Электронная цифровая подпись: история только начинается
Последние несколько лет аббревиатура ЭЦП ассоциируется в нашей стране преимущественно с бесконечно рассматриваемым, но так реально и не «заработавшим» одноименным законом. Однако в то же время в России уже функционируют компании, получающие доходы от технологий ЭЦП. Более того, участники этого бизнеса считают, что именно нынешний, 2004 год стал для их предприятия переломным. О том, как работают и зарабатывают на ЭЦП, «Веб-информу» рассказывает Георгий Афанасьев, директор Удостоверяющего центра ekey.ru.
Идея шифрования содержания электронной почты появилась еще в 1991 году. Именно тогда Фил Циммерман написал программу Pretty Good Privacy (PGP), которая тут же стала популярной среди «продвинутых» сетевых пользователей. В России идея шифрования e-mail широкого распространения не получила, так и оставшись «уделом избранных». И вместо того чтобы пытаться продвинуть свои разработки в массы, создатели технологий шифрования электронной почты обратились к другой нише – корпоративным пользователям. В результате приложенных усилий в некоторых отраслях бизнеса (например, в банковской) использование шифрующего программного обеспечения стало обычной практикой.
Последние несколько лет технологии шифровки почты привлекли внимание государства. Первый федеральный нормативный акт, регулирующий эту сферу деятельности, Закон «Об электронной цифровой подписи», – вступил в силу в январе 2002 года. По задумке его авторов, он должен был перевести государственный документооборот на новый уровень, обеспечив законодательную базу для внедрения электронных технологий в делопроизводство. Однако закон оказался реально «неработающим»: в нем были описаны только общие положения, а конкретных пунктов (о сертификации средств ЭЦП, о лицензировании удостоверяющих центров ЭЦП и пр.), позволяющих госорганам воспринимать ЭЦП не только как техническое средство информационной безопасности, но и как реальную альтернативу бумажному документообороту, в нем не было.
В конце прошлого года появилась информация о том, что ведомства, отвечающие за ЭЦП, могут внести в Госдуму несколько постановлений, которые позволили бы Закону об ЭЦП «заработать» в полную силу. Однако в начале этой весны Минсвязи РФ (до недавнего времени полномочный орган в области использования ЭЦП) было расформировано. А потому в настоящее время, пока идет процесс министерского реформирования, судьба этих подзаконных актов остается туманной.
Несмотря на это, уже несколько лет на территории России действует ряд организаций, которые вопреки несовершенству законодательства занимаются продвижением продуктов шифрования почты среди как государственных, так и корпоративных заказчиков. У руководителя одной из таких компаний – Георгия Афанасьева, директора Удостоверяющего центра ekey.ru – «Веб-информ» и взял интервью.
- Как Вы пришли к мысли заниматься этим бизнесом?
- С 2000 года я возглавлял проектное направление российской фабрики мысли – Центра стратегических исследований и интенсивно участвовал в работах Центра стратегических разработок Северо-Запада. Мы имели дело с большими проектами, связанными с построением института федеральных округов, разрешением проблем уничтожения химического оружия. По ходу дела мы пришли к выводу, что в современной России невозможно выполнение законов без инфраструктуры электронного государства. Инфраструктура электронного государства многослойна, и уже тогда было понятно, что в общем-то все есть. Есть компьютеры, ПО, системы электронного документооборота, телекоммуникационные каналы, есть организации, которые могут все это установить и интегрировать. Не было только развитой системы идентификации в информационном пространстве. Электронная цифровая подпись открывает возможности для ответственного осуществления гражданских отношений посредством телекоммуникационных систем.
Удостоверяющий центр ekey.ru был задуман мной как инновационный проект по организации инфраструктуры нового поколения. Фактически, речь шла о построении национальной программы, которую можно условно назвать ГОЭЛРО-2. От первой, исторической ГОЭЛРО она отличается тем, что, во-первых, создается инфраструктура для цифрового мира, а во-вторых, она разрабатывается не государством, хотя и при обязательной поддержке власти. Мы исходили из того, что развитость стран и регионов в XXI веке определяется не наличием тяжелой промышленности и заводов, а развитием информационных инфраструктур.
- Что нужно для того, чтобы открыть бизнес, связанный с ЭЦП, в России?
- Работа удостоверяющего центра похожа на деятельность нотариуса, который не может заниматься торговлей, производством. Нотариус может выполнять только одну, специфичную работу. Так же и удостоверяющий центр сконцентрирован на выпуске и обслуживании сертификатов. Совмещать эту деятельность с каким-либо другим бизнесом – системной интеграцией, продажей ПО, налаживанием документооборота, разработкой ПО – невозможно. Необходимо специальное оборудование, которое не может быть вовлечено в какие-то еще работы. Также обязательны лицензии на обслуживание, распространение криптосредств.
- Каков срок окупаемости затрат?
- Как всякая инфраструктура, система цифровой идентификации обладает очень длинным циклом возврата капиталовложений. Инвестиционный цикл удостоверяющего центра – от пяти лет.
- Каким образом несколько компаний планируют обслуживать всю страну?
- Удостоверяющий центр в идеале не должен заниматься и продажей сертификатов ЭЦП. Для этого разворачивается сеть регистрационных центров. Особенность выдачи сертификата ЭЦП ekey.ru как услуги заключается в том, что клиент должен представить определенный пакет документов в подлиннике. Мы должны удостовериться, что человек, желающий получить подпись, – именно тот, за кого себя выдает. Процедура получения ЭЦП по важности и ответственности сравнима с выдачей паспорта. Поэтому Удостоверяющий центр должен иметь представительства, точки, куда можно придти и предъявить документы на получение ЭЦП. По нашим расчетам, регистрационный центр ekey.ru должен приходиться на каждые 100 тыс. жителей. Наши партнеры – регистрационные центры – выполняют эту важную функцию проверки документов, после чего подают заявку на выдачу ЭЦП ekey.ru, подтверждая заявку собственной подписью ekey.ru. Кроме того, у них есть еще более важные задачи – это создание сфер применения ЭЦП у себя в регионе, ведение разъяснительной кампании и работа над привлечением клиентов. Регистрационные центры не выполняют работ, связанных с лицензируемой деятельностью. Мы считаем вклад их очень большим и делим с ними прибыль пополам – то есть регистрационный центр получает половину от прибыли с каждой продажи сертификата ЭЦП ekey.ru.
- Кто ваши клиенты?
- Есть целый ряд бизнесов, связанных с ЭЦП. Это автоматизация документооборота, телебанкинг, различные платные онлайн-услуги, трейдерские системы. Добавление к этим услугам компоненты электронной цифровой подписи существенно расширяет круг их применения.
- Пожалуйста, расскажите более подробно.
- При внедрении ЭЦП в систему электронного документооборота корпорации последняя получает возможности принципиально нового уровня: обмен электронными документами приобретает юридическую значимость. В современной корпорации главной рабочей средой является не офис, а сложная внутренняя система электронных рабочих мест. И действия сотрудников в этих электронных средах должны быть ответственными. Единственно возможный способ обеспечить настоящую, признанную с юридической точки зрения ответственность за действия в интранете компании, – личные ЭЦП сотрудников организации.
Кроме того, в России интенсивно развиваются интернет-сервисы. Я считаю, что владельцы платных онлайн-сервисов должны обеспечивать своим пользователям безопасность и однозначно подтверждать все собственные действия в онлайне. Мы знаем много историй про фальшивые сайты крупных интернет-магазинов, онлайн-аукционов, с помощью которых мошенники снимали с кредитных карточек деньги пользователей. Все крупные компании не устают предупреждать клиентов о фальшивых письмах «от службы технической поддержки», которым люди доверяют и потому выдают злоумышленникам свои пароли. Если бы все «саппорты» подписывали свои послания, шансы мошенников обмануть пользователя уменьшились бы в разы. Многие крупные компании размещают на своих сайтах договоры публичной оферты – это хостинг-провайдеры, торговые фирмы. Несанкционированное изменение такого договора повлечет за собой крайне негативные последствия. Подтверждение этого договора публичной оферты и прайс-листа ЭЦП снимает все возможные недоразумения.
Есть разного рода платные услуги в Интернете – и очень часто они весьма дороги. Я говорю про использование баз данных, трейдинговых лент новостей, архивов. Доступ к этим сервисам оптимально обеспечивать с помощью личной ЭЦП пользователя, а не через весьма условную систему «логин-пароль».
Я бы сказал, что наиболее выгодно заниматься внедрением ЭЦП в уже существующих сервисах, а также тем, кто заинтересован в стратегическом развитии.
- Вы много работаете с государственными структурами. Расскажите, как происходит это взаимодействие?
- Да, мы ведем большую работу по установлению договоренностей с государственными ведомствами. В октябре прошлого года из аппарата полномочного представителя Президента в Приволжском федеральном округе были направлены письма всем главам субъектов РФ, входящих в Приволжский федеральный округ. В посланиях содержалась просьба поручить ответственному за информатизацию в регионе провести со мной рабочую встречу по вопросам построения единой инфраструктуры электронной цифровой подписи. За месяц я съездил в каждый из этих регионов и пообщался с руководителями отделов информатизации всех ключевых ведомств.
Мы договорились с Пенсионным Фондом Российской Федерации о проведении пилотного проекта по построению системы сдачи отчетности в электронном виде в двух регионах – Республике Башкортостан и Ульяновской области. Мы заключили договор с УМНС Ульяновской области о приеме отчетности в электронном виде, подтвержденной сертификатом ekey.ru, а также провели тестирование сертификатов ЭЦП ekey.ru семью ключевыми ведомствами.
- Общаетесь ли вы сейчас с зарубежными специалистами?
- Да, мы инициировали получение экспертной поддержки от Европейского совета.
- Кто еще, кроме вас, занимается ЭЦП в России?
- Рабочая группа по удостоверяющим центрам при Минсвязи насчитала порядка 200 организаций, которые проявили интерес к работе по выдаче сертификатов электронной цифровой подписи. Большая часть этих центров не работают на широком рынке, обслуживая интересы отдельных корпораций и ведомств. Но поскольку телекоммуникационная инфраструктура является национальной и даже глобальной, основной интерес пользователя в том, чтобы его ЭЦП принималась в любом ведомстве, в любом регионе России и, в перспективе, в любой стране. Ни один локальный удостоверяющий центр такого функционала обеспечить не может. Открытых рыночных удостоверяющих центров в России два – это Удостоверяющий центр ekey.ru и ЗАО «Удостоверяющий центр».
- Кто ваши партнеры?
- Сертификат ЭЦП в чем-то очень похож на кредитку. Если у человека есть кредитная карточка, но ее не принимают в магазинах, то зачем ему такая кредитка? И для банков, когда они вводили новый этот сервис, главным было не банкоматы на каждому углу расставить, а договориться с магазинами и ресторанами, чтобы они принимали к оплате кредитные карты. Так и для нас приоритетная задача – сделать так, чтобы отчетные документы в электронном виде, подписанные ЭЦП, принимали все ведомства, чтобы во все системы электронного документооборота была интегрирована ЭЦП и любые организации могли обмениваться электронными документами, имеющими юридическую значимость. И очень важная цель – сделать так, чтобы российские бизнесмены могли обмениваться юридически значимыми электронными документами с зарубежными партнерами.
Поэтому мы являемся партнерами всех сертифицированных крипторазработчиков. Это позволяет нам выдавать ЭЦП, которые пригодны для использования в любом ведомстве или корпорации, какие бы технологически платформы ни были установлены у них. Кстати, прошу обратить внимание на интересную деталь – все производители криптосредств являются коммерческими фирмами. После этого вопрос об исключительно государственных удостоверяющих центрах (которые будут работать исключительно на ПО, разработанном в частных компаниях) становится бессмысленным.
- Говорят, что из-за несовершенства законодательства ЭЦП в госучреждениях «не работает». Соответствует ли это действительности?
- Слова «в России ни один удостоверяющий центр не имеет лицензии» я слышу достаточно часто. На самом деле в этом вопросе следует различать лицензию на деятельность удостоверяющего центра (то есть организации, которая выдает и обслуживает сертификаты электронной цифровой подписи) и сертификат на удостоверяющий центр – специализированное программное обеспечение. Удостоверяющие центры российских разработчиков прошли соответствующую сертификацию. Но ни одна организация, которая выдает и обслуживает сертификаты ЭЦП, не имеет возможности пройти лицензирование, поскольку лицензирующий орган не создан. Существует очевидный юридический пробел.
- Как решается эта проблема?
- На сегодняшний день существуют два способа. Один из них – разрешение на опытную эксплуатацию удостоверяющего центра. Второй – придание статуса уполномоченного удостоверяющего центра, когда удостоверяющий центр наделяется статусом специального центра при ведомстве, корпорации. Институт уполномоченных удостоверяющих центров также является здоровой альтернативой созданию удостоверяющих центров на базе ведомств. В качестве практического примера могу привести специальное соглашение Пенсионного Фонда РФ и Удостоверяющего центра ekey.ru о проведении пилотных проектов на территории Ульяновской Области и Республики Башкортостан.
- Каковы ближайшие планы и перспективы?
- В сеть удостоверяющих центров ekey.ru вошли уже 15 регистрационных центров. В ближайшие месяцы мы планируем расширяться и приглашаем региональные IT- и телекоммуникационные компании к сотрудничеству. Несмотря на то, что для самого удостоверяющего центра инвестиционный цикл составляет до пяти лет, регистрационным центрам мы предлагаем схему, в которой выход на доходность начинается с первых десятков продаж. Это достигается за счет того, что стартовые затраты регистрационного центра невысоки. Нет стартовых затрат на аренду специализированного офиса, покупку оборудования, привлечение новых сотрудников, поскольку нашими регистрационными центрами становятся уже зарекомендовавшие себя на региональном рынке компании. Им достаточно оплатить сбор в размере 15,5 тыс. руб.
Источник:
http://webinform.ru/interview/1076.html