На мероприятии эксперты обсудили новые требования 63-ФЗ, правовые основы работы с машиночитаемыми доверенностями (МЧД), какие электронные носители стоит использовать сотрудникам в служебных целях (сертификаты физлиц) в том числе с точки зрения безопасности и др.
Сергей Груздев, генеральный директор компании "Аладдин Р.Д." , выступил с докладом в дискуссионной сессии "Сертификаты физлиц для служебных целей", где подробно рассказал как обеспечить безопасность бизнеса и сотрудников при использовании электронной подписи (ЭП) и какие носители (USB‑токены, смарт‑карты, доверенные терминалы) и в каких случаях стоит использовать. В своём докладе г-н Груздев подчеркнул, что текущая модель применения усиленной квалифицированной электронной подписи (УКЭП) несёт для бизнеса и физлиц (в схеме работы с МЧД) большие риски: УКЭП должна формироваться только с использованием специализированного аппаратного средства Secure (Qualified) Signature Creation Device (SSCD/QSCD) c подтверждённой безопасностью - неклонируемость, неизвлекаемость закрытого ключа ЭП (к сожалению, в России такого требования нет).
При выборе соответствующих средств ЭП Сергей Груздев отметил, что стоит исходить из рисков и допустимых потерь (и последствий) от использования УКЭП:
выбор средств защищенные ключевые носители с закрытым ключем ЭП электронная подпись сертификаты физлиц риски допустимые потери последствия
Пассивными ключевыми носителями с извлекаемым закрытым ключом (тип I) являются USB-токены, смарт-карты, используемые как "флешка c PIN-кодом" для хранения криптоконтейнера с закрытым ключом ЭП (например, JaCarta LT). Основными последствиями от типовых атак при использовании данных носителей являются: кража закрытого ключа ЭП (криптоконтейнера ключа), клонирование закрытого ключа ЭП (создание несанкционированных копий), несанкционированное использование ЭП. Риски для организации при правильных ограничениях могут оставаться небольшими, а вот риски для физлиц могут быть огромны (открытие фирмы-однодневки, подписание дарственной и пр.).
Активными ключевыми носителями с неизвлекаемым закрытым ключом (тип II) являются USB-токены, смарт-карты с реализуемыми алгоритмами формирования и проверки электронной подписи с неизвлекаемым закрытым ключом, где все вычисления с закрытым ключом реализуются внутри чипа, а функций экспорта ключей ЭП нет (например, JaCarta-2 PKI/ГОСТ и JaCarta-2 SE). Это правильные средства ЭП, близкие или соответствующие требованиями к SSCD/QSCD, на них можно и нужно выпускать УКЭП. При выпуске УКЭП на физлицо (в схеме с МЧД) организация может (и должна) брать расходы на средство ЭП и квалифицированный сертификат на себя. Для решения проблемы "привязки" средства ЭП к человеку, возможного отказа от взятых обязательств, разбора инцидентов (наличия доказательств) рекомендуется использовать биометрию (BIO-кнопку по отпечаткам пальцев для подтверждения транзакции).
Наибольший уровень безопасности при использовании УКЭП обеспечивается специализированными защищёнными терминалами (тип III). Например, Антифрод-терминал (Trust Screen-устройство для безопасной аутентификации и безопасного подтверждения операций/транзакций при работе в недоверенной среде. В него впаян чип смарт-карты, терминал подписывает всё, что он отобразил и выполнил, сервер СЭД проверяет эту подпись и разбирает трекинг) и Aladdin LiveOffice, защищённый терминал для системы электронного документооборота (СЭД) с замкнутой доверенной средой и средством ЭП с неизвлекаемым закрытым ключом (позволяет работать с документами, имеющими гриф ДСП).
Доклад Сергея Груздева вызвал большой интерес у аудитории, а в конце выступления все желающие смогли задать свои вопросы. Презентацию спикера можно посмотреть по ссылке.