Дискусія, пов’язана з проектом російського Закону про електронний цифровий підпис та з перспективами поширення цієї технології в нашій країні, детально висвітлюється в різних журналах і на численних сайтах в Інтернеті.
Таке відчуття, що якщо приймуть цей закон, то в російській зоні віртуального світі все буде чудово. За обсягами продажів через Інтернет — магазини ми наздоженемо і переженемо США. У нас активно будуть розвиватися інші новітні інформаційні технології: електронні готівкові гроші, віртуальний банкінг, електронна нотаріат тощо

Про історію розвитку технології ЕЦП у Росії і вплив однойменного закону на її подальшу еволюцію оглядачеві журналу Світ безпеки Сергій Чертопруд розповів президент Російської криптологической асоціації Олексій Волчков:

-У 8-му Головному Управління КДБ, а потім і ФАПСИ, де я працював до грудня 1996 року, мені довелося досить багато займатися криптографією з відкритому ключем. Одна зі сфер її застосування — технологія ЕЦП. Тому, я відстежував всі події, які відбувалися на Заході і в нашій країні в цій області.
-Вперше ідею використання ЕЦП в 1976 році висловив Уітфілд Діффі, один з основоположників криптографії з відкритому ключем. А коли в Росії почалося використання ЕЦП в сфері бізнесу?
-На початку дев’яностих років. І за ці роки вона пройшла три етапи.

На першому етапі вітчизняним бізнесменам доводилося довго пояснювати, навіщо їм це потрібно. Тоді один з популярних видів кримінального бізнесу були фальшиві авізо. Фінансові втрати були колосальні. Інша проблема — багатоденне проходження платежів. Зрозуміло, що це не влаштовувало російських підприємців. Застосування ЕЦП дозволяло скоротити час проходження платежів до декількох годин і запобігти появі фальшивок.

-А як юридично зважилася проблема використання ЕЦП в країні, де навіть сам термін криптографія був закритим?
-Дуже незграбним способом. Факт переказу грошей для банків і клієнтів посвідчувався розпорядженням в електронному вигляді, а потім підтверджувався розпорядженням про на паперовому носії. В кінці кожного місяця всі електронні платежі підбивалися паперовими .
Така ситуація влаштовувала всіх. З одного боку прискорилося проходження платежів, а з іншого — коли наставав момент перевірки, то все підтверджувалося папером. Потрібно враховувати і той факт, що кількість каналів, де використовувалася технологія ЕЦП, було мінімальним.

До початку 1993 року багато зрозуміли переваги цієї технології. Попит на засоби ЕЦП почав стрімко зростати. На цьому ринку почало активно працювати безліч юридичних, фінансових і комп’ютерних компаній. Виникла потреба юридично регламентувати використання ЕЦП.
У першій частині Цивільного Кодексу РФ (набрав чинності восени 1994 року) у пункті 2 статті 160 було зазначено, що ЕЦП можна застосовувати в якості аналога власноручного підпису. Хоча і не був описаний цей механізм. З цього часу почався другий етап використання ЕЦП в нашій країні.

У тому ж році відбувся плавний перехід до схеми з третейськими судами. Основне відміну від першого етапу — поява третього учасника — третейського судді. Дві договірні сторони, а це можуть бути партнери або клієнт і банк (корпорація), домовляються про те, що в якості арбітра визнають якесь третє юридична особа. Його завдання — розгляд спорів, пов’язаних з ЕЦП. Воно реєструвалося в якості третейського судді при арбітражному суді. Сам по собі цей механізм — річ досить складна. Особливо, коли мова заходить про практичної реалізації. Наприклад, взаємовідношення третейського суду і арбітражу.

Повного розквіту другого етапу не вийшло. З 1994 року почалася активна експансія федеральних органів на цей ринок. Моя особиста думка, що представники цих структур побачили можливість продажу продуктів високої технології.

-А чим погано те, що федеральне агентство стало пропонувати свої розробки у сфері криптографічних засобів? Адже це дозволило використовувати багаторічний досвід вітчизняних криптографів не тільки для забезпечення державної безпеки, але і захисту бізнесу.

-Я завжди був високої думки про фахівців ФАПСИ, оскільки сам звідти вийшов, але до цих пір перебуваю в переконання, що вони виконують чужу роботу. Завдання висококласного експерта не створювати і виробляти продукт, а оцінювати його надійність. А починаючи з весни 1995 року, ФАПСИ намагається керувати ситуацією на вітчизняному ринку комерційних криптографічних засобів, використовуючи механізми ліцензування та сертифікації.

-Тут, напевно, треба пояснити читачеві, що мова йде про Указ 334 від 3 квітня 1995 року Про заходи з дотримання законності в області розробки, виробництва, реалізації і експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації. Всім компаніям, що працюють на цьому ринку, пропонувалося пройти процедуру ліцензування, а на всю вироблену ними продукцію сертифікувати.

Якщо говорити про Указі, то насправді він нічого не забороняв. Система сертифікації засобів криптографічного захисту інформації, яку ФАПСИ зареєструвало в Держстандарті, носить добровільний характер. Виробник сам має право вирішувати, потрібен йому сертифікат чи ні.
А вимога обов’язкового ліцензування будь-діяльність у сфері комерційної криптографії, суперечить Федеральному закону від 25 вересня 1998 року 158 — ФЗ ” ПРО ліцензування окремих видів діяльності. У ньому зазначено, що ліцензуються тільки три види діяльності: послуги щодо шифрування інформації, розповсюдження та обслуговування криптографічних засобів.
Така плутанина призвела до того, що більшість виробників або пішли з цього ринку, або були зайняті оформленням необхідних документів.

-Якщо на ринку були встановлені такі дивні правила гри, то чому в Росії відбувається розвиток технологій ЕЦП? За заявою представника ФАПСИ, до травня 2000 року було сертифіковано понад 20 вітчизняних засобів ЕЦП. А між тим більшість корпоративних споживачів експлуатують несертифіковані системи, створені ще до квітня 1995 року. Якщо хтось випускає нові моделі, значить, є і покупці.

-Основна причина — наступ ери інформаційних технологій. Тепер засоби ЕЦП потрібні не тільки обмеженої групи споживачів — банкам та корпоративним клієнтам, але і більшості населення будь-якої економічно розвинутої країни.

В якості прикладу — сфера електронної торгівлі. Тепер з’явилася можливість вчинення правочинів без зустрічі покупця з продавцем. Зрозуміло, що великі контракти без попередніх переговорів не укладаються. А торгівля, маркетинг і реклама — прийшли в кожну хату, де комп’ютер підключений до Інтернет.
Втім в Росії технологія ЕЦП не отримала такого широкого поширення, як на Заході. У нас не найкращі умови для розвитку електронної торгівлі, віртуального банкінгу, E-cash? (електронні готівкові гроші) і т. п.

-А що необхідно, наприклад, для розвитку e-commerce в нашій країні?

-Як мінімум виконання трьох умов.
По-перше, розвинені телекомунікаційні системи. Говорити про це в нашій країні поки рано. Йдеться не лише про кількісні показники, наприклад, кількість телефонних номерів, але і як самої зв’язку.
По-друге, безліч користувачів Інтернет. В Росії їх не так багато. До цього слід додати, що більшість з них подорожують по всесвітній павутині перебуваючи на робочому місці. А це не саме зручне місце для здійснення покупок. Серед вітчизняних мешканців віртуального світу високий відсоток дітей і підлітків. Зрозуміло, що їх можливість робити покупки в Інтернет — магазинах обмежена з фінансових причин.

У третіх, розвинені платіжні системи. У нас вони були, правда, в стадії становлення, до фінансової кризи серпня 1998 року. Після 17 числа у нас не тільки була зруйнована банківська система, але і споживачі перестали довіряти свої заощадження фінансовим установам.
Про що можна говорити, якщо 90 % населення нашої країни отоварюється на дрібнооптових ринках. Так, на відміну від США, у нас торгівля за каталогами не отримала широкого розповсюдження.

Хоча стверджувати, що технологія електронної комерції в нашій країні розвиватися не буде — це не коректно. Існує група населення — власники домашніх комп’ютерів, підключених до Інтернету і з високим рівнем доходу. Звичайно, їх значно менше, ніж у США. І говорити про те, що з прийняттям Закону про ЕЦП відбудеться бурхливий розвиток електронної комерції в нашій країні — не зовсім вірно.
-Технологію ЕЦП, крім платіжних систем можна використовувати і в інших сферах. Наприклад, для підтвердження авторства письма, яке надіслано електронною поштою. Як вона впливає на ситуацію на ринку ЕЦП?

-Незначно. Більшість користувачів або застосовують загальнодоступні іноземні кошти, типу PGP або вбудовані в Windows, або взагалі обходяться без засобів ЕЦП.

-А ринок корпоративних клієнтів? Адже там є розвинені телекомунікаційні системи. Є і користувачі — співробітники різних підрозділів цих корпорацій. Та й вимоги до інформаційної безпеки там високі. Ну а існування платіжних систем, наприклад, клієнт — банк — це одна з вимог ефективної роботи будь-якого сучасного банку. Як може вплинути прийняття Закону про ЕЦП на цей ринок?

-Так, напевно, в якійсь мірі буде сприяти його розвитку. Правда, в Росії так і не з’являться засвідчувальні центри загальнонаціонального масштабу, як це відбулося в США. Кожна корпорація, швидше за все, буде користуватися послугами власного Центру, який не тільки буде генерувати ключі, але і забезпечувати процедуру перевірки їх справжності. Кажучи іншими словами, підтверджувати факт приналежності відкритого ключа певному користувачеві.

-Згідно з текстом проекту закону мова йде про Центр із засвідчення справжності ЕЦП (підтверджуючий центр) — юридичній особі, що володіє повноваженнями на посвідчення приналежності конкретного відкритого ключа ЕЦП власнику сертифіката. Це документ, виданий і завірений центром, що підтверджує приналежність відкритого ключа ЕЦП певній особі.

-Так. Клієнти будь-якого банку змушені довіряти цьому ж фінансовій установі виробництво ключів. Звичайно, це неправильно з позиції високої науки, але це реальність. Навіть використання технології ЕЦП з сертифікатами, яка на Заході поступово витісняє ЕЦП з третейським судом, не змінить ситуації. Центр — не важливо чи він тільки генерувати ключі, але й видавати сертифікати — буде структурним підрозділом банку — засновника.

Хто може зараз створити такий Центр? В принципі, будь-яка людина. Як показав західний досвід — він буде збитковим. І наша країна не виняток. Значить, його хтось повинен фінансувати. Припустимо, що три або чотири банки готові нести тягар витрат. Хто буде клієнтами цього Центру? Швидше за все, клієнти засновників. Чи скористається п’ятий банк послугами цього Центру? Відповідь негативна. Він створить свій Центр.
Вже зараз свої послуги по створенню Центрів готові запропонувати більше п’яти вітчизняних компаній. У січні 2000 року готові вироби вже були представлені на ринку. Правда, на них поки немає попиту. Хоча такий Центр працює в одному з російських банків.

Найважливіше, що більшість корпоративних систем ЕЦП вже розгорнуто. В корпоративних системах, які експлуатують РАО ЄЕС, Газпром і т. п. звикли рахувати гроші. Їх цікавить не тільки спрощення процедури ЕЦП з позиції технології, але і права. Тому, Газпром, наприклад, створив свої відомчі стандарти на систему захисту інформації та ЕЦП, зареєструвала їх у Держстандарті, і використовує їх в своїх структурних підрозділах. Зрозуміло, що змусити його користуватися послугами чужого засвідчувального центру майже неможливо. Перше питання, яке він задасть — на якому підстава він повинен змінювати свою систему ЕЦП. І другий, хто сплатить йому цю процедуру.

-А чим же тоді пояснити активність навколо проекту Закону про ЕЦП?

-Наприклад, причинами зовнішньополітичного характеру.
По-перше, у нас велика заборгованість західним кредиторам. І ми змушені прислухатися до побажань країн великої сімки.
По-друге, ми плануємо вступити у Всесвітню торгову організацію (СОТ). У нас і так 80 нормативних актів, які не відповідають вимогам цієї організації. Їх потрібно змінити. А ще прийняти ряд нових законодавчих актів. Наприклад, Закон про електронному документі, Закон про Інтернеті (де була б регламентована політика уряду по відношенню до всесвітньої павутини ) і Закон про електронну комерцію. Зараз проекти цих законів обговорюються в різних комітетах Державної Думи.

-Припустимо, що його приймуть в кінці 2000 року. Як зміниться ситуація у сфері ЕЦП в нашій країні?

-Законодавчо буде закріплено поділ між використанням технології ЕЦП у сфері бізнесу і державного управління. Це одне з важливих питань. У бізнесі і в державному управління ЕЦП використовується для підписання документів на електронних носіях. Правда, ніяких угод підпільних і чорних, в органах державної влади та самоврядування бути не повинно. Таким чином, ЕЦП лише підтверджує авторство. Наприклад, що розпорядження підписав сам губернатор, а не його помічник. А в бізнесі крім авторства підтверджується відповідальність за те, що я сказав, мої зобов’язання по комерційній угоді. Я вважаю, що це правильно.

Хоча є і тривожні моменти. Наприклад, у проекті Закону передбачено ліцензування діяльності, пов’язаної з наданням послуг із засвідчення справжності ЕЦП. Фактично, сюди потрапляють не тільки засвідчувальні центри, але і третейські суди, які будуть вирішувати — справжня чи ні підпис. А це суперечить Федеральному закону від 25 вересня 1998 року 158 — ФЗ ” ПРО ліцензування окремих видів діяльності.
Інша проблема, як ліцензувати і сертифікувати зарубіжні засвідчувальні центри? Адже на Заході їх досить багато. Інший момент — сертифікація самих засобів ЕЦП. Зрозуміло, що тим і іншим, швидше за все, буде займатися ФАПСИ.

-Згоден. Адже це відомство займається питаннями, пов’язаними з використанням криптографічних засобів.

-Подібну реакцію я звик спостерігати. Але чому Федеральне агентство урядового зв’язку має сертифікувати криптографічні засоби, які використовуються в комерції? Не тільки національної, а й міжнародної.

-Це один з видів діяльності, якими воно має право займатися, відповідно до Закону РФ ” ПРО федеральних органах урядового зв’язку і інформації.

-Напевно є більш важливі справи, ніж спроба контролювати ситуацію на російському ринку комерційної криптографії.

-А чим це погано? Адже хтось повинен стежити за порядком?

-В якості прикладу ситуація з криптографічним сервером, який входить в комплект поставки Windows 2000. В Росію Windows буде поставлятися без цього компонента. Федеральне агентство може святкувати перемогу над здоровим глуздом. Адже цей модуль можна завантажити з Інтернету або скористатися піратською версією. Правда, компанія Microsoft може через суд вимагати від російських користувачів фінансової компенсації за незаконне використання цього компонента. В результаті вітчизняний бізнес понесе величезні фінансові втрати.
Проблема більш складна, ніж просто легальне використання іноземних криптографічних засобів. Розвиток електронної комерції можливо тільки шляхом залучення інвестицій, вітчизняних або іноземних. Так, ми можемо використовувати внутрішні ресурси, і при цьому забезпечити її розвиток. Хоча для якісного ривка нам потрібні західні гроші. А під закон, де всі ліцензує і сертифікує ФАПСИ, нам ніхто їх не дасть.

Тому, якщо в остаточній редакції закону зберегтися положення про ліцензування і сертифікації, то ми отримаємо непрацюючий закон, свавілля чиновників і т. п. І фактично вітчизняні споживачі не отримають те, що їм необхідно.

-Припустимо, що взяв гору здоровий глузд, і роль ФАПСИ в регулювання вітчизняного ринку засобів ЕЦП буде мінімальним. Де гарантія того, що в іноземних виробах не буде закладок, логічних бомб і інших неприємних сюрпризів. Згадаймо, наприклад, скандал, пов’язаний з американською системою радіоелектронної розвідки Ешелон. Скільки вигідних контрактів зуміли отримати корпорації США завдяки допомозі АНБ?

-Дійсно, прийдуть західні виробники, і вони будуть продавати не окремі кошти, а вже готові системи. Наприклад, електронні магазини. Малоймовірно, що з нього АНБ буде красти конфіденційну інформацію.
Адже вам продасть його не АНБ, а шановна компанія, якій скандал абсолютно не потрібен. І якщо там і є потайний хід, то, швидше за все, скористаються її тільки в тому разі, якщо замість відеокасет ви будете торгувати нафтою. У цьому випадку, якщо ви робите електронну біржу, то не треба користуватися готовим рішенням, а замовити ексклюзивний продукт або хоча б досконально вивчіть наявний.
Технологія ЕЦП розвивається в Росії своїм шляхом. Звичайно, в нашій країні вона менш популярна і актуальна, ніж на Заході, але є групи споживачів, яким вона необхідна. А значить, у неї є перспективи в країні, де поки ще слабо розвинені телекомунікаційні системи, обмежене число користувачів Інтернет, а населення віддає перевагу електронним монет, що зберігаються у віртуальних паперові гроші, заховані в скляних банках.

Ефект від прийнятого російського Закону про ЕЦП залежить від того, чия точка зору на управління вітчизняному ринком засобів ЕЦП буде відображено після третього читання у Державній Думі. І поки рано робити прогнози.
Може бути, відсутність самого закону оптимальний варіант для розвитку технологій ЕЦП в Росії.