Василий Овчинников, начальник отдела информационной безопасности компании «Электронные Офисные Системы»: «Без воли регулятора развития рынка не будет»

Интерес к системам криптозащиты и возможностям электронной цифровой подписи в последнее время растет лавинообразно. Причины тому и в инициативах регулятора, и в росте проникновения ШПД и компьютеризации. Однако ситуация с развитием и регламентацией этого сегмента рынка все еще оставляет желать лучшего. О том, что сейчас представляет собой рынок криптозащиты в России, каковы перспективы его развития и с какими сложностями игрокам рынка и пользователям решений предстоит столкнуться, корреспонденту ИД «РПР-группа» рассказывает Василий Овчинников, начальник отдела информационной безопасности компании «Электронные Офисные Системы».

- Василий, скажите, сформирован ли на данный момент спрос на системы криптозащиты?

Назвать российский рынок систем криптозащиты окончательно сформировавшимся нельзя: он еще продолжает формироваться и увеличиваться. Скорее, можно говорить о том, что он динамично растет. Особенно этому поспособствовали последние изменения федеральных законов, которые регламентируют хождение электронных документов.

Правда, пока мы еще отстаем от европейских стран и США, причем достаточно сильно по целому ряду показателей, и тому есть несколько причин. Во-первых, Россия до недавнего времени жила по, мягко говоря, «неправильному» закону – 1-ФЗ. К реальному хождению цифровых подписей он имел весьма опосредованное отношение. Соответственно, и те криптографические системы, которые были представлены на российском рынке, приходилось «подгонять» под этот закон. Во-вторых, многие наши документы на данный момент в принципе не могут существовать в электронной форме, чего, к примеру, об аналогичных европейских или американских документах сказать нельзя. В-третьих, для признания документов юридически значимыми, в соответствие с 1-ФЗ, требовалось, чтобы средства, которыми эти документы подписывались, проходили сертификацию, достаточно дорогостоящую и длительную. Это приводило к повышению цены на системы, спрос был маленьким, а значит, не было и развития таких продуктов.

- Насколько высока конкуренция среди разработчиков в сегменте средств криптозащиты? Конкурентны ли на российском рынке предложения зарубежных производителей?

В России рынок криптозащиты де-факто монополизирован. У нас есть «Крипто-Про» - и все остальные. При этом в отдельных сегментах рынка некоторые, как правило, крупные компании используют для внутреннего документооборота решения зарубежных производителей – только потому, что у них гораздо ниже стоимость владения. Однако на общий рынок это несильно влияет, и изменить ситуацию может только доработка и вхождение в силу нового 63-ФЗ «Об электронной подписи». Да и то нельзя утверждать со стопроцентной гарантией, что это кардинально изменит ситуацию: монополисты никогда не отдают свой рынок просто так. Но какие-то изменения обязательно появятся. К примеру, в России наиболее распространен стандарт Х 509, по нему все и живут, но ведь есть другие стандарты, которые в ряде случаев могут быть существенно дешевле и удобнее с точки зрения организации инфраструктуры. Сейчас сложно прогнозировать как будет развиваться рынок в случае приведения закона в порядок – слишком много изменений в целом случилось за год, слишком сложно предсказать их последствия.

Ясно одно: без воли регулятора развития рынка не будет. Все боятся оказаться в такой ситуации, когда даже при условии договоренностей с партнерами об использовании определенных решений для обмена документами в электронном виде, эти документы не будут признаваться юридически значимыми. И если один из партнеров нарушает правила игры и необходимо судебное разбирательство, никто не поручится за то, что суд признает документы действительными. В России есть примеры того, как электронный документ без цифровой подписи был признан юридически значимым на основе анализа переписки и поведения партнеров до конфликтной ситуации. А есть и обратные примеры: документ с электронной подписью не признавался. Так что пока не будет урегулирован вопрос с юридической значимостью, люди не будут доверять электронным документам и подписям, и будут бояться пользоваться этим инструментом, хотя он и удобен. Или хуже: будут дублировать все на бумаге на всякий случай, и, как следствие, нести двойные расходы.

- Сейчас зачастую в административном порядке пытаются научить пользоваться ЭЦП: выдают ЭЦП и нотариусам, и женщинам для оформления «детских пособий», и так далее. Насколько запуск таких проектов может способствовать развитию отрасли?

К сожалению, большая часть проектов по продвижению ЭЦП несостоятельна из-за незнания сущности электронной подписи. Это напоминает мне историю с созданием школьником операционной системы, которая на поверку оказалась уже давно существующей с другим логотипом. Выдать криптографический сертификат на срок больше нескольких лет нереально. По истечении этого срока сертификат может быть дискредитирован – это особенности математики, и чего-либо принципиально нового никто пока никто не придумал. Соответственно, его надо будет менять, а для этого нужно организовывать инфраструктуру. Так что это утопия: раздать всем сертификаты и обязать пользоваться. В час Х все равно надо будет их обновить – пусть даже в автоматическом режиме. А инфраструктуры для проведения подобной операции нет. Все упирается в необходимость ее создавать, организовывать службу техподдержки, а для этого нужно время и большие деньги.

- В каком направлении будет развиваться рынок криптографических решений, и какие тенденции в этом сегменте могут стать определяющими?

- Мне кажется, рынок будет развиваться в сторону использования средств криптозащиты на мобильных устройствах. Об этом говорит динамика спроса: если в прошлом году запросов о возможности подписания документов с мобильных устройств практически не было, то сейчас их уже десятки и даже сотни. Так или иначе, производители как криптосредств, так и прикладных решений будут разрабатывать и уже разрабатывают такие системы.

Еще один тренд будущего – решения для частных пользователей. Это как раз то направление, куда многие хотят идти, но ни у кого пока не получается. Если корпоративных пользователей можно обязать обменивать сертификат раз в год – их немного, инфраструктура у компании для этого в том или ином виде должна быть, то частному пользователю придется сначала объяснять, что собой представляет сертификат и зачем его менять, да и уже упомянутые проблемы с инфраструктурой встанут в полный рост. Здесь сложностей много, но и потенциальная выгода может быть высокой.

При этом развитие будет идти в сторону снижения порога вхождения для пользователя и упрощения самих решений. Еще 5 лет назад нормой была ситуация, когда функция подписания электронных документов существовала только интегрировано с ERP-системой. Зачастую после подписания внизу страницы документа печаталась строка непонятных нормальному человеку символов, либо где-то ставилась галочка и т.п. - и по этому человеку надлежало судить о том, что документ подписан. Сейчас же в России представлены решения, которые выводят подписи понятным пользователю образом, привычным по работе с бумагой. С точки зрения получения сертификатов это, конечно, не приносит облегчения, но с точки зрения использования разница очевидна. 

- Облегчает ли ЭЦП жизнь пользователям? Каких подводных камней следует опасаться при ее использовании?

- Здесь все просто: никто не любит стоять в очередях, терять время, тратить лишние деньги, и работа с электронными документами и подписями может помочь этого избежать. К примеру, у одного из наших клиентов ежедневный документооборот – около 500 документов, причем их обязательно надо хранить. В течение полугода они своими бумагами заполняют немаленький склад. Мы нашли решение, которое позволило ровно в пять раз уменьшить бумажный документооборот. У заказчика сразу решился ряд проблем, накладные расходы на хранение документации снизились в разы.

Пока, правда, говорить о том, что электронная подпись однозначно облегчит жизнь нельзя – существуют вопросы с хранением подписанных документов. Когда срок действия сертификата подписи истекает, надо как-то «переподписывать» документ, и пока эта процедура не установлена. Можно использовать опыт других стран. К примеру, в Италии есть некая автоматизированные системы, которые перед окончанием срока действия сертификата электронной подписи «подписывают» документ вместе со старой подписью, тем самым гарантируя целостность и ее, и самого документа.

В условиях действия нашего устаревшего закона использование итальянской системы было невозможно в принципе, потому что подпись, поставленная автоматически, не считалась подписью вообще. В новом законе появились упоминания о том, что такая подпись ничем не лучше и не хуже  подписи, созданной человеком.

Интересно, что согласно нашему «старому» закону, да и новому тоже, если срок действия сертификата электронной подписи истек, подписанный документ все равно считается юридически значимым, если есть доказательства того, что подпись была создана в момент «жизни» этого сертификата. Технически это очень странное решение: если срок действия сертификата истек, он может быть скомпрометирован, а значит и документ изменен, а значит и доверять ему в чистом виде нельзя. К сожалению, люди, ориентируясь на этот пункт закона, не задумываются о том, каким опасностям подвергаются их документы и к каким последствиям это может привести. 

-ЭОС недавно объявил о завершении бета-тестирования новых версий сразу двух продуктов: системы криптозащиты КАРМА и средства для работы с электронной подписью EDSIGN. Что собой представляет процесс бета-тестирования? Какие задачи решаются в рамках этого этапа? 

Альфа-тестирование предполагает запуск и выявление ошибок разработчиками решения непосредственно после его создания. Основная задача альфа-тестирования – заставить решение работать стабильно в идеальных условиях и идеальной работе пользователя. Бета-тестирование проводится уже тогда, когда продукт, в общем и целом, не «падает», однако при каждом нестандартном шаге могут возникнуть какие-то «непросчитанные» трудности. Т.е. работать с решением уже можно, но все еще недостаточно комфортно и удобно. Бета-тестирование призвано превратить продукт в полностью работоспособный. Проводится бета-тестирование практически всегда и внутри организации, и за ее пределами.

Тестирование ядра КАРМЫ заняло всего неделю. Здесь основной задачей было максимально возможное устранение ошибок в работе системы, потому что приложение критическое, работает с криптографией и от результатов его работы многое зависит. Можно сказать, что полученная версия КАРМы фактически представляет собой патч, решающий существовавшие в предыдущей версии проблемы.

В случае с EDSIGN мы действительно создали другую версию программы: был переработан весь интерфейс, например, добавлены неограниченные по длине текстовые поля, полноценная работа со штампами времени и многое другое. Кроме того, необходимо было определить, удобно ли работать с решением и стало ли удобнее, чем в предыдущей версии. Бета-тестирование EDSIGN заняло около месяца.

- Расскажите подробнее о системе криптозащиты КАРМА и средстве для работы с электронной подписью EDSIGN.

Приложение КАРМА выросло из внутренней разработки компании, которая использовалась нами для работы с электронными подписями успешно и довольно давно. Основная задача существования КАРМы – встраивание в другие приложения возможностей криптографии без необходимости сложной интеграции и специальных знаний Был даже пример, когда пользователь, зная азы программирования в 1С, «прикрутил» работу с электронными подписями к свой системе всего за 40 минут. При этом благодаря КАРМе пользователь получает практически все возможности использования криптографии, которые на данный момент можно представить.

Вторая задача КАРМы – использование ЭЦП конечными пользователями. Для этого в ней есть интерфейс, в котором сделан упор на простоту и максимальную функциональность. В новой версии для каждой операции предусмотрено еще меньшее количество действий для получения результата: если было 3, то стало 2. Кроме того, то приложение, которое ориентировано на конечных пользователей, может служить примером встраивания КАРМы в ERP-систему.

При создании EDSIGN основной задачей была популяризация ЭЦП. В нем мы старались повторить приемы работы с бумажными документами. Точно так же, как в бумажных документах, предлагаются поля: где подписать, куда ввести текст и так далее. Реализована и функция внесения дополнительной информации в уже подписанный документ, ведь в деловой практике документ без регистрационного номера не считается документом, часть реквизитов ставится уже после подписания документа. Формат EDSIGN позволяет вносить в строго отведенные поля документа информацию уже после первого подписания без его разрушения. Т.е. все происходит так же, как с бумажным документом: сначала руководитель ставит подпись, а потом регистратор вносит номер. В новой версии мы также постарались учесть потребности пользователей, количество которых стремительно выросло за последнее время, а соответственно, увеличилось и количество запросов по расширению возможностей приложения. И это не предел, мы будем работать и дальше.

- Что нового появилось в протестированных версиях КАРМЫ и EDSIGN? Есть ли планы по продвижению этих решений и их дальнейшему развитию?

Разумеется, мы уже думаем о будущем. Мы планируем угнаться за новейшими технологиями, максимально соответствовать требованиям рынка и увеличивать функционал. К примеру, часть возможностей, которые можно реализовать в EDSIGN и которые для КАРМы являются внешними, мы постараемся реализовать и в КАРМе. Так что каждый желающий сможет сделать аналог EDSIGN в том виде, в котором захочет – в разумных пределах, конечно. Т.е. мы и дальше пойдем по пути облегчения встраивания работы с электронными подписями. Ориентировочно новые возможности появятся в конце этого – начале будущего года.

Кроме того, идет разработка возможностей подписания документов с любых устройств – удаленных компьютеров, мобильных устройств и так далее. Возможно, этот функционал будет включен в комплект поставки системы КАРМА, а может быть, будет представлен как отдельный продукт.

EDSIGN будет развиваться в сторону повышения юзабилити, расширения функционала. Но главное – мы рассчитываем обеспечить работу с различными наиболее распространенными форматами, такими как xls, pdf. Об этом мы говорили уже тогда, когда только представляли EDSIGN, и задача не потеряла актуальность.

Автор: Алена Журавлева (info@mskit.ru)

Рубрики: Интеграция, ПО, Регулирование, Безопасность

Ключевые слова: электронная подпись, ЭОС, электронный документооборот, информационная безопасность, эцп, электронная цифровая подпись, электронные госуслуги, госуслуги в электронном виде

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

21.05.2020 Дистанционное образование не вытеснит очное

21.05.2020 Развитие ECM-решений ЭОС: новые функции и возможности импортозамещения

14.05.2020 Телеком между Сциллой и Харибдой

14.05.2020 Оператор за правильных пчел

29.04.2020 К 2024 году голосовых помощников будет больше, чем людей

28.04.2020 «Удаленка» - стимул для цифровой трансформации

28.04.2020 Российский ИИ прощается с тремя законами робототехники

24.04.2020 COVID-19 ударит по экономике рунета

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода