|
|
|
Сергей Белов: Сейчас наблюдается переход от стихийного развития рынка СЭД к более упорядоченной и регулируемой структуреО развитии рынка организации защищенного электронного документооборота, создании пространства доверия, основанного на технологиях PKI, применени и электронной цифровой подписи (ЭЦП), и формировани и инфраструктуры удостоверяющих центров (УЦ) в интервью CNews рассказал Сергей Белов, руководитель стратегических проектов компании Aladdin. CNews: В последние годы наблюдается рост российского рынка систем электронного документооборота. Как вы оцениваете положение дел с обеспечением безопасности при организации ЭДО в России? Насколько актуальна эта тема для российских коммерческих и государственных структур? Изменились ли подходы к вопросам обеспечения безопасного документооборота за последний год? Какие основные тенденции здесь можно проследить? Сергей Белов: От стихийного развития рынка систем электронного документооборота сейчас наблюдается переход к более упорядоченной и регулируемой структуре, чему способствует активное участие всех заинтересованных сторон — и государственных структур, планирующих использование ЭДО, и компаний, занимающихся ИТ-безопасностью, в частности, при организации защищенного электронного документооборота. Главной тенденцией является наступающее понимание заказчиков, что такое ЭДО и как его надо защищать. Однако стоит отметить, что регулирование той или иной активности может принести положительные результаты только в случае нахождения некой «золотой середины». Когда регуляторов слишком много, это может отпугнуть, когда их нет — рынок испытывает необходимость в обозначении «правил игры». При условии того, что удачный компромисс, а в данном случае — это приемлемые условия для развития ЭДО — будет найден, мы получим прозрачный, цивилизованный и конкурентоспособный рынок. CNews: Насколько распространены в нашей стране технологии PKI (система удостоверяющих центров — ЭЦП). Что сдерживает их распространение, а что, напротив, стимулирует? В каком состоянии, по вашему мнению, сейчас находится инфраструктура удостоверяющих центров в России? Сергей Белов: Исходя из формулировки вопроса, я бы ответил, что помимо всего прочего, сдерживает непонимание собственно разницы между понятиями PKI, система удостоверяющих центров, ассиметричная криптография… В связи с чем компаниям и структурам, заинтересованным в развитии рынка систем электронного документооборота, стоит более активно и массово пропагандировать возможности инфраструктуры открытых ключей, перспективы развития ЭЦП И ЭДО в нашей стране с точки зрения новых бизнес-возможностей и рыночных ниш. Первое, что сдерживает развитие этого рынка — отсутствие ряда необходимых законодательных инициатив. Второе — недостаточное финансирование ФЦП «Электронная Россия». Третье — несогласованность действий министерств и ведомств. Четвертое — отсутствие адекватного контроля над реализацией программы и как следствие вялотекущее её развитие, без должной заинтересованности. Собственно, инфраструктуры УЦ РФ пока ещё нет, в полном понимании этого слова, поскольку для полноценного функционирования ей нужны соответствующие нормативные акты и ведомство, занимающееся проблемами УЦ. Пока нет ни того, ни другого мы можем лишь говорить о системе УЦ во главе с недавно созданным Федеральным УЦ, являющимся Корневым, Головным УЦ и двумя подчиненными — Уполномоченным УЦ органов исполнительной власти города Москвы (УУЦ) и УЦ ООО «Межрегиональный удостоверяющий центр» (МрУЦ), созданным на базе МЖР. К слову, к инаугурации Головного УЦ, состоявшейся в конце 2006 года Aladdin имеет самое прямое отношение. Для обеспечения безопасности и надёжной защиты закрытых ключей ЭЦП сертификатов Головного УЦ в качестве защищенного носителя был выбран сертифицированный электронный USB-ключ eToken производства компании Aladdin. Данное аппаратное устройство, обеспечивающее выполнение криптографических вычислений, работу с асимметричными ключами и сертификатами Х.509, а также безопасное хранение ключевой информации, профилей пользователей и других конфиденциальных данных планируется использовать и в дальнейшей практике ГУЦ, УУЦ и МрУЦ. Созданная система УЦ нацелена, прежде всего, на предоставление услуг удостоверяющего центра на территории города и взаимодействие с УЦ других субъектов Российской Федерации и открыта для включения в нее других удостоверяющих центров Москвы. Однако пока взаимоотношения между отдельными УЦ ограничиваются частными договорённостями о взаимном признании сертификатов и общих процедур работы с ЭЦП — законодательно это нигде не оформлено. В целом же, по данным нашего партнёра — компании АНК — только за последние 2 года рост использования ЭЦП в юридически значимом электронном документообороте составил 230% для юридических лиц и 45% для физических. На конец 2006 года число валидных сертификатов в России оценивается в 400-500 тысяч единиц, при этом подавляющая часть из них создана именно для обеспечения защищенного электронного документооборота. В 15 крупнейших УЦ, поддерживающих в совокупности более 300 тысяч сертификатов ключей ЭЦП, более половины сертификатов применяется в прикладных системах по сдаче налоговой отчетности. CNews: Что необходимо для того, чтобы закон об электронной цифровой подписи смог заработать в полную силу? Возможна ли его корректная работа в существующем правовом поле? Если нет, то какие нормативно-правовые акты должны быть приняты в поддержку ЭЦП? Сергей Белов: Несколько лет назад, когда только начинал подниматься вопрос о создании некого пространства доверия, основанного на технологиях PKI , многие высказывались за чёткое обозначение «правил игры» на этом новом рынке. Тогда планировалось выпустить не один закон об ЭЦП, но целый пакет законодательных актов, регламентирующих порядок создания, применения ЭЦП, формирования ЭДО, порядка осуществления электронных сделок и единообразный формат электронного документа, как такового. На наш взгляд, это были очень разумные планы, осуществив которые, можно было бы уже сейчас говорить о цивилизованном рынке ЭДО в России, об инфраструктуре УЦ и др. Но в связи с тем, что проекты так и остались на бумаге, закон об ЭЦП работает и в существующем правовом поле, но без необходимой поддержки смежных законодательных актов. Их принятие задало бы нужный стимул для ускоренного формирования рынка услуг на основе ЭЦП. На мой взгляд, участники рынка применения ЭЦП надеются, что изменения в законодательных и подзаконных актах будут учитывать накопленный опыт «первопроходцев», число которых непрерывно растет в различных секторах нашей экономики. CNews: Кто более заинтересован в создании в России пространства доверия на базе инфраструктуры открытых ключей: государственные или коммерческие структуры? Насколько российские компании и органы власти готовы к работе в новых условиях? Сергей Белов: Создание в России национального пространства доверия на базе инфраструктуры открытых ключей взяло на себя Федеральное агентство по информационным технологиям (ФАИТ). Мы убеждены в том, что при должной поддержке со стороны коммерческих и государственных организаций, этот процесс получит должное развитие. С технической точки зрения, насколько мы можем судить, база для внедрения PKI есть. Скажем, для того, чтобы обеспечить безопасное хранение секретных ключей ЭЦП, а, следовательно, создать условия для неотказуемости, как критически важного свойства ЭЦП, компании могут использовать аппаратные электронные ключи уже сейчас применяемые в системах юридически значимого электронного документооборота. О развитии инфраструктуры удостоверяющих центров (УЦ), использовании технологии закрытых ключей ЭЦП, о современных решениях и разработках в этой области, а так же о перспективах применения технологии открытых ключей в интервью CNews рассказал Алексей Сабанов, коммерческий директор компании Aladdin. CNews: Что, на ваш взгляд, принципиально изменилось в сфере электронного документооборота в столице после открытия в конце прошлого года головного удостоверяющего центра Москвы? Алексей Сабанов: Головной УЦ, как было сказано выше, начал работать менее полугода назад. Срок достаточно небольшой, чтобы делать выводы о существенных изменениях. На наш взгляд, подводить промежуточные итоги стоит в конце текущего года. Во всяком случае, появились реальные перспективы существенного продвижения вперед. CNews: Федеральный удостоверяющий центр уже технически создан и готов к началу работы. Как его открытие повлияет на сферу электронного документооборота России? …непосредственно — на темпы развития электронного документооборота в органах государственной власти и на развитие межведомственного электронного документооборота? Сможет ли запуск корневого удостоверяющего центра придать заметный импульс развитию ЭДО в нашей стране? Алексей Сабанов: Корневой УЦ в первую очередь должен способствовать развитию межведомственного электронного документооборота. Каждое отраслевое ведомство должно иметь (а в ряде случаев уже имеет) свой собственный удостоверяющий центр. Корректное взаимодействие этих УЦ между собой — и есть основная задача Корневого УЦ. Но помимо собственно технологического взаимодействия, есть ещё и информационный обмен, формат базового элемента которого, а именно электронного документа, до сих пор остаётся под вопросом. Между тем он должен быть единым и стандартизированным, что является сложной задачей ввиду отсутствия закона об электронном документообороте. CNews: Как компания Aladdin позиционирует себя на российском рынке PKI-технологий? Что компания может предложить российскому рынку ЭЦП? Алексей Сабанов: Как одна из немногих компаний-просветителей в области PKI. Если серьёзно, то наше позиционирование на рынке PKI — ведущий поставщик аппаратных устройств, использующих технологии смарт-карт разработанных специально для надежного противостояния различным типам атак и обеспечивающи х максимально высокий уровень безопасности для хранения и использования закрытых ключей ЭЦП. Фундаментальной основой для применения решений на базе PKI является выполнение следующего условия: доступ к закрытому ключу должен иметь только его владелец, поскольку именно закрытый ключ идентифицирует хозяина, что равносильно установлению подлинности. Поэтому хранение ключей — это одна из основных уязвимостей PKI. На этой проблеме мы и сосредоточили свои усилия. Компьютер, дискета, CD-носитель имеют ряд недостатков с точки зрения безопасности — все они используют так называемые программные хранилища, подверженные риску заражения различными вирусами, физическому доступу, подбору пароля, которым они защищены и др. Именно поэтому прогрессивными разработчиками решений в области информационной безопасности был создан отдельный класс аппаратных решений — токенов, сводящих практически к нулю вероятность несанкционированного использования закрытого ключа, так как он хранится в защищенной памяти токена и никогда не покидает его. Aladdin готова предложить рынку как широкий модельный ряд самих токенов, включающий модели с генератором одноразовых паролей для безопасного мобильного доступа eToken NG-OTP, а также модель с дополнительным объёмом защищенной памяти eToken NG-FLASH. Комплект необходимого программного обеспечения для eToken с начала 2007 года был репозиционироdан и теперь называется eToken PKI Client. eToken PKI Client фактически включает три софтверных линейки для разных платформ — eToken PKI Windows 4.0, eToken PKI Linux 3.65 и eToken PKI Mac 3.65. Теперь, независимо от платформ, используемых компанией-заказчиком (в том числе, одновременно), решения Aladdin позволят легко настроить систему строгой аутентификации, организовать удаленный защищенный доступ к VPN, локальной сети, обеспечить защиту электронной почты, а также работу с любыми стандартными приложениями, совместимыми с инфраструктурой PKI. Более того, мы предлагаем универсальную систему управления электронными ключами в масштабе ведомства, крупного промышленного холдинга — иными словами компании любого масштаба. Данная система способна эффективно оптимизировать все процессы, связанные с жизненным циклом токена. С минимальными временными затратами eToken TMS (Token Management System) обеспечивает инициализацию токена, запись необходимых сертификатов и другой информации в его память, назначение или изменение уровней доступа сотрудников к данным, к приложениям, к VPN, разрешение или запрещение им тех или иных действий. С помощью системы TMS можно мгновенно блокировать токен в случае его кражи или утери, а также при увольнении или зачислении в штат нового сотрудника. Aladdin активно развивает сотрудничество с нашими партнёрами в области совместных разработок для организации ЭДО. Один из наших проектов в этой сфере — интеграция eToken c системой «ДЕЛО», разработанной компанией ЭОС. «ДЕЛО» представляет собой комплексное промышленное решение, обеспечивающее автоматизацию процесса делопроизводства, а также ведение полностью электронного документооборота организации. Это решение обеспечивает выполнение всех условий для признания равнозначности электронной цифровой подписи и собственноручной подписи: удостоверение точного времени создания электронных документов с помощью штампов времени, а также получение в реальном времени информации о статусе цифровых сертификатов, поддержка усовершенствованного формата подписи «КриптоПро ЭЦП» обеспечивает возможность длительного хранения документов в электронном виде с ЭЦП (до 30 лет), а также создание Регламентов использования ЭЦП в рамках системы документооборота. Для надежного хранения закрытых ключей ЭЦП и шифрования в системе «ДЕЛО» используется электронный ключ eToken PRO, разработанный компанией Aladdin и на сегодняшний день являющийся №1 на российском рынке 3А (аутентификация, авторизация, безопасное администрирование). CNews: Насколько востребован в нашей стране опыт компании Aladdin, как эксперта, специализирующегося на решении проблемы "ААА" (Аутентификация, Авторизация, безопасное Администрирование)? Сможет ли этот опыт помочь распространению использования ЭЦП в России? Алексей Сабанов: Мы обычно не даём оценок своей деятельности с точки зрения востребованности опыта — об этом лучше судить по отзывам наших партнёров и клиентов. Однако замечу, Aladdin занимает очень активную публичную позицию и в СМИ, и с точки зрения участия в различных профильных мероприятиях по информационной безопасности. Находясь на определенном этапе зрелости — компании уже исполнилось 12 лет — мы всё больше внимания уделяем не продвижению конкретных продуктов, но инвестированию в развитие рынка, в его перспективы. Именно поэтому мы уже который год подряд организуем широкомасштабные партнёрские и клиентские мероприятия, среди постоянных участников которых — ведущие российские и международные ИТ и ИБ компании, системные интеграторы, разработчики СКЗИ и СЗИ, Удостоверяющие центры, государственные и коммерческие организации. Наши мероприятия регулярно поддерживают российские представительства IBM, Microsoft и Oracle и других вендоров. Мы стремимся к активному обмену опытом, к постоянному качественному развитию партнерского канала, когда основные ставки делаются не на объёмы закупок у вендора, а на уровень качества работы партнёра с заказчиком. В этом году мы сделали особый акцент на консолидированном обучении партнёров в области построения бизнеса с использованием продуктов и решений Aladdin. В частности, наши специалисты представили пятиступенчатую модель развития успешного партнёра, базирующуюся на глубоких знаниях рынка, свободной ориентации в предметной области — в том числе в области PKI, построению ЭДО, а также компетентности в технологиях Aladdin и на умении формировать потребности заказчика и организовывать эффективные продажи, внедрение и сопровождение. Мы считаем, что бизнес Aladdin должен быть прозрачен для наших партнёров, именно поэтому ежегодно мы открыто обсуждаем наиболее острые вопросы в рамках конструктивного диалога. Условно говоря, мы организуем бизнес-площадку, где каждый может посмотреть на себя со стороны, оценить свою работу, провести сравнение с другими партнёрами, получить стимулы к развитию, а также найти новых партнёров или заказчиков. Тема ЭЦП, ЭДО и российской инфраструктуры УЦ постоянно звучит на наших конференциях и обучающих семинарах. В уходящем году нам даже удалось собрать, в том числе, и представителей конкурирующих фирм, предлагающих свои разработки в области систем электронного документооборота, которые общались между собой начистоту, спорили на равных и в итоге пришли к тому, что конфронтация не ведёт к улучшению положения, к росту рынка, что очень ценно для нас. CNews: Есть ли уже примеры реализации (в этом случае — просьба назвать некоторые из них) достаточно крупных проектов по организации защищенного документооборота на основе ЭЦП? Алексей Сабанов: Да, такие проекты есть, можно привести много примеров, например, в структурах ФНС, РЖД, РАО ЕЭС, ПФР, но пока это лишь пилоты, которые тем не менее могут дать взрывной рост практического применения ЭЦП. CNews: Каковы ваши прогнозы по развитию в России инфраструктуры доверия на базе ЭЦП. Как быстро пойдет этот процесс, от каких факторов зависит? Алексей Сабанов: Россия удивительно централизованная страна, в которой исторически сложилась ситуация, когда «указ сверху» решает 99% проблем «снизу». Поэтому если государство более пристально рассмотрит существующие проблемы, проанализирует ошибки и несогласования, допущенные при старте ФЦП и ГЦП, и даст соответствующие указания — процесс формирования инфраструктуры доверия на базе PKI будет развиваться более активно. Отдельные же инициативы ощутимой пользы не принесут. CNews: Какие технологии обеспечения безопасности — для целей ЭДО — будут наиболее перспективными в ближайшие годы? Как вы видите место вашей компании на этом рынке? Какие интересы (направления) в этой сфере вы могли бы назвать в качестве приоритетных? Алексей Сабанов: На наш взгляд, в ближайшее время наиболее перспективным направлением станет использование российских криптографических алгоритмов в информационных системах, построенных на базе инфраструктуры открытых ключей. Соответственно, наиболее остро встанет вопрос о создании аппаратного токена для обеспечения гарантированной защиты закрытых ключей пользователя при работе с отечественными криптопровайдерами (например, КриптоПро CSP) на всех этапах их жизненного цикла (генерация, хранение, использование, уничтожение). Такой токен должен будет обеспечивать безопасное хранение и использование закрытых ключей пользователя, аппаратно (на уровне операционной системы смарт-карты) реализуя все функции, связанные его хранением и использованием; сгенерированный закрытый ключ не покидает микросхему смарт-карты на протяжении всего жизненного цикла. На данном этапе ведётся разработка такого продукта по согласованному с ФСБ России техническому заданию. По нашим оценкам, выпуск этого токена позволит Aladdin занять определенную нишу сертифицированных средств безопасного доступа и обеспечит использование сертификатов открытого ключа, выпущенных с использованием российских криптографических алгоритмов, в ОС и прикладном ПО. CNews: Спасибо. |