Возможности и сферы применения мобильной электронной подписи
В начале своего выступления Дмитрий Горелов рассказал, что первым широко применять российскую криптографию для безопасности электронной подписи (ЭП) стал банковский сектор, в частности, в системах дистанционного банковского обслуживания. Далее, уже из этого направления начала развиваться сфера ЭП для различных задач бизнеса в России.
В ходе разговора участники конференции подчеркнули, что существуют разнообразные механизмы хранения ключа, и их можно разделить на следующие категории:
- распределенное хранение ключа;
- хранение ключа на мобильном устройстве;
- хранение ключа в HSM;
- хранение ключа на отчуждаемом носителе.
Сегодня технологии предоставляют возможность работать с ключевыми носителями (токенами и картами) с поддержкой NFC на своих мобильных устройствах, а мобильные платформы на Android и iOS позволяют бесконтактно при помощи сертифицированного устройства, которое может внутри себя хранить ключи квалифицированной ЭП, подписывать документы электронной подписью на тех ЭДО-платформах, которые наиболее распространены.
Дмитрий Горелов обратил внимание, что теперь при помощи одного устройства, на котором хранятся ключи квалифицированной электронной подписи (КЭП), можно работать с документами и подписывать их ЭП как на обычном компьютере, так и на мобильном устройстве. По словам эксперта, еще три года назад такой возможности не было, но сейчас, с появлением доступности технологий и сертифицированности продуктов и решений, это стало реально.
Также эксперт Компании «Актив» отметил, что хотя рынок мобильной подписи сегодня достаточно широк, однако и в нем есть узкие сегменты, в которых распространена мобильная подпись при помощи отчуждаемых носителей и крипто-библиотек, установленных на мобильных устройствах. К примеру, информационные системы на предприятиях горнодобывающей промышленности или в металлургии имеют высокие требования безопасности. При этом условия работы сотрудников таковы, что на локальных планшетах нужно подписывать документы усиленной, а в некоторых случаях даже квалифицированной ЭП. Такие решения существуют уже много лет, и технология мобильной подписи в данном случае мало чем отличается от тех технологий, которые применяются на локальном компьютере. Та же библиотека и те же носители, просто работа происходит, например, в мобильной операционной системе Android. Инновацией тут, пожалуй, является только технология работы с ключевыми носителями по бесконтактной технологии.
Обеспечение безопасности мобильной электронной подписи
В ходе эфира среди зрителей было проведено несколько опросов. На вопрос о желании подписывать документы электронной подписью непосредственно на смартфоне чуть менее трети респондентов ответили, что уже используют данную технологию на своем устройстве, а 20% зрителей усомнились в безопасности такого метода. В ходе второго опроса «Какие операции вы не готовы доверить мобильной электронной подписи?» большинство респондентов сообщили, что не хотят использовать мобильную ЭП для операций с недвижимостью, финансовых процедур, для доступа к госуслугам и медицинским данным.
Дмитрий Горелов обратил внимание участников встречи, что сегодня меняется отношение людей к безопасности бизнес-процессов и защите корпоративной информации. К примеру, у каждого бухгалтера появилось свое устройство, куда записан сертификат квалифицированной электронной подписи для участия в бизнес-процессах. А раньше это был ключевой носитель на имя генерального директора, который передавал его подчиненным. Теперь же многие понимают, что такой подход не является оправданным и надежным.
Говоря про обеспечение безопасности устройств для мобильной ЭП, эксперт отметил, что есть два требования, которые в обязательном порядке предъявляются к разработчикам средств криптографической информации: защищенное хранение ключей и наличие правильно работающего, доверенного датчика случайных чисел.
Также, по мнению Дмитрия Горелова, большим преимуществом для ключа является возможность его хранения на отдельном специальном устройстве, которое можно переносить между компьютерами и мобильными гаджетами. Такие ключевые носители позволяют работать в разных операционных системах и даже с разными СКЗИ. К примеру, у Рутокен есть универсальный токен, который можно использовать и на стационарном компьютере, и в мобильном приложении. Само устройство реализовано в виде привычного токена, который предназначен для USB-разъема, и в то же время благодаря интерфейсу NFC у пользователя есть возможность просто приложить токен к смартфону для совершения операции.
Как защитить устройства для электронной подписи, в том числе с технологией NFC?
Дмитрий Горелов обратил внимание на следующие важные пункты:
- создавать уникальные пин-коды;
- держать свой пин-код в секрете;
- не отдавать другому человеку свое персональное устройство, на котором хранится ключ электронной подписи.
Прогноз развития мобильной электронной подписи на ближайшие годы
В разговоре про развитие электронной подписи коммерческий директор Компании «Актив» отметил, что задача вендоров обеспечить работу с ЭП в привычных для пользователя информационных системах, которые развивались в течение многих лет. И если в какой-то из ГИС когда-то была встроена определенная технология, люди должны иметь возможность и сегодня с ней работать, используя современные средства ЭП. И основная цель Компании «Актив», как разработчика, обеспечить совместимость новых продуктов компании с теми технологиями, которые реально эксплуатируются.
Эксперт подчеркнул, что разработчики средств криптографической защиты тратят много сил, времени и денежных средств на тестирование, подтверждение совместимости и корректной работы электронной подписи во всех операционных системах и в различных конфигурациях.
В завершении онлайн-конференции участники встречи поделились своим видением будущего технологии мобильной ЭП. Дмитрий Горелов рассказал о следующих трендах, которые, по его мнению, ждут нас в ближайшие годы.
Во-первых, мобильная подпись позволит автоматизировать то, что ещё не было автоматизировано. Это, в первую очередь, касается таких отраслей, как энергетика, металлургия, горная добыча,нефтегаз, где при выходе на опасный объект работник должен подписать ознакомление с правилами техники безопасности или другой важный документ. Технология мобильной ЭП может значительно ускорить и оптимизировать этот процесс. Используя специальный защищенный планшет и смарт-карту с NFC со своей усиленной квалифицированной электронной подписью, сотрудник сможет оперативно подписать необходимые документы.
Вторым трендом Дмитрий Горелов назвал стремление сделать средства ЭП максимально универсальными. Так, например, устройство Рутокен, о котором говорилось выше, предполагает одновременное использование контактного и бесконтактного интерфейса. Данный токен можно использовать для новых приложений, а также в системах электронного документооборота, которые работают на мобильных платформах. Такое универсальное устройство подходит для тех, кто работает удаленно, вне офиса.
Кроме того, эксперт Компании «Актив» уверен, что доступность мобильного решения для электронной подписи позволит расширить сферу использования электронного документооборота. Ведь важно, чтобы электронные документы передавались безопасно, были юридически значимыми и от подписи на них нельзя было отказаться. И дополнительным плюсом будет, если процесс будет происходить без технических и организационных сложностей и занимать минимальное количество времени.