«Аладдин Р.Д.» выступил на онлайн-конференции «Без бумаги 2021»

Компания «Аладдин Р.Д.», ведущий российский разработчик и поставщик решений для обеспечения информационной безопасности, 14 декабря 2021 года приняла участие в онлайн-конференции «Без бумаги 2021».

На мероприятии эксперты обсудили новые требования 63-ФЗ, правовые основы работы с машиночитаемыми доверенностями (МЧД), какие электронные носители стоит использовать сотрудникам в служебных целях (сертификаты физлиц) в том числе с точки зрения безопасности и др.

Сергей Груздев, генеральный директор компании «Аладдин Р.Д.», выступил с докладом в дискуссионной сессии «Сертификаты физлиц для служебных целей», где подробно рассказал как обеспечить безопасность бизнеса и сотрудников при использовании электронной подписи (ЭП) и какие носители (USB‑токены, смарт‑карты, доверенные терминалы) и в каких случаях стоит использовать. В своём докладе г-н Груздев подчеркнул, что текущая модель применения усиленной квалифицированной электронной подписи (УКЭП) несёт для бизнеса и физлиц (в схеме работы с МЧД) большие риски: УКЭП должна формироваться только с использованием специализированного аппаратного средства Secure (Qualified) Signature Creation Device (SSCD/QSCD) c подтверждённой безопасностью — неклонируемость, неизвлекаемость закрытого ключа ЭП (к сожалению, в России такого требования нет).

При выборе соответствующих средств ЭП Сергей Груздев отметил, что стоит исходить из рисков и допустимых потерь (и последствий) от использования УКЭП:

Пассивными ключевыми носителями с извлекаемым закрытым ключом (тип I) являются USB-токены, смарт-карты, используемые как «флешка c PIN-кодом» для хранения криптоконтейнера с закрытым ключом ЭП (например, JaCarta LT). Основными последствиями от типовых атак при использовании данных носителей являются: кража закрытого ключа ЭП (криптоконтейнера ключа), клонирование закрытого ключа ЭП (создание несанкционированных копий), несанкционированное использование ЭП. Риски для организации при правильных ограничениях могут оставаться небольшими, а вот риски для физлиц могут быть огромны (открытие фирмы-однодневки, подписание дарственной и пр.).

Активными ключевыми носителями с неизвлекаемым закрытым ключом (тип II) являются USB-токены, смарт-карты с реализуемыми алгоритмами формирования и проверки электронной подписи с неизвлекаемым закрытым ключом, где все вычисления с закрытым ключом реализуются внутри чипа, а функций экспорта ключей ЭП нет (например, JaCarta-2 PKI/ГОСТ и JaCarta-2 SE). Это правильные средства ЭП, близкие или соответствующие требованиями к SSCD/QSCD, на них можно и нужно выпускать УКЭП. При выпуске УКЭП на физлицо (в схеме с МЧД) организация может (и должна) брать расходы на средство ЭП и квалифицированный сертификат на себя. Для решения проблемы «привязки» средства ЭП к человеку, возможного отказа от взятых обязательств, разбора инцидентов (наличия доказательств) рекомендуется использовать биометрию (BIO-кнопку по отпечаткам пальцев для подтверждения транзакции).

Наибольший уровень безопасности при использовании УКЭП обеспечивается специализированными защищёнными терминалами (тип III). Например, Антифрод-терминал (Trust Screen-устройство для безопасной аутентификации и безопасного подтверждения операций/транзакций при работе в недоверенной среде. В него впаян чип смарт-карты, терминал подписывает всё, что он отобразил и выполнил, сервер СЭД проверяет эту подпись и разбирает трекинг) и Aladdin LiveOffice, защищённый терминал для системы электронного документооборота (СЭД) с замкнутой доверенной средой и средством ЭП с неизвлекаемым закрытым ключом (позволяет работать с документами, имеющими гриф ДСП).

Доклад Сергея Груздева вызвал большой интерес у аудитории, а в конце выступления все желающие смогли задать свои вопросы.