С развитием цифровой экономики растет количество интеллектуальных продуктов и предложений, которые способны упростить и ускорить деловые процессы, связанные с передачей личной информации. Этими свойствами обладает облачная электронная подпись, способ хранения и механизм использования которой отличается от привычного типа ЭП.
Понятие облачной электронной подписи
Этот IT-продукт позволяет подписывать документы и проводить деловые операции в электронном формате. Основное отличие облачной ЭП состоит в отсутствии привязки к флеш-носителю (токену) и к рабочему месту.
Зашифрованный ключ ЭП находится на специальном сервере (облаке) под защитой, а управление им осуществляется пользователем через удостоверяющий центр (УД) при помощи мобильного устройства.
Для того чтобы осуществить операцию с использованием облачной ЭП, выполняются следующие действия:
- с мобильного устройства направляется запрос в удостоверяющий центр;
- оператор (УД) высылает СМС для подтверждения или использует иной выбранный пользователем способ идентификации личности;
- после подтверждения удостоверяющий центр осуществляет подписание электронного документа.
Предназначение и суть
Суть этой технологии состоит в упрощении процесса использования цифровой подписи без использования флеш-накопителя и рабочего компьютера с установленным программным обеспечением.
Необходимые процессы осуществляются мобильно, с экономией времени и ресурсов.
При этом сервер, на котором хранится информация, обеспечивает защиту от незаконного использования ЭП и исключает риск физической потери токена.
Области применения
Облачная цифровая подпись будет полезна людям, большая часть рабочего времени которых проходит в деловых выездах и экспертизах, характерных для юристов, аудиторов, и других видах деятельности, связанных с электронным документооборотом и сделками в интернете.
Облачная ЭП, как и стандартная, используется для заверения документов: при участии в торгах, государственных закупках, оформлении отчетов в органы налогового и финансового учета, а также для получения государственных услуг с электронных порталов и т.д.
Преимущества
Использование облачных ЭП имеет ряд преимуществ и позволяет держателю данного типа цифровой подписи:
- сэкономить на покупке токена (usb-накопитель) и других дополнительных гаджетов, что особенно ощутимо при обеспечении оборудованием штата сотрудников;
- не устанавливать и не обучаться программам СКЗИ, благодаря простоте и удобству использования облачной подписи;
- осуществлять операции в любом месте, не отрываясь от рабочего процесса, при помощи мобильного телефона, планшета, компьютера и других устройств с выходом в интернет или доступом к сети;
- защитить информацию от утечки посторонним лицам, т.к. сервер использует особую систему оповещения и несколько уровней защиты;
- исключить возможность физической порчи или потери флеш-носителя ЭП, технология позволяет осуществить копирование данных в случае необходимости.
Вопрос «квалифицированности» облачной ЭП
Т.к. пользователь доверяет серверу конфиденциальные документы, возникает вопрос о степени надежности защиты информации и соответствии данной системы юридическим нормам цифровой сферы.
Технология «КриптоПро» HSM 2.0 и DSS 2.0. прошла проверку и имеет сертификат соответствия от ФСБ, полученный в 2018 г. Технология облачной ЭП сложная, создана с учетом требований повышенной безопасности клиентов и возможных рисков. Однако регулирование данной сферы продолжает совершенствоваться, добавляя дополнительные требования.
Опыт использования
Применение и развитие облачной ЭП, как и других продуктов digital-сферы, в разных странах происходит неравномерно и во многом зависит от обеспеченности соответствующей законодательной базой, своевременности ее обновления и других формальных процедур.
В России
В России опыт использования электронной подписи в облаке небольшой, а сама технология все еще вызывает дискуссии.
В истории технологии облачных подписей в России можно выделить несколько основных фактов:
- Механизм использования ЭП был регламентирован еще в 1994 г., понятие подписи, приравненное к международным стандартам, было закреплено только в 2002 г. и обновлено в 2011 г., с чего и начался активный опыт ее эксплуатации в стандартном формате.
- Программное обеспечение для работы с облачными ЭП — «КриптоПро myDSS» — было разработано и представлено еще в 2010 г., но ввиду отсутствия законодательных норм не могло быть применено.
- В 2017-2018 гг. в Федеральном законе № 63-ФЗ, регламентирующем ЭЦП, появились нормы, позволяющие создавать облачные ЭП удостоверяющим центрам.
- Облачные ЭП продолжают развиваться, обновленные требования от 27.12.2019 № 476-ФЗ, вступившие в силу 01.01.2021 г., предполагают разработку дополнительных средств защиты, которые, по прогнозам специалистов, появятся на рынке не ранее середины 2021 г.
В Европе
Использование облачных технологий в Европе строго регламентировано соответствующими стандартами и требованиями информационной безопасности. Основным является Cloud Standard Coordination (CSC) European Telecommunications Standards Institute, ETSI. Провайдеры обязаны пройти сертификацию по нормам менеджмента качества ISO 27001:2013.
Данный стандарт — «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» — прошел несколько этапов и дополнялся с учетом изменения требований к защите информации:
- В 2013 г. была выпущена техническая спецификация для определения уровня безопасности использования облачной ЭП, предоставляемого провайдером (CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing»). Уровень безопасности при этом зависит в основном от способа аутентификации (через мобильное приложение, сервер, генератор паролей и т.п.).
- Первый комплекс вышел в 2014 г. и был дополнен стандартами о защите персональных данных в облаке и в 2015 г. — о средствах контроля информационной безопасности в облаке.
- В 2014 г. также вышло постановление Европарламента №910/2014 под названием eIDAS. В соответствии с ним, стало возможным хранение ключа квалифицированной электронной подписи на удаленном сервере доверенного провайдера.
Условия получения
В связи с динамичностью изменений норм и стандартов услугу предоставления облачной ЭП в России оказывает ограниченное число удостоверяющих центров. Услуга оказывалась сервисом СКБ «Контур», однако эта возможность временно отсутствует. Наиболее простым и популярным является сервис Sing.me. Получить подпись можно, отправив запрос на сайт. Перед получением продукта пользователю необходимо пройти очную верификацию документов (оригиналы паспорта, ИНН и СНИЛС) с представителем для заключения договора. По истечении срока соглашения потребуется обновление данных.
Внедрение и стоимость квалифицированной электронной подписи
Внедрение технологии облачной ЭП актуально для крупных организаций, сотрудники которых нуждаются в этом продукте ввиду постоянного взаимодействия с документооборотом и клиентами, повышенной мобильности.
Для того чтобы внедрить технологию на такое предприятие (удостоверяющий центр, банк, страховая компания и т.п.), необходимо связаться с разработчиком («КриптоПро») через АО «Аналитический центр».
На площадке Sign.me пользователи могут приобрести облачную электронную подпись:
- для физических лиц — 1500 руб. в год;
- для ИП — 2300 руб. в год;
- для юридических лиц — 3000 руб. в год.
Отрицательные стороны ЭЦП в облаке
Как и у любого активно развивающегося продукта, у облачной подписи есть недостатки и факторы риска:
- Риск взлома системы, при котором возможно хищение пользовательских ключей. Однако есть данные о том, что в случае кибератаки в технологии предусмотрен механизм защиты информации путем ее удаления.
- Возможно ограничение доступа к серверу по техническим причинам, например отсутствие возможности выхода в интернет и т.д. В этом случае теряется основное достоинство подписи в облаке — мобильность и скорость.
- Юридически сертификат будет принадлежать удостоверяющему центру, а не пользователю.
- Применение подписи в облаке возможно только в интегрированных с удостоверяющим центром платформах. Список поддерживаемых сервисов можно увидеть при оформлении подписи.
- Невозможно оформление неквалифицированной облачной подписи, т.к. она не предполагает криптошифрование, используемое в технологии.
Облачная электронная подпись — это удобный инструмент для современного мобильного пользователя. Преимущества, активное развитие и спрос на технологию дают понять, что в скором будущем подписи в облаке станут основным используемым в работе вариантом ЭП.