«Электронный автограф» – не антиквариат
Игорь ГВОЗДЕВ (Банк России)
начальник Главного центра ключевой информации
Главного управления безопасности и защиты информации
Перегруженность правовых норм техническими подробностями ограничивает применение новых платежных технологий
Информационная защита электронных платежей, а значит, и банковское дело, и рыночная экономика, в наши дни были бы невозможны без электронной подписи (ЭП), которая является техническим средством не только идентификации участников расчётов, но и информационной защиты. Ведь открытая информационная среда в условиях рынка наполнена субъектами с противоположными интересами, а потому зачастую является недружественной и даже враждебной.
ОТКРЫТАЯ, ДА ВРАЖДЕБНАЯ
Перевод банковского дела на защищённые электронные платежи стал жизненно важной необходимостью в начале 1990-х годов. Это были времена перехода к рыночной экономике и приватизации, в частности – в банковской деятельности. Без решения ряда проблем, в том числе в банковской сфере, не удалось бы преодолеть глубокий социально-экономический кризис. С какими проблемами столкнулись банки?
Первой проблемой стало стремительное увеличение количества транзакций, их участников, в том числе из-за появления многозвенных посреднических цепочек. С одной стороны, «география» сократилась с территории всего СССР до границ Российской Федерации, а радикальные рыночные реформы сопровождалась катастрофическим разрушением хозяйственных связей и резким падением объёмов производства. Но, с другой стороны, появление кооперативов, других субъектов предпринимательской деятельности, в том числе финансовых структур и коммерческих банков, существенно увеличило количество участников расчётов.
Вторая проблема заключалась в том, что финансовая сфера из полностью государственной, «закрытой», образно употребляя термин программистов – «доверенной» среды, превратилась в открытую, публичную, к тому же высоко криминализованную. Участникам «дикого рынка» порой не только не хватало компетенции, часто их интересы не совпадали, оказывались противоположными.
Напомним, что в СССР главным средством расчётов служили безналичные деньги. Красть их, а потом превращать в наличные было нелегко и опасно, а потратить удавалось разве что на роскошную жизнь, по нынешним меркам, весьма скромную. С переходом к рынку деньги как средство расчётов стали всеобщим эквивалентом, с помощью которого стало возможно приобрести всё или почти всё, включая бизнес и власть. Таким образом, деньги стали куда как более желанным объектом для преступников, к тому же в условиях быстрой криминализации общества.
ПРОТИВОВЕСЫ ИЗДЕРЖКАМ
Решения о рыночных реформах, в том числе в финансовой и банковской сферах, продвигались политически. Однако некоторые неизбежно встающие проблемы не прогнозировались, меры по заблаговременной нейтрализации угроз не были предусмотрены. Возможно, присутствовали надежды, что рынок «сам всё урегулирует» или придёт помощь извне, которые не оправдались. В результате проблемы, казалось бы, чисто технические, стали факторами усиления социально-экономического кризиса начала 1990-х годов.
Сразу же вслед за началом «шоковой терапии» приобрели массовый характер повсеместные задержки платежей. Критически нарастали взаимные задолженности юридических лиц, сумма которых в считанные недели, к июню 1992 года достигла 2 – 2,5 трлн рублей, что было сравнимо с доходной частью федерального бюджета. Ситуацию усугубляли крупные аферы с фальшивыми авизо, к тому же имевшие коррупционную окрашенность. Стремительно росли долги по заработной плате, налоговым платежам в бюджет, из-за финансовых проблем возникла угроза остановки предприятий электроэнергетики, водоснабжения и транспорта.
Проявить инициативу решения назревших проблем, выступить источником технологий и двигателем преобразований банковского дела довелось отраслевому регулятору – Банку России. Что не случайно, учитывая роль финансов в рыночной экономике, банков – в финансовой системе и место среди них Банка России. Специалистам Банка России удалось правильно оценить характер и масштаб угроз. Организационно-техническим решением стало создание современной системы быстрых, надежных и защищённых электронных расчётов, обеспеченной нормативно-правовой базой и межведомственными соглашениями.
Следует отметить, что технические решения проблем перевода финансовой сферы на рыночные «рельсы» уже существовали. Усложнение структуры расчётов, увеличение количества их контрагентов и посредников можно было компенсировать посредством электронных расчётов – компьютеризацией, переходом на электронный документооборот и высокоскоростные телекоммуникации. Угроза преступных посягательств, связанная с качественным повышением роли денег и высокой криминализацией общества, могла быть нейтрализована путем комплексного применения мер, мероприятий и средств, в том числе криптографических.
РАССЧИТЫВАЕМСЯ МОЛНИЕНОСНО
Эксперимент с электронными платежами в Банке России был начат в 1992 году с участием главных управлений по Волгоградской, Свердловской ( г. Екатеринбург) и Пермской областям. В 1993 году эксперимент был расширен до 8 территориальных подразделений Банка России – подключились Ижевск, Курган, Самара, Тюмень и Челябинск. Опытным полигоном организации электронных расчетов внутри регионов стали несколько подразделений. В первую очередь – Белгородское главное управление, по той причине, что оно прежде обслуживалось по линии Госбанка СССР расчетно-вычислительным центром в Харькове, а после превращения России и Украины в независимые государства там пришлось создавать собственную систему расчётов.
Система межрегиональных электронных расчетов Банка России была поставлена на регулярную основу в мае 1995 года и быстро, динамично расширялась, охватывая все новые регионы. В сентябре 1995 года к ней было подключено ещё 13 регионов, включая Москву, общее количество участников достигло 18. В 1996 году электронные платежи проводились уже в 45 регионах, в 1997-м – региональные в 59-и и межрегиональные в 52-х, в 1998-м, соответственно, в 72-х и в 65-и, а к концу 1999-го – в 75-и и в 72-х. Уже более половины межбанковских расчётов в системе Банка России совершались в электронной форме. Вслед за этим на электронные платежи также стало переходить всё больше коммерческих банков.
Безопасность электронных платежей обеспечивалась комплексом организационных мер технологической защиты процессов создания, обработки и проводки электронных платежных документов, а также используемых помещений, аппаратных средств и телекоммуникационных каналов. Частью ресурсов для этого Банк России располагал, компьютерные системы можно было найти в гражданском секторе экономики. Но технические средства информационной защиты, аппаратные и программные, равно как и специалистов по их разработке и применению, в то время можно было найти только в спецслужбах – военных или обеспечивающих государственную безопасность.
КОНВЕРСИЯ СПЕЦСВЯЗИ
Наиболее известные примеры защищённой связи – шифрованная телеграфная связь и телефонная ВЧ-связь ОГПУ – НКВД – МГБ – КГБ – ФАПСИ. В популярных литературных отечественных произведениях «про разведчиков и шпионов» упоминаются «шифровки» и «записки по ВЧ», которые играли важную роль при принятии государственных решений. Начало практического применения СКЗИ «для гражданских нужд», в экономическом и прежде всего банковском секторе, приходится на время перехода к рынку – 1992–1993 годы. Первые криптографические средства и требования по их защите были заимствованы у разработчиков – производителей для спецслужб.
В разработке первых «конверсионных» СЗКИ принимали участие Московское отделение Пензенского научно-исследовательского электротехнического института, НПФ «Кристалл», фирмы «Инфокрипт», «АНКАД», «Анкей», криптографические ключи изготавливались специалистами ФАПСИ. Росло и предложение на рынке сертифицированных программных, аппаратных и программно-аппаратных криптографических средств, а также количество отечественных специализированных организаций-производителей.
Информационная защита банковских платежей требовала неотложного начала межведомственного взаимодействия по ряду вопросов. В 1993 году Банк России обратился в ФАПСИ с просьбой оказать содействие обеспечению информационной защиты платежей, чтобы прекратить поток фальшивых авизо. Помощь была оказана, для шифрования данных контрольных полей авизо были адаптированы персональные электронные кодирующие устройства. Поскольку расчётно-кассовых центров в то время было много, больше тысячи, была создана единая база ключей кодировок.
Пришлось проводить «конверсию» криптографических спецсредств. В государственных органах для создания доверенной среды – подтверждения подлинности информации и установления ее источника – было вполне достаточно средств шифрования, использующих традиционные симметричные ключи. В открытых информационных системах, публичных и тем более рыночных, создание защищенной доверенной среды невозможно по целому ряду причин.
ЭВОЛЮЦИЯ КРИПТОЗАЩИТЫ
Для защиты платежной информации потребовались средства криптографической защиты (СКЗИ) с так называемым открытым распределением ключа (PKI). Именно банковская сфера с 1993 года стала одной из главных площадок использования средств, реализующих для подтверждения целостности и достоверности электронных сообщений алгоритм электронной цифровой подписи с открытым распределением ключей.
Межведомственное взаимодействие в ходе «конверсии криптографии» для создания защищённой системы банковских электронных платежей развивалось поэтапно. Указом Президента РФ № 334 от 03 апреля 1995 года в Российской Федерации было запрещено использование средств криптографической защиты, не сертифицированных ФАПСИ. С февраля 1995 года, по совместному решению Банка России и ФАПСИ, информационная защита межрегиональных электронных платежей начала осуществляться при помощи СЗКИ «Маскарад». Оно использовалось более 6 лет, в течение всего периода становления системы электронных расчётов.
По рекомендации ФАПСИ в мае 1996 года Банком России в разных территориальных учреждениях были приняты в эксплуатацию СКЗИ «Янтарь», «Верба» и «Титан». Для защиты связи использовались криптографические средства нескольких модификаций: на базе платы «Крип-тон-3», СКЗИ «МАГ» и «Гюрза», в нескольких регионах – СКЗИ собственной разработки. В декабре 2001 года на смену «Маскараду» пришло СКЗИ «Криптоменеджер-М». Банк России начал самостоятельно изготавливать криптографические ключи – ЭЦП, так и шифрования.
Опыт внедрения и эксплуатации рекомендуемых ФАПСИ средств проявил оборотную сторону их достоинств. Они являлись универсальными средствами защиты информации в системах передачи данных, без учёта особенностей банковских технологий. Функции шифрования и подписания электронных документов были так или иначе совмещены, что накладывало ограничения на обработку платежных документов.
Для защиты данных при проведении электронных платежей это приемлемо, но банкам, в том числе Банку России, необходима была техническая возможность не «транспортной», а «бухгалтерской» подписи. Которая подтверждала бы подлинность и целостность – авторство и достоверность любого электронного платежного документа, на всем протяжении его«жизненного цикла», обработки в банковской системе.
НА РАДОСТЬ БУХГАЛТЕРУ
Техническое решение электронной формы «бухгалтерской подписи» – ЭЦП, не связанная ни с операционными средами, ни с телекоммуникационными системами, ни с технологиями создания, обработки и проводки платёжных документов. Это неотъемлемый элемент технологической защиты электронных платежных документов, позволяющий ещё и определять автора. В таком качестве ЭЦП востребована системами электронных межбанковских расчётов, в том числе для обслуживания клиентов, банков и филиалов, для аутентификации платежных документов.
Только сверка реквизитов пересылаемых электронных документов позволяет контролировать и проверять подлинность платежей клиентов в системе межрегиональных электронных расчётов. Эта процедура, обязательная для абонентских средств передачи данных и СКЗИ, ранее не учитывалась разработчиками. Поэтому создание технических средств реализации такой ЭЦП должно было осуществляться по техническому заданию, разработанному специалистами Банка России, и сертифицироваться с учетом применения в банковских технологиях.
В декабре 2004 года на смену «Криптоменеджеру-М» пришло более современное сертифицированное средство, разработанное уже по заданию Банка России. К середине 2007 года в платежных системах Банка России почти все СКЗИ заменили системой криптографической авторизации электронных документов (СКАД) «Сигнатура», разработанной ООО «Валидата», и полностью перешли на самообеспечение криптографическими ключами. Для управления ключевыми системами был развернут Комплекс доставки ключевой информации, включающий абонентские пункты со встроенной «Сигнатурой».
Следует отметить, что «Сигнатура» в Банке России используется не только как самостоятельный продукт, но и в составе готовых сертифицированных систем «под ключ». Версия криптосервера «Янтарь-АСБР», предназначенного для коллективных центров обработки информации, работает под управлением ОС IBMz/OS. Много вопросов, связанных с управлением ключевой системой СКЗИ, было решено в процессе создания системы валовых расчетов в режиме реального времени (БЭСП) и перехода на одноуровневую схему обработки платежей, поступающих от кредитных организаций в коллективные центры обработки информации (КЦОИ) Банка России.
ОТ БАНКОВСКОГО СТАНДАРТА К ГОСТУ
Развитие технической основы сопровождалось разработкой и совершенствованием юридической базы, стандартов и нормативных документов Банка России, регламентирующих обмен банковской информацией в электронном виде. Банк России стал одной из первых организаций, начавших в 1993 году работу с электронной цифровой подписью. В то время государственного стандарта на электронную подпись не было, и с участием специалистов из структур госбезопасности был разработан собственный стандарт.
За основу взяли алгоритм электронной подписи, использовавшийся на Западе, который «русифицировали». Что отразилось в названии: международный термин digitalsignature, который буквально переводится с английского языка как «цифровая подпись», дополнили прилагательным «электронная». Принятый 10 января 2002 года Закон № 1-ФЗ назывался «Об электронной цифровой подписи», а пришедший ему на смену № 63-ФЗ от 6 апреля 2011 года – уже просто «Об электронной подписи».
Банковский стандарт был создан не «для служебного пользования», а с открытым алгоритмом PKI, без грифа секретности, для использования без специального запроса под конкретную задачу. Годом позднее был принят ГОСТ Р34.10-94, государственный стандарт на алгоритм процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического ключа.
Банк России перешел на работу с ЭЦП, отвечающей требованиям ГОСТа, в соответствии с которым стали производиться и СКЗИ. В 1997 году появились первые нормативные требования по защите платёжных технологий, место и роль ЭЦП в платежных системах были определены этим нормативным документом.
ПО ПРАВУ ИНФОРМАТИЗАЦИИ
Разработка нормативных документов Банка России велась на базе действующего законодательства. С правовой точки зрения использование ЭЦП для подтверждения юридической силы документооборота при работе с информацией в электронном виде допускалась ст. 160 Гражданского кодекса РФ, а также ст. 5 Федерального закона № 24-ФЗ от 20 февраля 1995 года «Об информации, информатизации и защите информации».
Основанием для использования кодов аутентификации при проведении банковских операций в электронном виде является Гражданский кодекс РФ. В п. 3 ст. 847 (ч. 2, раздел IV. § 3, гл. 45) об «удостоверении права распоряжения денежными средствами, находящимися на счёте», сказано: «Договором может быть предусмотрено удостоверение права распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (п. 2 ст. 160), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом». Работа системы электронных расчётов, подтвержденных ЭЦП, определялась нормативными документами Банка России: положениями № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчётов через расчетную сеть Банка России» и № 36-П «О межрегиональных электронных расчётах». Информационная защита регламентировалась «Временными требованиями по обеспечению безопасности технологий электронных платёжных документов в системе Центрального банка Российской Федерации» № 60.
ДОГОВОР ДОРОЖЕ ДЕНЕГ
С каждым клиентом, кредитной организацией заключался «Договор об обмене электронными документами при осуществлении расчётов через расчётную сеть Банка России». Договор включал общие принципы и условия обмена электронными документами с использованием ЭЦП, их форматы, регламент обмена, порядок разрешения разногласий, порядок управления ключевой системой и обеспечения информационной безопасности.
Принципиальны следующие положения договора:
· изменения, внесенные в электронный документ после подписания ЭЦП, влекут отрицательный результат проверки;
· подделка подписи невозможна без использования секретного ключа её владельца;
· каждая сторона ответственна за сохранность своих секретных ключей и действия своего персонала.
Примечательно, что положительный опыт применения ЭЦП в электронных расчётах был распространен Банком России на получение отчетности кредитных организаций. 30 июня 2000 года вышло Указание Банка России № 812-У «О порядке предоставления кредитными организациями в Банк России в электронном виде отчётности, заверенной электронной цифровой подписью».
Развитие IT-инфраструктуры, в том числе ведущийся в настоящее время переход на централизованную обработку отчётности, требует соответствующих изменений нормативной базы. Получается, что заключение договора, регистрация и сертификация ключа происходят в регионе, а обрабатывающие центры располагаются в Москве, Нижнем Новгороде. Нарушения порядка предоставления отчётности являются серьёзными последствиями, грозят отзывом лицензии, для разбора спорных ситуаций создаются call-центры, служба поддержки. В соответствие с новыми реалиями будет приводиться и нормативная база.
ПЕРВАЯ ПОПЫТКА
Эксплуатация и управление ключевыми системами СКЗИ в информационно-телекоммуникационных системах Банка России обеспечивает безопасность не только электронных платежей, служебной переписки и сбора статистической отчетности. Также защищается информационный обмен кредитных организаций с Росфинмониторингом, Федеральной налоговой службой, Федеральным казначейством, Пенсионным фондом, Фондом социального страхования, Федеральной таможенной службой, Агентством по страхованию вкладов и Центральным каталогом кредитных историй.
Опыт использования Банком России ЭЦП в электронных расчётах, для получения отчётности кредитных организаций и обмена электронными документами с федеральными органами власти оказался приемлем для его применения негосударственными структурами в замкнутых электронных технологиях, локальных или корпоративных сетях.
Однако для подтверждения юридической силы не определённого договорными отношениями электронного документооборота в государственных органах между ними и другими структурами, а также в открытых сетях потребовалось расширить законодательную базу применения ЭП. Эту задачу был призван решить Федеральный закон № 1-ФЗ «Об электронной цифровой подписи», принятый 10 января 2002 года, в разработке которого участвовали специалисты Банка России.
Закон определял условия использования ЭЦП, в том числе применительно к государственному управлению и к корпоративным информационным системам. Но его принятие внесло определенную сумятицу в работу давно отлаженного механизма. Даже специалисты не всегда могли четко определиться, в юридическом или техническом значении используются понятия и определения электронной цифровой подписи, её средств, их сертификатов.
Известно, что возможности использования средств ЭЦП куда шире, чем определенного законом «аналога собственноручной подписи». Её криптографические средства можно применять не только для защиты информации – контроля целостности и подтверждения подлинности электронных сообщений, но и для аутентификации пользователей в различных системах доступа.
ЗАКОН-ТО НОВЫЙ, ДА ПРОБЛЕМЫ СТАРЫЕ
Новый Федеральный закон № 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года продвинулся дальше. Электронная подпись, средства которой могут на серверах автоматизированных систем использоваться в автоматическом режиме, больше не «равнозначна собственноручной», которая неотчуждаема от физического лица.
Сделан верный переход к определению ЭП как «формы представления» автографа, по аналогии с электронными мультимедиа – цифровым копиям фото или видео, которые неравнозначны подлинникам. Другой безусловный плюс нового закона – ключ электронная подпись может принадлежать юридическому лицу, служить своего рода «электронной печатью». Это существенная препона целому ряду известных мошеннических схем.
К сожалению, в ходе разработки и старого закона об ЭЦП, и нового об ЭП, в должной мере не были учтены замечания экспертов – сотрудников Банка России. Один из неизбежных минусов, снижающих возможности правоприменительной практики закона «Об электронной подписи», – недостаточная юридическая определённость понятий электронных документа и документооборота. В отличие от бумажного документооборота, электронный чётко не определён ни федеральным законом, ни государственными стандартами.
Далее, следовало более внимательно учитывать международное право в области ЭП. Прежде всего, законы, рекомендуемые Комиссией ООН по праву международной торговли (ЮНСИТРАЛ, от англ. UNCITRAL – UnitedNationsCommissiononInternationalTradeLaw). Эта организация уже более 20 лет разрабатывает базовые, типовые законы и правила их применения в странах-членах ВТО, в которую Россия вступает уже 17 лет. Были приняты международные законы об электронной торговле (1996 год) и об электронной подписи (2001 год), разработанные экспертными группами из нескольких десятков юристов Европы, США, Канады и Австралии.
Современная общемировая тенденция разработки правовых основ применения электронной подписи в торговых и банковских операциях заключается в отходе от привязки к конкретным технологиям. Юридически признаётся любой тип электронной подписи, если наличествуют намерение сторон подписать ею сделку и предварительная договоренность о приемлемости данной электронной подписи. Подписание сообщения цифровой (электронной) подписью означает согласие подписавшей стороны с информацией, содержащейся в сообщении, а положительный результат проверки подписи даёт основание проверяющей стороне действовать.
РАНЬШЕ ЛУЧШЕ, ЧЕМ ПОЗЖЕ
На основании изложенных «рамочных» принципов был разработан, а затем, на 34-й сессии ЮНСИТРАЛ в июле 2001 года, принят Типовой закон ЮНСИТРАЛ об электронных подписях, рекомендованный всем странам-членам ВТО. Хотя старый российский закон об ЭЦП был принят в начале 2002 года, позже международных, в нём нет почти ничего общего с международным, хотя название очень похожее.
Исходя из многолетнего опыта использования средств ЭП Банком России, к новому закону можно предъявить те же методологические претензии, что и к старому. Он по-прежнему перегружен техническими подробностями, хотя, с чисто практической точки зрения, пользователю ЭП – подписанту – важны не технические детали, а то, для чего и как он может её употреблять.
Международные и национальные банковские информационные системы, например S.W.I.F.T., для контроля целостности сообщений и их авторизации в основном используют криптографические методы аутентификации сообщений и пользователей с применением кодов аутентификации (MessageAuthenticationCode – MAC).
Для этого возможны различные технические решения: средства цифровой подписи с инфраструктурой открытых ключей (PKI), использование методов шифрования с симметричными и асимметричными ключами, имитозащита, вычисление хэш-функций и другие способы. Такой методологический подход позволяет гибко применять существующую законодательную базу для стремительно появляющихся новых технологий вроде дистанционного банковского обслуживания, sms-платежей и интернет-кошелька.
Российский же закон жёстко «привязан» к технологии использования электронной цифровой подписи, основанной на методе вычисления хэш-функции с использованием асимметричных открытых и закрытых криптографических ключей, а также их сертификатов. Не предполагая использования иных технических средств электронной подписи – ни уже известных, ни тех, которые будут изобретены и внедрены в будущем, возможно, скором. Этот изъян придётся исправлять, лучше раньше, чем позже.
Всё более широкое использование информационных технологий в финансовой сфере постоянно востребует накопленный Банком России опыт разработки нормативной базы, стандартов, организационных и технических решений, а также регулирования использования электронной подписи. Следует полагать, что многолетние наработки будут использованы и для совершенствования законодательного и нормативного регулирования информационной безопасности электронного документооборота как в финансовой сфере и банковской деятельности, так и в других отраслях.
Источник: BIS-Journal http://www.ib-bank.ru/bis/