Александр Быков, Directum: В электронном подписании документов реже используют алгоритмы RSA и чаще переходят на отечественные стандарты

Цифровизация в компаниях наконец-то дошла до HR-отделов. Теперь там тоже используют электронный документооборот – в России появилась нормативная база, которую ждали много лет. 

Но насколько сегодня безопасны инструменты цифрового подписания для кадровых процессов и компаний в целом? Мнением с Cyber Media поделился Александр Быков, руководитель проектов развития бизнеса Directum. 

Cyber Media: Какие электронные подписи используются в кадровом электронном документообороте (КЭДО)? 

Александр Быков: Напомню, что вопросы электронного подписания документов регулирует 63-ФЗ. Его положения в 2021 году дополнил 377-ФЗ, который внес изменения в Трудовой кодекс и определил, какие кадровые документы подписываются конкретными видами электронных подписей.

Для целей КЭДО используются простые (ПЭП) и усиленные ЭП – квалифицированные (УКЭП) и неквалифицированные (УНЭП).

Эксперты сходятся во мнении, что эффективнее всего использовать УКЭП для работодателя и УНЭП – для работников. 

Cyber Media: Почему именно такой набор?

Александр Быков: Усиленной квалифицированной подписью работодатель сможет заверить все виды документов, которые в принципе можно вести в электронном виде. Напомню, что исключений из этого списка пока три: приказ об увольнении, акт о несчастном случае на производстве и документ, подтверждающий прохождение работником инструктажа по охране труда. Эти документы обязательно дублировать на бумаге. Все остальные работодатель может подписать УКЭП. 

Отмечу, что в ТК РФ описаны варианты, когда можно использовать и другие виды ЭП, но с определенными ограничениями. Чтобы сделать систему универсальной и не разбираться в каждой конкретной ситуации, можно или нет подписывать документ, со стороны работодателя лучше задействовать УКЭП. Это также полностью исключит риск признания документа недействительным.

Для работника оптимальный вариант – УНЭП. Согласно закону, он также сможет заверить этой подписью любой кадровый документ. Функциональность УКЭП для рядового специалиста избыточна, к тому же эта подпись дороже, а ПЭП имеет ограничения и не является безопасной. Кроме того, простая ЭП не содержит механизмов обеспечения долговременного хранения заверенных документов в отличие от усиленных подписей.

Cyber Media: Что скажете о Госключе?

Александр Быков: Госключ ввели в ТК РФ как отдельный вид ЭП, хотя на самом деле это скорее технология мобильного подписания, используя которую можно получить и УКЭП, и УНЭП.

У Госключа есть ряд преимуществ: сгенерировать подписи достаточно легко, особенно УНЭП – понадобится только смартфон, подтвержденная учетная запись на Госуслугах и несколько свободных минут. С УКЭП чуть сложнее – дополнительно нужен будет заграничный паспорт нового образца с биометрическими данными и технология NFC в телефоне, чтобы эту информацию распознать. Еще «бонусы» Госключа: приложение бесплатное и всегда под рукой, с его помощью легко организовать массовую выдачу ЭП.

Госключ уже активно используется для целей КЭДО. Считаю, что за этой технологией – будущее. Правда, пока у сервиса есть ряд ограничений. Основное связано с технологией: чтобы подписывать кадровые документы, придется для начала установить приложение, а потом постоянно обращаться к нему для подписания, а значит, переключаться между интерфейсами. В то же время это не сильно мешает рядовым пользователям. Госуслуги и прочие системы успешно функционируют с применением Госключа.

Cyber Media: Какие есть преимущества и недостатки у каждого вида ЭП для разных групп пользователей (работодателя, сотрудников)?

Александр Быков: Начну с простой электронной подписи. Очевидно, что это наименее защищенный вид ЭП. Такая подпись существует только в той информационной системе (ИС), в которой была сформирована. Куда-то выгрузить кадровые документы – проблематично. Фактически безопасность ПЭП определяется добросовестностью разработчика ИС: сама по себе подпись не содержит средств защиты.

Усиленные подписи на порядок надежнее. Они основаны на криптографических алгоритмах шифрования, которые разработчик обязан использовать в соответствии с законодательством. Существуют конкретные требования регуляторов к усиленным ЭП. Безопасность регламентирована.

Теперь о стоимости использования подписей для целей КЭДО. ПЭП – самый дешевый вариант, но и наименее применимый.

УНЭП – оптимален для работников. Почему? Это самая многочисленная группа сотрудников, а значит, подпись для них нужно выпускать массово, быстро и дешево. При этом освоить ее использование должно быть несложно. УНЭП удовлетворяет всем этим требованиям. Разработчики специализированных систем, как правило, не отделяют стоимость усиленной неквалифицированной подписи от общих затрат на приобретение системы. Если использовать Госключ, УНЭП можно получить бесплатно.

Усиленную квалифицированную ЭП выдают аккредитованные удостоверяющие центры – УЦ ФНС, Казначейства и коммерческие. Эта подпись самая дорогая, но предлагает наиболее широкие возможности. Тех, для кого она обязательна по ТК РФ, не так много – в основном, это руководители, а значит, общие затраты в масштабах компании не очень велики.

УКЭП предлагает локальное (токены) или мобильное подписание. В облаке она не используется, так как нет сформированных требований к средствам хранения ключей ЭП. Сейчас прослеживается тенденция к использованию токенов со встроенной криптографией, которые, кроме хранения ключа, позволяют выполнить криптографические преобразования внутри самого устройства. Экспортировать такую подпись на внешний носитель невозможно. Это самый безопасный вариант.

За стоимостью УКЭП мы наблюдаем. Рынок производства средств криптографии на подъеме, смотрим, справится ли он с наплывом заказчиков в связи с переходом на КЭП физлиц.

Cyber Media: Насколько безопасно заверять кадровые документы с помощью ЭП и почему?

Александр Быков: Главное, что нужно понимать, – электронная подпись гораздо надежнее бумажной. Подделать подпись на бумажном документе намного проще, особенно когда заверяется только последний лист. Конечно, меры защиты от подмены есть (прошивка, визирование, печати), но применяются они далеко не всегда, требуют времени и ресурсов. Да и саму подпись, выполненную ручкой на бумаге, подделывали всегда и продолжают это делать.

Электронная подпись становится недействительной, если поменялся хоть один бит в документе. Подделать документ с ЭП очень сложно.

Часто звучат опасения относительно того, что устройство – тот же токен – могут украсть. Это вопрос цифровой гигиены. Сама технология – максимально безопасна, все остальное определяет человеческий фактор. Если владелец ключа бесконтрольно и бездумно передает его из рук в руки, конечно, такой формат небезопасен. Если же человек проявляет осознанный и грамотный подход, подписывать документы УКЭП весьма безопасно, особенно если используются токены с неизвлекаемыми ключами.

С облачной УНЭП – все то же самое, технология надежна. Более того, в этом случае владелец ключа делит ответственность за безопасность с Удостоверяющим центром, который этот ключ хранит. Тот же токен можно потерять, а облачный ключ – нет. Кроме того, если подпись выдана для целей КЭДО, подписать ею другие документы (например, договор купли-продажи квартиры) не получится.

Еще одна ремарка по теме безопасности: в России прослеживается тенденция отказа от алгоритмов RSA и переход на отечественные стандарты, закрепленные ГОСТ. Раньше RSA оставались в нише УНЭП, но сейчас наблюдаем уход от этой практики в пользу гостовских алгоритмов. Во многом этому способствуют усилия лидеров рынка, таких как КриптоПро, «Актив».

Cyber Media: Каким образом происходит идентификация человека при использовании ЭП?

Александр Быков: При выдаче ЭП удостоверяющий центр обязан провести идентификацию, то есть убедиться, что закрытый ключ будет принадлежать конкретному гражданину.

Способы идентификации определяет 63-ФЗ. Первый вариант – личное присутствие, когда сотрудник УЦ смотрит в глаза человеку и сверяет документы. Второй сценарий – подключение к процессу государственной информационной системы, а именно – ЕСИА (Единой системы идентификации и аутентификации). Наличие у гражданина подтвержденного профиля на Госуслугах означает, что его личность уже подтверждена, а это открывает возможность для полностью удаленной идентификации.

Дальнейшее развитие механизма связано с биометрией. Первые шаги в этом направлении уже сделаны – к примеру, биометрические данные интегрированы в загранпаспорта нового образца. Однако практика подтверждения личности таким способом пока не особо распространена. Массовый пользователь относится к биометрии осторожно и даже предвзято.

Cyber Media: Считается, что метка доверенного времени повышает уровень безопасности. Почему?

Александр Быков: Метка доверенного времени фиксирует конкретный момент подписания документа. Почему она нужна? Дело в том, что определение и сохранение даты и времени не является обязательным требованием при создании ЭП. Конечно, информация о моменте заверения может уже содержаться в подписи, но без метки она будет получена из данных устройства, на котором была сгенерирована ЭП, а они не всегда точны (к примеру, из-за технических сбоев). Также время подписания можно подтвердить косвенными доказательствами – датой в тексте или журнале регистрации. Но и это можно оспорить.

Метка пригождается, если нужно доподлинно знать точное время подписания документа, а это – достаточно распространенный случай. Если сформирована метка доверенного времени, момент подписания документа не подвергается сомнению, ведь есть третья сторона, готовая подтвердить достоверность данных. Метка повышает прозрачность работы с документами, помогает организовать долговременное хранение с поддержанием юридической значимости и выручает в спорных ситуациях.

Cyber Media: Что посоветуете компаниям, которые сейчас выбирают поставщика КЭДО? Какие нюансы важны с точки зрения безопасности подписания?

Александр Быков: Первое – нужно убедиться, что в рассматриваемой системе доступны базовые виды подписи: УНЭП для работников и УКЭП для работодателя. Остальное не так значимо, но советую смотреть на то, насколько удобно реализован механизм подписания, какие технологии используются, есть ли интеграция с Госключом, какие доступны варианты реализации УНЭП – облачная или мобильная, если облачная, то у каких провайдеров. Также рекомендую проверить, настроена ли идентификация через ЕСИА для выдачи сертификатов электронной подписи.