Александр Георгиевич, расскажите, когда был создан ваш центр, как происходило его развитие?
- Как известно, 10 января 2002 год был опубликован и вступил в силу закон об электронно-цифровой подписи, а 16 января Регистрационная палата Санкт-Петербурга зарегистрировала ЗАО "Удостоверяющий центр" - то есть мы создавались под реализацию этого закона. Мы - полностью коммерческое предприятие, учредителями являются компании из профильных областей, занимающиеся системами документооборота и информационной безопасности.
Решение о создании новой фирмы оказалось удачным. За два года нашими клиентами стали налоговые органы Санкт-Петербурга, которые используют ЭЦП в системе сбора налоговой отчетности (это произошло после подписания в 2003 году соответствующего нормативного акта Министерства по налогам и сборам), Администрация Петербурга - около 700 чиновников используют в своей служебной деятельности ЭЦП. Мы обслуживаем автоматизированную систему городского заказа - все, кто хочет предложить свои услуги городу, может сделать это в виде электронной оферты, подписанной собственной ЭЦП. Количество и состав таких коммерческих организаций сильно зависит от типа конкурса, на данный момент у нас на обслуживании находится около 300 фирм, работающих с горзаказом.
Всего у нас на обслуживании находится около 3,5 тыс. сертификатов открытых ключей пользователей. Это достаточно высокий показатель для сегодняшнего уровня развития рынка, - в России одна-две компании имеют сравнимые характеристики. В Санкт-Петербурге, помимо нас, работает еще четыре удостоверяющих центра.
Как известно, принятие закона, его использование, разработка подзаконных актов и т. п. сопровождалось достаточно бурными дебатами. Этот процесс происходит и до сих пор. В каком состоянии сейчас находится отрасль, связанная с ЭЦП?
- Главная проблема сейчас - не в законе, а в отсутствии подзаконных актов. В соответствии с Законом был назначен уполномоченный федеральный орган - Министерство связи и информатизации, ныне входящее в Министерство транспорта и связи, которое в течение трех месяцев должно было согласовать весь пакет необходимых нормативных документов - их всего около восьми. Они должны были быть уже опубликованы, но реорганизация сместила эти сроки. В ближайшее время можно ожидать, что какое-то из федеральных агентств возьмет на себя функции федерального уполномоченного органа.
Отсутствие подзаконных актов мешает внедрению ЭЦП в двух существенных аспектах. Первое - нет установленных законодательством требований к удостоверяющим центрам, и, соответственно, их нельзя лицензировать, чего, кстати говоря, требует закон. Второе - нет вершины иерархии национальной структуры удостоверяющих центров - условно говоря, нет федерального корневого сертификата, по отношению к которому бы все остальные сертификаты были бы производными. Когда такая система появится, то сертификат открытого ключа, полученного в любой точке России, сможет действовать по всей территории страны. То есть клиенты всех удостоверяющих центров начали бы принимать и доверять подписям друг друга. Сейчас друг друга "понимают" либо клиенты одного УЦ, либо тех центров, которые подписали соответствующее соглашение друг с другом. В частности, у нас есть такое соглашение с УЦ "Мосгоржилрегистрация" г. Москвы.
Как, на ваш взгляд, происходит проникновение ЭЦП в России?
- Уже в 2003 году начался бум создания удостоверяющих центров в России. Мы это почувствовали потому, что многие регионы прибегли к нашим консультационным услугам. Объяснить это можно несколькими причинами. Так, ряд госорганов разработал пакеты своих ведомственных нормативных актов, регламентирующих использование ЭЦП и придающих ей юридическую силу. Это, в первую очередь, Министерство по налогам и сборам, Пенсионный фонд, Государственный таможенный комитет, к ним присоединился ряд местных администраций. Как видно в первую очередь, ЭЦП заинтересовались ведомства, для которых электронный документооборот - прежде всего, экономия денег. Например, в таможенной практике простой товара в один день - из-за оформления документов - означает потери в тысячи, а то и десятки тысяч долларов. Для налоговой службы - обработка документов, доведение до сведения налогоплательщиков новых форм и требований, которые возникают достаточно часто, тоже обходится недешево. В этом ряду и Пенсионный фонд - скажем, объем форм отчетности работодателя такого предприятия, как Кировский завод - более 1 млн листов. И так можно перечислять бесконечно.
Также ЭЦП активно используется и в бизнесе, например, в такой отрасли, как банкинг. Однако здесь есть ряд оговорок. Банки - очень закрытые структуры и предпочитают ничего не отдавать на сторону, в том числе, конечно, и обслуживание ЭЦП. Поэтому они идут в основном по пути создания корпоративных УЦ, хотя ряд средних и мелких банков потенциально являются клиентами публичных УЦ. Главный вопрос здесь - ответственность УЦ за ущерб клиенту. Есть три возможных варианта ответственности: уставным капиталом, банковским депозитом и страхованием гражданской ответственности. Третий путь - наиболее реален. Но это совершенно новый объект страхования, здесь слабо просчитаны риски и т. д. Тем не менее мы уже год работаем с одной из крупнейших российских страховых компаний и сейчас дошли до стадии разработки контракта, который позволит нам нести ответственность перед клиентом на сумму порядка $1 млн.
Вообще, ЭЦП интересует представителей практически любого вида бизнеса. Отдельный разговор - отношения с иностранными партнерами. В законе об ЭЦП есть статься 18, в которой признание зарубежных сертификатов и взаимодействие с международными системами должно быть регламентировано. Но опять же нет соответствующего подзаконного акта. Тем не менее этот вопрос вполне решаем. В частности, мы прорабатывали электронный обмен партнеров Россия - Украина, Россия - Финляндия и Россия - США. В одних случаях требовалось признание электронного документа в судах обеих стран, в других - требовалось только подтверждение аутентичности пользователя в корпоративной сети. В рамках сегодняшнего законодательства можно сделать так, чтобы электронные документы российских фирм признавались в судах других стран.
И как же сейчас обстоят дела с развитием УЦ в стране?
- Для начала надо отметить, что создание полноценного удостоверяющего центра - с надежной техникой, лицензионным программным обеспечением - достаточно затратное занятие. Например, специализированное программное обеспечение для УЦ таких поставщиков, как RSА Security, Baltimore, "Крипто-Про" может стоить десятки тысяч долларов. Общая же сумма инвестиций в полноценный УЦ, как правило превышает $150 тыс. Поэтому многие участники рынка предпочитают работать в качестве партнеров - как "центры регистрации".
По закону, для получения сертификата открытого ключа, заявитель должен предоставить заявление с личной подписью, подтвердить документально сведения, содержащиеся в заявлении. Партнер (при наличии необходимых лицензий) доложен заключить агентское соглашение с УЦ и взять на себя обязанность по регистрации клиентов. В результате, мы в Петербурге получаем из региона заявление, но подписанное не заявителем, которого мы не знаем, а нашим партнером. У нас сейчас порядка 12 таких центров регистрации.
Одна из спорных тем: различия корпоративных и публичных УЦ - что лучше из них использовать? Какова ваша точка зрения?
- Говорить сегодня о каких-то особенных преимуществах одного типа перед другим не приходится. Сейчас существует различная нормативная база для корпоративных и публичных удостоверяющих центров. По закону для того, чтобы стать публичным УЦ, надо получить соответствующую лицензию согласно положению о лицензировании, которого нет. Негосударственный корпоративный УЦ может не получать ее, причем он также имеет право использовать любые алгоритмы ЭЦП, а не только те, что установлены ГОСТом.
Если смотреть шире, то сама по себе ЭЦП никому не нужна, она является частью какой-то автоматизированной системы электронного документооборота. Но сама система принадлежит некому корпоративному кругу. Вряд ли сейчас можно найти некую глобальную автоматизированную систему, одновременно, никому не принадлежащую. С точки зрения законодательства, подключая клиента и работая с ним по идеологии публичного удостоверяющего центра, можно оставаться в юридической платформе корпоративного центра. То есть, если организация создает сеть таких подключений и заключает договор с УЦ, то ее клиенты будут становиться клиентами центра. Так что эта проблема по большей части надумана. Различие только в одном - публичные центры должны использовать прописанные в ГОСТе алгоритмы ЭЦП.
Перспективы развития ЭЦП - какие они?
- Перспективное направление - электронная торговля. Сейчас она ограничивалась в основном интернет-витринами, и это происходит из-за отсутствия соответствующих нормативных актов. Но постепенно процесс будет двигаться в сторону полноценной электронной торговли. Хотя это связано с большими финансовыми рисками, и здесь единственной гарантией подтверждения аутентификации пользователя, предупреждением различного вида мошенничеств является как раз ЭЦП.
Если проанализировать случаи самых крупных мошенничеств на Западе в области интернет-торговли - а они составляли суммы на уровне $800-900 тыс. - то все случаи происходили как раз на тех площадках, где в основном использовались простейшие способы проверки пользователя - логин и пароль.
Рано или поздно у нас тоже разовьется электронная торговля, и ядром станет именно ЭЦП. А значит, изменится и роль УЦ в данном процессе. Вместо зарабатывания денег на обслуживании сертификата открытого ключа, центры займутся обслуживанием транзакций и т. д. То есть для центров появится новая рыночная ниша.
Другое перспективное направление - общение органов исполнительной власти и населения. Многие задают вопрос: если с Президентом можно пообщаться через Интернет в рамках специализированных сессий, то почему это нельзя делать постоянно с любыми административными органами. Ответ здесь простой - отсутствие однозначной идентификации респондента.
Кроме того, в одном из регионов Поволжья разработали проект, согласно которому ЭЦП могут быть выданы работникам почтовых отделений. Любой житель, придя туда и предъявив паспорт, может написать жалобу, подписать ее ЭЦП у работника почты и таким образом получить юридически значимый документ, который исполнительный орган власти не сможет проигнорировать. И все это за сумму, меньшую, чем та, что необходима на отправку обычного письма. Как известно, в Петербурге и Москве уже прорабатываются вопросы создания электронного паспорта жителя.