Электронно-цифровая собака на сене или что мешает пользоваться ЭЦП?
Выгоды от использования решений, обеспечивающих криптозащиту при электронном документообороте (и в частности, использование электронной цифровой подписи) на первый взгляд являются очевидными. «Не нужно тратить время на стояние в очередях», — говорят нам со всех сторон сторонники применения ЭЦП — и с этим трудно не согласиться. Но российские реалии, к сожалению, таковы, что нормальному развитию рынка решений по криптозащите мешает целый ряд факторов (впрочем, как это обычно и бывает).
Не будем углубляться в проблемы, связанные с законодательным регулированием отрасли (об этом и так много пишут и говорят). Сосредоточимся на других, более «приземленных» проблемах.
В частности, то, что в России де-факто рынок криптозащиты является монополизированным, ни для кого не является секретом. Есть «Крипто-Про», а есть все остальные. Возможно, ситуация изменится в связи с вхождением в силу нового ФЗ №63 «Об электронной подписи», но тут 100% гарантии на кардинальные перемены нет, поскольку понятно, что монополисты просто так рынок не отдадут.
Под вопросом и развитие обмена юридически значимыми документами в электронном виде между компаниями, то есть теми документами, которые впоследствии могут иметь юридическую силу при обращении, например, в госорганы (в особенности это важно в случае возникновения судебного разбирательства). Представьте себе ситуацию, где вы – директор компании и договорились со своими партнерами использовать определенные решения (в том числе и с ЭЦП) для обмена документами в электронном виде, и все идет отлично, а сам процесс взаимодействия значительно упростился. Но если возникший между вами и партнером конфликт или спорный вопрос можно будет решить только в судебном порядке, то гарантии, что электронный документ признают в отечественном суде, сейчас нет. В России есть примеры того, как электронный документ без цифровой подписи был признан юридически значимым на основе анализа переписки и поведения партнеров до конфликтной ситуации. А есть и обратные примеры: документ с электронной подписью не признавался юридически значимым в суде.
Естественно, никто не хочет оказаться в такой ситуации. Так что пока не будет урегулирован вопрос с юридической значимостью, бизнес не будет доверять электронным документам и ЭЦП, и не будет их активно использовать в работе, несмотря на то, что это значительно удобнее бумажного документооборота. Здесь все в итоге опять сводится к так «полюбившейся» в последнее время «воле государства». В данном случае все зависит от «воли» регулирующих отрасль госорганов.
Еще один насущный вопрос: В России наиболее распространен криптографический стандарт Х 509 и в соответствии с этим стандартом хочешь — не хочешь, но приходится жить. В то же время, этот стандарт не единственный. Есть и другие стандарты, которые в ряде случаев могут быть существенно дешевле и удобнее с точки зрения организации инфраструктуры.
Для однозначного «облегчения жизни» при помощи ЭЦП также нужно еще многое прояснить и доработать. Например, существуют вопросы с хранением подписанных электронным способом документов. Кроме того, пока нет четкой процедуры «переподписания» документа по истечении срока действия сертификата подписи. Как в предыдущей версии российского закона, регулирующего эту сферу, так и в новой версии указано, что если срок действия сертификата электронной подписи истек, то подписанный документ все равно считается юридически значимым, если есть доказательства того, что подпись была создана в момент «жизни» этого сертификата.
Технически это очень странное решение: если срок действия сертификата истек, он может быть скомпрометирован, а сам документ изменен и доверять ему в чистом виде нельзя. К сожалению, ориентируясь на этот пункт закона, люди редко задумываются о том, каким опасностям подвергаются их документы и к каким последствиям это может привести. И это только часть вопросов, требующих доработки.
Для распространения ЭЦП важен также образовательный момент. То есть очень желательна была бы программа (лучше всего — на федеральном уровне), в рамках которой пользователям в доходчивой форме объясняли, что собой представляет такой инструмент как ЭЦП, где он может быть применен, какие возможности дает и так далее. Сейчас такой единой программы не существует, и кто будет заниматься (если это будет реализовано) образовательным аспектом не понятно.