Всё об электронной подписи в России в 2023 году

Всё об электронной подписи в России в 2023 году

Всё об электронной подписи в России в 2023 году

Насколько глубоко использование электронной подписи вошло в бизнес-процессы российских компаний? Чем различаются квалифицированные и неквалифицированные подписи? Как можно удалённо подтвердить личность при выпуске сертификата ЭП? В какую сторону будет развиваться рынок электронной подписи и есть ли перспективы у трансграничных сертификатов?

 

 

 

 

 

  1. Введение
  2. Основные принципы использования электронной подписи в России в 2023 году
    1. 2.1. Что такое электронная подпись
    2. 2.2. Применение электронной подписи
    3. 2.3. Можно ли доверять электронной подписи?
    4. 2.4. Формфакторы электронной подписи
    5. 2.5. Практика применения неквалифицированной электронной подписи
    6. 2.6. Машиночитаемые доверенности
    7. 2.7. Архивное хранение документов с электронной подписью
  3. Практические вопросы применения электронной подписи в России
  4. Прогнозы экспертов
  5. Итоги прямого эфира
  6. Выводы

Введение

Электронная подпись стала привычным бизнес-инструментом в первую очередь благодаря возможности подачи отчётности в Федеральную налоговую службу онлайн. Другим фактором, определившим развитие этого инструмента, стал доступ в систему электронных торгов. На рынке физических лиц электронная подпись (или просто ЭП) пока не имеет столь широкого распространения, как в корпоративной среде. Изменится ли эта ситуация в будущем, как на это повлияет введение машиночитаемых доверенностей и какие формфакторы ЭП наиболее востребованны на рынке, мы обсудили в очередном выпуске онлайн-конференции AM Live.

В студии Anti-Malware.ru собрался представительный состав экспертов, охватывающий практически всех ключевых игроков этого сегмента.

 

Рисунок 1. Участники дискуссии в студии Anti-Malware.ru

Участники дискуссии в студии Anti-Malware.ru

 

Спикеры прямого эфира:

  • Алексей Дегтярев, руководитель единой платформы электронной подписи АО «Тинькофф Банк»;
  • Павел Смирнов, директор по развитию компании «КриптоПро»;
  • Максим Букин, исполнительный директор департамента по работе с государственным сектором ПАО «Сбербанк»;
  • Антон Мелузов, заместитель генерального директора компании «РТЛабс»;
  • Дмитрий Горелов, коммерческий директор компании «Актив»;
  • Сергей Кирюшкин, советник генерального директора — начальник удостоверяющего центра компании «Газинформсервис».

Ведущая и модератор онлайн-конференции — Дарья Верестникова, коммерческий директор и соучредитель SafeTech, Nopaper.

 

Основные принципы использования электронной подписи в России в 2023 году

Что такое электронная подпись

В первую очередь ведущая предложила разобраться в базовых понятиях и рассказать зрителям о том, какие виды электронной подписи сегодня существуют на отечественном рынке и для чего они могут быть использованы.

Павел Смирнов: 

— Согласно закону об электронной подписи есть три её типа: простая ЭП, усиленная неквалифицированная (или просто неквалифицированная) ЭП, а также усиленная квалифицированная ЭП. Уровень значимости такой подписи растёт от простой ко квалифицированной. Простая подпись основана на знании её владельцем какого-либо кода или пароля. Неквалифицированная подпись основана на криптографии и является более устойчивой к атакам на неё. Квалифицированная подпись реализуется сертифицированным средством ЭП, а также имеет сертификат, выданный аккредитованным удостоверяющим центром. Сертификат необходим для доверенной связки открытого ключа подписи с личностью его владельца.

 

Павел Смирнов, директор по развитию компании «КриптоПро» 

Павел Смирнов, директор по развитию компании «КриптоПро»

 

Эксперт отметил, что электронная подпись призвана стать аналогом обычной собственноручной подписи и перенести в цифровую среду те действия, которые мы совершаем с обычной подписью. Простая и неквалифицированная подписи признаются такими аналогами по соглашению сторон. Квалифицированная подпись таких договорённостей не требует и выступает эквивалентом обычной по умолчанию. Она признаётся действительной просто по факту того, что является квалифицированной.

Правила использования электронной подписи в России закреплены законодательно. Ведущая прямого эфира предложила экспертам рассказать собравшимся, что произошло в последние годы в сфере регулирования и каких изменений законодательства стоит ждать в дальнейшем.

Антон Мелузов: 

— В конце 2019 года началась кардинальная реформа закона об электронной подписи, которая, видимо, будет завершена в 2023-м. Основные изменения можно разделить на три группы. В первую очередь это изменения связанные с процедурой идентификации — установления личности владельца сертификата и соответствия между человеком и его открытым ключом. Исчезла возможность представлять чьи-то интересы при идентификации, а также были легализованы дистанционные способы идентификации. Во-вторых, произошло разделение процедуры выдачи сертификатов по принадлежности. Появились три так называемых «ГосУЦ» — Федеральная налоговая служба, Казначейство и Центральный Банк, а также определены категории лиц, получающих ЭП только в этих удостоверяющих центрах. Третье изменение — это введение машиночитаемой доверенности.

 

Антон Мелузов, заместитель генерального директора компании «РТЛабс» 

Антон Мелузов, заместитель генерального директора компании «РТЛабс»

 

Применение электронной подписи

Для чего используют электронную подпись в российских организациях в 2023 году? Дать ответ помогает проведённый нами опрос зрителей прямого эфира. По его результатам выяснилось, что 33 % респондентов применяют ЭП для работы с электронным документооборотом. Ещё 27 % опрошенных подписывают отчётность в ФНС, а 9 % используют электронную подпись для работы с ЕГАИС и другими государственными информационными системами. Кроме того, 8 % идентифицируют через ЭП свой доступ к торговым площадкам. Вариант «Другое» выбрал 21 % участников опроса. Вообще не применяют электронную подпись всего 2 % опрошенных.

 

Рисунок 2. Каков главный сценарий применения ЭП в вашей организации?

Каков главный сценарий применения ЭП в вашей организации?

 

Продолжая разговор об основных принципах использования электронной подписи, мы предложили спикерам поделиться мнениями о том, для чего ещё может применяться этот удостоверяющий инструмент.

Дмитрий Горелов: 

— Возможно, те зрители, которые выбрали вариант «Другое», используют электронную подпись для электронных торгов в интересах государства. Это достаточно большой сегмент рынка ЭП — существуют даже удостоверяющие центры, которые выдают электронные подписи только для торгов. Если же говорить про другие практики, то одной из самых важных сфер применения ЭП является взаимодействие типа «государство — государство». Электронный документооборот государственных органов на 70–80 % покрыт электронной подписью. За счёт этого государство работает эффективнее и быстрее. Второй важный момент — это взаимодействие бизнеса и государства. Драйвером использования электронной подписи в этой сфере всегда была Федеральная налоговая служба.

 

Дмитрий Горелов, коммерческий директор компании «Актив» 

Дмитрий Горелов, коммерческий директор компании «Актив»

 

Кроме этого, электронная подпись используется для взаимодействия человека и государства. Одним из ярких примеров здесь можно назвать работу граждан с Росреестром, которая существенно упростилась после внедрения механизмов электронной подписи. Спикеры AM Live также привели пример использования ЭП для регистрации индивидуального предпринимателя или юридического лица. Ещё один вариант применения электронной подписи обычными людьми — через «Госуслуги» с её помощью можно оформлять расторжение брака.

Можно ли доверять электронной подписи?

Дарья Верестникова привела интересные данные: в 2022 году в России было выдано более 12 млн сертификатов квалифицированной электронной подписи. Общее число действующих на конец 2022 года сертификатов составило 17,5 млн экземпляров, а выдачей ЭП занимаются 46 удостоверяющих центров. По статистике ФНС, в 2022 году выписано 900 млн счетов-фактур, 100 % из которых подписано квалифицированной электронной подписью.

Однако существует и «тёмная сторона» использования электронной подписи. Её применение порождает возможность махинаций. Какие конфликты и нарушения фиксируются в сфере применения ЭП?

Сергей Кирюшкин: 

— Электронная подпись — это средство защиты информации, а если есть защита, значит, есть и средства нападения. Чем шире применение электронной подписи, тем больше становится в абсолютном выражении злоупотреблений и конфликтных ситуаций. По статистике МВД, преступления в сфере ИТ составляют около 25 % от общего числа правонарушений, и значительная часть из них связана с ЭП. Основные классы таких злоупотреблений — это махинации в сфере недвижимости, регистрация и последующее использование фирм-однодневок, блокирование тендера за счёт того, что в результате махинаций документы одного из предприятий-участников становятся недействительными.

 

Сергей Кирюшкин, советник генерального директора — начальник удостоверяющего центра компании «Газинформсервис» 

Сергей Кирюшкин, советник генерального директора — начальник удостоверяющего центра компании «Газинформсервис»

 

Причины возникновения конфликтных ситуаций в сфере ЭП в первую очередь лежат в плоскости недостаточной безопасности хранения электронных ключей их владельцами. Для снижения уровня преступности важно повышать компьютерную грамотность населения. Ещё один путь возникновения правонарушений — недостаточное выполнение удостоверяющими центрами своих обязанностей.

Большинство зрителей прямого эфира AM Live доверяет документам подписанным электронной подписью. Об этом говорят данные нашего опроса, согласно которым 74 % респондентов безоговорочно готовы использовать ЭП, поскольку это регламентировано законодательством. Ещё 20 % доверяют электронным сертификатам, но предпочитают иметь и бумажные копии документов. Считают применение ЭП небезопасным и используют подпись и печать на бумаге 2 % опрошенных, а ещё 4 % ответили, что джентльменам верят на слово.

 

Рисунок 3. Доверяете ли вы документам, подписанным ЭП?

Доверяете ли вы документам, подписанным ЭП?

 

Формфакторы электронной подписи

Физическое или виртуальное исполнение электронной подписи должно быть удобным для реализации бизнес-процессов, в которых она используется. Поэтому следующей темой, которую мы решили обсудить с нашими экспертами, стали формфакторы ЭП, используемые в России. Эксперты AM Live пояснили, что физическая реализация средств электронной подписи — это всегда программно-аппаратный комплекс, состоящий из некоего ключевого носителя и программного обеспечения, которое с этим носителем работает в контексте мобильного или настольного устройства.

Если же говорить о формфакторах, то благодаря налоговой службе наибольшее распространение сейчас получили обыкновенные USB-токены типа «A». Спикеры отметили, что существуют как активные, так и пассивные ключевые носители. Пассивные токены хранят ключ в виде контейнера, который извлекается в момент подписания. Активные носители имеют внутри криптографический элемент, который выполняет операции с ключом внутри самого устройства, без извлечения сертификата во внешнюю оперативную память.

По просьбе ведущей спикеры онлайн-конференции рассказали о мобильной и облачной подписи. Мобильная электронная подпись предполагает хранение ключа на мобильном устройстве. Ни законодательно, ни технически она ничем не отличается от обычной ЭП. Эксперты выделили два типа такой подписи. Первый — простой замкнутый, предполагающий использование отдельного изолированного приложения со встроенным средством подписи. Второй тип — это клиент-серверные средства, в которых документы на подписание передаются через серверную часть.

Аудитория AM Live чаще всего использует электронную подпись на рабочем компьютере под Windows. Такой ответ дали 37 % участников проведённого нами опроса. Ещё 12 % респондентов предпочитают ЭП в виде приложения на мобильном устройстве, а 9 % — в виде облачного сервиса. Компьютер под управлением Linux или macOS выбирают для работы с ЭП 6 % опрошенных. Между тем 34 % зрителей прямого эфира отметили, что нужны все перечисленные варианты. Предпочитают не использовать электронную подпись 2 % участников опроса.

 

Рисунок 4. Какой из вариантов применения ЭП является предпочтительным для вашей организации?

Какой из вариантов применения ЭП является предпочтительным для вашей организации?

 

Практика применения неквалифицированной электронной подписи

Равнозначность неквалифицированной электронной подписи собственноручной возникает в том случае, если между участниками заключено такое соглашение либо если существует нормативный акт, регламентирующий использование этого типа ЭП. Одним из видов неквалифицированной подписи может быть одноразовый код, передаваемый через СМС для подтверждения банковских транзакций или во внутреннем документообороте.

Дарья Верестникова отметила, что СМС — это несертифицированный канал, а идеологически безопасность всей системы характеризуется безопасностью самого слабого звена. СМС — это самое узкое место, и с законодательной точки зрения весь комплекс, использующий такие сообщения, становится не до конца сертифицированным. Ведущая напомнила, что положение № 683-П о дистанционных средствах платежа гласит: если банк использует ГОСТ-криптографию, то средства защиты информации должны быть полностью сертифицированы. Поэтому банки формально не могут применять неквалифицированную ЭП с использованием СМС, а вот во внутреннем, кадровом документообороте применять такой тип подписи можно (законодательно, но тоже не рекомендуется).

 

Дарья Верестникова, коммерческий директор компании SafeTech и сооснователь компании Nopaper 

Дарья Верестникова, коммерческий директор компании SafeTech и сооснователь компании Nopaper

 

Машиночитаемые доверенности

Важным аспектом применения электронной подписи является возможность использования машиночитаемых доверенностей. Ведущая прямого эфира попросила гостей студии пояснить, как сейчас решается вопрос передачи полномочий использования ЭП и какие изменения в этой сфере ждут нас в ближайшем будущем.

Максим Букин: 

— В данный момент генеральные директора компаний могут владеть одной-единственной электронной подписью. Сейчас набирает популярность получение сертификатов на сотрудников, так как они уже не могут пользоваться подписью директора. В связи с окончанием переходного периода с сентября 2023 года от имени юридического лица можно будет использовать только сертификат физического лица, для подтверждения полномочий которого необходима машиночитаемая доверенность. Это — новая сущность для рынка, она представляет собой XML-файл, в котором будут содержаться полномочия сотрудника. Доверенность должна быть подписана генеральным директором либо лицом, которое имеет полномочия делать это, установленные другой машиночитаемой доверенностью.

 

Максим Букин, исполнительный директор департамента по работе с государственным сектором ПАО «Сбербанк» 

Максим Букин, исполнительный директор департамента по работе с государственным сектором ПАО «Сбербанк»

 

Таким образом компания может быть избавлена от множества токенов: сотрудники будут использовать свою собственную электронную подпись в рамках тех полномочий, которые установлены машиночитаемой доверенностью. При смене работодателя сотруднику не нужно будет менять электронную подпись. Достаточно просто отозвать доверенность на прежнем рабочем месте и выписать новую.

Архивное хранение документов с электронной подписью

Ещё одна проблема, связанная с использованием электронной подписи, — хранение подписанных ею документов. В отличие от бумажных носителей, у сертификата есть срок использования. Как же тогда доказать, что подписанный десять лет назад документ всё ещё имеет силу? Есть ли какие-то законодательные и технические механизмы решения этой задачи?

Эксперты пояснили, что сертификат электронной подписи должен быть действителен на момент подписания документа, если есть достоверное доказательство этого момента. Иначе говоря, документ должен иметь метку времени, подтверждающую дату его подписания. Сейчас это — малораспространённая практика. Если метка времени отсутствует, то действительность подписи устанавливается на момент проверки. Таким образом, если срок действия сертификата истёк, доказать его достоверность по закону нельзя. Более того, подписант может самостоятельно отозвать свою подпись, что сделает документ недействительным.

Подпись физического лица обычно действует один год или 15 месяцев, а документы, как правило, имеют больший срок хранения. Метка времени решает эту проблему, однако это — тоже электронный документ, который имеет собственный сертификат со своим сроком использования. Оператор, предоставляющий метки времени, должен регулярно обновлять их сертификаты. Кроме того, существуют специальные технические решения для архивного хранения документов. Эти системы в автоматическом режиме проставляют и обновляют архивные метки времени.

Что тормозит активное применение электронной подписи в российских организациях? Более трети участников нашего опроса (41 %) считают, что особых препон нет и ЭП используется максимально полно. Тем не менее 19 % респондентов ответили, что активному применению мешает неготовность бизнес-процессов, а 14 % винят во всём незрелость законодательства. Ещё 11 % опрошенных посетовали на дороговизну СКЗИ и носителей, а 10 % отметили низкую квалификацию сотрудников. О технической сложности работы с ЭП заявили лишь 5 % опрошенных нами зрителей прямого эфира.

 

Рисунок 5. Что тормозит активное применение ЭП в вашей организации?

Что тормозит активное применение ЭП в вашей организации?

Практические вопросы применения электронной подписи в России

Следующий блок прямого эфира был посвящён практике использования ЭП. Ведущая предложила сконцентрироваться на максимально полезных для зрителей вопросах и рассказать, например, как физическому лицу открыть ООО или ИП. Как получить электронную подпись юридического лица? Как работать с «Госключом» и другими системами?

Алексей Дегтярев: 

— Львиная доля выданных электронных подписей —  это юрлица и представители юрлиц. Физических лиц значительно меньше, поскольку обычному человеку ЭП может понадобиться один-два раза в жизни. Однако если же электронная подпись понадобилась, есть множество вариантов. Раньше для выпуска электронной подписи человек должен был заплатить от 500 до 5000 рублей. Сейчас можно идти от конкретной потребности. Например, для открытия ИП можно обратиться на сайт ФНС и получить информацию о процессе открытия юрлица, а можно обратиться в банк, который безвозмездно выпустит электронную подпись и сформирует пакет документов для регистрации ИП или ООО. Заявитель подписывает необходимые документы, и они по каналам связи уходят в ФНС.

 

Алексей Дегтярев, руководитель единой платформы электронной подписи АО «Тинькофф Банк» 

Алексей Дегтярев, руководитель единой платформы электронной подписи АО «Тинькофф Банк»

 

Спикеры в студии также рассказали, что после открытия юридического лица можно получить электронную подпись директора. Она возможна только в формфакторе токена. Клиент банка также может подать заявку на выпуск сертификата онлайн — обязательная по закону идентификация может осуществляться как в отделениях банков, так и путём выезда его представителей на встречу с клиентом. На выходе директор компании получает токен с записанными на него всеми ключами и сертификатами.

Мобильное приложение «Госключ» позволяет физическому лицу получить электронную подпись и использовать её для заверения договоров, заявлений о регистрации брака, обращений в суд и других документов. Неквалифицированный сертификат пользователь приложения получает сразу при установке. Квалифицированный сертификат выпускается тогда, когда человеку есть что им подписывать. Для идентификации используются биометрический загранпаспорт и NFC-сканер мобильного телефона.

Прогнозы экспертов

Что произойдёт с рынком электронной подписи в будущем? Какие законодательные акты будут способствовать развитию средств ЭП в России? Мы попросили экспертов AM Live поделиться прогнозами. Спикеры высказали надежду, что в будущем расширится перечень средств удалённой идентификации физических лиц — в частности, к нему будет добавлена банковская идентификация, поскольку финансовые институты обычно весьма плотно работают со своими клиентами и в состоянии выполнить эту процедуру с высокой степенью точности.

Гости студии отметили, что для развития электронной подписи надо в первую очередь увеличивать количество сервисов, где она будет применяться. Как только налоговая отчётность начала приниматься в электронном виде, сразу вырос спрос на сертификаты ЭП. Эксперты предположили, что электронная подпись в будущем станет активнее использоваться в промышленности — это большой и в данный момент слабо охваченный сегмент деятельности. Применение ЭП позволит, как и везде, сэкономить временные и финансовые ресурсы производственных предприятий.

Ещё один тренд развития отрасли — трансграничная электронная подпись, признаваемая за рубежом. Нормативная документация по этому вопросу уже готова, осталось создать аккредитованную третью сторону, которая будет удостоверять эти подписи, а также подписать международные договоры на уровне государств с экономическими партнёрами. Сейчас такая работа активно ведётся между Россией и Белоруссией.

Итоги прямого эфира

В завершение выпуска мы поинтересовались у зрителей прямого эфира, как изменилось их мнение относительно ЭП после просмотра. Большая часть участников опроса, 61 % зрителей, отметили, что у них стало меньше вопросов по использованию электронной подписи. Ещё 23 % респондентов планируют активнее использовать средства ЭП в своей компании. При этом 3 % опрошенных считают, что ЭП только создаёт дополнительные проблемы, а 11 % не нашли аргументы экспертов убедительными. Не поняли, о чём шла речь во время эфира, 2 % участников опроса.

 

Рисунок 6. Каково ваше мнение относительно использования ЭП после эфира?

Каково ваше мнение относительно использования ЭП после эфира?

 

Выводы

Электронная подпись в России сегодня является широко используемым инструментом удостоверения документов, взаимодействия бизнеса и государства и коммуникации между государственными органами. Этому способствовала многолетняя работа, направленная как на совершенствование нормативной базы, так и на развитие технических средств ЭП. В результате сегодня компании и частные лица могут выбрать различные варианты хранения сертификатов — мобильные устройства, отдельные токены, облако… Электронная подпись из необязательной функции превратилась в реальный инструмент, используемый не по указке сверху, но по причине быстроты и удобства.

В секторе физических лиц глубина проникновения сервисов электронной подписи пока не так велика. Причиной тому — относительно небольшая необходимость применения этого инструмента и недоверие граждан к ЭП. Последнее имеет под собой определённые основания: использование электронной подписи требует соблюдения ряда правил как при удостоверении документов, так и при правильном их хранении. Потребительский рынок ЭП будет расти по мере развития соответствующих сервисов; движение в эту сторону уже идёт, всё больше операций по взаимодействию с государственными органами можно заверить электронным сертификатом.

Проект AM Live продолжает работу — впереди нас ждут новые встречи с ведущими специалистами и экспертами индустрии информационной безопасности, запланированы дискуссии по самым животрепещущим темам. Чтобы оставаться в курсе главных трендов рынка, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru