Электронная подпись для "физиков"
Экспертный комментарий Максима Чиркова, руководителя направления развития сервисов ЭП "Аладдин Р.Д."
До конца этого года ведущие мобильные операторы планируют начать в России массовые продажи sim-карт с поддержкой электронной цифровой подписи (ЭП). Пока инфраструктуры для использования такой подписи физлицами немного, но технологических преград нет. Потенциал же её применения огромен, уверены эксперты. При помощи государства операторы могут бесплатно выдать такую подпись на sim-картах всем россиянам за 3 – 4 года.
Расклад сил
С весны 2013 г. "Мегафон", а с декабря и МТС приступили к продаже сертификатов усиленных квалифицированных электронных подписей на USB-токенах. Выдаются ЭП собственными аккредитованными удостоверяющими центрами операторов. В МТС пока ЭП могут получить лишь предприниматели, в "Мегафоне" — в рамках пилотного проекта некоторые как частные, так и корпоративные клиенты.
МТС планирует в 2014 г. выдать электронные подписи на токенах более чем 10% своих корпоративных клиентов, а до конца года сделать услугу доступной и для физических лиц. Первых итогов компании пока не оглашают (в МТС это планируют сделать в середине 2014 г.), но готовы дальше развивать практику выдачи ЭП уже на других носителях — sim-картах мобильных телефонов.
Это более "интересно и перспективно", отмечают в "Мегафоне", где планируют до конца года начать продавать такие sim-карты физическим и юридическим лицам. МТС планирует выпустить ЭП на sim-картах пока лишь для корпоративных клиентов до конца 2014 г., говорит представитель компании Дмитрий Солодовников. Срок действия сертификата ЭП составляет 1 год. Сейчас абонентская плата за выдачу ЭП и техническую поддержку на токене МТС составляет 2999 руб. в год, на носителе клиента — 1999 руб. в год. Всего до конца 2016 г. МТС планирует заработать на продаже услуг удостоверяющего центра и электронного документооборота (ЭДО) более 2 млрд руб., дополнительно около 150 млн руб. оператор сэкономит за счёт внедрения ЭДО внутри компании, рассказывает Солодовников.
"Вымпелком" также изучает "различные варианты внедрения этой возможности на массовом рынке, а также в интересах корпоративного сегмента с рядом партнёров", сообщил сотрудник пресс-службы компании.
Сервис нацелен на обеспечение "безбумажного и мобильного" взаимодействия любых лиц с учреждениями, требующими строгой авторизации для доступа (банки, госуслуги, медицинские учреждения и пр.), рассказывает представитель пресс-службы "Мегафон" Олеся Яременко. Корпоративные клиенты МТС могут обмениваться электронными документами с ФНС, порталом госуслуг, Росреестром, Федеральной службой по тарифам, Центральным банком и др., дополняет Солодовников. По его словам, когда услуга станет доступна частным абонентам МТС, они смогут подавать налоговые декларации в электронном виде, оформлять банковские кредиты и депозиты, совершать покупки в интернет-магазинах, заключать трудовые договоры, а также оформлять страховые полисы.
Подпись на будущее
Участники рынка пока не видят широкого применения услуги для физических лиц, однако признают, что она сможет быть полезна для предприятий. "Мобильность использования — единственное преимущество ЭП на sim-карте по сравнению с токенами", — отмечает руководитель проектов Банка24.ру Илья Леонтьев. ЭП — специфическая услуга, которая редко используется и не требуется постоянно, как сам мобильный аппарат, скептичен эксперт. "Портал госуслуг gosuslugi.ru — пока основной ресурс, где граждане РФ могут использовать сертификат ЭП, да и то только для входа, юридически значимые действия с ЭП там не совершаются. Можно также использовать ЭП на портале Росреестра, но число его пользователей среди физлиц невелико", — добавляет заместитель директора департамента развития "РТС-тендер" Дмитрий Скрипкин. Сложно представить, как ЭП, зашитая в sim-карту, будет одновременно работать во всех банках, страховых компаниях, у туроператоров, а также на порталах госучреждений, сомневается вице-президент Океан-Банка Татьяна Глазачева.
Зам. гендиректора по IT торгового портала Fabrikant.ru Денис Анциферов обращает внимание, что, несмотря на то, что на портал госуслуг можно заходить без ЭП, по паролю, полученному в "Ростелекоме", в некоторых случаях наличие ЭП может потребоваться. Например, при появлении смежного с порталом госуслуг ресурса какого-либо ведомства обладателю ЭП не придётся заново проходить процедуру верификации. Главное достоинство ЭП — её юридическая значимость, продолжает Леонтьев из Банка24.ру. По его мнению, услуга может стать популярной, например, у фрилансеров, которые смогут удалённо подписывать договоры с разными компаниями. Впрочем, на отдельной флешке находится ЭП или sim-карте телефона, тут не столь важно.
ЭП могла бы быть полезна в коммерческих компаниях, где пока практически не используется ЭДО, предполагает Скрипкин: "особенно если они в разных регионах". "При ЭДО основные усилия уходят на правильное заполнение громадных форм, а формат использования ЭП уходит на второй план. Кроме того, в крупных компаниях используется серьёзная система безопасности, и флешка с ЭП находится за семью печатями. Использование sim-карты с ЭП для больших бизнесов — сомнительно", — парирует Леонтьев.
Зарубежный опыт показывает, что потенциальная аудитория пользователей ЭП — 100% населения страны, замечает исполнительный директор консалтинговой группы "Аспект" Артём Генкин.
Новый этап
Одни из основных потенциальных партнёров операторов — банки — пока также не видят широкого применения услуги в своей работе с клиентами. Для работы в интернет-банке частные лица используют упрощённую авторизацию через sms и электронную почту, отмечает Леонтьев. "Если при подписании электронного документа между банком и клиентом появится ещё и третья сторона — оператор, непонятно, как можно будет гарантировать полную идентификацию и предотвратить утечки информации", — опасается Глазачева из Океан-Банка.
Наличие у клиента токена или мобильного телефона с ЭП также никак не поможет решить давнюю проблему удалённого банкинга — невозможность открыть счёт без личного присутствия клиента, продолжает Леонтьев: "согласно закону 115-ФЗ мы должны видеть клиента в момент подписания документов". ЭП можно использовать лишь при повторном обращении в банк лицом, уже имеющим счёт в этой же кредитной организации, говорит Глазачева.
Дмитрий Скрипкин, напротив, не видит причин для удалённого открытия счёта в банке: "Согласно закону 63-ФЗ документ, подписанный квалифицированной ЭП, приравнивается к документу, подписанному собственноручной подписью. К тому же сегодня можно удалённо открыть счёт даже с мобильного устройства, воспользовавшись некоторыми банковскими приложениями, без всякого сертификата и явки в банк".
Однако операторам при желании под силу открыть новый этап электронной коммерции и задать новый тренд банковского обслуживания, инициировав поправки в 115-ФЗ, выражает оптимизм представитель пресс-службы электронной торговой площадки правительства Москвы "ЕЭТП" Алексей Могильник: "Тем более у МТС есть свой банк, в котором можно всё это опробовать, остается лишь выстроить инфраструктуру для удалённого открытия счёта, а также общую стратегию".
В "Мегафоне" уже предлагают внести ряд поправок в законодательство, рассказывает Яременко. В частности, предлагается ввести понятие "услуга строгой идентификации личности" и внедрять госуслугу, полностью исключающую очную явку гражданина. Если государство снимет барьеры массового распространения электронной подписи и ускорит выдачу гражданам биометрических общегражданских удостоверений личности, то мобильные операторы смогут бесплатно активировать электронную подпись на sim-картах всем гражданам России за 3 – 4 года.
"Рабочая группа при Росфинмониторинге уже разработала пакет поправок в 115-ФЗ, по которым клиенту будет достаточно один раз пройти физическую идентификацию, и затем её подтверждение будет запрашиваться у "первоначального" банка или в бюро кредитных историй", — заметил Артем Генкин.
Риски проекта
"Технология использования ЭП на sim-карте более безопасна, чем токены и прочие решения", — уверен руководитель направления развития сервисов электронной подписи компании "Аладдин Р.Д." Максим Чирков. С его слов, все криптографические операции с подписываемой информацией производятся внутри чипа смарт-карты, т.е. в доверенной среде. Это исключает кражу ключевой информации, что возможно при использовании обычной флеш-карты или дискеты.
С одной стороны, мобильные телефоны часто воруют, рассуждает Скрипкин. С другой же — человек всегда носит телефон с собой, а вот флешку с ЭП может кому-то передать или где-либо оставить.
В случае когда сотовый оператор един в двух ипостасях (отвечает и за ЭП, и за идентификацию пользователя), риски есть, но они не критичны, согласен Генкин. По его мнению, риски проекта связаны с актуализацией данных о пользователях оператора, повторной идентификацией клиента в случае её необходимости, а также неразберихой в ходе миграции абонентов различных мобильных операторов в связи с отменой "мобильного рабства".
При идентификации с помощью мобильного устройства разумно использовать вторичную аутентификацию за счёт голосового распознавания речи — например, кодового слова, предлагает руководитель направления бизнес-решений компании Plantronics Дмитрий Архипов.