В России предлагают легализовать «облачную» подпись

В Совете Федерации подготовили законопроект, предлагающий легализовать технологию «облачной» подписи. Она будет отличаться отсутствием жёсткой привязки к конкретному рабочему месту, поскольку всю настройку криптографии и управление ключами предполагается выносить на отдельные серверы. Доступ к «облачной» подписи будет возможен и с персонального компьютера, и с мобильных гаджетов.

В СФ также пояснили, что законопроект установит единое требование к универсальной усиленной квалифицированной электронной подписи. Её предполагается применять в любых видах гражданско-правовых отношений и использовать всеми участниками электронного взаимодействия.

В законопроекте присутствует понятие «доверенной третьей стороны». Это будет субъект, способный подтверждать достоверность зарубежной подписи при ведении международного документооборота. 

Как следует из паспорта нацпроекта «Цифровая экономика», закон, регулирующий формирование и использование универсальной электронной подписи, должен быть принят до 31 июля 2019 года.

Что это значит

«Облачная» подпись при её широком распространении будет способствовать цифровизации бизнеса. Де-факто она и сейчас применяется в банковских приложениях, когда клиент подтверждает свои действия с юридическими последствиями путём двухфакторной авторизации. Но потенциально её можно применять везде, где общение деловых стороны идёт в веб-среде.

Достаточно развёрнутую позицию по применению «облачной» подписи ещё несколько лет назад представили эксперты «КриптоПро», компании-лидера по распространению средств криптографической защиты информации. Признавая удобство, они отмечают необходимость серьёзно подходить к безопасности таких подписей:

— Основной головной болью при переводе любой ИТ-системы «в облако» становится боль «безопасников» (и помогающих им юристов), связанная с передачей «туда» информации для обработки или хранения. Если раньше эта информация не покидала некоторого защищённого периметра, и можно было сравнительно легко обеспечить её конфиденциальность, то в облаке само понятие периметра отсутствует. При этом ответственность за обеспечение конфиденциальности информации в каком-то смысле «размывается» между её владельцем и поставщиком облачных услуг. То же самое происходит и с ключом ЭП, передаваемым в облако. Более того, ключ ЭП — это не просто конфиденциальная информация. Ключ должен быть доступен только одному лицу — его владельцу. Таким образом, доверие к облачной подписи определяется не только личной ответственностью пользователя, но и безопасностью хранения и использования ключа на сервере и надежностью механизмов аутентификации. С другой стороны, в мире ИТ всё шире применяется концепция «облачных вычислений», которая во многих отношениях имеет массу преимуществ по сравнению с использованием традиционных приложений, установленных на компьютере пользователя.