E-БIЗНЕС. Банки: оцифровані й підписані

Олена ДЬОМIНА

На «круглому столі», який провели «Контракти», представники банківського сектора, контролюючих органів і комерційних підприємств обговорювали перспективи й ризики дії нових законів про електронний цифровий підпис та електронний документообіг.

НЕ ТІ ПРАВИЛА

Про необхідність прийняття «електронних» законів і експерти, i державні мужі, i підприємці говорили вже давно.

На рівні держави було необхідне законодавче врегулювання електронного документообігу, що розвивається.

А для бізнесу, зокрема, банківського сектора, відповідні нормативи мали створити основу для розвитку всіх можливих видів дистанційного обслуговування клієнтів. Інша справа — суть встановлених «правил гри»: як виявилося, банкіри й розробники нових законів дотримуються щодо цього протилежної думки.

Олексій ФАЛЬ, провідний науковий співробітник Інституту кібернетики (входив до робочої групи з розробки нових законів)

Олексій ФАЛЬ:

— Нові закони розроблялися з урахуванням вимог європейського законодавства. Зокрема, за основу проекту Закону «Про електронний цифровий підпис» було взято загальну концепцію відповідної Директиви Європейського Союзу (EU Digital Signature Directive). У результаті він вийшов доволі ліберальним з погляду реалізації можливих схем організації ЕЦП. Водночас документ чітко визначає вимоги до суб’єктів правових відносин у цій сфері. При підготовці законопроекту, як і в європейській директиві, основну увагу приділили питанням прирівнювання електронного підпису до власноручного (особистого), а також регламентуванню роботи організаційно-технічного апарату, який дає змогу застосовувати технологію ЕЦП. Крім того, було встановлено межі функціонування цього апарату й визначено права та обов’язки суб’єктів сфери ЕЦП.

Олександр КАРПОВ, директор Української міжбанківської Асоціації членів Europay International

Олександр КАРПОВ:

— В ухвалених законах є певний перекіс у бік технологій. Безумовно, технології мають бути одним з головних складників цих документів. Але коли на рівні законів робиться спроба монополізувати ту чи іншу технологію, зробити її ключовою — це неприпустимо (якщо йдеться про розв’язання проблем електронного документообігу не лише на рівні держави, а й у бізнес-середовищі). Бізнесу мали надати право самостійно обирати зручні схеми роботи. Замість цього зі сфери регулювання нових законів «випали» технології, які банки використовують нині.

Євген ПЛОТИЦЯ, заступник директора Департаменту роздрібного бізнесу АПП банку «Аваль»

Євген ПЛОТИЦЯ:

— Справді, закон не забороняє використовувати інші банківські інструменти, проте й не прирівнює їх до законодавчо визнаних технологій. До аналога власноручного підпису закон прираховує лише електронно-цифровий підпис, підтверджений посиленим сертифікатом. Усе інше підписом не вважається. Наприклад, ваш пін-код на банківській картці або інші інструменти, в яких не використовується ЕЦП з посиленим сертифікатом. Скажімо, якщо користувач зробив транзакцію через термінал (наприклад, зняв гроші зі своєї картки) — документ, який надходить до процесингового центру, за нашим законодавством не вважається електронним документом, бо він належним чином не підписаний.

Сергій БЄЛОВ, начальник відділу інформаційної безпеки всеукраїнського АБ «ВАБанк»

Сергій БЄЛОВ:

— Наслідки застосування положень цього Закону дуже прості — якщо у вас є якийсь документ, приміром, з прикріпленим до нього «мак-кодом», то у разі виникнення суперечки суд на свій розсуд вирішуватиме — чи приймати його як доказ чи ні. І тут замість розгляду конкретної справи суди вимушені будуть вислухувати думки експертів. Причому «розбір польотів» може починатися з найвищого рівня — як у банку організовано документообіг, чим і як підтверджуються ті чи інші угоди. І закінчуватиметься на рівні обговорення технологій — як саме в банку це реалізовано. Зрозуміло, такі суперечки можуть тривати довго. Єдина сторона, яка від цього виграє — юристи, які обслуговують такі судові розгляди.

Олександр КАРПОВ:

— Варто готуватися й до того, що рішення судів за цими категоріями суперечок будуть не завжди коректні. Ось вам проста аналогія: стаття, що встановлює покарання за «карткові» злочини, з’явилася в нашому Кримінальному кодексі ще 2002 року. Відтоді суди не можуть розібратися навіть з цією доволі простою статтею. А ми говоримо про технологію, функціонування якої наразі здатні чітко собі уявити не всі фахівці, не кажучи вже про суддівський корпус.

Проте банкірів лякають не лише ймовірні проблеми судового розгляду можливих суперечок, в яких фігуруватимуть електронні документи — навряд чи таких справ буде багато. Фінансисти прогнозують, що передбачувані витрати на впровадження законодавчих новацій можуть бути невиправдано високими, а в деяких випадках — ще й некорисними.

Євген ПЛОТИЦЯ:

— Питання в тому, чи доцільно вводити однакові правила захисту для всіх банківських інструментів. Скажімо, якщо йдеться про інтербанківські фінансові телекомунікації, такі як S.W.I.F.T. — можливо, це того варте. Там ходять великі суми. І якщо хтось якимось чином добереться до цієї системи, банкам може бути завдано колосальних збитків. Відповідно у захист цього інструмента варто вкладати великі інвестиції. А от якщо ми говоримо про роботу системи «банк-клієнт», ситуація протилежна. Там «ходять» значно менші суми. До того ж врахуйте й те, що система «банк—клієнт» не завжди дозволяє клієнту керувати грішми як у реальному світі, тобто до певної суми, зазначеної у «платіжці», ви можете користуватися системою, вище — підтвердьте її паперовим документом. І зазвичай банки страхують ризики, пов’язані з роботою системи. Тож у цьому разі великі вкладення в захист цього фінансового інструмента не виправдані.

Аналогічна ситуація й з банківськими платіжними картками. Банки вважають, що емісія «чіпових» карток, за сьогоднішніх цін на них, вища за вартістю, ніж втрата від можливих ризиків. Запитання: чи варто город городити, запроваджуючи спеціальний захист, якщо при цьому захищається набагато менше грошей, ніж коштує сама «захисна» система? До того ж зараз банки покладаються не лише на технологію захисту карток. Є спеціальні підрозділи, які в режимі «он-лайн» проводять моніторинг усіх операцій клієнтів, відстежуючи ймовірні відхилення. Якщо, наприклад, клієнт робить нестандартну купівлю, ми одразу намагаємося з ним зв’язатися. І ось витрати, скажімо, на менш дорогу технологію й витрати на моніторинг дають нам змогу досягти більшої ефективності й більше заробити грошей, ніж у разі впровадження «дорогих» технологій, передбачених новими законами.

Зрозуміло, впровадження нових технологій захисту, зрештою, ляже додатковим фінансовим тягарем на споживачів банківських послуг. Крім того, клієнтам банків доведеться розбиратися з новими технологіями: освоювати застосування відкритих і закритих ключів, які використовуються при проставлянні електронного цифрового підпису, й інші новації. А подужати їх під силу хіба що спеціально підготовленому контингенту. Проте, говорячи про тотальну «технологізацію» банківських продуктів, фінансисти трохи перебільшують. Адже закон не містить безпосередньої вказівки впроваджувати нові технології геть на все.

Олексій ФАЛЬ:

— Саме електронний підпис є юридичним еквівалентом особистого підпису. А цифровий підпис — це криптографічний механізм, який застосовують для вирішення різноманітних завдань, пов’язаних із доступом до об’єкта. Інакше кажучи, для аутентификації користувача. І спершу він не призначався для того, щоб стати еквівалентом «ручного» підпису. Його можна застосовувати в банківській сфері, скажімо, в таких системах, як «клієнт—банк» або для подачі податкової звітності в електронному вигляді. Причому не завжди ЕЦП використовується як юридичний підпис. Електронний цифровий підпис лише допомагає зберегти цілісність документа і аутентифікувати відправника.

ВIД РЕДАКЦIЇ

Утім, не варто виключати й того, що в підзаконних нормативах держава може запровадити обов’язковість електронного підпису на всіх е-документах. Адже були спроби захистити всі продукти й товари за допомогою тотальної «голограмізації». І тоді у банкірів виникне не тільки потреба віднайти додатковий фінансовий ресурс для впровадження нових захисних технологій, але й будуть змушені якось вирішувати проблеми, які виникнуть із зарубіжними партнерами.

Сергій БЄЛОВ:

— Сьогодні майже всі банки користуються технологіями, які розроблялися на Заході й прийшли до нас звідти — та сама система S. W. I. F. Т., банківські платіжні картки тощо. При цьому нові закони визнають надійним тільки той засіб, який відповідає українським технічним стандартам. Адже цілком очевидно, що жодна світова платіжна система не захоче впроваджувати наші стандарти — вони мають свої. Для багатьох технологій підпис якщо й передбачено, то в тому стандарті, який підтримує та система, а не українська. І переробляти свою систему ніхто не буде. Отже, ми своїм партнерам не довіряємо? Крім того, випадає низка моментів, пов’язаних з електронною торгівлею, де взаємодія не завжди супроводжується укладенням договорів, як, наприклад, у разі купівлі товарів.

Далі. Приміром, у нас розробляються певні системи. Кожна організація-розробник це робитиме по-своєму. У результаті ці системи одна з одною жодним чином не взаємодіють. Вони часто навіть «не розуміють» одна одну. Я вже не кажу про те, щоб «розуміти» той-таки західний цифровий підпис, який, наприклад, реалізовано у Microsoft. У цій ситуації ми потрапили в дуже цікаву «вилку»: з одного боку, банки працюють нині з певною системою, яка не відповідає ні чинному закону, ні сертифікатам — у неї є тільки деяка технічна реалізація, яка дістала висновок Департаменту спеціальних телекомунікаційних систем захисту інформації СБУ. З іншого боку — банки зацікавлені, щоб електронні документи все-таки однозначно визнавалися з підписами уповноважених осіб, і вимушені будуть приводити їх у відповідність до вимог закону. А це означає заміну майже всіх діючих систем. Ми витратимо на це величезні кошти. А в результаті вийде, що ці системи не підходять для міжнародної торгівлі та е-комерції. Якби цей закон стосувався тільки роботи держорганів, де є особливі вимоги до захисту інформації (державної), — претензій було б значно менше.

Мабуть, деякі побоювання банкірів розсіються (а може, й справдяться), коли буде підготовлено всі потрібні підзаконні нормативи. Адже, як визнають розробники нових законів, вони за своєю суттю — рамкові. Конкретні правила роботи з електронними документами визначатимуть уряд і галузеві відомства.

Олексій СКИБА, заступник начальника Департаменту спеціальних телекомунікаційних систем і захисту інформації СБУ

Олексій СКИБА:

— Нині вже треба діяти, а не обговорювати переваги та вади нових законів. Передусім треба видати приблизно 8 підзаконних актів на рівні постанов КМУ. Уряд дав відповідне доручення Мінекономіки, СБУ, Держкомзв’язку та іншим міністерствам і відомствам підготувати проекти таких нормативів. Скажімо, нашим департаментом розроблено проект нормативного акту, що визначає вимоги до акредитованого центру сертифікації ключів і порядку акредитації центру. Документ подано до Мін’юсту на юридичну експертизу.

Ірина ІВЧЕНКО,
начальник управління захисту інформації департаменту інформатизації НБУ:

— Закони про електронний цифровий підпис і електронний документообіг, ймовірно, неуважно були прочитані опонентами. Вони не побачили ті переваги, які закладено в документах, наприклад, порівняно з аналогічними російськими законами. Наші закони справді належать до розряду дуже демократичних і дають змогу всім, хто використовує електронний документообіг або ЕЦП у своєму бізнесі, вибрати будь-який з підходів захисту інформації, який не заборонено цими законами. А законами дозволено все. Скажімо, можна застосовувати зліпок власноручного підпису або взагалі не використати сертифікати ключів, працювати без сертифікатів, не обов’язково працювати з посиленими сертифікатами.

Чітко прописано, що можна працювати й на несертифікованих спеціальним департаментом СБУ засобах захисту. Водночас у законах існують жорсткі обмеження для державних підприємств. Там обов’язковим є акредитований центр сертифікації ключів, посилений сертифікат, обов’язкове використання сертифікованих засобів. Оскільки підпис на державних паперах ні в кого не повинен викликати сумнівів. А комерційні структури можуть використати засоби захисту за домовленістю зі своїми партнерами. Хочуть вони використати міжнародні центри сертифікації ключів? — будь ласка, це законом не заборонено. Інше питання — виконання експертизи.

І мені здається, тут також не зовсім зрозуміли, про яку експертизу йдеться. Не йдеться про виконання сертифікації з боку ДСТСЗІ СБУ. Мається на увазі та програмно-технічна експертиза, проведення якої може призначити суд, якщо йому не вистачить матеріалів для розгляду тієї чи іншої справи, де фігурують електронні документи. Експертизу робитиме фахівець (будь-який експерт, не обов’язково із СБУ), призначений судом. До речі, робота експерта майже не оплачується. Тому ні про які додаткові витрати позивача або відповідача у спорі не може бути й мови. Занепокоєння банківського сектора я чудово розумію — Нацбанк поки що не видав власних нормативів під нові закони.

Але це цілком зрозуміло — НБУ видасть їх після того, як з’являться підзаконні акти Кабміну, щоб наші відомчі нормативи не суперечили підзаконним актам КМУ. Я б не хотіла обговорювати те, що буде прописано в нормативних документах Національного банку. Але зрозуміло, що всі основні питання, пов’язані з використанням карткових технологій, міжнародних платіжних систем у цих нормативних документах буде відображено. І відображено на розумних засадах. Ніхто не має наміру примушувати банки сертифікувати міжнародні системи в СБУ. Це ж нонсенс.

Утім, як з’ясувалося впродовж бесіди, деякі вже підготовлені проекти підзаконних нормативів доволі спірні.

Сергій ПИСАРЄВ, генеральний директор Міжнародного центру інформаційних технологій

Сергій ПИСАРЄВ:

— Ми повинні, на мою думку, виходити з того, «що вже є», еволюційно рухаючись у напрямі: «як це може або яким повинно бути». Є закони про електронний цифровий підпис та електронний документообіг. На мою думку, перший закон досить прогресивний і відображає суть поточного розуміння та суспільного сприйняття проблеми. Чи відрізняється він від вимог Європейської директиви? Мені здається, що за буквою — так, а за духом — ні. Чи можна його поліпшити? Можливо. Почнімо щось робити, адже величезне навантаження — технологічне, організаційне, юридичне — лежить у площині підзаконних актів і відсутніх сьогодні нормативів. Вони в процесі створення. Чи можна на нинішньому етапі врахувати всі неминучі проектні ризики — власне, ризики розробки й подальші ризики застосування або використання технологій? Сьогодні тільки частково. Запитаймо: «Чого ми хочемо?»

Ми хочемо, врешті-решт, щоб суб’єкти електронного документообігу надійно й з оціненими ризиками взаємодіяли одне з одним, створюючи важелі ефективності та конкурентних переваг нації: а) всередині держави, б) за її межами.

Результати виконання Європейської директиви країнами-учасниками щонайменше скромні. На практиці рекомендації, які мають, до речі, обов’язковий характер, використовують лише в банківській справі й у сфері

e-government. Та й то в межах національних кордонів. Про жодну міжкраїнну взаємодію наразі не йдеться. Спитаймо себе, чому. Тому, мабуть, що завдання нетривіальне — це по-перше, і в багатьох випадках окремі функції цього завдання можуть бути реалізовані «де-факто» — це по-друге. Власне, таку саму ситуацію ми бачимо й щодо банківських додатків в Україні. Якщо банки (і не тільки банки) хочуть і можуть надавати ті чи інші сервіси із застосуванням певних засобів захисту інформації, — вони їх надають. Чи все тут бездоганно з погляду законодавства? Ні, й це треба підправити. Можливо, у межах пропонованого проекту Закону «Про електронну комерцію», не дублюючи суміжні закони й без суперечностей із положенням закону про ЕЦП.

Зрештою, про все можна й треба домовлятися.

Нині, наприклад, ми ведемо розробку, яка за кілька місяців має перетворитися на перший в Україні акредитований центр сертифікації відкритих ключів. Доводиться працювати майже наздогад — створення цього центра ведеться паралельно з підготовкою підзаконних нормативів. Проблем удосталь. Скажімо, відповідно до вимог проекту підзаконного нормативу, акредитований центр сертифікації ключів, аби гарантувати певні ризики перед своїми клієнтами, мусить внести страховий депозит у розмірі 100-разової мінімальної заробітної плати. Запитаєте: навіщо? Бо так написано в німецькому законі? Але у підприємства є активи. От і формулюйте вимоги до статутного фонду й до ліквідності. Я ж у серйозний бізнес прийшов, а не мішок цукру вкрасти. Відповідатиму перед клієнтами ліквідними активами. Ймовірно, треба міняти норматив.

Одне слово, підхід «спершу все прорахую, а потім зроблю» не працює. Це процес, коли багато чого прораховувати доводиться, зокрема й по ходу п’єси.

До того ж, як з’ясувалося, багато проблем закладено в самих законах. І тут щось змінити підзаконними нормативами вже не вдасться.

Сергій БЄЛОВ:

— Наш закон про ЕЦП повністю суперечить положенням європейської директиви — розходження спостерігаються, починаючи з визначення електронного підпису й закінчуючи тим, що розуміти під його надійністю. У директиві сказано, що електронний цифровий підпис використовується як метод аутентификації, в нашому законі — як ідентифікація. А це різні речі. Наш посилений сертифікат, якщо дотримуватися букви закону, і сертифікатом, і документом за великим рахунком не назвеш. Оскільки в законі немає вимоги про те, що сертифікат повинен бути підписаний центром сертифікації. Ще один цікавий момент: згідно із законом про ЕЦП, надання послуг центрами сертифікації не є ліцензійною діяльністю. Однак, згідно із законом про ліцензування деяких видів господарської діяльності, право експлуатації криптографічних засобів, тобто використання електронно-цифрового підпису підлягає ліцензуванню. Ось і виходить — скажімо, систему «клієнт—банк» ніде не ліцензують, натомість директор або бухгалтер підприємства, яке використовує цю систему, мають отримати ліцензію на право ставити свій електронний підпис. Теоретично законодавчий нонсенс відкриває широкі можливості для чиновницьких експериментів. Оскільки криптографія використовується і в мобільному зв’язку, і в банківських платіжних картах, і в комп’ютерах, можна примусити всіх користувачів отримати відповідну ліцензію в департаменті СБУ.

Є принаймні два шляхи виправити наявну законодавчу казуїстику — внести зміни в чинні закони або зосередити зусилля на просуванні законопроекту про електронну комерцію (проект уже зареєстровано у ВР). В останньому випадку вдасться вбити одразу двох зайців: врегулювати важливі для бізнесу аспекти електронного документообігу, що «випали» з уже чинних «електронних» законів. І в перехідних положеннях майбутнього закону підправити некоректні статті вже чинного нормативу про ЕЦП. Поки що для цього є час. Адже, на думку більшості експертів, які зібралися на «круглому столі», конкретних кроків із впровадження в практику передбачених законами новацій можна чекати не раніше, ніж за рік.

Обговорити на форумi

На початок

Версія для друку		Відправити поштою
Оцiнити статтю		Ваш коментар