E-БИЗНЕС. Банки: оцифрованы и подписаны

Елена ДЕМИНА

На «круглом столе», который провели «Контракты» представители банковского сектора, контролирующих органов и коммерческих предприятий обсуждали перспективы и риски действия новых законов об электронной цифровой подписи и электронном документообороте.

НЕ ТЕ ПРАВИЛА

О необходимости принятия «электронных» законов и эксперты, и государственные мужи, и предприниматели говорили уже давно. На уровне государства требовалось законодательное урегулирование развивающегося электронного документооборота. Для бизнеса же,

в частности, для банковского сектора, соответствующие нормативы должны были создать основу для развития всех возможных видов дистанционного обслуживания клиентов. Иное дело — суть установленных «правил игры»: как оказалось, банкиры и разработчики новых законов придерживаются на сей счет прямо противоположных точек зрения.

Алексей ФАЛЬ, ведущий научный сотрудник Института кибернетики (входил в рабочую группу по разработке новых законов)

Алексей ФАЛЬ:

— Новые законы разрабатывались с учетом требований европейского законодательства. В частности, за основу проекта закона «Об электронной цифровой подписи» была взята общая концепция соответствующей Директивы Европейского Союза (EU Digital Signature Directive). В результате закон получился достаточно либеральным с точки зрения реализации возможных схем организации ЭЦП. В то же время, документ четко определяет требования к субъектам правовых отношений в этой сфере. При подготовке законопроекта, как и в европейской директиве, основное внимание было уделено вопросам приравнивания электронной подписи к собственноручной, а также регламентированию работы организационно-технического аппарата, позволяющего применять технологию ЭЦП. Кроме того, были установлены рамки для функционирования этого аппарата и определены права и обязанности субъектов сферы ЭЦП.

Александр КАРПОВ, директор Украинской межбанковской Ассоциации членов Europay International

Александр КАРПОВ:

— В принятых законах наблюдается некий перекос в сторону технологий. Безусловно, технологии должны быть одной из главных составляющих этих документов. Но когда на уровне законов делается попытка монополизировать ту или иную технологию, сделать ее ключевой — это недопустимо (если речь идет не только о решении проблем электронного документооборота на уровне государства, но и в бизнес-среде). Бизнесу должны были предоставить право сомостоятельно выбирать удобные для него схемы работы. Вместо этого из сферы регулирования новых законов «выпали» технологии, которые банками используются сейчас.

Евгений ПЛОТИЦА, заместитель директора Департамента розничного бизнеса АПП банка «Аваль»

Евгений ПЛОТИЦА:

— Действительно, закон не запрещает использовать другие банковские инструменты, но и не уравнивает их с законодательно признанными технологиями. К аналогу ручной подписи закон причисляет только электронно-цифровую подпись, подтвержденную усиленным сертификатом. Все остальные подписью не являются. Например, ваш пин-код на банковской карточке или другие инструменты, в которых не используется ЭЦП с усиленным сертификатом. Скажем, если пользователь произвел транзакцию через терминал (к примеру, снял деньги со своей карточки) — документ, который уходит в процессинговый центр, по нашему законодательству не считается электронным документом, потому что он не подписан надлежащим образом.

Сергей БЕЛОВ, начальник отдела информационной безопасности всеукраинского АБ «ВАБанк»

Сергей БЕЛОВ:

— Последствия применения положений этого закона очень простые — если у вас есть некий документ, скажем, с прикрепленным к нему «мак-кодом», при возникновении спора суд на свое усмотрение будет решать — принимать или нет его в качестве доказательства. И тут вместо рассмотрения конкретного дела суды вынуждены будут выслушивать споры экспертов. Причем «разбор полетов» может начинаться с самого высокого уровня — каким образом в банке организован документооборот, чем и как подтверждаются те или иные договора. И заканчиваться на уровне обсуждения технологий — каким именно образом в банке это реализовано. Понятно, что такие споры могут длиться бесконечно. Единственная сторона, которая от этого выиграет — юристы, обслуживающие такие судебные разбирательства.

Александр КАРПОВ:

— Стоит готовиться и к тому, что решения судов по данным категориям споров могут быть не всегда корректны. Вот вам простая аналогия: статья, устанавливающая наказание за «карточные» преступления, появилась в нашем Уголовном кодексе еще в 2002 году. Так вот с этого периода суды не могут разобраться даже с этой достаточно простой статьей. А мы говорим о технологии, функционирование которой сейчас не все специалисты способны четко себе представить, не говоря уже о судейском корпусе.

Впрочем, банкиров пугают не только возможные проблемы судебного рассмотрения возможных споров, в которых будут фигурировать электронные документы — вряд ли таких дел будет много. Финансисты прогнозируют, что предполагаемые расходы, на внедрение законодательных новаций могут быть неоправданно высокими, а в некоторых случаях — еще и бесполезными.

Евгений ПЛОТИЦА:

— Вопрос в том, целесообразно ли вводить одинаковые правила защиты для всех банковских инструментов. Скажем, если речь идет об интербанковских финансовых телекоммуникациях, таких, к примеру, как S. W. I. F. T. — возможно, игра стоит свеч. Там ходят большие суммы. И если кто-то каким-то образом доберется до этой системы, банкам могут быть нанесены колоссальные убытки. Соответственно, в защиту этого инструмента стоит вкладывать большие инвестиции. А вот если мы говорим о работе системы «банк-клиент», ситуация обратная. Там ходят намного меньшие суммы. К тому же учтите и то, что система «банк-клиент» не всегда позволяет клиенту управлять деньгами по аналогии с реальным миром. То есть до определенной суммы, указанной в «платежке», вы можете пользоваться системой, выше — будьте добры подтвердите ее бумажным документом. И, как правило, банки страхуют риски, связанные с работой системы. Так что в этом случае большие вложения в защиту этого финансового инструмента неоправданны.

Аналогичная ситуация и с банковскими платежными картами. Банки считают, что эмиссия «чиповых» карточек, при сегодняшних ценах на них, выше по стоимости, чем потеря от возможных рисков. Вопрос: стоит ли затевать всю эту историю с внедрением специальной защиты, если при этом защищается намного меньше денег, чем стоит сама «защищающая» система? Причем сейчас ведь банки полагаются не только на технологию защиты карточек. Существуют специальные подразделения, которые в режиме «он-лайн» проводят мониторинг всех операций клиентов, отслеживая возможные отклонения. Если, к примеру, клиент делает нестандартную покупку, мы сразу пытаемся с ним связаться. И вот затраты, скажем так, на менее дорогую технологию и затраты на мониторинг позволяют нам добиться большей эффективности и больше заработать денег, нежели в случае внедрения «дорогих» технологий, предусмотренных новыми законами.

Понятно, что внедрение новых технологий защиты в конечном счете ляжет дополнительным финансовым бременем на потребителей банковских услуг. Ко всему прочему, клиентам банков придется разбираться с новыми технологиями: осваивать применение открытых и закрытых ключей, которые используются при проставлении электронной цифровой подписи и другие новации, осилить которые под силу разве что специально подготовленному контингенту. Впрочем, говоря о тотальной «технологизации» банковских продуктов финансисты несколько сгустили краски. Ведь закон не содержит прямого указания внедрять новые технологии на все и вся.

Алексей ФАЛЬ:

— Именно электронная подпись является юридическим эквивалентом ручной подписи. А цифровая подпись — это криптографический механизм, который применяется для решения разнообразного количества задач, связанных с доступом к объекту. Иными словами, для аутентификации пользователя. И изначально она не предназначалась для того, чтобы стать эквивалентом ручной подписи. Она может быть применима в банковской сфере, скажем, в таких системах, как «клиент-банк», или для подачи налоговой отчетности в электронном виде. Причем не всегда ЭЦП используется как юридическая подпись. Электронная цифровая подпись лишь помогает сохранить целостность документа и аутентифицировать отправителя.

Впрочем, не стоит исключать и того, что в подзаконных нормативах государство может ввести обязательность проставления электронной подписи на все е-документы. Ведь были же попытки защитить все продукты и товары с помощью их тотальной «голограммизации». И тогда финансовый сектор столкнется не только с необходимостью изыскивать дополнительный финансовый ресурс для внедрения новых защитных технологий, но и вынужден будет как-то решать возникшие проблемы с зарубежными партнерами.

Сергей БЕЛОВ:

— Сейчас практически все банки пользуются технологиями, которые разрабатывались на Западе и пришли к нам оттуда — та же система S. W. I. F. T., банковские платежные карты и прочее. При этом, новые законы признают надежным только то средство, которое соответствует украинским техническим стандартам. Но ведь совершенно очевидно, что ни одна мировая платежная система просто не захочет внедрять наши стандарты — у них свои есть. Для многих технологий подпись если и предусмотрена, то в том стандарте, который поддерживается этой системой, а не «украинской». И переделывать свою систему никто не будет. Получается, мы своим партнерам не доверяем? Кроме того, выпадает ряд моментов, связанных с электронной торговлей, где зачастую взаимодействие не всегда сопровождается заключением договоров, как, например, при покупке товаров.

Идем дальше. Предположим, у нас разрабатываются некие системы. Каждая организация-разработчик будет это делать по-своему. В результате, эти системы друг с другом никак не взаимодействуют. Они зачастую даже не понимают друг друга. Я уже не говорю о том, чтобы понимать ту же западную цифровую подпись, которая, к примеру, реализована в Microsoft. Теперь в этой ситуации мы попали в очень интересную «вилку»: с одной стороны, банки работают сейчас с некоей системой, которая не соответствует ни действующему закону, ни сертификатам — у нее есть только некая техническая реализация, которая получила заключение Департамента специальных телекоммуникационных систем защиты информации СБУ. С другой стороны, банки заинтересованы в том, чтобы электронные документы все же однозначно признавались с подписями уполномоченных лиц, и вынуждены будут приводить ее в соответствие с требованиями закона, А это означает замену практически всех работающих систем. Мы затратим на это колоссальные средства. А в результате получится, что эти системы не годятся для международной торговли и е-коммерции. Если бы данный закон относился только к работе госорганов, где есть особые требования к защите информации (государственной) — претензий было бы значительно меньше.

Очевидно, некоторые опасения банкиров рассеются (или подтвердятся?), когда будут подготовлены все необходимые подзаконные нормативы. Ведь, как признают разработчики новых законов, они по своей сути — рамочные. Конкретные правила работы с электронными документами будут определять правительство и отраслевые ведомства.

Алексей СКИБА, заместитель начальника Департамента специальных телекоммуникационных систем и защиты информации СБУ

Алексей СКИБА:

— Сейчас уже нужно действовать, а не обсуждать достоинства или недостатки новых законов. Прежде всего необходимо принять примерно 8 подзаконных актов на уровне постановлений КМУ. Правительство издало соответствующее поручение Минэкономики, СБУ, Госкомсвязи и другим министерствам и ведомствам подготовить проекты таких нормативов. Скажем, нашим департаментом разработан проект нормативного акта, определяющего требования к аккредитованному центру сертификации ключей и порядок аккредитации центра. Документ подан в Минюст на юридическую экспертизу.

Ирина ИВЧЕНКО,
начальник управления защиты информации Департамента информатизации НБУ:

— Законы об электронной цифровой подписи и электронном документообороте, наверное, невнимательно были прочитаны оппонентами. Они не увидели те преимущества, которые заложены в документах, к примеру, в сравнении с аналогичными российскими законами. Наши законы действительно относятся к разряду очень демократичных и позволяют всем тем, кто использует электронный документооборот или ЭЦП в своем бизнесе, выбрать любой из подходов защиты информации, который не запрещен этими законами. А законами разрешено все. Скажем, можно применять слепок собственноручной подписи или вообще не использовать сертификаты ключей, работать без сертификатов, не обязательно работать с усиленными сертификатами. Четко прописано, что можно работать и на несертифицированных специальным департаментом СБУ средствах защиты. Вместе с тем, в законах стоит жесткое ограничение для государственных предприятий. Там обязателен аккредитованный центр сертификации ключей, усиленный сертификат, обязательно использование сертифицированных средств. Поскольку подпись на государственных бумагах ни у кого не должна вызывать сомнений. Коммерческие же структуры могут использовать средства защиты по договоренности со своими партнерами. Хотят они использовать международные центры сертификации ключей? — пожалуйста, это законом не запрещено. Другой вопрос — выполнение экспертизы.

И мне кажется, здесь тоже не совсем поняли, о какой экспертизе идет речь. Не говорится о выполнении сертификации со стороны ДСТСЗИ СБУ. Имеется в виду та программно-техническая экспертиза, проведение которой может назначить суд, если ему не хватит материалов для рассмотрения того или иного спора, где фигурируют электронные документы. Экспертизу будет проводить специалист (любой эксперт, не обязательно из СБУ), назначенный судом. К слову работа эксперта практически не оплачивается. Поэтому ни о каких дополнительных затратах истца или ответчика в споре не может быть и речи. Обеспокоенность банковского сектора я прекрасно понимаю — Нацбанк пока не выдал собственных нормативов под новые законы. Но это совершенно понятно — НБУ издаст их после того, как появятся подзаконные акты Кабмина, чтобы наши ведомственные нормативы не вошли в противоречие с подзаконными актами КМУ. Я бы не хотела обсуждать, что будет прописано в нормативных документах Национального банка. Но ясно, что все основные вопросы, связанные с использованием карточных технологий, международных платежных систем в этих нормативных документах будут отражены. И отражены на разумной основе. Никто не собирается заставлять банки сертифицировать международные системы в СБУ. Это же полный нонсенс.

Тем не менее, как выяснилось в ходе беседы, некоторые уже подготовленные проекты подзаконных нормативов весьма спорны.

Сергей ПИСАРЕВ, генеральный директор Международного центра информационных технологий

Сергей ПИСАРЕВ:

— Мы должны, на мой взгляд, исходить из того, «что уже есть», эволюционно двигаясь в направлении «как это может или должно быть».

Есть законы об электронной цифровой подписи и электронном документообороте.

На мой взгляд, первый закон достаточно прогрессивен и отражает суть текущего понимания и общественного восприятия проблемы. Отличается ли он от требований Европейской директивы? Мне кажется, что по букве — да, а по духу нет. Можно ли его улучшить? Вероятно. Давайте начнем что-либо делать, ведь огромная нагрузка — технологическая, организационная, юридическая — лежит в плоскости подзаконных актов и отсутствующих сегодня нормативов. Они в процессе создания. Можно ли на текущем этапе учесть все неизбежно возникающие проектные риски — собственно, риски разработки и дальнейшие риски применения или использования технологий? Сегодня только отчасти. Зададимся вопросом: «Чего мы хотим?»

Мы хотим, по большому счету, чтобы субъекты электронного документооборота надежно и с оцененными рисками взаимодейстовали друг с другом, создавая рычаги эффективности и конкуретных преимуществ нации: а) внутри державы, б) за ее пределами.

Результаты исполнения Европейской директивы странами-участниками, мягко говоря, скромные. Практическое использование рекомендаций, имеющих, кстати, обязательный характер, наблюдается лишь в банковском деле и в сфере e-government. И то в рамках национальных границ. Ни о каком межстрановом взаимодействии речь пока не идет. Спросим себя, почему. Потому, видимо, что задача нетривиальна — раз, и во многих случаях отдельные функции этой задачи могут быть реализованы явочным порядком, «де-факто» — два. Собственно, такую же ситуацию мы видим и в отношении банковских приложений в Украине. Если банки (и не банки) хотят и могут предоставлять те или иные сервисы с применением тех или иных средств защиты информации — они их предоставляют. Все ли здесь безупречно с точки зрения законодательства? Нет, и это надо подправить. Может быть, в рамках предлагаемого проекта закона «Об электронной коммерции», не дублируя смежные законы и не противореча положениям закона об ЭЦП.

В конце концов, обо всем можно и нужно договариваться.

Сейчас, например, мы ведем разработку, которая через несколько месяцев должна превратиться в первый в Украине аккредитованный центр сертификации открытых ключей. Приходится работать практически наугад — создание этого центра ведется параллельно с подготовкой подзаконных нормативов. Проблем — полон рот. Скажем, в соответствии с требованиями проекта подзаконного норматива, аккредитованный центр сертификации ключей для того, чтобы гарантировать определенные риски перед своими клиентами, должен внести страховой депозит в размере 100-кратной минимальной заработной платы. Вопрос: зачем? Потому, что так написано в немецком законе? Но у предприятия есть активы. Вот и формулируйте требования к уставному фонду и к ликвидности. Я же в серьезный бизнес пришел, а не мешок сахара украсть. Отвечать перед клиентами буду ликвидными активами. Видимо, надо менять норматив.

Одним словом, подход «сначала все просчитаю, а потом сделаю» не работает. Это процесс, когда многие вещи просчитывать приходится в том числе и по ходу пьесы.

К тому же, как выяснилось, многие проблемы заложены в самих законах. И тут что-либо изменить подзаконными нормативами уже не удастся.

Сергей БЕЛОВ:

— Наш закон о ЭЦП полностью противоречит положениям европейской директивы — расхождения наблюдаются, начиная с определения электронной подписи и заканчивая тем, что понимается под ее надежностью. В директиве сказано, что электронная цифровая подпись используется как метод аутентификации, в нашем законе — как идентификация. А это совершенно разные вещи. Наш усиленный сертификат, если следовать букве закона, и сертификатом, и документом-то по большому счету не является. Поскольку в законе нет требования о том, что сертификат должен быть подписан центром сертификации. Вот еще один интересный момент: согласно закону о ЭЦП предоставление услуг центрами сертификации не является лицензионной деятельностью.

Зато в соответствии с законом о лицензировании некоторых видов хозяйственной деятельности право эксплуатации криптографических средств, то есть использование электронно-цифровой подписи, подлежит лицензированию. Вот и получается — скажем, систему «клиент-банк» нигде не лицензируют, зато директор или бухгалтер предприятия, пользующиеся этой системой, должны получить лицензию на право проставлять свою электронную подпись. Теоретически законодательный нонсенс открывает широкие возможности для чиновничьих экспериментов. Поскольку криптография используется и в мобильной связи, и в банковских платежных картах, и в компьютерах, можно заставить всех пользователей получить соответствующую лицензию в департаменте СБУ.

Существует по крайней мере два пути исправления имеющейся законодательной казуистики — внести изменения в уже начавшие действовать законы или сосредоточить свои усилия на продвижении законопроекта об электронной коммерции (проект уже зарегистрирован в ВР). В последнем случае удастся убить сразу двух зайцев: урегулировать важные для бизнеса аспекты электронного документооборота, «выпавшие» из уже действующих «электронных» законов. И, в переходных положениях будущего закона, подправить некорректные статьи уже действующего норматива о ЭЦП. Пока для этого еще есть время. Ведь по мнению большинства собравшихся на «круглом столе» экспертов, конкретных шагов по внедрению в жизнь предусмотренных законами новаций, можно ожидать не ранее, чем через год.

Обсудить на форуме

Вверх

Версия для печати		Отправить почтой
Оценить статью		Ваш комментарий