпись или нет, рассмотрим все «за» и «против» её использования. А также подумаем, кому может действительно пригодиться такое средство. Кстати, в данной статье мы будем говорить только об усиленной квалифицированной электронной подписи (далее - УКЭП).

Облачная электронная подпись дешевле обычной. В основном это связано с тем, что вам не нужно приобретать средство криптографической защиты информации (СКЗИ) и токен (флэшка с сертификатом). Как правило, с учетом их приобретения, цена на сертификат взлетает в 2-2,5 раза.

Удобство и простота использования. Для работы с облачной электронной подписью не нужно устанавливать как сам сертификат электронной подписи, так и специальные средства для работы с ней. Это значит, что вы не будете тратить время на то, чтобы разобраться, как всё это работает.

Мобильность. На данный момент распространенных и бесплатных решений для использования не облачной электронной подписи на мобильных устройствах ещё нет. В этом плане огромным плюсом облачной электронной подписи является то, что работать с ней можно с любого компьютера, планшета, смартфона, где есть интернет.

Против

Физически документ подписываете не вы. Нужно понимать, что в случае облачной электронной подписи закрытая часть ключа, которая является конфиденциальной и должна принадлежать только вам, будет находиться на сервере удостоверяющего центра. Конечно, это будет оформлено документально, а сами серверы надежно защищены. Но здесь всё зависит от требований компании к безопасности и от политики, связанной с подписанием документов. Если вам важно, чтобы документы подписывали сами владельцы закрытых ключей, то облачная электронная подпись вам не подойдет. В данной ситуации только вам решать, насколько вы доверяете УЦ и серверам, на которых хранятся закрытые ключи.

Вы можете использовать облачную ЭП только в тех сервисах, с которыми есть интеграция программного обеспечения удостоверяющего центра. Это тоже связано с тем, что в случае облачной ЭП закрытый ключ хранится на сервере УЦ. Для того, чтобы нужный вам сервис мог использовать такой закрытый ключ ЭП для подписания, ему нужно уметь отправлять запрос на формирование электронной подписи на сервер УЦ. Понятно, что на данный момент сервисов много и все они не смогут предусмотреть интеграцию с программным обеспечением УЦ. Получается, что облачную ЭП вам придется использовать только с определенными сервисами. Для работы с другими сервисами придется покупать другой сертификат ЭП, и нет гарантий, что эти сервисы будут поддерживать какую-либо облачную электронную подпись.

И что же?

Облачная электронная подпись - это удобный, мобильный и простой инструмент, но не самый гибкий. А с точки зрения надежности, возможно, хранить закрытый ключ на защищенном сервере будет лучше, чем на токене в ящике стола.

Кому же действительно нужна электронная подпись?

В первую очередь тем, кто часто работает не из своего кабинета в офисе. Например, юристы и аудиторы, которые часто выезжают к клиентам. Или руководители и директоры, которым важно подписывать документы в любом месте. Для них облачная электронная подпись станет незаменимым помощником в работе.

Также очень многое зависит от политики компании. Если организация двигается в сторону облачных технологий, например, в части хранения документов, использования сервисов для внутреннего и внешнего документооборота, то и электронные подписи, скорее всего, тоже будут облачными. В остальном, бухгалтерам, делопроизводителям и другим сотрудникам, которые обычно при работе не покидают свой кабинет, облачная электронная подпись не нужна. Им можно приобрести закрытый ключ ЭП и сертификат ЭП в обычном режиме, на носителе, который можно использовать в большинстве сервисов для обмена с контрагентами и государственными учреждениями.

(ЭП) в облаке. В основном, эту тему обсуждают IT-специалисты. Однако с развитием сервисов электронного документооборота (ЭДО), в тему облачной ЭП стали втягиваться и специалисты-предметники - бухгалтеры, секретари, и другие.

Поясню, облачная электронная подпись подразумевает, что ваш закрытый ЭП хранится на сервере и подписание документов происходит там же. Сопровождается это заключением соответствующих договоров и доверенностей. А фактическое подтверждение личности подписанта происходит, как правило, с использованием авторизации по SMS.

Необходимость использования облачной ЭП бухгалтером зависит от того, в каком режиме он работает. Если вы часто находитесь вне офиса, или, например, работаете в компании, которая оказывает услуги по бухучету (аутсорсинг бухгалтерии), то облачная ЭП поможет вам подписывать документы из любого места. При этом не понадобится устанавливать никакого дополнительного Однако, несмотря на простоту использования, не все компании готовы использовать эту возможность.

Чтобы вы смогли сами выбрать, нужна вам облачная электронная подпись или нет, рассмотрим все «за» и «против» её использования. А также подумаем, кому может действительно пригодиться такая подпись. Кстати, в данной статье мы будем говорить только об усиленной (далее - УКЭП).

За

Облачная электронная подпись дешевле обычной . В основном это связано с тем, что вам не нужно приобретать средство криптографической защиты информации (СКЗИ) и токен (флэшка с сертификатом). Как правило, с учетом их приобретения, цена на взлетает в 2-2.5 раза.

Удобство и простота использования . Для работы с облачной электронной подписью не нужно устанавливать как сам сертификат электронной подписи, так и специальные средства для работы с ней. Это значит, что вы не будете тратить время на то, чтобы разобраться, как всё это работает.

Мобильность . На данный момент распространенных и бесплатных решений для использования не облачной электронной подписи на мобильных устройствах ещё нет. В этом плане огромным плюсом облачной электронной подписи является то, что работать с ней можно с любого компьютера, планшета, смартфона, где есть интернет.

Против

Физически документ подписываете не вы . Нужно понимать, что в случае облачной электронной подписи закрытая часть ключа, которая является конфиденциальной и должна принадлежать только вам, будет находиться на сервере удостоверяющего центра. Конечно, это будет оформлено документально, а сами серверы надежно защищены. Но здесь всё зависит от требований компании к безопасности и от связанной с подписанием документов. Если вам важно, чтобы документы подписывали сами владельцы закрытых ключей, то облачная электронная подпись вам не подойдет. В данной ситуации только вам решать, насколько вы доверяете УЦ и серверам, на которых хранятся закрытые ключи.

Вы можете использовать облачную ЭП только в тех сервисах, с которыми есть интеграция программного обеспечения удостоверяющего центра. Это тоже связано с тем, что в случае облачной ЭП закрытый ключ хранится на сервере УЦ. Для того, чтобы нужный вам сервис мог использовать такой закрытый ключ ЭП для подписания, ему нужно уметь отправлять запрос на формирование электронной подписи на сервер УЦ. Понятно, что на данный момент сервисов много и все они не смогут предусмотреть интеграцию с программным обеспечением УЦ. Получается, что облачную ЭП вам придется использовать только с определенными сервисами. Для работы с другими сервисами придется покупать другой сертификат ЭП, и нет что эти сервисы будут поддерживать какую-либо облачную электронную подпись.

И что же?

Облачная электронная подпись - это удобный, мобильный и простой инструмент, но не самый гибкий. А с точки зрения надежности, возможно, хранить закрытый ключ на защищенном сервере будет лучше, чем на токене в ящике стола.

Кому же действительно нужна электронная подпись? В первую очередь тем, кто часто работает не из своего кабинета в офисе. Например, и аудиторы, которые часто выезжают к клиентам. Или и которым важно подписывать документы в любом месте. Для них облачная электронная подпись станет незаменимым помощником в работе.

Также, очень много зависит от политики компании. Если организация двигается в сторону облачных технологий, например, в части хранения документов, использования сервисов для внутреннего и внешнего документооборота, то и электронные подписи, скорее всего, тоже будут облачными. В остальном, бухгалтерам, делопроизводителям и другим сотрудникам, которые обычно при работе не покидают свой кабинет, облачная электронная подпись не нужна. Им можно приобрести закрытый ключ ЭП и сертификат ЭП в обычном режиме, на носителе, который можно использовать в большинстве сервисов для обмена с контрагентами и государственными учреждениями.

19 июня 2014 г. 09:21

В последнее время речь часто заходит об электронной подписи (ЭП) в облаке. В основном, эту тему обсуждают IT-специалисты. Однако с развитием сервисов электронного документооборота (ЭДО), в тему облачной ЭП стали втягиваться и специалисты-предметники – бухгалтеры, секретари, аудиторы и другие.

Поясню, облачная электронная подпись подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. Сопровождается это заключением соответствующих договоров и доверенностей, а фактическое подтверждение личности подписанта происходит, как правило, с использованием авторизации по SMS.

Необходимость использования облачной ЭП бухгалтером зависит от того, в каком режиме он работает. Если вы часто находитесь вне офиса или, например, работаете в компании, которая оказывает услуги по бухучету (аутсорсинг бухгалтерии), то облачная ЭП поможет вам подписывать документы из любого места. При этом не понадобится устанавливать никакого дополнительного программного обеспечения. Однако, несмотря на простоту использования, не все компании готовы использовать эту возможность.

Чтобы вы смогли сами выбрать, нужна вам облачная электронная подпись или нет, рассмотрим все «за» и «против» её использования. А также подумаем, кому может действительно пригодиться такая подпись. Кстати, в данной статье мы будем говорить только об усиленной квалифицированной электронной подписи (далее – УКЭП).

За

Облачная электронная подпись дешевле обычной . В основном это связано с тем, что вам не нужно приобретать средство криптографической защиты информации (СКЗИ) и токен (флэшка с сертификатом). Как правило, с учетом их приобретения, цена на сертификат взлетает в 2-2.5 раза.

Удобство и простота использования . Для работы с облачной электронной подписью не нужно устанавливать как сам сертификат электронной подписи, так и специальные средства для работы с ней. Это значит, что вы не будете тратить время на то, чтобы разобраться, как всё это работает.

Мобильность . На данный момент распространенных и бесплатных решений для использования не облачной электронной подписи на мобильных устройствах ещё нет. В этом плане огромным плюсом облачной электронной подписи является то, что работать с ней можно с любого компьютера, планшета, смартфона, где есть интернет.

Против

Физически документ подписываете не вы . Нужно понимать, что в случае облачной электронной подписи закрытая часть ключа, которая является конфиденциальной и должна принадлежать только вам, будет находиться на сервере удостоверяющего центра. Конечно, это будет оформлено документально, а сами серверы надежно защищены. Но здесь всё зависит от требований компании к безопасности и от политики, связанной с подписанием документов. Если вам важно, чтобы документы подписывали сами владельцы закрытых ключей, то облачная электронная подпись вам не подойдет. В данной ситуации только вам решать, насколько вы доверяете УЦ и серверам, на которых хранятся закрытые ключи.

Вы можете использовать облачную ЭП только в тех сервисах, с которыми есть интеграция программного обеспечения удостоверяющего центра. Это тоже связано с тем, что в случае облачной ЭП закрытый ключ хранится на сервере УЦ. Для того, чтобы нужный вам сервис мог использовать такой закрытый ключ ЭП для подписания, ему нужно уметь отправлять запрос на формирование электронной подписи на сервер УЦ. Понятно, что на данный момент сервисов много, и все они не смогут предусмотреть интеграцию с программным обеспечением УЦ. Получается, что облачную ЭП вам придется использовать только с определенными сервисами. Для работы с другими сервисами придется покупать другой сертификат ЭП, и нет гарантий, что эти сервисы будут поддерживать какую-либо облачную электронную подпись.

И что же?

Облачная электронная подпись – это удобный, мобильный и простой инструмент, но не самый гибкий. А с точки зрения надежности, возможно, хранить закрытый ключ на защищенном сервере будет лучше, чем на токене в ящике стола.

Кому же действительно нужна электронная подпись? В первую очередь, тем, кто часто работает не из своего кабинета в офисе. Например, юристы и аудиторы, которые часто выезжают к клиентам. Или руководители и директоры, которым важно подписывать документы в любом месте. Для них облачная электронная подпись станет незаменимым помощником в работе.

Также, очень много зависит от политики компании. Если организация двигается в сторону облачных технологий, например, в части хранения документов, использования сервисов для внутреннего и внешнего документооборота, то и электронные подписи, скорее всего, тоже будут облачными. В остальном, бухгалтерам, делопроизводителям и другим сотрудникам, которые обычно при работе не покидают свой кабинет, облачная электронная подпись не нужна. Им можно приобрести закрытый ключ ЭП и сертификат ЭП в обычном режиме, на носителе, который можно использовать в большинстве сервисов для обмена с контрагентами и государственными учреждениями.

(4,33 - оценили 9 чел.)

Похожие записи

Ну неправда же. Например, для iOS уже давно есть Крипто-Про. Поставщики решений для СЭД его используют. Для того же DIRECTUM есть и ЭЦП на базе Крипто-Про под Android.

Физически любой электронный документ подписываете не вы. Это делает ПО.

Точнее, не на сервере УЦ, а в специализированном аппаратном сервере хранения ключей сервиса электронной подписи, взаимодействующего с информационной системой (электронного документооборота).

В этом случае, действительно, пользователю ничего не нужно устанавливать у себя, но вся безопасность использования ключа зависит не от пользователя, а от надежности аутентификации владельца ключа сервисом электронной подписи и информационной системой.

Ну и ключом можно пользоваться лишь в тех информационных системах, которые "подключены" к сервису электронной подписи, хранящему и применяющему ключ владельца. Т.е. ключ будет "неполнофункционален" (например, им нельзя защитить криптографией подключение к серверам, операционную систему, электронную почту и файлы, обеспечить авторизацию на ГОСУСЛУГИТОЧКАРУ и еще много где), а только для конкретной задачи в определенной системе. Это как сравнивать автобус и трамвай, везде есть +/-.

Решения есть, но они не распространены в виду их относительной небезопасности. Бесплатные неизвестны. Да и появятся ли они...

У меня несколько другая точка зрения: если первичным считать не облачный сертификат, а облачный сервис. Да, единый облачный сертификат можно использовать не о всех сервисах. Но ценность, на мой взгляд, не в сертификате, а в сервисах. И нет ничего зазорного в том, что каждый сервис использует свой облачный ключ. В отличие от "on premise" сертификатов (на токенах, смарт-картах или в реестре вашего персонального устройства) вам не придется носить бусы из токенов или копировать сертификаты в реестры на все устройства. Просто будут приходить sms с разных номеров. Тем более, что облачный сертификат, как правило, дешевле on premise, и не требуется покупка ПО (криптопровайдера). Ну и с точки зрения безопасности такая схемы априори выглядит надежнее, поскольку при компрометации одного ключа другие могут оставаться рабочими (нескомпрометированными).

Зазорного ничего нет, но затраты больше, чем использовать один полнофункциональный ключ (а не бусы) во многих системах. В модели угроз применения "облачного ключа ЭП" добавляется риск нарушения безопасности в канале аутентификации. Кроме того, не везде можно безопасно использовать OTPviaSMS. Да и психологически большинство людей увереннее себя чувствует при хранении своего ключа в своем сейфе, чем с виртуальным ключом в виртуальном хранилище с условно безопасным каналом управления его использованием.

Конечно, это так, пока подписание инициируется одним устройством, а SMS с кодом подтверждения подписания приходит на другое устройство. А как только мобильный клиент остаётся один, такая схема уже не априори надёжнее. Остаётся только удобство пользователя, но не надёжность.

Пользователь может выиграть, получить некое преимущество перед конкурентами, использующими бумагу с чернилами или физические токены с аппаратной поддержкой OneTimePassword, за счёт более быстрой реакции, большей мобильности. Но и примет большие риски. Риск недоступности сервиса. Риск компрометации мобильного устройства. Риски оправданы, если речь идёт о небольших денежных суммах. Сделку на миллион я бы доверил старой доброй бумаге, подписываемой в тишине, без посторонних глаз, без посредников и без спешки.

Если надо будет подписать пакет из 30 документов. А сервис не поддерживает пакетное подписание. То придётся получить 30 SMS (или одно с 30-ю кодами подтверждения) и 30 раз ввести коды подтверждения. Это время, и реакция уже не более быстрая.

Но если у каждого сервиса свой сервис для простановки ЭП, то интеграция сервисов должна быть очень тесной. И пакетное подписание туда будет входить. К примеру, придёт одно логическое SMS: "Код 0xs3cr3t для операции #22_1806. Уважаемый Константин Васильевич. Для подтверждения получения входящих документов за период 01.06.2014-18.06.2014 (20 счётов-фактур, 7 актов выполненных работ и 3-х товарных накладных), а именно - подписания 30-ти служебных документов, подтверждающих получение, введите указанный код".

Решения есть. Но, насколько я знаю, КриптоПро для iOS и Android распространяется не бесплатно.

Согласна. В общем-то, это и имеется в виду. В этом плане использовать облачный сертификат не очень удобно.

В целом, если нужно работать с несколькими сервисами, то покупка нескольких облачных ЭП может быть даже затратнее, чем покупка одного квалифицированного сертификата, СКЗИ и токена.

Что касается надежности, то здесь вопрос доверия к защищенности того места, на котором будут храниться ключи, к технологиям, с помощью которых будет осуществляться подписание. Думаю, пока технология не очень обкатана, и доверия будет не очень много. Но, согласитесь, пользоваться облачной подписью все-таки довольно удобно в некоторых случаях. Чтобы понять, какая подпись подойдет в конкретном случае, нужно посмотреть на процессы, изучить потребности, оценить плюсы и минусы обоих вариантов и потом уже принимать решение. Поэтому и стараемся показать обе стороны одной медали облачной ЭП.

А для каких платформ КриптоПро бесплатен?

Думаю, технология мало что решает - вопрос только в доверии к поставщику решения, которому вы доверите свой сертификат.

Поэтому когда о подобных технологиях говорят в контексте внутрикорпоративного использования, я еще понимаю, что это может "взлететь". Как только мы говорим о доверии сертификата третьей стороне, я не вижу ни одного шанса.

Насколько я помню, Крипто-Про для iOS и Android не продается конечным пользователям. Поэтому все идет на усмотрение вендора прикладного ПО. Захочет он вам дать бесплатно - даст. Не захочет - не даст. А может дать в довесок к той функциональности, ради которой вы решение и покупали.

Это предположение (как в исходной статье) или вы можете подтвердить это реальными цифрами?

А также Microsoft, Facebook, Twitter и сотни других поставщиков федеративной аутентификации, причем каждый ресурс сам выбирает с каим из поставщиков ему интегрироваться. Вы предлагаете так же поступить и с хранением сертификатов?

И я правильно понимаю, что вы ставите знак равенства между федеративной аутентификацией, в которой никакие данные пользователя, за исключением очень ограниченого набора, передающегося с аутентификационным токеном, не покидают периметра сервиса и сервисом ЭЦП, через который должны будут проходить все ваши подписываемые данные?

А может и не быть. Для облачного ключа не нужно токена и ПО. Сервис может, например, включить расходы на выдачу облачного токена в абонентскую плату и предоставлять облачные сертификаты "бесплатно". В любом случае, это вопрос маркетинга, а не техники.

Можно и подписать пакет из 30 документов. Это уже как настроен сам сервис, поддерживает ли он пакетное подписание. А откуда берется ключ (из облака или из реестра/токена) - это уже ортогональный вопрос. Слава, ты далее в комменте развил эту м мысль. Такое часто происходит и "на бумаге". Биг босс может подписать собственноручно только реестр платежей, а платежки потом подписывают доверенные лица.

Слава, в точку! :) Пока облачная подпись применяется в облачной бухгалтерии и сдаче отчетности.

Миша, уже работает:)

Евгений, аплодирую Вашему комментарию стоя:)

Миша, дождемся ответа Евгения, но я это понял как пример. Новое, более удобное и, возможно, менее безопасное решение, в силу своего удобства, со временем принимается потребителями, так как полученный комфорт перевесил возможные риски. Возможно, до первой беды. Возможно, что потребители продолжат пользоваться этим решением и после негативного события.

Облачная подпись сейчас кажется более удобным, но априори менее безопасной. Но часть пользователей прельстится удобством и оценит риски безопасности как приемлемые. И будет пользоваться облачной подписью.

Облачная подпись уже работает в "low-cost" сегменте. Интересно было бы попробовать ее в сегменте "enterprise". Возможно, бизнес успокоят слова "КриптоПро HSM" или что-то другое. Надо думать, предлагать и пробовать.

Ну так удалите в статье статьи аргумент "мобильность" из раздела "за".

А зачем она там?!

Я ведь правильно понимаю, что под облачной бухгалтерией понимается сервис, на котором ведется учет и с которого затем отсылается отчетность? Почему в данном случае не достаточно просто авторизации пользователя на сервисе? Зачем еще ЭЦП - чтобы соответствовать требованиям регулятора?

Где именно? Внутри одного сервиса или сервисов одного поставщика? Ок, принимается.

Только теперь мне нужно завести по сертификату у каждого поставщика? Так?

В чем именно она удобна?

Я вижу плюс только в одном - если ты пользуешься web-сервисом, то организация подписи с локального клиента может быть проблематичным.

По-моему на упоминание КриптоПро (как и всего, что связано с нашей странной "российской квалифицированной подписью") у нормального бизнеса уже начинается идиоскарзия.

Да, правильно, но это могут быть разные сервисы. Не всем нужна и бухгалтерия и отчетность. Многие предпочитают вести бухучет on premise, а потом уже сдавать отчетность через сервис. КЭП нужна, чтобы соответствовать требованиям законодательства.

Да, внутри сервисов одного поставщика это работает. Теоретически можно научиться предоставлять облачный сертификат другим поставщикам, если в этом будет экономический смысл. Но ценность, на мой взгляд, предоставляют именно сервисы и среды, где может быть использована ЭП, простое обладание облачным или обычным сертификатом не несет экономического смысла.

В случае облачного сертификата у пользователя нет необходимости устанавливать ПО на свое устройство и думать о копировании сертификатов на каждое устройство или носить с собой всегда ключевой носитель. Владение облачным сертификатом - менее хлопотная процедура, так что я бы не стал так сильно пугаться заводить кучу сертификатов у разных провайдеров. Да и стоимость необходимого ПО и ключевого носителя (в случае с on premise сертификатами) будет заметно меньше абонентских платежей, так что использование одного универсального сертификата - вопрос скорее удобства, чем экономической выгоды.

Про HSM почитай - штука интересная. Подобные решения есть и у зарубежных конкурентов, и давно. Так что тут КриптоПро использует универсальный мировой опыт.

Радует, что данная тем вызывает интерес. Постараюсь развить высказанную выше концепцию облачного сервиса с учетом замечаний. 1. Облачный сервис как развитие информационных систем является уже свершившимся фактом, что подразумевает подтягивание до этого стандарта производителей программного софта. С точки зрения снижения затрат - ранее вам приходилось покупать 2-3 программных продукта, обеспечивающих ваши потребности, теперь это 1, причем на 30-40% ниже по суммарной стоимости.

2. Что такое цифровая подпись и для кого она в первую очередь нужна? ЦП - это ваш идентификатор в IT системах, позволяющий вам сказать "Я-это Я" для принятия решений при любом уровне финансовой ответственности с гарантированным уровнем защиты от взлома или неправомерного использования. В любом случае появление ЦП - это эволюция "живой" подписи с целью ускорения реализации бизнес-процессов компании. Т.е. если раньше бумажный документ обрабатывался не спеша, то теперь достаточно одного щелчка для принятия решений.

3. Никто не говорит, что есть идеальные решения и средства. Действительно КриптоПро набил оскомину при его использовании. Недавно переустанавливал систему для бухгалтеров использующих 1C, СБИС и 2 учетки банков через web-интерфейс (с использованием КриптоПро) - проклял все, пока добавил все необходимые сертификаты и поддержку ключей.

Михаил, не совсем знак равенства. Скорее знак тождество, т.к. ФА позволяет реализовать механизм единого окна для пользователей различных доменов, т.е. выступает идентификационным гарантом для участника авторизации. Сервис ЭЦП сам имеет средства авторизации и решает свои конкретные задачи. В данном случае, явным примером может служить сайт госуслуги и сервисы сателиты (например РОИ). Сайт госуслуг является ФА, который гарантирует идентификацию пользователей для других сервисов.

Сергей, абсолютно с вами согласен. Облачная подпись может и должна выступать в качества единого идентификационного сервиса, принимаемого другими участниками бизнес-процессов. Сейчас, это все слишком фрагментировано и существует много посредников на пути движения документов.

Откуда следует этот вывод?

Может быть Вы не умеете им пользоваться? Установка сертификатов задача весьма тривиальная и ни у кого не вызывает вопросов. Причем технологически она ничем не отличается от установки сертификатов на других криптопровайдерах.

Используйте УДОБНЫЕ прикладные средства, которые работают с СКЗИ и будет Вам счастье.

Сейчас то, что продается под названием "облачная подпись", никак не может выполнять функции идентификационного сервиса, т.к. само целиком зависит от аутентификации. У облачной подписи и нет задачи идентификации, требуется перенести процесс формирования подписи с рабочего места в облако, но лишь по причине, что рабочее место пользователя не так безопасно, чтобы работать с СКЗИ.

Что фрагментировано? Какие посредники? Если про УЦ, то он нужен для изготовления квалифицированных сертификатов. Если про оператора, то как Вы без него это представляете? Нужен оператор электричества, оператор доступа к сети, оператор сервиса облачной подписи, оператор информационной системы и т.п. Это специализированная деятельность. У нас же не натуральное хозяйство.

Я как бы этого не говорил:) Вполне допускаю использование облачных подписей для отдельных сервисов, ну ладно, пусть сервисов от одного оператора. Но в качестве единого идентификационного сервиса я пока бы постеснялся ее использовать.

Ага, в последнее время часто доводится слышать, как операторов ЭДО сравнивают с продавцами воздуха. Наверно, напишу таки большую статью, что делает оператор, кроме обеспечения юридической значимости, пока ограничусь тезисами:

1. Создание ЭД. В интерфейсе сервиса, как правило, можно создать самые распространенные ЭД (ЭСФ, ТОРГ-12, акты и т.п.).

2. Хранение ЭД. Не скажу за все сервисы, но Диадок хранит ваши документы до тех пор, пока вы сами их не удалите. Даже если вы уже не платите абонплату.

3. Единое правовое пространство. Попробуйте заключить договоры со всеми своими контрагентами, если вы, скажем, оператор связи или энергосбытовая компания!

4. Транспорт. Ок, вы сами сможете организовать транспортировку ЭД по каналам связи и контролировать подписание для всех своих 10 тысяч контрагентов? Ну-ну...

5. Интеграция. Расскажу маленькую историю. Одна транснациональная корпорация надумала слать через оператора ЭСФ и ТОРГ-12. Да вот беда, что ERP могла выгружать только PDF и то особого извращенного формата. ИТ корпорации был где-то в Латинской Америке и принимал заказы на разработку на следующий год. Это не считая волокиты с формулирование м ТЗ и согласованием на нескольких континентах. Кто смог быстро наладить интеграцию? Правильно, оператор.

Сергей, т.е. можно резюмировать о несостоятельности IT-инфраструктуры для обеспечения требуемого качество ЭД в рамках существующих ERP? Исходя из вышесказанного Вами, ЭД еще находится в зачаточном состоянии и не может полностью удовлетворить потребности конечных пользователей в полном объеме.

Тогда получается, что производители бумаги продают обработанную целлюлозу..:) Оператор ЭДО предоставляют услуги, которые востребованы рынком (хотя некоторые умудряются продавать консервированный воздух Альп)

Зачем же так? Электронный документооборот - не самоцель, это инструмент. Он развивается, и требования растут то же. Где-то требования выше, где-то ЭД сам формирует потребности. В целом, я считаю, состояние ЭДО в России более-менее адекватно требованиям рынка.

Сергей, делая такой вывод, я основываюсь на том, что вы написали выше. Ведь вы поднимаете вопрос об эффективности IT-средств для реализации ЭД. Кроме этого, облачный сервис, как сфера услуг, достаточно динамично развивается и шансы появления электронной подписи - вопрос времени.

Ежедневная подписка. Другие виды подписок доступны при регистрации.

Иван Пискунов

Тенденция нескольких последних лет говорит о том, что многие сервисы переходят из традиционных десктопных инстилляций в облака. Не стало исключением и электронная подпись . Однако миграция ЭП в облака воспринимается сообществом пользователей и экспертов пока еще весьма неоднозначно. Среди несомненных преимуществ новых облачных решений особняком стоят вопросы обеспечения информационной безопасности. Однако, ни технологии ни законодательство не стоят на месте, и вскоре можно ожидать нового витка развития электронной подписи с участием облачных вычислений

Электронная подпись как основа юридически значимого электронного документооборота

Электронная подпись (далее по тексту - ЭП) согласно Федерального закона №63-ФЗ от 06.04.2011 года является обязательным юридически значимыми реквизитом электронного документа. По мимо этого в законе так же сказано, что ЭП является абсолютным аналогом собственно ручной подписи поставленной на бумажном документе. В виду этого логично и вполне обосновано считать, что электронный документооборот является реальной альтернативой традиционному делопроизводству в целом и в частности отдельным процессам заключения и подтверждения различных сделок, соглашений, договоров, контрактов и т.п.

Согласно выше обозначенного федерального закона ЭП, как обязательный элемент ЭДО призвана обеспечить три ключевых задачи:

1. Обеспечить однозначную идентификацию лица, подписавшего

документ;

2. Обеспечить защиту от несанкционированного изменения документа;

3. Обеспечить юридическую силу электронного документа.

Юридическая значимость использования ЭП закреплена в ряде отечественных нормативных документов. Приведем несколько основных ссылок:

• · Ст. 160, 434, 847 ГК РФ, которые регламентируют практическое использование электронных подписей в документообороте.
• · Федеральный закон №63-ФЗ «Об электронной подписи» от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.
• · Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.
• · Федеральный закон 402-ФЗ «О бухгалтерском учете» от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.
• · Согласно п.3 ст.75 Арбитражного процессуального кодекса РФ , документы, полученные с использованием информационно-телекоммуникационной сети Интернет и подписанные электронной подписью, допускаются в качестве письменных доказательств в арбитражных спорах.

Все выше указанные факты и доводы означают, что, используя ЭП мы всегда можем чётко знать кем и когда был подписан документ, быть уверенным в том, что после подписания в документ не были внесены какие-либо изменения, и в случае разногласия сторон и последующих судебных разбирательств обеспечить неотказуемость факта свершения сделки (заключения контракта и т.д.).

В настоящее время законодательством установлена три варианта использования ЭП на территории Российской Федерации, это:

• · Простая ЭП;
• · Усиленная не квалифицированная ЭП;
• · Усиленная квалифицированная ЭП.

Чем же они отличаются и какую же ЭП можно и нужно использовать для совершения финансовых операций? Чуть ниже мы их разберем . И так, начнем (см. рисунок 1)

1. Простая электронная подпись

Простая подпись или как часто ее еще называют связка «логин-пароль» - это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Классический пример, когда вы введёте пин-код вашей кредитной карты, скажите парольную фразу (метка голосом) в телефонном разговоре с кол-центром банка и тому подобное – всё это будет вашей Простой Электронной Подписью . Иными словами, единственная функция такой подписи - подтверждение авторства , идентификация личности. Простая ЭП обеспечивает базовый уровень защиты и аутентификации. К примеру. Она подпись применяется для получения доступа к возможностям Единого портала госуслуг . Простую электронную подпись категорически нельзя использовать при подписании электронных документов или в государственной информационной системе (ГИС), которые содержат гостайну.

2. ЭП является усиленной НЕквалифицированно й , если выполняются следующие условия:

• · получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

• · позволяет определить лицо, подписавшее электронный документ;

• · позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

• · создается с использованием средств электронной подписи.

Усилинная НЕквалифицированная ЭП позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают надежную защиту документов в соответствии с российскими ГОСТ по шифрованию. Такая подпись вполне подойдет для внутреннего документооборота в компании, а также для отправки электронных документов из одной компании в другую. Неквалифицированная электронная подпись также подходит для участия в электронных торгах.

3. Ну и, наконец третий вариант, когда ЭП является усиленной квалифицированной , если соответствует всем вышеперечисленным признакам неквалифицированной ЭП и двум следующим дополнительным признакам:

• · ключ проверки электронной подписи указан в квалифицированном сертификате;

• · для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом

Стоит отметить. что программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности . Следовательно, квалифицированная электронная подпись наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. Контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП

Рисунок 1. Виды электронных подписей

Электронная подпись в облачных сервисах

За последние несколько лет в ИТ-индустрии прочно закрепились тренды перехода от эксплуатации собственной ИТ-инфраструктуры к использованию облачных вычислений. Это прежде всего замена традиционных ИТ-систем изначально разворачиваемых на материально-технической базе каждой отельной взятой компании на сервисы по требованию, т.к. SaaS,PaaS и IaaS. По данным свежего исследования «Облачные услуги в корпоративном секторе, Россия 2017». от компаний SAP и Forrester, облачные технологии в России будет расти быстрее, чем весь ИТ рынок взятый в целом: так при среднегодовом темпе в 21% рынок облаков вырастет в 3 раза по сравнению с показателями 2015 года. В докладе сообщается, что крупный бизнес в настоящее время максимально готов к использованию облачных услуг: в этом сегменте свыше 90% опрошенных знают про облачные услуги, в малом бизнесе – свыше 70%. В крупном бизнесе 54,5% опрошенных пользуется одновременно облачными услугами из двух и более категорий, в среднем бизнесе – 50%, в малом – 43%.

Текущая ситуация с использованием облачной ЭП в России

Совсем недавно, в июне 2017 года стало известно о том, что ФСБ совместно с «Ростелекомом» создают электронную подпись, которая «взорвет и перевернет рынок» . Идея все та же, создать ЭП не требующую использования токена (носителя на флешке). Об этом рассказал директор по электронному правительству в «Ростелекоме» Михаил Бондаренко. «У меня есть данные от коллег с Лубянки о том что до конца года должно выйти некое решение, которое позволит делать доверенные ЭЦП облачными, - сказал он, не приведя каких-либо подробностей, но противопоставляя это решение распространенным сегодня электронным подписям на токенах. - На наш взгляд это взорвет и перевернет рынок доверенной авторизации и идентификации», - добавил он. Но есть нюанс, по мимо использования «облаков» предполагается еще и задействовать биометрию, т.е. индивидуальные биометрические характеристики каждого человека как параметры для его уникальной аутентификации.

Как сообщает тот же источник со слов Бондаренко - «Предполагается, что «Ростелеком» станет оператором этой платформы и два года будет проводить пилотный эксперимент с банками, в точение этого времени услуги по биометрической идентификации будут предоставляться им бесплатно» , отметив, что в уже стартовавшем пилоте участвует порядка десяти банков, включая Сбербанк, ВТБ и Газпромбанк.

При этом закончить создание платформы оператор намерен до конца 2017 г. К тому же только с 1 января 2018 г. предположительно вступят в силу поправки в 115 федеральный закон, разрешающие использовать биометрическую идентификацию в финансовом секторе - для открытия-закрытия счетов, размещения и снятия вкладов, переводов и т. д. Таким образом, по словам топ-менеджера, уже рассматривается идея создания на базе национальной биометрической платформы «национального банка идентификации и авторизации» жителей России.

Комментарии экспертов:

«По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона. Технология «облачной» электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов «СКБ Контур», сделавших выбор в ее пользу», – рассказывает эксперт Казаков.

«Облачная» электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, «в облаке», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптова­лют. - Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО». Чепкасов отмечает , что одно из ключевых преимуществ «облачной» подписи – это возможность подписания документов и их отправки из любой точки мира и с любого устройства.

Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.

Игорь Чепкасов рассказывает о возможностях использования ЭП в новых сервисах и услугах, к примеру, построенных на технологии Blockchain , а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компро­метации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом» , – рассказывает он. Так по мнению эксперта, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в роли одной из сторон, участву­ющей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей» , – отмечает он.

В настоящее время сертификаты ключей проверки электронной подписи (СКП) выпускаются на специальных носителях, рассказал замглавы Минкомсвязи Михаил Евраев. При этом средняя стоимость такого СКП составляет около 5 тыс. рублей. «Система облачной электронной подписи позволит создавать подпись без материального носителя, что значительно снизит стоимость ее использования и повысит безопасность применения», - пояснил замминистра.

Ситуацию так же прокомментировал интернет-омбудсмен Дмитрий Мариничев, который уверен, что в технологиях ЭП произойдет настоящая революция, как это уже случилось несколько лет назад с накопителями информации. Например, еще в 90-х фильмы продавались на VHS-кассетах, в 2000-х они появились на CD, затем на DVD, и через десять лет в конце концов распространяются на флеш-накопителях и в интернете.

Перспективы использования облачной ЭП для банковской отрасли

Электронная подпись задумывалось как универсальное средство подтверждения юридической силы совершаемых операций, и в виду этого имеет широкий спектр применения, от пользования порталом гос услуг до обеспечения электронного документооборота между организациями и государственными контролирующими органами. Для банковской отрасли ЭП физическими и юридическими лицами чаще всего используется для совершения финансовых операций через сервисы ДБО. Это включает в себя и онлайн доступ в личный кабинет посредством web-технологий и мобильный банк, т.е. управление счетом через социализированное приложение со смартфонов и планшетов.

К примеру, ЭП для физических лиц в крупнейшем федеральном банке - Сбербанке дает возможность банковской организации уменьшить оборот бумаги и увеличить скорость обслуживания посетителей. То есть во время открытия депозита вместо установки подписи на 4-х разных документах посетителю нужно будет 1 раз набрать свой ПИН (пароль к ЭП). Данный вид технологии сможет обеспечить проведение двойной клиентской идентификации с использованием паспорта и при помощи карточки с ПИН-кодом, который сможет знать лишь владелец. Благодаря этому можно также будет предотвратить вероятные факты мошенничества. Так по внутренним данным Сбербанка актуальных на 2014 год, в течении двенадцати месяцев после запуска такого сервиса, только жителями Москвы было совершено больше трёх миллионов операций с применением подписи в электронном виде.

Процедура получения соответствующего ключа электронной подписи банка России довольна проста, необходимо пройти онлайн-регистрацию на специализированном сайте «Сбер ключ». Так право на электронную подпись банк даёт любому его владельцу принимать участие в торгах и делать размещение на необходимых электронных ресурсах личные заявления.

Еще одним наглядным вариантом массового использования облачной ЭП может послужить , доступный в интернет-банке «Сбербанк Бизнес Онлайн», который стал официальным инструментом Сбербанка для электронного подписания многосторонних и двусторонних договоров между любыми юридическими лицами и индивидуальными предпринимателями (ИП) – так называемый межкорпоративный ЭДО. Как пояснил , благодаря этой системе трудозатраты на обработку одного документа сокращаются с 2-3 минут до 10-15 секунд. Кроме того, отказавшись от бумажного документооборота, компания может значительно снизить расходы на канцелярские товары, аренду складских помещений, замену расходных материалов для офисного оборудования и т.п.

Проблемы безопасности облачной ЭП

Не смотря на все ощутимые плюсы от использования ЭП в облаках, данная концепция не нашла широкой поддержки у экспертов по информационной безопасности. Так, по мнению некоторых специалистов использование средств ЭП в мобильном телефоне тает в себе существенную угрозу безопасности. Не нужно быть специалистом, что бы разглядеть удручающую статистику роста числа мобильных вредоносных программ, перехватывающих СМС-сообщения пользователя, маскирующимся под официальные приложения мобильного банкинга и выполняющие другие несанкционированные действия без ведома пользователя.

В виду этого гарантировать информационную безопасность использования ЭП может только доверенная среда (изолированная), в которой пользователь и технические средства в момент взаимодействия защищены от посторонних вмешательств. Мобильный телефон такой доверенной средой назвать сложно - пользователь может устанавливать любые приложения на свое усмотрение. Хуже ситуация, если только если операционная система устройства «рутована». Однако, выход есть – как уже описывалось ранее это использование специальной SIM-карты, интегрированной с ЭП.

При использовании сервисов ДБО злоумышленники нередко проводят атаку типа «человек в браузере », являющееся частной реализацией атаки «человек-по-середине», когда, подменяя реквизиты легального платежа, показывая пользователю правильные данные, а в банк отправляя свои, подмененные. С новой функцией безопасности такой трюк злоумышленника уже не пройдет - получив реквизиты, специальный апплет на сим-карте выведет их на экран телефона и запросит ПИН-код. Визуально проверив корректность реквизитов, пользователь для подтверждении вводит ПИН-код своей электронной подписи, подписывает их и после отправляет обратно на шлюз, который передает информацию банку.

Сергей Груздев, генеральный директор компании-разработчика отечественных систем криптографической защиты «Аладдин Р. Д» выделяет еще один способ применения данной технологии - «Помимо аутентификации и подписания документов, разработанная система может использоваться для уведомления клиента банка об операциях с его счетом, что стало особенно актуальным в свете вступления в действие девятой статьи 163-ФЗ «О национальной платежной системе» . В отличие от самого популярного на данный момент способа - СМС-информирования, в этом случае гарантируется банковская тайна (никто не сможет прочитать уведомления, ни заразив смартфон вирусом, ни даже подменив базовую станцию), и исключена подмена сообщений злоумышленниками».

Остается другая проблема, когда например, в случае утери и умышленной кражи телефона и сохраненным ПИН-кодом в заметках или иной внутренней памяти телефона. В этом случае злоумышленник, сможет потратить все деньги как минимум с мобильного счета владельца, и, например, подписать обязывающие абонента документы, скажем, оплатить покупки в кредит на одном и популярных онлайн-магазинов. Однако, и эти риски достаточно уверенно предотвращаются примерно так же, как и с платежными и кредитными картами. Владелец счета (карты) может ограничить ежедневный объем и содержание сделок, допустимых с данной SIM-карты, так же использовать опцию отключения своей ЭП на временной период, пока он ею не пользуется.

Как известно, задача электронной подписи состоит в том, чтобы упрос­тить документооборот. Согласно закону 2011 года «Об электронной подписи», цифровой документ, который подписан ЭП, приравнивается к бумажному с рукотворным автографом.

«“Облачная” электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, “в облаке”», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптова­лют. Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО. Эксперт отмечает, что одно из преимуществ «облачной» подписи – возможность подписания документов (включая отчетность) и их отправки из любой точки мира и с любого устройства.

Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.

Зачем нужна электронная. Сергей Казаков, эксперт в области информационной безопасности компании «СКБ Контур», напоминает, что с помощью ЭП компании представляют отчетность в налоговую и другие контролирующие органы, ведут электронный документооборот. Цифровая подпись также широко применяется в сфере государственных закупок. «По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона», – отмечает эксперт. «Технология “облачной” электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов “СКБ Контур”, сделавших выбор в ее пользу», – рассказывает г-н Казаков.

Обратите внимание

Пока эксперты рассуждают о распространении «облачной» ЭП, есть одна проблема – вопросы ее применения не прописаны в нормативных актах.

Как отмечает Алексей Дашков, руководитель направления ИБ компании «Системный софт», ЭП выполняет такую же функцию, как и подпись, закрепленная печатью. «Она обеспечивает подлинность документа и состоит из закрытого и открытого ключа. Подписание документа производится с помощью закрытого ключа, который обычно хранится на специальном носителе – токене. Приобрести сервис можно у целого ряда компаний-провайдеров подобных услуг, никаких специальных требований, кроме наличия стандартного комплекта учредительных документов, не требуется», – рассказывает он.

«“Облачная” электронная подпись – это обычная электронная подпись, но с одним отличием: закрытый ключ хранится на серверах удостоверяющего центра, и подписание документов осуществляется там же. Подтверждение лич­ности подписанта происходит обычно с помощью отправки смс с кодом на мобильный телефон», – поясняет г-н Дашков.

Цена вопроса

Игорь Чепкасов рассказал, что стоимость ЭП зависит от ее функциональных возможностей и сферы применения и колеблется от 1000 до 15 000 рублей. «По крайней мере, такие цены я встречал лично, когда мне ЭП нужна была по работе. “Облачная” электронная подпись в некоторых известных мне компаниях стоит 3000 рублей», – делится эксперт.

Стоимость «облачной» подписи варьируется у разных компаний-операторов. Можно найти предложение и за 900 рублей в год. Однако не стоит безоговорочно верить рекламным обещаниям. Советуем подробно ознакомиться с прайсом на «облачную» подпись и узнать, что входит в стоимость, и только после этого принимать решение о ее приобретении.

«Стоимость “облачной” электронной подписи, как правило, включена в тариф того сервиса, который покупает клиент. Единственный сервис “СКБ Контур”, который продает ее отдельно, – это система электронного документооборота “Диадок”. В нем она составляет 900 рублей. При этом обычный сертификат на носителе с лицензией на средстве криптографической защиты информации (СКЗИ) обойдется в 3000 рублей», – рассказывает Сергей Казаков.

Как работает?

В основе работы технологии – специализированный сервер электронной подписи, находящийся «в облаке». «Если пользователю необходимо, например, отправить отчет в налоговую инспекцию, его учетная система взаимодействует с сервером электронной подписи и передает ему документ, который нужно подписать. Сервер электронной подписи обязан запросить разрешение у пользователя – это можно сделать, отправив на его мобильный телефон код подтверждения операции, как в интернет-банке», – отмечает Сергей Казаков. Вводя код подтверждения в учетной системе, пользователь санк­ционирует доступ к ключу ЭП, и для документа создается подпись. «Все ключи электронной подписи хранятся в зашиф­рованном виде на специализированном устройстве, от­вечающем самым строгим требованиям безопасности. Оператор сервера электронной подписи должен предпринимать все меры для того, чтобы минимизировать риск несанкционированного доступа к ключам», – рассказывает г-н Казаков.

Для того, чтобы использовать «классическую» электронную подпись, нужно приобрести токен и специализированное программное обеспечение – криптопровайдер. «Это немалые расходы, особенно для начинающих предпринимателей. Затем это программное обеспечение нужно установить и настроить, а если вы собираетесь использовать подпись на нескольких рабочих местах – для каждого места отдельно. “Облачная” электронная подпись не требует приобретения ПО и предварительной настройки, ее нельзя потерять или забыть», – отмечает г-н Казаков. В отличие от традиционных технологий, «облачная» подпись доступна пользователям на любой операционной системе и платформе, в том числе на мобильных устройствах.

Алексей Дашков отмечает, что «облачные» ЭП популярны у небольших компаний или индивидуальных предпринимателей, активно использующих сервисы «типа онлайн-бухгалтерий и онлайн-документооборота». В крупных организациях, не использующих «облака», применение такой подписи, по его словам, может оказаться дороже и сложнее, чем применение обычной ЭП.

Каковы перспективы?

По словам Антона Еликова, распространение применения «облачных» электронных подписей очень ждет вся транспортная отрасль России. «Стоит только представить себе ситуацию, когда водитель-экспедитор едет в рейс не с пачкой бумаг, а с планшетом. И прямо на месте отгрузки подписывает с клиентом товарно-транспортную накладную! Но основную пользу “облачная” электронная подпись могла бы принести в случае, когда документ поставки расходится с фактически отгружаемым объемом продукции (пересорт, бой в процессе транспортировки)», – отмечает он. По словам г-на Еликова, таких случаев на практике порой бывает до 40 процентов. «И все эти документы сейчас отправляются в длинный путь взаимодействия бухгалтерий со стороны поставщика и покупателя. Хотя вопрос расхождений мог бы быть урегулирован прямо в месте отгрузки, и факт изменения был бы подтвержден “облачной” подписью», – делает вывод эксперт.

Игорь Чепкасов рассказывает, что в настоящее время уже имеются совершенно новые разработки, использующие технологию Blockchain, а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компро­метации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом», – рассказывает он. По словам г-на Чепкасова, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в ро-и одной из сторон, участву­ющей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей», – отмечает он.

Тем временем, пока эксперты рассуждают о распространении практики применения «облачной» электронной подписи и говорят о возможностях развития технологий, есть одна проблема. Связана она с тем, что сегодня вопросы применения такой ЭП должным образом не прописаны в нормативных актах. Но в скором времени, а именно – в III квартале 2016 года, – россияне получат законодательную возможность использовать электронную подпись без материального носителя – USB-флешки или SIM-карты. Такая норма содержится в «дорожных картах» к программе развития интернета в России, которую Институт развития интернета подготовил для президента РФ. Так что можно ожидать, что компании в скором времени перестанут бояться «облачных» технологий и начнут более активно использовать такую электронную подпись в своей работе.