Альтернативные модели регулирования в сфере электронной подписи: Государство и бизнес решают судьбу электронных цифровых подписей
В Аналитическом центре прошло экспертное обсуждение двух альтернативных моделей законопроекта о регулировании электронной цифровой подписи (ЭЦП).
«Законопроект как часть плана мероприятий по нормативному регулированию нацпрограммы «Цифровая экономика» находится на финальной стадии согласования перед внесением в правительство», - отметил, открывая круглый стол Альтернативные модели регулирования в сфере электронной подписи, руководитель Проектного офиса по реализации национальной программы «Цифровая экономика Российской Федерации» Владимир Месропян.
«Сегодня есть две альтернативные концепции по управлению полномочиями в сфере применения электронной цифровой подписи. Первую представило государство в лице Минкомсвязи, вторую - бизнес в лице АНО «Цифровая экономика», – рассказал Месропян.
Модель Минкомсвязи предполагает, что физические лица получают электронную цифровую подпись в государственных и частных удостоверяющих центрах (организациях, имеющих право выдавать квалифицированные юридически значимые электронные подписи), юридические лица - только в удостоверяющем центре ФНС России, представители органов государственной власти – в удостоверяющем центре Федерального казначейства. Граждане с двумя статусами (юрлица, представителя организации без доверенности или чиновника) подписывают документы двумя подписями. Предусмотрены меры и для физлиц, представляющих организацию на основе доверенности (нотариусы, адвокаты и т.д). Для них формируется электронная машиночитаемая доверенность, и в работе они подписывают документы ЭЦП физлица, подтверждая полномочия через доверенность.
«Электронные машиночитаемые доверенности прекращают свое действие в соответствии с гражданским законодательством. Мы используем существующие правовые технические механизмы, переход на которые потребует минимальных расходов», – пояснил директор Правового департамента Минкомсвязи России Роман Кузнецов.
Одну электронную цифровую подпись для всех категорий предлагает модель АНО «Цифровая экономика». Достичь этого предлагается за счет дополнения базовой инфраструктуры ЭЦП надстройкой в виде атрибутивных сертификатов.
Директор по направлению «Нормативное регулирование» АНО «Цифровая экономика» Дмитрий Тер-Степанов подчеркнул, что такая модель позволит исключить мошеннические действия с ЭЦП, решит вопрос с использованием большого количества подписей при ведении бизнеса (с необходимостью хранить отдельные флешки с ЭЦП для каждого вида сделок).
Концепция бизнеса вводит три новых положения в законодательство. Первое – облачная подпись, которая позволит использовать ЭЦП и на мобильных устройствах, хранить ЭЦП не на материальном носителе (флешке). Второе – инструмент доверенной третьей стороны, который позволит использовать ЭЦП не только внутри страны, но и за ее пределами в рамках Евразийского экономического союза, Таможенного союза ЕАЭС. Третье – положение о метке доверенного времени, которая позволит узнать дополнительную информацию о подписи в момент ее наложения (ее актуальность, статус полномочий лица, которое использует ЭЦП и т.д.).
«Реализация наших инициатив уже к 2022 году позволит 80% активного населения России дистанционно получать госуслуги с помощью квалифицированной цифровой подписи», - подчеркнул Тер-Степанов.
Заместитель начальника управления Центра ФСБ России Константин Дробаденко, выслушав представителя АНО «Цифровая экономика», заявил, что «любой не ангажированный анализ схемы с атрибутными сертификатами показывает их технологическую несостоятельность».
«Предлагаемый вариант реализации инфраструктуры PMI (инфраструктуры управления полномочиями) сегодня на практике нигде не применяется, в том числе за рубежом. Концепция Атрибутного центра и атрибутного сертификата изложена в международных рекомендациях RFC 5755 «An Internet Attribute Certificate Profile for Authorization», последняя редакция которых датируется январем 2010 года. С тех пор изменений в них не вносилось. Рекомендации не востребованы. Кроме того, отсутствуют стандартизированные решения для практической реализации указанного варианта применения инфраструктуры PMI», – указал Дробаденко.
Он подчеркнул, что схема с атрибутными сертификатами тупиковая и с экономической точки зрения. «За получение атрибутного сертификата надо платить. Вместе с тем есть бесплатная альтернатива с использованием электронной доверенности, подписываемой квалифицированной электронной подписью. Эта электронная подпись по российскому законодательству равнозначна бумажному документу, подписанному собственноручной подписью. Именно поэтому схема с атрибутными сертификатами не будет востребована», – заявил представитель ФСБ.
Дробаденко отметил, что, напротив, ведомственный законопроект предлагает гражданам «бесплатный билет» для входа в цифровую экономику. «В противовес схеме с атрибутными сертификатами законопроектом, подготовленным Минкомсвязи России, предлагается схема с моделью управления полномочиями, когда необходимые сертификаты выдаются юридическим лицам бесплатно удостоверяющим центром ФНС России, должностным лицам удостоверяющим центром Федерального казначейства. А необходимые полномочия указываются в машиночитаемой доверенности, создание которой не требует обращения к платным посредникам», – резюмировал он.
В ФНС России также уверены, что ведомственная схема будет комфортной для бизнеса. «Если в ФНС приходят документы на создание юридического лица, то помимо выписки из реестра юрлица мы одновременно выдаем и электронную цифровую подпись. В дальнейшем юрлицо сразу начинает действовать. Никуда второй раз обращаться не нужно – ни в атрибутивный сертификационный центр, ни в удостоверяющий. Это все идет в одном пакете, и это удобно для бизнеса», – подчеркнула начальник управления информационных технологий ведомства Татьяна Матвеева.
Директор по стратегическим проектам Института Исследований Интернета (ИИИ) Ирина Левова в ходе дискуссии дополнила, что, согласно проведенному ИИИ анализу, основной недостаток модели с машиночитаемой доверенностью заключается в том, что появляется дополнительная нагрузка на бизнес, связанная с доработкой не только систем документооборота, но и систем управления персоналом, корпоративного управления юрлицами. Она также отметила, что рисков, связанных с кибербезопасностью, в модели Минкомсвязи меньше, чем в модели АНО «Цифровая экономика».
В ходе дискуссии также было озвучено, что Банк России планирует получить полномочия удостоверяющего центра в кредитно-финансовой сфере. «Это позволит часть юрлиц, которые являются кредитными организациями, перевести из удостоверяющего центра Федеральной налоговой службы в Банк России», – рассказала заместитель начальника Управления методологии и стандартизации информационной безопасности и киберустойчивости Департамента информационной безопасности регулятора Ольга Краева.
В завершение круглого стола директор проектов Дирекции GR ПАО «Сбербанк» Григорий Сальников предложил законодательно зафиксировать вид отношений, в которых применение квалифицированной электронной подписи обязательно, чтобы для остальных случаев оставить возможность использования видов подписей, которые участники отношений определят между собой.