Облачная электронная подпись. Проблемы безопасности и перспективы использования
Экспертный комментарий Сергея Груздева, генерального директора компании "Аладдин Р.Д."
Тенденция нескольких последних лет говорит о том, что многие сервисы переходят из традиционных десктопных инстилляций в облака. Не стало исключением и электронная подпись. Однако миграция ЭП в облака воспринимается сообществом пользователей и экспертов пока ещё весьма неоднозначно. Среди несомненных преимуществ новых облачных решений особняком стоят вопросы обеспечения информационной безопасности. Однако, ни технологии ни законодательство не стоят на месте, и вскоре можно ожидать нового витка развития электронной подписи с участием облачных вычислений.
Электронная подпись как основа юридически значимого электронного документооборота
Электронная подпись (далее по тексту - ЭП) согласно Федерального закона №63-ФЗ от 06.04.2011 года является обязательным юридически значимыми реквизитом электронного документа. По мимо этого в законе так же сказано, что ЭП является абсолютным аналогом собственно ручной подписи поставленной на бумажном документе. В виду этого логично и вполне обосновано считать, что электронный документооборот является реальной альтернативой традиционному делопроизводству в целом и в частности отдельным процессам заключения и подтверждения различных сделок, соглашений, договоров, контрактов и т.п.
Согласно выше обозначенного федерального закона ЭП, как обязательный элемент ЭДО призвана обеспечить три ключевых задачи:
- обеспечить однозначную идентификацию лица, подписавшего документ;
- обеспечить защиту от несанкционированного изменения документа;
- обеспечить юридическую силу электронного документа.
Юридическая значимость использования ЭП закреплена в ряде отечественных нормативных документов. Приведём несколько основных ссылок:
- Ст. 160, 434, 847 ГК РФ, которые регламентируют практическое использование электронных подписей в документообороте.
- Федеральный закон №63-ФЗ "Об электронной подписи" от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.
- Федеральный закон №149-ФЗ "Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.
- Федеральный закон 402-ФЗ "О бухгалтерском учёте" от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.
- Согласно п.3 ст.75 Арбитражного процессуального кодекса РФ , документы, полученные с использованием информационно-телекоммуникационной сети Интернет и подписанные электронной подписью, допускаются в качестве письменных доказательств в арбитражных спорах.
Все выше указанные факты и доводы означают, что, используя ЭП мы всегда можем чётко знать кем и когда был подписан документ, быть уверенным в том, что после подписания в документ не были внесены какие-либо изменения, и в случае разногласия сторон и последующих судебных разбирательств обеспечить неотказуемость факта свершения сделки (заключения контракта и т.д.).
В настоящее время законодательством установлена три варианта использования ЭП на территории Российской Федерации, это:
- простая ЭП;
- усиленная не квалифицированная ЭП;
- усиленная квалифицированная ЭП.
Чем же они отличаются и какую же ЭП можно и нужно использовать для совершения финансовых операций? Чуть ниже мы их разберём . И так, начнём (см. рисунок 1)
Простая электронная подпись.
Простая подпись или как часто её ещё называют связка "логин-пароль" — это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом.
Классический пример, когда вы введёте пин-код вашей кредитной карты, скажите парольную фразу (метка голосом) в телефонном разговоре с кол-центром банка и тому подобное – всё это будет вашей Простой Электронной Подписью. Иными словами, единственная функция такой подписи - подтверждение авторства, идентификация личности. Простая ЭП обеспечивает базовый уровень защиты и аутентификации. К примеру. Она подпись применяется для получения доступа к возможностям Единого портала госуслуг . Простую электронную подпись категорически нельзя использовать при подписании электронных документов или в государственной информационной системе (ГИС), которые содержат гостайну.
ЭП является усиленной НЕквалифицированно й, если выполняются следующие условия:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создаётся с использованием средств электронной подписи.
Усиленная НЕквалифицированная ЭП позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают надёжную защиту документов в соответствии с российскими ГОСТ по шифрованию. Такая подпись вполне подойдёт для внутреннего документооборота в компании, а также для отправки электронных документов из одной компании в другую. Неквалифицированная электронная подпись также подходит для участия в электронных торгах.
Ну и, наконец третий вариант, когда ЭП является усиленной квалифицированной, если соответствует всем вышеперечисленным признакам неквалифицированной ЭП и двум следующим дополнительным признакам:
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Стоит отметить. что программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности . Следовательно, квалифицированная электронная подпись наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. Контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП.
Электронная подпись в облачных сервисах
За последние несколько лет в ИТ-индустрии прочно закрепились тренды перехода от эксплуатации собственной ИТ-инфраструктуры к использованию облачных вычислений. Это прежде всего замена традиционных ИТ-систем изначально разворачиваемых на материально-технической базе каждой отельной взятой компании на сервисы по требованию, т.к. SaaS,PaaS и IaaS. По данным свежего исследования "Облачные услуги в корпоративном секторе, Россия 2017". от компаний SAP и Forrester, облачные технологии в России будет расти быстрее, чем весь ИТ рынок взятый в целом: так при среднегодовом темпе в 21% рынок облаков вырастет в 3 раза по сравнению с показателями 2015 года. В докладе сообщается, что крупный бизнес в настоящее время максимально готов к использованию облачных услуг: в этом сегменте свыше 90% опрошенных знают про облачные услуги, в малом бизнесе – свыше 70%. В крупном бизнесе 54,5% опрошенных пользуется одновременно облачными услугами из двух и более категорий, в среднем бизнесе – 50%, в малом – 43%.
А согласно прогнозам компании, Oracle составившей описание 10 трендов развития облачных технологий на 2017 год, отмечены такие тезисы: "критически важные рабочие нагрузки начнут переводить в облако"; "корпоративное облако становится самой безопасной средой для ИТ-обработки"; "60% ИТ-служб переводят управление ИТ-системами в облако".
Наиболее наглядным и ставшим уже классическим примером массового ухода от десктопных инсталляций к облачным сервисам можно назвать продукт Office 365 от Microsoft. Другой пример, характерный для большинства малых и средних компаний это переход от толстых клиентов (десктопных инсталляций) одной из наиболее популярных программ для ведения бухучета "1С:Бухгалтерия" к web-ориентированной платформе "1С:Предприятие через интернет". Стоит ли ещё рассказывать об облачных сервисах отправки отчётности, к примеру "1С:Отчетность", который позволяет отправлять отчётность в контролирующие органы ФНС, ФСС, ПФР прямо из программы через Интернет.
И так, в свою очередь потакая новой моде и глобальным тенденциям индустрии, ЭП, как элемент, неразрывно связанный с бизнес-операциями и поддерживаемый ИТ, таки рано или поздно тоже окажется в облаках. И тут в свою очередь появляется ряд очень важных вопросов, на которые пока не всегда есть ответы. Это с одной стороны качественно новый уровень удобства для пользователей (клиентов), а с другой стороны это реальные проблемы обеспечения безопасности ключей, хранящихся "в облаке", и что более существенно, это обеспечение защищённого доступа к этим ключам. Именно проблема гарантированной аутентификации является пока наиболее существенной. И скоро мы поймём почему.
Традиционно, ЭП, точнее, если технически правильно говорить, её закрытый ключ хранится в подавляющем большинстве случае на USB-носителе (флешке, токене) или в отдельных случаях в реестре операционной системы Windows или файлах на жёстком диске, что конечно куда менее безопасно. В виду этого к носителю ЭП предъявляются жёсткие требования к физической сохранности и обеспечению безопасного доступа, ведь в случае кражи USB-брелка и защитного PIN-кода (пароля) злоумышленник получает возможность от имени легитимного пользователя, т.е. владельца подписи выполнять любые действия, которые возможны с этой ЭП. К примеру, выполнять вход в личный кабинет систем дистанционного банковского обслуживания (ДБО), формировать и подтверждать платёжные требования, подписывать платёжные реестры и тому подобное.
По мимо указанных выше рисков существуют и некоторые другие неудобства использования традиционной ЭП. Ниже мы их кратко обозначим.
Во-первых, чтобы что-то подписать необходимо всегда иметь физический доступ к USB-брелку хранящему ЭП, т.е. иными словами постоянно носить его с собой. Это несёт в себе определённые риски физической сохранности для тех, кто очень часто перемещается, находится в командировках иными словами не присутствует на одном месте долгое время.
Во-вторых, существенным ограничением выступают требования к совместимости программного и аппаратного обеспечения устройства с которого производится подписание документа. К примеру, под различные версии операционной системы Windows нужно устанавливать соответствующие им версии драйверов и сопутствующего клиентского ПО. Соответственно, если разработчик продукта не поддерживает другие платформы или устаревшие, по его мнению, версии ОС то подписать документ в этой системе уже не получится. Классический пример, когда модули крипто-провайдера работают только с определённой версией Internet Explorer, который кстати уже больше не поддерживается Microsoft. Не менее глобальная проблема связана с пользователями продукции Apple, например, владельцев ноутбуков MacBook для которых не существует ПО поддерживающего создание ЭП в операционной системе Mac. Не менее печальна картина выглядит и для некоторых других устройств, к примеру смартфонов или планшетов с кастомной прошивкой.
В-третьих, это уровень гибкости не сопоставимый с возможностями использования ЭП в облаке. К примеру, это возможность подписи документа из абсолютно любой точки мира посредством только лишь одного браузера, причём не важно на как программной или аппаратной платформе он выполняется. Соответственно у пользователя больше не возникает проблем с установкой специальных плагинов, расширений или резидентных программ, обеспечивающих работу ЭП. Другое преимущество — это возможность использования любого удостоверяющего центра (УЦ), в том числе имеющегося в составе SaaS, и не ограниченного строгим числом аккредитованных в России УЦ. Со стороны безопасности так же есть новшества, это контроль подписываемых данных на любом втором устройстве пользователя с возможностью приостановки создания ЭП, если от этого устройства не было получено одобрение. Ещё одной фишкой облачной ЭП является возможность использования её как в оффлайн так и онлайн режиме, к примеру, если при подписании документа связь с интернетом была разорвана, то документ подписывается в режиме офлайн, а после возобновления связи сохраняется в облачное хранилище и отправляется адресату.
Что бы понимать потенциальные проблемы безопасности и правильно оценивать риск использования облачной ЭП мы в вкратце рассмотрим, как же работает данный сервис. Облачная ЭП – это сервис, представляющий возможность подписывать документы используя ЭП, расположенный в интернете, доступ к которому возможен множеством способов – от входа через web-браузер и запуска программ для настольного компьютера до использования мобильного приложения для смартфонов и планшетов. Сама подпись (закрыты ключ) хранится в самом облаке, вся остальная инфраструктура это по сути средства организации безопасного доступа владельца к данному сервису. Сам процесс подписания документа и его шифрования так же происходит на защищённом сервере (см. рисунок 2).
Рисунок 2. Схема использования облачной ЭП
Что касается наиболее щепетильных вопросов идентификации и аутентификации пользователя, то при выпуске электронной подписи удостоверяющий центр однозначно сопоставляет закрытый ключ (который отвечает за шифрование) с номером мобильного телефона владельца ЭП. Когда пользователь желает подписать какой-то документ, чтобы, к примеру, потом его отправить в налоговую инспекцию или торговую площадку, система автоматически генерирует одноразовый код аутентификации и присылает его на номер мобильного телефона владельца. Это так называемая двухфакторная аутентификации, часто используемая, к примеру, при доступе физических и юридических лиц в личный кабинет многих банков посредством предоставляемого ими сервиса ДБО.
Опыт стран Евросоюза в использовании облачной ЭП
Сегодня с уверенностью можно сказать, что в России сделано несколько первых и важных шагов к массовому использованию облачной ЭП. Однако в странах Евросоюза, использование данной технологии имеет многолетний опыт и курируется на межгосударственном уровне (уровне ЕвроСовета). Результатом этих усилий настолько лет назад был принят технический стандарт по системам облачной подписи.
До 2014 года использование ЭП в странах Еврозоны регулировалось директивой 1999-го года №1999/93/EC. Её положения во многом повторены в действующем у нас федеральном законе 63-ФЗ "Об электронной подписи". В европейском документе прописывалось, что для квалифицированной подписи необходимо использовать только квалифицированный сертификат и средство ЭП, прошедшее оценку соответствия. Однако, никаких ограничений или специальных требований по хранению ключа на сервере расположенному в интернете, т.е. в нашем сегодняшнем понимании в "облаке", директива понятное дело не содержала.
И вот в сентябре 2014-го года в силу вступило новое Постановление Европарламента №910/2014 , получившее название eIDAS , которое заменило собой морально устаревшую директиву 1999-го года. Так, новым регламентом пользователям разрешается хранение и использование ключа квалифицированной ЭП на сервере аккредитованного поставщика доверенных услуг, так называемого TSP (Trust Service Provider). Новый режим использования средства ЭП накладывает и новые требования по обеспечению безопасности. Так Европейский комитет по стандартизации (CEN) в октябре 2013-го года принял техническую спецификацию CEN/TS 419241 "Security Requirements for Trustworthy Systems Supporting Server Signing", посвящённую регулированию данного вопроса. В документе описано несколько уровней соответствия безопасности. К примеру, для соответствия " уровня 2", предъявляемого для формирования квалифицированной электронной подписи, является поддержка строгих вариантов аутентификации пользователей. По требованиям данного уровня аутентификация пользователя происходит напрямую на сервере подписи, в отличии, к примеру, от допустимой для "уровня 1" аутентификации в приложении, которое от своего имени обращается к серверу подписи. Так же в соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны обязательно храниться в памяти специализированного защищённого устройства (англ. hardware security module, HSM).
Аутентификация пользователя в облачном сервисе обязана быть как минимум двухфакторной. Как правило наиболее доступный и простой в использовании вариант — это подтверждение входа через код полученный в СМС-сообщении. Так к примеру, реализовано большинство личных кабинетов ДБО российских банков. Помимо привычных криптографических токенов в качестве средства аутентификации может применяться также приложение на смартфоне, и генераторы одноразовых паролей ( OTP-токены ).
Текущая ситуация с использованием облачной ЭП в России
В конце прошлого года произошло знаковое событие в отечественной законотворческой отрасли, все граждане РФ получили законодательную возможность использовать электронную подпись без материального носителя, таких как традиционные USB-флешки или SIM-карты для телефонов. Более того, нужно сказать, что такая норма массово содержится в "дорожных картах" к общей программе развития интернета в России, которую Институт развития интернета (ИРИ) подготовил для президента РФ.
В России с относительно недавнего времени разрабатывает продукты, которые позволят владельцам смартфонов и планшетов пользоваться облачной электронной подписью со своих персональных устройство. Для этого будут использоваться специализированные SIM-карты – 1С-sim, подключенные к мобильной платформе МТТ (как виртуальный оператор работает на сетях МТС и "Т2 РТК холдинга"), рассказали директор по развитию бизнеса "1С-СП" Сергей Химаныч и представитель МТТАнна Бойко. По их заверениям, владельцы таких карт смогут не только пользоваться электронной подписью, но и звонить, отправлять sms и подключаться к интернету по тарифам МТТ. Срок запуска сервиса Химаныч и Бойко не уточнили. Однако, человек, близкий к одной из сторон проекта, не исключает, что это произойдёт летом 2017 года.
О планах предоставлять частным и корпоративным клиентам ЭП интегрированной в SIM-карты стало известно ещё в 2013 году от оператора мобильной связи МТС. Со слов представителей компании, поддержка данной инвестиционной программы должна была стать одной из функций системы электронного документооборота компании, в которую она за три с половиной года планировала инвестировать 700 млн руб. Так же представитель МТС упомянул, что компания планировала до конца 2016 года заработать на услугах, связанных с электронным документооборотом, около 2 млрд руб. Сколько МТС зарабатывает на ЭП сейчас, её представитель Дмитрий Солодовников не сообщил. Он пояснил, что в марте 2016 года МТС получила статус доверенного оператора электронного документооборота Федеральной налоговой службы, значительно расширив спектр услуг в этой области.
"Вымпелком" в настоящее время также тестирует ряд собственных проектов по мобильной электронной подписи и ведёт переговоры с рядом партнёров, говорит его представитель Анна Айбашева. Детали проекта, к сожалению, Анна е сообщила. Другой крупнейший оператор "Мегафон" планирует запустить мобильную электронную подпись в III квартале 2017 года – проект выходит на финальную стадию, рассказывает представитель оператора Юлия Дорохина. Подпись будет квалифицированной – на сегодняшний день только у "Мегафона" есть все необходимые сертификаты и разрешения, утверждает она.
Демонстрацию возможностей использования ЭП с привязкой на SIM-карту, подготовленную отечественным разработчиком компанией "Аладдин Р.Д.", можно посмотреть на страничке "ДемоБанка".
Совсем недавно, в июне 2017 года стало известно о том, что ФСБ совместно с "Ростелекомом" создают электронную подпись, которая "взорвёт и перевернёт рынок" . Идея все та же, создать ЭП не требующую использования токена (носителя на флешке). Об этом рассказал директор по электронному правительству в "Ростелекоме" Михаил Бондаренко. "У меня есть данные от коллег с Лубянки о том, что до конца года должно выйти некое решение, которое позволит делать доверенные ЭЦП облачными, — сказал он, не приведя каких-либо подробностей, но противопоставляя это решение распространённым сегодня электронным подписям на токенах. — На наш взгляд это взорвёт и перевернёт рынок доверенной авторизации и идентификации", — добавил он. Но есть нюанс, помимо использования "облаков" предполагается ещё и задействовать биометрию, т.е. индивидуальные биометрические характеристики каждого человека как параметры для его уникальной аутентификации.
Как сообщает тот же источник со слов Бондаренко - "Предполагается, что "Ростелеком" станет оператором этой платформы и два года будет проводить пилотный эксперимент с банками, в точение этого времени услуги по биометрической идентификации будут предоставляться им бесплатно", отметив, что в уже стартовавшем пилоте участвует порядка десяти банков, включая Сбербанк, ВТБ и Газпромбанк.
При этом закончить создание платформы оператор намерен до конца 2017 г. К тому же только с 1 января 2018 г. предположительно вступят в силу поправки в 115 федеральный закон, разрешающие использовать биометрическую идентификацию в финансовом секторе — для открытия-закрытия счетов, размещения и снятия вкладов, переводов и т. д. Таким образом, по словам топ-менеджера, уже рассматривается идея создания на базе национальной биометрической платформы "национального банка идентификации и авторизации" жителей России.
Комментарии экспертов:
"По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона. Технология "облачной" электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов "СКБ Контур", сделавших выбор в её пользу", – рассказывает эксперт Казаков.
"Облачная" электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищённом сервере, "в облаке", – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптовалют. - Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО". Чепкасов отмечает, что одно из ключевых преимуществ "облачной" подписи – это возможность подписания документов и их отправки из любой точки мира и с любого устройства.
Антон Еликов (проект Мерката) отмечает, что электронная подпись "в облаке" – это то, чем многие из нас пользуются ежедневно, даже не замечая. "Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью", – рассказывает эксперт.
Игорь Чепкасов рассказывает о возможностях использования ЭП в новых сервисах и услугах, к примеру, построенных на технологии Blockchain, а именно – умные контракты. "Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компрометации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищённых сложнейшим криптографическим кодом", – рассказывает он. Так по мнению эксперта, внести изменения в уже введённый в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечёт за собой определённые события. "Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключён – человек здесь выступает исключительно в роли одной из сторон, участвующей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговорённого в договоре числа электронных подписей", – отмечает он.
В настоящее время сертификаты ключей проверки электронной подписи (СКП) выпускаются на специальных носителях, рассказал замглавы Минкомсвязи Михаил Евраев. При этом средняя стоимость такого СКП составляет около 5 тыс. рублей. "Система облачной электронной подписи позволит создавать подпись без материального носителя, что значительно снизит стоимость её использования и повысит безопасность применения", — пояснил замминистра.
Ситуацию так же прокомментировал интернет-омбудсмен Дмитрий Мариничев, который уверен, что в технологиях ЭП произойдёт настоящая революция, как это уже случилось несколько лет назад с накопителями информации. Например, ещё в 90-х фильмы продавались на VHS-кассетах, в 2000-х они появились на CD, затем на DVD, и через десять лет в конце концов распространяются на флеш-накопителях и в интернете.
Перспективы использования облачной ЭП для банковской отрасли
Электронная подпись задумывалось как универсальное средство подтверждения юридической силы совершаемых операций, и в виду этого имеет широкий спектр применения, от пользования порталом гос услуг до обеспечения электронного документооборота между организациями и государственными контролирующими органами. Для банковской отрасли ЭП физическими и юридическими лицами чаще всего используется для совершения финансовых операций через сервисы ДБО. Это включает в себя и онлайн доступ в личный кабинет посредством web-технологий и мобильный банк, т.е. управление счётом через социализированное приложение со смартфонов и планшетов.
К примеру, ЭП для физических лиц в крупнейшем федеральном банке - Сбербанке даёт возможность банковской организации уменьшить оборот бумаги и увеличить скорость обслуживания посетителей. То есть во время открытия депозита вместо установки подписи на 4-х разных документах посетителю нужно будет 1 раз набрать свой ПИН (пароль к ЭП). Данный вид технологии сможет обеспечить проведение двойной клиентской идентификации с использованием паспорта и при помощи карточки с ПИН-кодом, который сможет знать лишь владелец. Благодаря этому можно также будет предотвратить вероятные факты мошенничества. Так по внутренним данным Сбербанка актуальных на 2014 год, в течении двенадцати месяцев после запуска такого сервиса, только жителями Москвы было совершено больше трёх миллионов операций с применением подписи в электронном виде.
Процедура получения соответствующего ключа электронной подписи банка России довольна проста, необходимо пройти онлайн-регистрацию на специализированном сайте "Сбер ключ". Так право на электронную подпись банк даёт любому его владельцу принимать участие в торгах и делать размещение на необходимых электронных ресурсах личные заявления.
Ещё одним наглядным вариантом массового использования облачной ЭП может послужить облачный сервис E-invoicing , доступный в интернет-банке "Сбербанк Бизнес Онлайн", который стал официальным инструментом Сбербанка для электронного подписания многосторонних и двусторонних договоров между любыми юридическими лицами и индивидуальными предпринимателями (ИП) – так называемый межкорпоративный ЭДО. Как пояснил источник , благодаря этой системе трудозатраты на обработку одного документа сокращаются с 2-3 минут до 10-15 секунд. Кроме того, отказавшись от бумажного документооборота, компания может значительно снизить расходы на канцелярские товары, аренду складских помещений, замену расходных материалов для офисного оборудования и т.п.
Проблемы безопасности облачной ЭП
Не смотря на все ощутимые плюсы от использования ЭП в облаках, данная концепция не нашла широкой поддержки у экспертов по информационной безопасности. Так, по мнению некоторых специалистов использование средств ЭП в мобильном телефоне тает в себе существенную угрозу безопасности. Не нужно быть специалистом, что бы разглядеть удручающую статистику роста числа мобильных вредоносных программ, перехватывающих СМС-сообщения пользователя, маскирующимся под официальные приложения мобильного банкинга и выполняющие другие несанкционированные действия без ведома пользователя.
В виду этого гарантировать информационную безопасность использования ЭП может только доверенная среда (изолированная), в которой пользователь и технические средства в момент взаимодействия защищены от посторонних вмешательств. Мобильный телефон такой доверенной средой назвать сложно — пользователь может устанавливать любые приложения на своё усмотрение. Хуже ситуация, если только если операционная система устройства "рутована". Однако, выход есть – как уже описывалось ранее это использование специальной SIM-карты, интегрированной с ЭП.
При использовании сервисов ДБО злоумышленники нередко проводят атаку типа "человек в браузере", являющееся частной реализацией атаки "человек-по-середине", когда, подменяя реквизиты легального платежа, показывая пользователю правильные данные, а в банк отправляя свои, подменённые. С новой функцией безопасности такой трюк злоумышленника уже не пройдёт — получив реквизиты, специальный апплет на сим-карте выведет их на экран телефона и запросит ПИН-код. Визуально проверив корректность реквизитов, пользователь для подтверждении вводит ПИН-код своей электронной подписи, подписывает их и после отправляет обратно на шлюз, который передаёт информацию банку.
Сергей Груздев, генеральный директор компании-разработчика отечественных систем криптографической защиты "Аладдин Р. Д." выделяет ещё один способ применения данной технологии - "Помимо аутентификации и подписания документов, разработанная система может использоваться для уведомления клиента банка об операциях с его счётом, что стало особенно актуальным в свете вступления в действие девятой статьи 163-ФЗ "О национальной платёжной системе" . В отличие от самого популярного на данный момент способа — СМС-информирования, в этом случае гарантируется банковская тайна (никто не сможет прочитать уведомления, ни заразив смартфон вирусом, ни даже подменив базовую станцию), и исключена подмена сообщений злоумышленниками".
Остаётся другая проблема, когда например, в случае утери и умышленной кражи телефона и сохранённым ПИН-кодом в заметках или иной внутренней памяти телефона. В этом случае злоумышленник, сможет потратить все деньги как минимум с мобильного счета владельца, и, например, подписать обязывающие абонента документы, скажем, оплатить покупки в кредит на одном и популярных онлайн-магазинов. Однако, и эти риски достаточно уверенно предотвращаются примерно так же, как и с платёжными и кредитными картами. Владелец счёта (карты) может ограничить ежедневный объём и содержание сделок, допустимых с данной SIM-карты, так же использовать опцию отключения своей ЭП на временной период, пока он ею не пользуется.
Данный вопрос комментирует председатель правления ИРИ, Герман Клименко, утверждающий, что границы применения облачной подписи, определять использующие ее организации - "При оплате пластиковой картой в Сети пользователю приходит СМС с кодом подтверждения. Это один из способов защиты. Каждый банк сам определяет лимит суммы, которую пользователь может потратить при помощи кода подтверждения. У одного банка ограничение в 50 тысяч рублей, у другого — 100 тысяч".
Ещё одно преимущество использования облачной ЭП в целях обеспечения безопасности связано с тем, что ЭП должна быть сгенерирована не в корпоративном сервере банка, а на устройстве клиента (т.е в нашем случае в "облаке") для предотвращения несанкционированного доступа третьих лиц. Как считает Владислав Понаморев, никому, в том числе и самому банку, где обслуживается клиент, не следует предоставлять техническую возможность копирования секретного ключа клиента, в противном случае он ставит себя в уязвимое положение. Генерация и хранение ЭП в месте не подконтрольном банку, т.е. в "облаке" позволит создать дополнительный слой защиты от случайной или преднамеренной компрометации закрытого ключа.
Рекомендации по безопасному использованию облачной ЭП
Хотя главная проблема безопасного использования ЭП в облаках все же пока больше опирается на техническую сторону вопроса, существует ряд организационных моментов и общих рекомендаций по эксплуатации мобильных гаджетов, способствующих улучшению уровня защищённости.
И так, вот несколько базовых рекомендаций:
- При использовании web-браузера в качестве интерфейса для осуществления доступа к сервису облачной ЭП обязательно отключите функции автоматического сохранения пароля и логина. По умолчанию эта опция она может быть включена во многих популярных браузерах, служит она для повышения удобства, однако в ущерб безопасности. Конечно, даже в случае перехвата связки "логин-пароль" при многофакторной аутентификации злоумышленник не сможет войти в личный кабинет, но сам факт перехвата останется весьма неприятным.
- Конечно же не забывайте про антивирусное ПО, которое должно быть уставлено на каждой информационной системе, с которой выполняются какие-либо финансовые операции. Это одно и основных требований всех лучших практик и стандартов по информационной безопасности – PCI DSS, СТО БР ИББС, П-382 и т.д. По мимо стандартного функционала защиты компьютера от вирусов, во многие современные антивирусные продукты встроены дополнительные фичи безопасности, как то модули анти-фишинга, контроля целостности настроек браузера, проверка защищённых соединений. Отдельно можно сказать о возможности вводить пароль используя виртуальную клавиатуру, которая появляется на странице авторизации к облачному сервису. Это обеспечивает защиту от кейлоггеров и троянов – программ, записывающих и отправляющих злоумышленнику данные введённые пользователям с клавиатуры.
- Убедитесь в том, что на страничке авторизации к облачному сервису используется защищённый протокол HTTPS, обеспечивающий шифрованную передачу данных от пользователя к серверу. Так же обращайте внимание на сертификат сайта, подтверждающий его легитимность, как правило это выглядит в виде небольшой иконки с изображением зелёного замочка рядом с URL-адресом открытой страницы, щёлкнув по которому можно получить дополнительную информацию.
- При использовании смартфонов как средства доступа будьте уверены в том, что вы не используете "рутованную" версию прошивки Android или установленный Jailbreak для гаджетов от Apple. Модифицированные и не поддерживаемые официальном производителем прошивки для смартфонов могут содержать в себе закладки или недокументированные возможности, которые злоумышленник при определённых условиях с успехом сможет использовать. Не устанавливайте приложения из посторонних источников, а по возможности вообще минимизируйте список софта, который у вас будет установлен на телефоне.
- Ну и конечно же не при каких обстоятельствах никогда не сообщайте посторонним лицам, в том числе работникам банка или службе поддержке, никаких кодов, смс-сообщений, парольных и контрольных фраз. Все действия, предусмотренные услугой (сервисом), которые вы можете делать должны выполнять только лично вами без каких-либо посредников. Исключение составляет только первичная идентификация вас как клиента, к примеру по паспортным данным и ключевой фразе.