2018/10/29 11:51:51

Как инфраструктура открытых ключей (PKI) помогает оцифровать бизнес

Отказ от бумаги в пользу электронного документооборота — мировой тренд. В России это пока не обязательно, но серьезно упрощает жизнь. К тому же, без него трудно представить себе цифровое будущее. О том, как перейти на электронные документы, как сделать обмен ими более безопасным и в чем различия профильных решений – в статье эксперта компании «Газинформсервис» Татьяны Станкевич.

Содержание

Зачем бизнесу электронный документооборот

Затем, что с ним гораздо проще. Во-первых, его почти тотально используют госведомства, а значит — сотрудничать с ними без электронного документооборота (ЭДО) будет проблематично. Во-вторых, ЭДО в разы повышает оперативность при обработке документов. Простой пример: если в приказе или отчете, поданном на согласование, обнаружена ошибка, то в электронном виде скорректировать его и снова запустить процесс согласования — банально быстрее.

Другой очевидный плюс внедрения — уменьшение рисков хищения, порчи или подделки документов, а еще, конечно, сокращение затрат на расходные материалы.

Реальный пример: компания с 1000 человек в штате закупила 3920 пачек бумаги формата А4 по 500 листов. Каждая стоила 197,3 рублей. Плюс 170 пачек формата А3 по 500 листов, стоимостью 411,12 рублей за каждую. Стоимость печати текста на оригинальных картриджах — примерно 2 рубля за страницу, а амортизация принтера и его ремонт прибавил к этим расходам еще 0,2 рубля на страницу. Общие расходы за год составили 5,34 млн рублей. А в случае работы с электронными документами затраты были бы сведены к закупке сертификатов ключей проверки электронной подписи, срок действия которых равен 1 году, а стоимость составляет 2500 рублей за каждый. И тогда расходы компании сократились бы более, чем в два раза — до 2,5 млн рублей.

Дополнительные плюсы перевода документов в электронную форму — более простой и оперативный поиск в архивах, поддержание технологического равенства с конкурентами и экономия штата на архивариусах, курьерах и регистраторах входящей корреспонденции.

Технологии PKI — основа ЭДО. Весь электронный документооборот принято разделять на три типа: юридически значимый (ЮЗЭДО), не наделенный такой значимостью и конфиденциальный. ЮЗЭДО наделяет силой как раз одна из технологий PKI (Public Key Infrastructure — «инфраструктура открытых ключей») — электронная подпись. Без нее документ может не иметь юридической силы. Конфиденциальный ЭДО отличается наличие технологий шифрования (тоже, кстати, относится к PKI).

Риски электронного документооборота

Для простого ЭДО, без изысков, единственный весомый риск — организационный: люди не захотят переходить на новую систему или просто не смогут этого сделать. Тут вопросы к тем, кто их обучает или даже к HR-департаменту.

С ЮЗЭДО сложнее — тут приходят еще и финансовые риски, и репутационные. Простейший вариант (и относительно распространенный) — ошибочная проверка математической корректности электронной подписи (ЭП) или актуальности сертификата ключа проверки.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.2 т

Как исключить риск? Выбрать проверенного поставщика средств работы с электронной подписью и шифрованием данных. В своих продуктах мы ориентируемся не только на требования российского законодательства, но и на лучшие международные практики. Так, наша линейка Litoria с эталонными результатами проходит все тесты, рекомендованные для решений PKI Национальным институтом стандартов и технологий (224 теста NIST).

Случаются истории и посложнее. Например, когда представителями удостоверяющего центра компрометируется ключевая информация. Или если вдруг невозможно проверить электронную подпись из-за устаревания прикладного ПО, а то и ликвидации УЦ. В первом случае придется самостоятельно генерировать ключи ЭП и запрос на сертификат ключа проверки ЭП на рабочих местах. Во втором — создаются оперативный и длительный архивы электронных документов, которые позволят пролонгировать их юридическую значимость. Такие решения на рынке уже есть.

Главные риски конфиденциального документооборота — пренебрежение шифрованием или просто использование запароленных архивов.

Зачем бизнесу PKI

Эксперты рынка говорят, что инфраструктура открытых ключей и электронный документооборот гарантируют бизнесу безопасность и увеличивают его эффективность. При этом, если сейчас использование PKI — дело рекомендуемое, но добровольное, то в скором времени оно может стать обязательным.

Тотальному распространению ЭДО и ЮЗЭДО не хватает жесткого регуляторного и/или государственного «пинка», то есть нормативно-правовой составляющей, которая в конкретные сроки обяжет всех игроков рынка малого, среднего и крупного бизнесов перейти к нему, отказавшись от бумаги. Но и без этого: куда ни глянь — везде можно наблюдать постепенный отказ от бумаги в пользу «цифры». Важным катализатором этого процесса, конечно же, является программа «Цифровая экономика Российской Федерации.

Но если для перехода к ЭДО достаточно развертывания корпоративной системы электронного документооборота, либо модулей в ECM- или BPM-системе, то ЮЗЭДО требует значительных интеллектуальных и материальных инвестиций. И PKI — ключевой пункт.

Внедряем PKI: от чего зависят сроки, объем требуемых ресурсов, стоимость проекта?

Вендоров на рынке немало. Большая часть прикладного ПО подразумевает наличие модуля для шифрования и работы с электронной подписью. Само внедрение можно поручить интеграторам, а можно попробовать реализовать самостоятельно.

Сроки развертывания, стоимость решения и его окупаемость будут зависеть от нескольких факторов. Среди них — специфика компании-заказчика, конкретный продукт и его сложность, а также бизнес-процессы, которые нуждаются в цифровизации.

Основных сценариев внедрения несколько. Можно выбрать систему на основе квалифицированной электронной подписи. Сертификаты ключей проверки в таком случае закупаются во внешнем аккредитованном УЦ. Преимущество этого варианта в том, что не нужно развертывать свой удостоверяющий центр и нанимать отдельного администратора. Недостатков больше: сертификаты ключей проверки придется закупать каждый год, стоят они по 2,5 тыс. рублей за штуку, а перевыпуск сертификата придется производить в случае его утери, увольнения сотрудника, приема нового, приостановки или возобновления действия сертификата и так далее.

Другой вариант — работа с неквалифицированной электронной подписью в рамках системы корпоративного электронного документооборота. Она придаст ему юридическую значимость внутри компании и может быть использована для шифрования конфиденциальных данных при внешнем взаимодействии. Квалифицированная электронная подпись в этом сценарии используется только для внешнего юридически значимого взаимодействия.

Недостатков у такого подхода нет, а достоинств много. Например, во внешних УЦ требуется закупать небольшое количество сертификатов ключа проверки, и это можно делать одномоментно для всех. Как следствие, сокращаются ежегодные инвестиции в PKI. А юридическую значимость внутреннему документообороту придает регламент, принимаемый всеми сотрудниками организации. В случае возникновения конфликтной ситуации в суд предъявляются сам электронный документ и внутренний регламент.

Есть еще несколько вариантов реализации PKI, в основе которых — неквалифицированная ЭП. Например, на базе зарубежных криптоалгоритмов, встроеннных в распространенные ОС (низкие стартовые инвестиции и отсутствие потребности в дополнительных элементах инфраструктуры) или на базе ГОСТ (инвестиции потребуются значительные, но зато — российская криптография).

Штатный модуль PKI от вендора ЭДО или специализированное решение

По мнению экспертов, ответ очевиден. Узконаправленные специалисты всегда более компетентны, а работа над специализированными решениями часто продолжается десятками лет. А потому и уровень таких продуктов на порядок выше, чем тех, что собирают на скорую руку.

Учитывая тот факт, что сегодня большинство продуктов создаются с целью их вертикальной совместимости с другими решениями, считаю, что в целях сокращения финансовых и репутационных рисков от «непрофессионального» PKI-решения, а одновременно — и инвестиционных затрат в разработку, более правильным и целесообразным является приобретение уже готового модуля.

Отдельные решения достаточно легко интегрируются в существующее в компании ПО и в жизненно важные системы. Расскажу на примере нашей криптографической платформы «Litoria Crypto Platfrom» (LCP). Она может быть интегрирована с помощью трех интерфейсов — REST, С++ и C#. Если заказчик обладает ресурсами для интеграции, то использование REST-интерфейса для него будет более понятным и простым. Тем более, что внедрение можно организовать и своими силами, и с нашей помощью, и с помощью разработчика того ПО, с которым выполняется интеграция.

Как наладить работу с иностранными электронными подписями

Этот вопрос — один из самых обсуждаемых в последнее время в профильных экспертных кругах, как и длительное архивное хранение электронных документов. Понятно, почему: тотальный переход к ЮЗЭДО невозможен без трансграничного электронного юридически значимого взаимодействия. Ответом становятся комплексы, которые умеют распознавать иностранную криптографию и позволяют формировать квитанции, которые доказывают юридическую значимость документов на момент проверки.

Принцип работы такого решения можно рассмотреть на примере программного комплекса «Службы доверенной третьей стороны (СДТС) «Litoria DVCS» и его работы с Белоруссией. Хотя комплекс умеет проверять электронные подписи стран Евросоюза, Азербайджана и Казахстана.

Очередность действий при обработке комплексом запроса от первой доверенной третьей стороны (ДТС 1) проста. Пользователь ДТС 2 (резидент Белоруссии), подписывает документ своей электронной подписью, после чего отправляет его пользователю ДТС 1. Тот отправляет запрос в адрес ДТС 1. Комплекс выполняет определение криптографического алгоритма, с помощью которого сформирована подпись для запроса vsd (выпущен сертификат ключа проверки ЭП при обработке запроса vpkc) согласно объектному идентификатору, указанному в сертификате ключа проверки ЭП. После чего следует переадресация его на сервер ДТС 2, расположенный в Белоруссии.

На нем проводится ряд криптографических преобразований и выполняется проверка полученного запроса. Итогом становится квитанция, подписанная подписью ДТС 2, которая отправляется обратно - в ДТС 1. Там проводится ее проверка, вслед за которой формируется обращение к серверу службы TSP для добавления штампа времени в квитанцию, а также проверяется статус сертификата ключа подписи ДТС 2 посредством обращения к профильному сервису (OCSP) или спискам отозванных сертификатов УЦ. Наконец, ДТС 1 формирует свой отчет, который подписывается сертификатом ключа проверки ДТС 1, и передает его пользователю ДТС 1.

Что касается длительного архивного хранения электронных документов, то тут подходов может быть несколько. Например, это можно сделать посредством изначального формирования в документе усовершенствованной электронной подписи (УЭП), формат которой предусматривает обязательное включение в реквизиты подписанного электронного документа штампа времени и доказательства действительности сертификата ключа проверки ЭП в момент ее создания. Другой вариант — воспользоваться сервисом формирования и переподписания квитанций на исходный электронный документ (служба DVCS из состава ПК «СДТС «Litoria DVCS»).

Эксперты отмечают, что есть и другие сценарии, например, можно хранить сертификат вместе с электронным документом, что особенно удобно для счетов-фактур, или воспользоваться архивными форматами CAdES-A и XAdES-A.

Подробнее об PKI можно узнать у экспертов «Газинформсервис».