Недавно я ознакомился с новым законом, который вносит существенные поправки в сферу электронного документооборота, а именно в 63-ФЗ «Об электронной подписи» (далее — ЭЦП). Внедрение изменений предполагается за счет использования IT-технологий, например, они коснулись способов хранения электронного ключа, теперь он будет храниться в облачном сервисе.
Мои размышления на этот счет и привели к написанию данной статьи. Хочу поделиться с вами своими мыслями о том, как изменится рынок ЭЦП после вступления закона в силу и что ждет участников электронного документооборота.
Речь идет о законе № 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи». 28 декабря он был опубликован на официальном интернет-портале www.pravo.gov.ru, а значит прошел все стадии подписания и рассмотрения. Он вступит в законную силу 1 июля 2020 года, кроме п.14 ст.1, он начнет действовать 1 января 2022 года.
Какие изменения нас ждут?
Закон вносит много изменений, отмечу самые значимые:
- Изменились требования к удостоверяющим центрам: теперь срок аккредитации составляет 3 года, УЦ должен иметь 100 млн. рублей страховых средств и не меньше 1 млрд. рублей собственных средств или 500 млн. рублей для центров, имеющих представительства в 3/4 и более регионов РФ.
- Уполномоченные органы: ФНС, Казначейство, ЦБ получили особые права на выдачу ЭЦП. Кстати, их не касаются все финансовые требования, указанные в пункте 3.
- Теперь подписанные ЭЦП документы будут проверяться на достоверность с помощью IT-средств «доверенной третьей стороной». Специальное юридическое лицо будет ставить на них «метку доверенного времени».
- Удостоверяющий центр (УЦ), который выдаст вам ЭЦП, будет хранить ее в облаке. Подписывать ею документы за вас будет тоже УЦ по вашему поручению.
- Закон устанавливает методы идентификации личности заявителя, который подал заявку на получение ЭЦП. Один из таких способов — получение сведений из единой биометрической системы.
- Признается юридическая сила подписей, выданных иностранными государствами и соответствующих требованиям Российской Федерации к ним.
Зачем всё это нужно?
Изначально законопроект разрабатывался для улучшения работы УЦ и повышения информационной безопасности. Сегодня ЭЦП выдают многие компании, но проверять подлинность данных заявителя они не могут. В результате участились случаи мошенничества с подписями. Злоумышленники проводили многомиллионные сделки через сайт Госуслуг.
Казалось бы, закон решит проблему информационной безопасности в сфере ЭЦП, защитит участников ЭДО от всевозможных рисков. Но, увы, не все так однозначно…
Что ждет рынок ЭЦП и ЭДО?
Теперь расскажу свои мысли насчет того, к чему приведут все эти изменения, на мой взгляд. Меня, как специалиста удостоверяющего центра, закон заинтересовал сразу, и я постоянно следил за этапами его подписания.
По сути теперь тот, кто хранит ЭЦП может подписать любой документ вместо вас, теоретически может распоряжаться ключом по своему усмотрению. Да и к самим документам теперь есть доступ как у УЦ, так и у «доверенной третьей стороны». А как же вопросы информационной безопасности? К закрытой части ключа ЭЦП доступ должен быть только у его владельца!
Я уже молчу прополномочия ФНС, которые всё больше и больше расширяются. Я сейчас веду речь не о монополизации уполномоченными органами рынка ЭЦП, а о том, что на них возрастет нагрузка.
Их сервера, сайты и так постоянно подвергаются повышенным нагрузкам. Результат — сбои, задержки в работе, как было в конце 2019 года, когда по новым правилам участники закупок начали массово регистрироваться в Единой информационной системе через сайт Госуслуг, чтобы работать на электронных торговых площадках и получить на них аккредитацию. А сбой в работе такого органа, как ФНС — это фактически остановка деятельности всех организаций, срыв госзаказов. Но дело не только в этом:
- для облачного хранения ЭЦП потребуется мощные технические и IT-средства, нужно будет поменять работу всех порталов госуслуг. Сложно представить себе, сколько финансов на это потребуется. Разумеется, все расходы лягут на кошельки заявителей;
- для проверок «доверенной стороной» точно также потребуются средства. Но еще на это понадобится время, появятся задержки, подписание документов займет больше времени;
- отдельно можно отметить, что многие коммерческие удостоверяющие центры ощутят серьезный удар по их бизнесу. Мало того, что нужно соответствовать строгим требованиям, перестроить свою деятельность под новые IT-стандарты, чтобы обеспечить облачное хранение ЭЦП и подписание документов, так еще и солидная часть рынка уйдет к уполномоченным госорганам.
Подведем итоги
Итак, ключ храните не вы, документы им подписываете тоже не вы, при этом вас идентифицируют и постоянно проверяют подписанные вашей подписью документы на достоверность. А вот если что-то окажется не так, то отвечать будете вы.
Плюс выдача ЭЦП неизбежно станет намного дороже — на нее перенесут стоимость задействованной IT-инфраструктуры для облачного хранения и работы «доверенной третьей стороны». Такие дела, изменения не радуют.
Комментарии (21)
azatfr
10.01.2020 12:10+4Удостоверяющий центр (УЦ), который выдаст вам ЭЦП, будет хранить ее в облаке. Подписывать ею документы за вас будет тоже УЦ по вашему поручению.
На этом можно поставить жирный крест на теме ЭЦП.
epishman
10.01.2020 12:14+1Я бы жирный крест распостранил шире. Очевидно, что это просто передел рынка — всякая сертификация, удостоверение, лицензирование, нотариат, экспертиза — самые надежные пассивные источники дохода, и в этой стране они самые маржинальные. При этом я до сих пор не могу подать исковое заявление в суд через интернет — верхняя вольта с эцп.
RouR
11.01.2020 12:40При этом я до сих пор не могу подать исковое заявление в суд через интернет
Я подавал успешно — ej.sudrf.ru
justhabrauser
10.01.2020 14:18+1"Всё, что вы делаете руками — всё плохо. Но дети у вас красивые" © анекдот.
murzix
10.01.2020 12:12+1Странно, насколько я понял из текста поправок — хранить закрытый ключ в облаке это опция, а не обязательное правило.
А вот то что все УЦ фактически закрываются, это важная тема.justhabrauser
10.01.2020 14:16И как проверить, что УЦ эту опцию не включил?
"Честное пионерское"?
Ну и "облако" — понятие тоже очень растяжимое.murzix
10.01.2020 14:35Это не «включение опции». Вы при получении подписи сами будете решать где хранить закрытый ключ, если конечно предназначение ключа это подразумевает (в егаисе сначала выбора не было, только джакарты)
Dotarev
10.01.2020 13:04Как следует понимать:
ст8, п. 2.1г) доказательству невозможности отказа владельца квалифицированного сертификата от поручения на создание квалифицированной электронной подписи
Помогите распарсить, пожалуйста. В связке са) хранению ключей квалифицированной электронной подписи и автоматическому созданию такой подписи с их использованием по поручению соответствующих владельцев квалифицированных сертификатов
там жеArk_V
10.01.2020 18:56я так понял по п.а)
-средства электронной подписи и средства удостоверяющего центра согласно этому закону должны будут приобрести возможность
хранить сам ключ квалифицированной электронной подписи (принадлежащий владельцу квалифицированного сертификата ключа проверки этой подписи) и автоматически создавать подпись с использованием этого ключа по поручению этого владельца.
Ну типа вам надо много и автоматически проставлять свою ЭП, вот вам будет сервис которому вы можете передать сам ключ ЭП и можете дать поручение, что бы он этим занимался.
и в связи с этим п. г)
что бы эти средства создавали доказательства подтверждающие факт дачи такого поручения, и делающие невозможным отказ от этого факта.
vanyaindigo
10.01.2020 13:59+3Подписывать ею документы за вас будет тоже УЦ по вашему поручению.
А что будет считаться теперь таким поручением, и как оно будет авторизовываться?makon
11.01.2020 16:05Телеграфы, телеграммы — вот это все. Гонцы на лошадях также обретут новое дыхание.
elve
10.01.2020 14:16Т.е. проблема выпуска ЭЦП на левого дядю так и не решена? Просто теперь кроме дяди за вас может еще и УЦ расписаться? Я правильно понимаю или ошибаюсь где-то?
CorneliusAgrippa
10.01.2020 14:19+1Подписывать ею документы за вас будет тоже УЦ по вашему поручению.
Объясните, пожалуйста для тупого: вот я сейчас для подписи втыкаю флешечку, тыкаю в «подписать» — документ подписан, а как будет УЦ подписывать по моему поручению? Как они узнают, что я это я, надо будет в УЦ каждый раз с паспортом приезжать? Или флешка у меня останется, но появится дополнительная прокладка между мной и документом — УЦ?
buldo
13.01.2020 02:40Если говорить про решения от КриптоПро, то подтверждать нежно будет в специальном приложении, связанном с вашим аккаунтом провайдера подписи
epishman