UA / RU
Підтримати ZN.ua

Електронні підписи у «хмарах»

Технологія «хмарних» підписів перейшла на стадію впровадження

Автор: Олексій Симончук

Електронні документи, підписані цифровим підписом, легалізовані в Україні ще 2003 року Законом «Про електронний цифровий підпис». Але в листопаді 2017-го він утратив чинність, бо йому на зміну прийшов Закон «Про електронні довірчі послуги», до якого згодом внесли низку змін. Хоча прямих згадувань про «хмарні» підписи в законі немає, на практиці їх прирівнюють до звичайних кваліфікованих електронних підписів (далі — КЕП).

«Хмарні» підписи — кваліфіковані електронні підписи, що зберігаються не на ПК, токені або флешці, а на сервері провайдера послуги, — порівняно нова технологія. Поки що далеко не всі системи електронного документообігу підтримують зазначену технологію. Але це — наше майбутнє.

Правовий статус

«У Законі «Про електронні довірчі послуги» чітко визначено коло осіб, які зобов'язані зберігати свої КЕП на апаратно-програмних пристроях, що забезпечують захист даних від несанкціонованого доступу, — пояснює адвокатка й координаторка підкомітету з питань електронного документообігу (ЕДО) та електронних довірчих послуг ІКТ комітету Спілки українських підприємців (СУП) Христина Венгриняк. — Це — органи державної влади, органи місцевого самоврядування, підприємства, організації державної форми власності, державні реєстратори, нотаріуси та інші суб'єкти, вповноважені державою здійснювати функції держреєстратора».

Після набрання чинності Законом «Про електронні довірчі послуги» було встановлено перехідний період, і ще два роки діяли електронні цифрові підписи, отримані за Законом «Про електронний цифровий підпис», який втратив чинність. Одночасно видавалися КЕП за Законом «Про електронні довірчі послуги».

У квітні 2019 року тим, хто подавав звітність до податкової й підписував її ЕЦП або КЕП на так званому незахищеному носії, несподівано стали надходити повідомлення «Використовується підпис на незахищеному носії». Інформаційно-довідковий департамент ДФС України на своєму сайті опублікував застереження, що з певної дати КЕП видаватимуть тільки на захищеному носії.

Причиною цього стали неоднозначні положення Закону «Про електронні довірчі послуги», для уточнення яких було прийнято Постанову КМУ № 193 «Про реалізацію експериментального проєкту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів» від 03.03.2020.

«Бізнесу офіційно дозволили підписувати документи КЕП на незахищених носіях, — пояснює Христина. — Зазначена постанова діє до 31 грудня 2021 року. До цієї дати питання зі зберіганням КЕП мають урегулювати на законодавчому рівні.

Таким чином, на цей момент приватний бізнес має право використовувати КЕП на комп'ютері, флешці, SIM-карті. Деякі компанії використовують для КЕП і хмарне зберігання, але в такому разі є ризик компрометації КЕП, оскільки до місця зберігання можуть мати доступ кілька осіб, а КЕП слід зберігати потай від інших. До кінця поточного року ситуація може змінитися, а бізнесу слід бути напоготові й стежити за новаціями законодавства, оскільки вже завтра всім нам можуть дозволити працювати тільки з КЕП, які зберігаються на захищених носіях».

У чому переваги

Кожен із нас без проблем може втратити чи зламати флешку або захищений токен із КЕП. А якщо ключ зберігається лише на робочому комп'ютері, то немає можливості підписувати документи в інших місцях.

А ось коли електронний підпис міститься на віддаленому сервері, доступ до нього буде завжди. Послуги провайдерів хмарних сервісів, у яких зберігаються ключі, можуть бути особливо корисними для великих компаній із сотнями співробітників та регіональними представництвами.

Хмарні сервіси дають можливість стежити за всіма діями з КЕП, які виконують працівники, віддалено надавати або обмежувати доступ до ключа. Крім того, щоб підписати документ із допомогою «хмарного» підпису, потрібен тільки смартфон.

Сховище ключів також має спеціальні датчики розкриття, механізми довіреної генерації і знищення ключів та бар'єр від витікань і внутрішніх порушень (раптом один із адміністраторів вирішив зробити те, чого робити не слід). Ключі неможливо вилучити і скомпрометувати. Навіть якщо котрийсь із елементів системи виходить із ладу, його автоматично замінює резервний. При цьому не станеться жодних перебоїв у роботі й не знадобиться участь обслуговуючого персоналу. Не треба боятися, що хтось зможе його вкрасти і ввійти у вашу систему.

Ще один важливий момент — «хмарний» підпис дешевший від звичайного ЕП, адже не потрібно купувати токен і засіб криптографічного захисту інформації. Крім того, завдяки використанню «хмари» є можливість випустити скільки завгодно ключів та сертифікатів. Якщо, наприклад, компанії потрібно впровадити електронний документообіг і дати кожному працівникові електронний підпис, то «хмара» — найкращий варіант. Це буде набагато мобільніше й дешевше.

«Хмарні» підписи в Україні

Хоча технологія відносно нова, в Україні вже є кілька провайдерів сервісів для зберігання «хмарних» підписів.

  1. DepositSign

Компанія є у списку «Кваліфікованих надавачів електронних довірчих послуг» Міністерства цифрової трансформації України. Це означає, що вона може не тільки зберігати у «хмарі» цифрові підписи, а й видавати їх.

  1. UKey

Перш ніж скористатися цим сервісом, треба отримати КЕП в одного з «Кваліфікованих надавачів». Чимало їх випускають КЕП безплатно. Після цього можна буде встановити додаток UKey на смартфон (із AppStore або PlayMarket) і додати свій КЕП на пристрій. Наступний алгоритм використання аналогічний використанню Mobile ID: всі документи ви зможете підписувати з допомогою свого смартфону.

  1. SmartID

Послугу надає Приватбанк. Оскільки банк є у списку «Кваліфікованих надавачів електронних довірчих послуг», можна не вставати двічі: отримати КЕП і зберігати його у «хмарі» однієї екосистеми. Електронний підпис видається безплатно, зберігання SmartID — теж. Єдиний нюанс — підписувати документи з допомогою цього КЕП ви зможете тільки в додатку Privat24, тобто для цього треба бути клієнтом Приватбанку.

  1. « Смарт-Дія»

Торік «Дiя» анонсувала проєкт «Смарт-Дія». Після завершення тестового періоду в користувачів додатку «Дiя» з'явиться можливість отримувати КЕП і підписувати ним документи. Послуга ще не надається, але «Дiя» вже є у списку «Кваліфікованих надавачів» Мінцифри. У «Дiї» повідомили, що запуск сервісу заплановано на квітень 2021-го. Після того, як це відбудеться, в додатку можна буде зберігати не тільки дані паспорта й ІНП, а й КЕП.

«Хмарні» підписи та електронний документообіг

Деякі українські постачальники сервісів електронного документообігу вже надають своїм клієнтам можливість реєстрації/входу та підписання документів із допомогою «хмарного» підпису.

У розроблену Приватбанком Paperless, яка позиціюється як система електронного документообігу для малого бізнесу, ввійти можна тільки як у старі добрі часи — з допомогою логіна та пароля, але підписувати документи можна вже через Privat24. Вхід/підписання з допомогою UKey підтримує Document.Online. На порталі системи електронного документообігу Deals уже є тестові опції входу/реєстрації та підписання документів із допомогою «хмарних» КЕП усіх чотирьох українських провайдерів.

Але в техпідтримці системи повідомили, що наразі тестовий період можна вважати завершеним лише для одного з них — DepositSign.

Погляд у майбутнє

«Зберігати свій особистий підпис на ПК або, тим більше, на звичайній флешці небезпечно й непрактично, — вважає СЕО Intecracy Deals і співголова IT-комітету СУП Олександр Вернигора. — Особисто я для підписання документів зараз використовую Mobile ID. Це забезпечує мобільність, двофакторну аутентифікацію, при цьому КЕП зберігається прямо на SIM-карті смартфону. Тим часом технологія «хмарного» підпису теж досить перспективна».

Сервіси, аналогічні «Дiї», надають високий рівень захисту і безліч послуг. Можливість на одному порталі отримати і КЕП, і місце для його зберігання у «хмарі», і необхідне ПЗ — це зручно. Зберігання КЕП на якомусь віддаленому сервері багатьох лякає, але насправді втратити флешку з КЕП набагато простіше, ніж втратити доступ до свого підпису в «хмарі». Теоретично, сервер може на певний час «упасти». Його можуть зламати й отримати доступ до файлів підписів клієнтів, але скористатися ними ніхто не зможе, бо аутентифікація двофакторна. Підтвердити підписання документа треба не тільки з допомогою логіна/пароля в браузері, а й із вашого смартфону. А ймовірність того, що зловмисники зламають сервер, заволодіють не тільки файлом ключа, а й логіном, паролем та вашим смартфоном із біометричним захистом, майже мінімальна. Технологія «хмарних» підписів поки що перебуває на стадії впровадження, але цілком можливо, що за нею майбутнє».