Добавить новость
Добавить компанию
Добавить мероприятие
Тесты цифровой техники
|
|
|
Василий Овчинников, начальник отдела информационной безопасности компании «Электронные Офисные Системы»: «Без воли регулятора развития рынка не будет»
16.08.2011 11:48
версия для печати
- Василий, скажите, сформирован ли на данный момент спрос на системы криптозащиты? Назвать российский рынок систем криптозащиты окончательно сформировавшимся нельзя: он еще продолжает формироваться и увеличиваться. Скорее, можно говорить о том, что он динамично растет. Особенно этому поспособствовали последние изменения федеральных законов, которые регламентируют хождение электронных документов. Правда, пока мы еще отстаем от европейских стран и США, причем достаточно сильно по целому ряду показателей, и тому есть несколько причин. Во-первых, Россия до недавнего времени жила по, мягко говоря, «неправильному» закону – 1-ФЗ. К реальному хождению цифровых подписей он имел весьма опосредованное отношение. Соответственно, и те криптографические системы, которые были представлены на российском рынке, приходилось «подгонять» под этот закон. Во-вторых, многие наши документы на данный момент в принципе не могут существовать в электронной форме, чего, к примеру, об аналогичных европейских или американских документах сказать нельзя. В-третьих, для признания документов юридически значимыми, в соответствие с 1-ФЗ, требовалось, чтобы средства, которыми эти документы подписывались, проходили сертификацию, достаточно дорогостоящую и длительную. Это приводило к повышению цены на системы, спрос был маленьким, а значит, не было и развития таких продуктов. - Насколько высока конкуренция среди разработчиков в сегменте средств криптозащиты? Конкурентны ли на российском рынке предложения зарубежных производителей? В России рынок криптозащиты де-факто монополизирован. У нас есть «Крипто-Про» - и все остальные. При этом в отдельных сегментах рынка некоторые, как правило, крупные компании используют для внутреннего документооборота решения зарубежных производителей – только потому, что у них гораздо ниже стоимость владения. Однако на общий рынок это несильно влияет, и изменить ситуацию может только доработка и вхождение в силу нового 63-ФЗ «Об электронной подписи». Да и то нельзя утверждать со стопроцентной гарантией, что это кардинально изменит ситуацию: монополисты никогда не отдают свой рынок просто так. Но какие-то изменения обязательно появятся. К примеру, в России наиболее распространен стандарт Х 509, по нему все и живут, но ведь есть другие стандарты, которые в ряде случаев могут быть существенно дешевле и удобнее с точки зрения организации инфраструктуры. Сейчас сложно прогнозировать как будет развиваться рынок в случае приведения закона в порядок – слишком много изменений в целом случилось за год, слишком сложно предсказать их последствия. Ясно одно: без воли регулятора развития рынка не будет. Все боятся оказаться в такой ситуации, когда даже при условии договоренностей с партнерами об использовании определенных решений для обмена документами в электронном виде, эти документы не будут признаваться юридически значимыми. И если один из партнеров нарушает правила игры и необходимо судебное разбирательство, никто не поручится за то, что суд признает документы действительными. В России есть примеры того, как электронный документ без цифровой подписи был признан юридически значимым на основе анализа переписки и поведения партнеров до конфликтной ситуации. А есть и обратные примеры: документ с электронной подписью не признавался. Так что пока не будет урегулирован вопрос с юридической значимостью, люди не будут доверять электронным документам и подписям, и будут бояться пользоваться этим инструментом, хотя он и удобен. Или хуже: будут дублировать все на бумаге на всякий случай, и, как следствие, нести двойные расходы. - Сейчас зачастую в административном порядке пытаются научить пользоваться ЭЦП: выдают ЭЦП и нотариусам, и женщинам для оформления «детских пособий», и так далее. Насколько запуск таких проектов может способствовать развитию отрасли? К сожалению, большая часть проектов по продвижению ЭЦП несостоятельна из-за незнания сущности электронной подписи. Это напоминает мне историю с созданием школьником операционной системы, которая на поверку оказалась уже давно существующей с другим логотипом. Выдать криптографический сертификат на срок больше нескольких лет нереально. По истечении этого срока сертификат может быть дискредитирован – это особенности математики, и чего-либо принципиально нового никто пока никто не придумал. Соответственно, его надо будет менять, а для этого нужно организовывать инфраструктуру. Так что это утопия: раздать всем сертификаты и обязать пользоваться. В час Х все равно надо будет их обновить – пусть даже в автоматическом режиме. А инфраструктуры для проведения подобной операции нет. Все упирается в необходимость ее создавать, организовывать службу техподдержки, а для этого нужно время и большие деньги. - В каком направлении будет развиваться рынок криптографических решений, и какие тенденции в этом сегменте могут стать определяющими? - Мне кажется, рынок будет развиваться в сторону использования средств криптозащиты на мобильных устройствах. Об этом говорит динамика спроса: если в прошлом году запросов о возможности подписания документов с мобильных устройств практически не было, то сейчас их уже десятки и даже сотни. Так или иначе, производители как криптосредств, так и прикладных решений будут разрабатывать и уже разрабатывают такие системы. Еще один тренд будущего – решения для частных пользователей. Это как раз то направление, куда многие хотят идти, но ни у кого пока не получается. Если корпоративных пользователей можно обязать обменивать сертификат раз в год – их немного, инфраструктура у компании для этого в том или ином виде должна быть, то частному пользователю придется сначала объяснять, что собой представляет сертификат и зачем его менять, да и уже упомянутые проблемы с инфраструктурой встанут в полный рост. Здесь сложностей много, но и потенциальная выгода может быть высокой. При этом развитие будет идти в сторону снижения порога вхождения для пользователя и упрощения самих решений. Еще 5 лет назад нормой была ситуация, когда функция подписания электронных документов существовала только интегрировано с ERP-системой. Зачастую после подписания внизу страницы документа печаталась строка непонятных нормальному человеку символов, либо где-то ставилась галочка и т.п. - и по этому человеку надлежало судить о том, что документ подписан. Сейчас же в России представлены решения, которые выводят подписи понятным пользователю образом, привычным по работе с бумагой. С точки зрения получения сертификатов это, конечно, не приносит облегчения, но с точки зрения использования разница очевидна. - Облегчает ли ЭЦП жизнь пользователям? Каких подводных камней следует опасаться при ее использовании? - Здесь все просто: никто не любит стоять в очередях, терять время, тратить лишние деньги, и работа с электронными документами и подписями может помочь этого избежать. К примеру, у одного из наших клиентов ежедневный документооборот – около 500 документов, причем их обязательно надо хранить. В течение полугода они своими бумагами заполняют немаленький склад. Мы нашли решение, которое позволило ровно в пять раз уменьшить бумажный документооборот. У заказчика сразу решился ряд проблем, накладные расходы на хранение документации снизились в разы. Пока, правда, говорить о том, что электронная подпись однозначно облегчит жизнь нельзя – существуют вопросы с хранением подписанных документов. Когда срок действия сертификата подписи истекает, надо как-то «переподписывать» документ, и пока эта процедура не установлена. Можно использовать опыт других стран. К примеру, в Италии есть некая автоматизированные системы, которые перед окончанием срока действия сертификата электронной подписи «подписывают» документ вместе со старой подписью, тем самым гарантируя целостность и ее, и самого документа. В условиях действия нашего устаревшего закона использование итальянской системы было невозможно в принципе, потому что подпись, поставленная автоматически, не считалась подписью вообще. В новом законе появились упоминания о том, что такая подпись ничем не лучше и не хуже подписи, созданной человеком. Интересно, что согласно нашему «старому» закону, да и новому тоже, если срок действия сертификата электронной подписи истек, подписанный документ все равно считается юридически значимым, если есть доказательства того, что подпись была создана в момент «жизни» этого сертификата. Технически это очень странное решение: если срок действия сертификата истек, он может быть скомпрометирован, а значит и документ изменен, а значит и доверять ему в чистом виде нельзя. К сожалению, люди, ориентируясь на этот пункт закона, не задумываются о том, каким опасностям подвергаются их документы и к каким последствиям это может привести. -ЭОС недавно объявил о завершении бета-тестирования новых версий сразу двух продуктов: системы криптозащиты КАРМА и средства для работы с электронной подписью EDSIGN. Что собой представляет процесс бета-тестирования? Какие задачи решаются в рамках этого этапа? Альфа-тестирование предполагает запуск и выявление ошибок разработчиками решения непосредственно после его создания. Основная задача альфа-тестирования – заставить решение работать стабильно в идеальных условиях и идеальной работе пользователя. Бета-тестирование проводится уже тогда, когда продукт, в общем и целом, не «падает», однако при каждом нестандартном шаге могут возникнуть какие-то «непросчитанные» трудности. Т.е. работать с решением уже можно, но все еще недостаточно комфортно и удобно. Бета-тестирование призвано превратить продукт в полностью работоспособный. Проводится бета-тестирование практически всегда и внутри организации, и за ее пределами. Тестирование ядра КАРМЫ заняло всего неделю. Здесь основной задачей было максимально возможное устранение ошибок в работе системы, потому что приложение критическое, работает с криптографией и от результатов его работы многое зависит. Можно сказать, что полученная версия КАРМы фактически представляет собой патч, решающий существовавшие в предыдущей версии проблемы. В случае с EDSIGN мы действительно создали другую версию программы: был переработан весь интерфейс, например, добавлены неограниченные по длине текстовые поля, полноценная работа со штампами времени и многое другое. Кроме того, необходимо было определить, удобно ли работать с решением и стало ли удобнее, чем в предыдущей версии. Бета-тестирование EDSIGN заняло около месяца. - Расскажите подробнее о системе криптозащиты КАРМА и средстве для работы с электронной подписью EDSIGN. Приложение КАРМА выросло из внутренней разработки компании, которая использовалась нами для работы с электронными подписями успешно и довольно давно. Основная задача существования КАРМы – встраивание в другие приложения возможностей криптографии без необходимости сложной интеграции и специальных знаний Был даже пример, когда пользователь, зная азы программирования в 1С, «прикрутил» работу с электронными подписями к свой системе всего за 40 минут. При этом благодаря КАРМе пользователь получает практически все возможности использования криптографии, которые на данный момент можно представить. Вторая задача КАРМы – использование ЭЦП конечными пользователями. Для этого в ней есть интерфейс, в котором сделан упор на простоту и максимальную функциональность. В новой версии для каждой операции предусмотрено еще меньшее количество действий для получения результата: если было 3, то стало 2. Кроме того, то приложение, которое ориентировано на конечных пользователей, может служить примером встраивания КАРМы в ERP-систему. При создании EDSIGN основной задачей была популяризация ЭЦП. В нем мы старались повторить приемы работы с бумажными документами. Точно так же, как в бумажных документах, предлагаются поля: где подписать, куда ввести текст и так далее. Реализована и функция внесения дополнительной информации в уже подписанный документ, ведь в деловой практике документ без регистрационного номера не считается документом, часть реквизитов ставится уже после подписания документа. Формат EDSIGN позволяет вносить в строго отведенные поля документа информацию уже после первого подписания без его разрушения. Т.е. все происходит так же, как с бумажным документом: сначала руководитель ставит подпись, а потом регистратор вносит номер. В новой версии мы также постарались учесть потребности пользователей, количество которых стремительно выросло за последнее время, а соответственно, увеличилось и количество запросов по расширению возможностей приложения. И это не предел, мы будем работать и дальше. - Что нового появилось в протестированных версиях КАРМЫ и EDSIGN? Есть ли планы по продвижению этих решений и их дальнейшему развитию? Разумеется, мы уже думаем о будущем. Мы планируем угнаться за новейшими технологиями, максимально соответствовать требованиям рынка и увеличивать функционал. К примеру, часть возможностей, которые можно реализовать в EDSIGN и которые для КАРМы являются внешними, мы постараемся реализовать и в КАРМе. Так что каждый желающий сможет сделать аналог EDSIGN в том виде, в котором захочет – в разумных пределах, конечно. Т.е. мы и дальше пойдем по пути облегчения встраивания работы с электронными подписями. Ориентировочно новые возможности появятся в конце этого – начале будущего года. Кроме того, идет разработка возможностей подписания документов с любых устройств – удаленных компьютеров, мобильных устройств и так далее. Возможно, этот функционал будет включен в комплект поставки системы КАРМА, а может быть, будет представлен как отдельный продукт. EDSIGN будет развиваться в сторону повышения юзабилити, расширения функционала. Но главное – мы рассчитываем обеспечить работу с различными наиболее распространенными форматами, такими как xls, pdf. Об этом мы говорили уже тогда, когда только представляли EDSIGN, и задача не потеряла актуальность. Автор: Алена Журавлева (info@mskit.ru) Рубрики: Интеграция, ПО, Регулирование, Безопасность Ключевые слова: электронная подпись, ЭОС, электронный документооборот, информационная безопасность, эцп, электронная цифровая подпись, электронные госуслуги, госуслуги в электронном виде
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
||||||
А знаете ли Вы что?