Спецпроекты

ЭОС: Пока регулятор не даст гарантий, люди не станут доверять ЭЦП

Безопасность Документооборот Стратегия безопасности
Интерес к системам криптозащиты и возможностям электронной цифровой подписи в последнее время растет лавинообразно. Причины тому и в инициативах регулятора, и в росте проникновения ШПД, и в компьютеризации. Однако ситуация с развитием и регламентацией этого сегмента рынка все еще оставляет желать лучшего. О том, что сейчас представляет собой рынок криптозащиты в России, каковы перспективы его развития и с какими сложностями игрокам этой отрасли и пользователям решений предстоит столкнуться, рассказывает Василий Овчинников, начальник отдела информационной безопасности компании "Электронные Офисные Системы".

CNews: Василий, скажите, сформирован ли на данный момент спрос на системы криптозащиты?

Василий Овчинников: Назвать российский рынок систем криптозащиты окончательно сложившимся нельзя: он еще продолжает формироваться и увеличиваться. Скорее можно говорить о том, что он динамично растет. Особенно этому способствовали последние изменения федеральных законов, которые регламентируют хождение электронных документов.


Василий Овчинников: В России рынок криптозащиты де-факто монополизирован

Правда, пока мы еще отстаем от европейских стран и США, причем достаточно сильно по целому ряду показателей, и тому есть несколько причин. Во-первых, Россия до недавнего времени жила по, мягко говоря, "неправильному" закону – 1-ФЗ. К реальному хождению цифровых подписей он имел весьма опосредованное отношение. Соответственно, и те криптографические системы, которые были представлены на российском рынке, приходилось "подгонять" под него. Во-вторых, многие наши документы на данный момент в принципе не могут существовать в электронной форме, чего, к примеру, об аналогичных европейских или американских документах сказать нельзя. В-третьих, для признания документов юридически значимыми, в соответствии с 1-ФЗ, требовалось, чтобы средства, которыми эти документы подписывались, проходили сертификацию, достаточно дорогостоящую и длительную. Это приводило к повышению цены на системы, спрос был маленьким, а значит, не было и развития таких продуктов.

CNews: Насколько высока конкуренция среди разработчиков в сегменте средств криптозащиты? Конкурентны ли на российском рынке предложения зарубежных производителей?

Василий Овчинников: В России рынок криптозащиты де-факто монополизирован. У нас есть "Крипто-Про" - и все остальные. При этом в отдельных сегментах рынка некоторые, как правило, крупные компании используют для внутреннего документооборота решения зарубежных производителей – только потому, что у них гораздо ниже стоимость владения. Однако на общий рынок это не сильно влияет, и изменить ситуацию может только доработка и вхождение в силу нового 63-ФЗ "Об электронной подписи". Да и то нельзя утверждать со стопроцентной гарантией, что это кардинально изменит ситуацию: монополисты никогда не отдают свой рынок просто так. Но какие-то изменения обязательно появятся. К примеру, в России наиболее распространен стандарт Х 509, по нему все и живут, но ведь есть другие стандарты, которые в ряде случаев могут быть существенно дешевле и удобнее с точки зрения организации инфраструктуры. Сейчас сложно прогнозировать, как будет развиваться рынок в случае приведения закона в порядок – слишком много изменений в целом случилось за год, слишком сложно предсказать их последствия.

Ясно одно: без воли регулятора развития рынка не будет. Все боятся оказаться в такой ситуации, когда даже при условии договоренностей с партнерами об использовании определенных решений для обмена документами в электронном виде, эти документы не будут признаваться юридически значимыми. И если один из партнеров нарушает правила игры, и необходимо судебное разбирательство, никто не поручится, что суд признает документы действительными. В России есть примеры того, как электронный документ без цифровой подписи был признан юридически значимым на основе анализа переписки и поведения партнеров до конфликтной ситуации. А есть и обратные прецеденты: документ с электронной подписью не признавался. Так что пока не будет урегулирован вопрос с юридической значимостью, люди не будут доверять электронным документам и подписям, будут бояться пользоваться этим инструментом, хотя он и удобен. Или хуже: будут дублировать все на бумаге на всякий случай, и, как следствие, нести двойные расходы.

CNews: Сейчас зачастую в административном порядке пытаются научить людей пользоваться ЭЦП: выдают ихи нотариусам, и женщинам для оформления "детских пособий", и так далее. Насколько запуск таких проектов может способствовать развитию отрасли?

Василий Овчинников: К сожалению, большая часть проектов по продвижению ЭЦП несостоятельна из-за незнания сущности электронной подписи. Это напоминает мне историю с созданием школьником операционной системы, которая на поверку оказалась уже давно существующей с другим логотипом. Выдать криптографический сертификат на срок больше нескольких лет нереально. По истечении этого срока сертификат может быть дискредитирован – это особенности математики, и чего-либо принципиально нового никто пока не придумал. Соответственно, его надо будет менять, а для этого нужно организовывать инфраструктуру. Так что это утопия: раздать всем сертификаты и обязать пользоваться. В час Х все равно надо будет их обновить – пусть даже в автоматическом режиме. А инфраструктуры для проведения подобной операции нет. Все упирается в необходимость ее создания, организации службы техподдержки, а для этого нужно время и большие деньги.

CNews: В каком направлении будет развиваться рынок криптографических решений и какие тенденции в этом сегменте могут стать определяющими?

Василий Овчинников: Мне кажется, рынок будет развиваться в сторону использования средств криптозащиты на мобильных устройствах. Об этом говорит динамика спроса: если в прошлом году запросов о возможности подписания документов с мобильных устройств практически не было, то сейчас их уже десятки и даже сотни. Так или иначе, производители как криптосредств, так и прикладных решений будут разрабатывать и уже разрабатывают такие системы.

Еще один тренд будущего – решения для частных пользователей. Это как раз то направление, куда многие хотят идти, но ни у кого пока не получается. Если корпоративных пользователей можно обязать обменивать сертификат раз в год – их немного, инфраструктура у компании для этого в том или ином виде должна быть, то частному пользователю придется сначала объяснять, что собой представляет сертификат и зачем его менять, да и уже упомянутые проблемы с инфраструктурой встанут в полный рост. Здесь сложностей много, но и потенциальная выгода может быть высокой.

При этом развитие будет идти в сторону снижения порога вхождения для пользователя и упрощения самих решений. Еще 5 лет назад нормой была ситуация, когда функция подписания электронных документов существовала только интегрировано с ERP-системой. Зачастую после подписания внизу страницы документа печаталась строка непонятных нормальному человеку символов, либо где-то ставилась галочка и т.п. - и по наличию этого элемента человеку надлежало судить о том, что документ подписан. Сейчас же в России представлены решения, которые выводят подписи понятным пользователю образом, привычным по работе с бумагой. С точки зрения получения сертификатов это, конечно, не приносит облегчения, но с точки зрения использования разница очевидна.

Тема месяца

Обзор: Мобильность в бизнесе 2019

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Технология месяца

Можно ли защититься от 90% кибератак одним решением