|
|
|
|
Представители ЦБ о работе с ЭЦП6 марта 2002 г. в Исполнительной дирекции Ассоциации российских банков прошла очередная ежегодная встреча руководства Банка России и руководителей фирм - разработчиков и поставщиков банковских систем и оборудования, организованная Комитетом АРБ по информационным и интернет-технологиям. От Банка России во встрече приняли участие заместитель директора Департамента информационных систем С.Ф.Михайлов, заместитель начальника Главного управления безопасности и защиты информации А.П.Курило, начальник Управления обеспечения надежности информационно-вычислительных систем М.Б.Пеленицын, заместитель начальника Управления развития информационных технологий Департамента информационных систем А.Н.Сорокин, заместитель директора Главного центра информатизации Банка России С.В.Дробин и директор Межрегионального центра информатизации В.Ю.Петровский. На встрече присутствовали представители 43 фирм из России и стран СНГ. Каковы последствия принятия закона об ЭЦП в части работы коммерческих банков по удаленному обслуживанию клиентов (в том числе клиентов - государственных организаций)? Будет ли какой-либо список систем криптозащиты, рекомендуемых к применению Банком России? Курило А.П.: Должен сказать, что положительных последствий ожидать не приходится. А вот негативные последствия уже начали проявляться. Мы об этом говорили, но разработчики проекта закона наше мнение не учли. Все с радостью приняли закон и сказали, что все теперь будет хорошо. На самом деле ничего хорошего не будет. Последствия для банка следующие: на прошлой неделе прокуратура города Краснодара возбудила уголовное дело против директора ГРКЦ по факту передачи ЦБ РФ в кредитные организации средств криптографической защиты "Верба-О", на том основании, что она не лицензирована. Лицензия у Центрального Банка есть, и директор ГРКЦ не имеет к этому никакого отношения. В настоящее время уровень правовой культуры даже в правоохранительных органах очень низок, и поэтому вот такие совершенно ненормальные выбросы будут не только в г. Краснодаре, но и в любой точке нашей необъятной Родины. Что касается самого закона, то хотел бы сказать следующее. Если, его "отжать" и оставить только то, что нас как-то интересует, то закон определил - ключ подписи принадлежит физическому лицу и организации принадлежать не может. Это первое и это надо выполнять. Второе - подпись является атрибутом документа и должна следовать за документом или за пачкой, которая на самом деле тоже будет являться документом. Третье, обязательное условие юридической значимости документа, подписанного ЭЦП, является использование сертифицированного средства. Четвертое - появляется некая "конструкция", которая называется удостоверяющий центр, встроенный в иерархию самих центров, начиная с самых уважаемых организаций. На сегодняшний день Министерство Связи курирует проблему для всех публичных организаций, а ФАПСИ - для органов государственной власти и контролирует все удостоверяющие центры. Введено понятие - корпоративная система, в которой можно делать все, как мы хотим, за исключением того, что подпись должна принадлежать физическому лицу и средства подписи и проверки подписи должны быть сертифицированы. В основу подписи положен ассиметричный ключ по протоколу Х509. На сколько я знаю, в нашей стране сейчас есть только одно средство, удовлетворяющее всем этим условиям. Это средство - Сигнатура. Оно достаточно сложно, и мы уже второй год очень аккуратно пытаемся внедрять его, потому что сразу возникает проблема надежности. Стратегическая линия направлена на то, чтобы в Банке России использовалось только одно средство электронной подписи. Обращаю ваше внимание, что закон не распространяется на иные аналоги собственноручной подписи, в том числе и на средства с симметричными ключами, типа МЭК. И это очень хорошо. ЭЦП хорошее средство, но ей присущи органические недостатки, связанные с тем, что ключ подписи не является полным аналогом собственноручной подписи и не является неотъемлемым атрибутом личности. К сожалению, вынужден констатировать, что в случае утраты контроля за подписью конкретным человеком, эти недостатки могут использоваться в преступный целях. Например, пользователь забыл дискету в дисководе и ушел. В результате подпись может быть скопирована или может быть злонамеренно использована для отправки фальшивых документов. При этом Банк России вынужден принять эти документы, потому что подписаны они истинной подписью. Кроме того, отсутствует эффективный контроль над использованием самого АРМа. Как правило, АРМ - программный. Воспользовавшись не очень хорошим контролем, его тоже можно скопировать и, с копии АРМа, можно отправить документ. Фактически, с принятием закона о ЭЦП, в нашей жизни ничего не изменилось. Никто не отменил гражданский кодекс. И банк, вступая во взаимоотношения со своим клиентом, вступает в двусторонние договорные отношения. И в условиях договора необходимо записывать требования по обеспечению безопасности. Это очень важный момент. Я хотел бы подчеркнуть, что специалисты Федеральной Резервной Системы США, рассматривая возможность использования ЭЦП, очень осторожно подходят к этому вопросу. И это несмотря на то, что законы в США очень либеральны. Американцы сейчас находятся в другой стадии развития и отошли от технократических законов, который сейчас появляются у нас. В качестве подписи у них может рассматриваться фамилия, набранная на клавиатуре, что совершенно не является ЭЦП. Банк Франции тоже не использует ЭЦП для работы со своими клиентами. Другое дело, он пользуется для доставки сообщений системой S.W.I.F.T., где сейчас внедряется эта процедура, но тем не менее подпись для обработки документов в самом банке Франции не используется. Надо и нам подумать о пределах использования этих инструментов. Мы в ЦБ РФ сейчас формулируем стратегию минимизации использования ЭЦП и использования ее только там, где есть юридические отношения между банком и клиентом. А во внутренней обработке это совершенно не обязательно. Как защищать информацию - это наше внутреннее дело. Пеленицын М.Б. Выход закона окончательно развеял ту эйфорию о всесильности системы ЭЦП, которая существовала у нас с начала 90-х годов. Развеял по одной простой причине - выполнить все требования этого закона становится очень дорогим делом. Но вместе с тем, закон не отменил правоприменительную практику того, что у нас существовало до сих пор. Статью 160 ГК РФ этот закон не отменяет. Закон, как уже отмечалось, технократический и, фактически, описывает некоторую систему криптографической защиты под названием ЭЦП и признает ее одним из аналогов собственноручной подписи. Если хотите пользоваться им, то надо выполнять все требования, которые там изложены. Хотя, на самом деле, реально пользоваться законом в настоящее время невозможно. Ну, в частности, положения об удостоверяющих центрах до сих пор нет, и когда оно будет неизвестно. Закон требует сертифицированных средств, а это означает, что криптозащиту можно делать только в соответствии с тем алгоритмом, который у нас определен ГОСТом, потому что другие сертифицироваться не будут. Сейчас вышел новый ГОСТ, а закон по терминологии с этим ГОСТом различается полностью, читать одновременно невозможно. Следовательно, или в законе надо приводить терминологию в соответствие с ГОСТом, или, что более вероятно, надо менять редакцию ГОСТа. Утверждение ФАПСИ, что криптозащита по новому ГОСТу будет более стойкой, на мой взгляд, временное явление. Потому что математическая задача, лежащая в основе нового ГОСТа, а именно решение уравнений на эллиптических кривых, просто менее исследована, чем та задача, которая лежала в основе старого ГОСТа. Природу не обманешь, и чем больше будет результатов исследований, тем больше будет расти длина ключа, и мы опять придем к ключам длиной 1024 и т.д. При этом алгоритм нового ГОСТа, также как и старого, является достаточно медленным. И если подписывать каждый документ, то организациям, имеющим большой документооборот, для реализации всех ГОСТ-овских алгоритмов придется ставить еще одну мощную машину, т.е. идти на дополнительные затраты. Выход этого закона сейчас просто стимулирует работу серого вещества многих людей по созданию "иных аналогов собственноручной подписи" взамен описанной в законе ЭЦП. Теперь о средствах. Сертифицированных средств достаточно много, но они совместно друг с другом не работают. Все имеют сертификаты, все соответствуют одному и тому же ГОСТу, но одно с другим не работает, потому что протоколы не загостированы, интерфейсы не загостированы, один ставит подпись в начале файла, другой - в конце, но в результате ни тот, ни другой друг друга понимать не в состоянии. ФАПСИ выдает сертификат на соответствие своим требованиям безопасности, но не на соответствие требованиям закона. Допустим, та же "Верба-О" - она в соответствии с правилами ФАПСИ удовлетворяет всем требованиям безопасности, но не удовлетворяет требованиям закона, потому что не использует соответствующих цифровых сертификатов, не предусматривает наличия удостоверяющих центров в том виде, как они описаны в законе и т.д. Поэтому "Верба-О" - сертифицирована, но закону полностью не соответствует. Сейчас соответствуют закону об ЭЦП, наверное, только две системы, да и то, это надо проверять более досконально: одна из них - упоминавшаяся Сигнатура, разработку которой Банк России специально заказал для своих целей, имея в виду сделать из нее унифицированную электронную цифровую подпись. Хотя теперь, с выходом закона об этом еще следует подумать, но, скорее всего, она так и останется. Вторая - это система Крипто-Про, которая тоже была недавно сертифицирована ФАПСИ. Все остальные, известные мне, сертифицированные средства ЭЦП в той или иной степени на сегодняшний день не удовлетворяют требованиям закона в части цифровых сертификатов. Каковы планы мероприятий ЦБ по приведению банковской системы в соответствие с требованиями закона об ЭЦП? Курило А.П.: М.Ю. Сенаторов утвердил распоряжение о создании специализированной рабочей группы, которая рассмотрит все документы различных департаментов Банка России на предмет соответствия их требованиям закона. ЦБ придерживается философии корпоративной системы. В других банках нужно еще хорошенько подумать, прежде чем применять философию корпоративной системы. Лучше, наверное, остановиться на двусторонних отношениях с клиентами. В корпоративной системе, как правило, предусматривается прямой обмен между клиентами. В банках этого на самом деле не происходит. Обмен между клиентами осуществляется через передачу документов в центр обработки банка, и прямой двусторонней связи нет. Не совсем подходит здесь философия удостоверяющего центра, потому как сертификат не надо проверять. Лучше проверять подпись. Внутри системы мы рассматриваем возможность перехода на другие средства, которые являются достаточно быстрыми, легкими, ключевые системы несколько иначе управляются. На самом деле нет фактов, когда кто-то взял и сломал алгоритм подписи. А вот факты, связанные с хищением денежных средств или попытки хищения денежных средств, происходящие из-за неправильного управления этими средствами, имеются. Это чисто административная проблема использования оборудования. Мы пришли к выводу, что необходимо создать банковский стандарт безопасности, который должен предъявлять требования по безопасности непосредственно к АРМам, стоящим у клиентов, если они автономные. А если они не автономные и находятся в режиме сетевого взаимодействия с собственно АБС кредитной организации, то эти требования должны предъявляться к АБС. Вопрос очень сложный, но есть мировой опыт - Банк Франции уже давно и достаточно эффективно использует такую технологию, внесено предложение в Европейский Центральный Банк для рассмотрения как базовой философии обеспечения безопасности всех государств - участников Базельского соглашения. Я понимаю, что без участия банковского сообщества такой стандарт не сделаешь, и здесь необходимо участие АРБ, заинтересованных банковских организаций и разработчиков. ЭЦП в новом законе определяется как реквизит электронного документа, что приводит, с нашей точки зрения, к невозможности технологии пакетной передачи документов. Не следует ли из этого, что каждая "платежка" должна иметь индивидуальную подпись? Курило А.П.: При обработке большого количества документов, если подписывать каждый, то увеличивается время обработки. Поэтому мы начали приходить к выводу, что вообще-то на документы надо ставить некую метку, которая может называться кодом авторизации, контрольной меткой или как-то иначе и представлять собой короткий ХЭШ. В законе есть лазейки, в соответствии с которыми и пакет документов можно тоже считать за конкретный документ, ничего страшного в этом нет. Поэтому возможна двойная технология: на пакете - подпись, а на документе - некая более короткая метка. Пеленицын М.Б.: Если говорить об электронном документе, то мы, до некоторой степени, стали заложниками собственной терминологии. В свое время, когда никаких законов не было, и начался электронный обмен, мы использовали термин "электронный платежный документ". В настоящее время есть такая форма управления счетом, как телефонный звонок владельца счета. Операции со счетом выполняются в соответствии с теми договоренностями или с теми правилами, которые были установлены при заключении договора на обслуживание. Поэтому при удаленном обслуживании от названия "электронный платежный документ" можно уже и уйти. В данном случае лучше применять термин "электронное распоряжение по счету", а документом уже считать, как требует закон об ЭЦП, только то, что подписано ЭЦП. Закон не дает определения электронного документа, поэтому мы вправе самостоятельно определять, что им является. Одно из направлений деятельности ЦБ - рассмотрение нормативной базы Банка России на соответствие требований этого закона, в том числе и на соответствие терминологии. Курило А.П.: Надо опять же посмотреть на опыт коллег. Федеральная резервная система США информацию по удаленному управлению счетом документом не называет, она ее называет Инструкцией по управлению счетом. Этот термин очень точный, потому в понятие "инструкция" укладываются инструкции, полученные по телефону или в письменной форме, а также направленные электронно. Конечно же, применение электронной подписи просто замечательно, но неплохо было бы не отметать и альтернативные способы. Никто не отменял понятия аналога собственноручной подписи. Под таким аналогом можно понимать довольно широкий спектр средств, вплоть до пароля, введенного с клавиатуры. С практической точки зрения, если говорить о развитии Интернет-банкинга для обслуживания физических лиц, то не хотелось бы наворачивать сложное технологическое оборудование и программные средства на стороне клиента. Вопрос в том, действительно ли мы здесь все согласны с тем, что в принципе возможно использование для аутентификации пользователей альтернативных средств, альтернативных аналогов собственноручной подписи, кроме одного-двух, которые являются сертифицированной электронной подписью. Так ли это? Курило А.П.: Мы считаем, что это возможно. ГК РФ никто не отменял. Единственное жесткое требование при работе в сетях общего пользования есть для государственных организаций, и если они будут работать в общей сети, то тогда для них будет признаваться только ЭЦП. Но если это Интернет-магазин, который сам организует свои сервисы, то он может использовать любые аналоги подписи. Правильно ли мы понимаем, что проблемы связаны не с использованием цифровых подписей при пересылке документов, а именно с доступом к самим АРМ-мам, к подмене подписей, паролей и т.д.? И еще. Известно, что в корпоративном мире инфраструктура ключей, как правило, используется не для подписи документов, а для аутентификации человека при доступе к корпоративным ресурсам. И здесь у всех крупных компаний возникает бездна проблем, так как корпоративные структуры, основанные на внутренних серверах, сертификатов не имеют и используются именно для аутентификации. Это средство не предполагается использовать для цифровых подписей. Какова позиция ЦБ в этой ситуации? Требуется ли сертификация в этом случае, в том числе и в государственных структурах, при использовании таких средств для аутентификации, а не для подписи документов? Ответы на этот и другие вопросы читайте в №2 за 2002 год в журнале "Банки и технологии" Вернуться на главную страницу обзора
|