Применение электронной цифровой подписи (ЭЦП) меняет не только традиционные технологии документооборота, но и другие бизнес-процессы.
Работа с традиционными бумажными носителями сопровождается рядом негативных явлений. По данным исследования компании Siemens Business Services:
• 30% времени рабочих групп тратится на поиски и согласование документов;
• 6% документов безвозвратно теряются;
• каждый сотрудник в среднем тратит 150 часов в год на поиск утерянной информации;
• каждый внутренний документ копируется до 20 раз;
• каждый год объем документов в развивающихся компаниях возрастает на 25-30%.
Уменьшить влияние этих недостатков позволяет электронный документооборот, полноценное использование которого невозможно без ЭЦП. Для того чтобы это осуществить, нужны четкая схема работы игроков рынка, уверенность в безопасности проводимых операций и законодательная база, определяющая принципы и понятия электронных бизнес-процессов.
По информации Минтранспорта и связи, в 2006 г. в Украине планируется запустить национальную систему ЭЦП. В июле 2005 г. был презентован технологический центр Центрального удостоверяющего органа Минтранспорта, который является техническим организатором национальной системы ЭЦП. Основная законодательная база для систем электронного документооборота была принята еще в 2003-2004 гг.
Сфера применения ЭЦП очень широка. Это осуществление разнообразных регистрационных процедур, оформление документов для предоставления государственным учреждениям, участие в тендерах на закупку товаров, работ и услуг за государственные средства, электронные платежи и коммерция.
Технология, обеспечивающая стопроцентную защиту от взлома
Технология формирования ЭЦП проста. Для начала с помощью специального программного обеспечения, предоставляемого пользователю центром сертификации, необходимо сгенерировать пару «ключей» — открытый и закрытый. Массив информации, который нужно подписать, обрабатывается специальной программой с использованием так называемого закрытого ключа. В результате к цифровому документу добавляется некая зашифрованная информация. При этом закрытый ключ хранится на одном из носителей информации — дискете, Touch Memory, Flash и т. д. Процесс наложения ключевого кода и является процессом подписания документа. Обработанный массив отправляется по электронной почте или другим каналам связи.
Получатель может прочитать документ, применив открытый ключ, соответствующий закрытому ключу отправителя письма. Открытый ключ позволяет удостовериться в целостности информации, убедиться в том, что отправитель имел право подписать документ и там стоит именно его подпись. На открытый ключ сроком до 1 года выдается сертификат, содержащий информацию о владельце и другие данные, определенные документом RFC 2459 (Internet X.509 Public Key Infrastructure Certificate and CRL Profile) и соответствующими законами Украины. Считается, что подобная технология шифрования обеспечивает стопроцентную защиту от взлома.
Самый дешевый сертификат обойдется в $20-30
Поскольку системы электронного документооборота начали создаваться еще до принятия основных законодательных норм, сегодня наблюдается их разделение на два условных подвида — сертифицированные и доверительные. Основные принципы обращения электронных документов схожи — и там, и там осуществляется шифрование, существуют сертификаты соответствия. Однако в доверительной системе отсутствует юридическое звено, удостоверяющее личность получателей и отправителей. Другими словами, электронные документы с ЭЦП в доверительной системе не имеют юридической силы. Электронный документооборот в этом случае осуществляется преимущественно внутри организации, где получатели доверяют отправителям. Средства защиты в таких системах предназначены для безопасности персонального документооборота. В сертифицированных же системах электронный документооборот отвечает требованиям законов Украины, а сертификаты соответствия выдаются третьим лицом — незаинтересованным арбитром, что придает электронным документам юридическую силу.
Доверительных систем довольно много в Украине. Привести их все в соответствие с требованиями законодательства — неразрешимая задача. Поэтому проще внедрить и сделать общедоступными сертифицированные системы. Сегодня насчитывается около десяти центров сертификации, которые желают аккредитоваться в Центральном удостоверяющем органе.
По словам Сергея Агеева, директора НПФ «УНИС», имеющей свой центр сертификации, программное обеспечение для генерации ключей предоставляется пользователям бесплатно. Стоимость сертификата зависит от класса защиты. Цену так называемых усиленных сертификатов, которые приравниваются к собственноручной подписи, можно прогнозировать на уровне $60-100, что ниже стоимости большинства международных сертификатов аналогичного класса защиты. Кроме усиленных сертификатов, можно ожидать применение сертификатов более простых классов защиты (стоят в 2-3 раза дешевле), статус которых определяется договором между сторонами. Стоимость массового ПО для работы в системах электронного документооборота (например системы электронной отчетности) для физических лиц и небольших организаций может колебаться от $50 до 400 в зависимости от предназначения той или иной системы.
В крупных организациях, таких как банки, корпоративные объединения и центральные государственные органы власти, формируются свои корпоративные системы электронного документооборота. В этом случае необходим набор специальных программных библиотек, которые будут внедряться в операционную систему и приложения корпоративных пользователей. Общая стоимость таких корпоративных систем в зависимости от сферы применения может колебаться от $30 до 70 тыс. Например, стоимость собственной системы электронного документооборота с принципами ЭЦП Фонда госимущества Украины cоставила приблизительно $42 тыс.
Первые масштабные проекты уже реализованы
Начало появления систем ЭЦП в Украине датируется 1998 годом. Банковская сфера — первая область, подвергшаяся «электронному эксперименту». Положительные результаты работы систем электронного документооборота именно в этой сфере открыли для нового развивающегося рынка широкие возможности. В частности, по словам Филиппа Радзиховского, заместителя начальника отдела корпоративного бизнеса филиала «Морского Транспортного Банка» в Одессе, ЭЦП в их банке используется с 1999 г. в системах удаленного управления счетами корпоративных клиентов. Одним из последних нововведений в филиальной сети банка являются электронные реестры авалированных векселей.
Наличием системы электронного документооборота может похвастаться и Государственная налоговая администрация. В настоящий момент ГНА в г. Киеве совместно с НПФ «УНИС» и ОАО «Цивилизация» проводит эксперимент по сдаче налоговой отчетности в электронном виде с использованием ЭЦП. Это первая попытка в Украине внедрить в массовом порядке полностью отвечающую требованиям законодательства систему электронного документооборота.
В системе «Финансовый мониторинг Украины» все документы подаются исключительно в электронном виде без предоставления бумажных копий. Достоинства очевидны — документы надежно защищены, пользователи системы экономят время при получении необходимой информации.
Как сообщила Ирина Заря, президент ассоциации «Первая фондовая торговая система» (ПФТС), с 2006 г. электронная цифровая подпись в ПФТС будет обязательной для всех брокеров, работающих в системе. Такое новшество в работе торговой системы, по мнению участников рынка, сократит риски невыполнения сделок с ценными бумагами. В случае если брокер отказывается платить за ценные бумаги или предоставлять их в обмен на полученные деньги, второй участник сделки может с таким договором обратиться в суд.
Следует заметить, что Закон Украины «Про электронную цифровую подпись» был принят в 2003 г. Как утверждают юристы банковской сферы, украинский закон — один из лучших в мире. Он соответствует зарубежным аналогам, требованиям соответствующей директивы Европейского союза и четко определяет взаимоотношения между участниками рынка. Соответствие международным стандартам программного обеспечения дает возможность предполагать, что проблем при обмене информации с зарубежными компаниями с использованием ЭЦП не возникнет.
Сдерживающая сила инерции Преодолеть влияние этих факторов может только время. Однако потрачено оно должно быть не на ожидание, а на наращивание количества реализованных проектов и популяризацию преимуществ новой технологии.
• недоверие надежности информационных систем и систем защиты информации;
• обилие прикладных информационных систем, не содержащих встроенную поддержку ЭЦП и других средств защиты;
• внедрение ЭЦП по приказу «сверху» без заинтересованности «снизу»;
• отсутствие отдельного бюджета на системы защиты;
• недостаток подготовленных специалистов, способных выстроить процесс внедрения и эксплуатации, включая поддержку необходимых регламентов работы;
• недостаточное общее развитие информационных систем.