EN|RU|UK
Блоги Ірина Артишук
експерт із захисту персональних даних, компанія "АВТОР"
  307  0

Три головних питання про ЕЦП

Чим ближче Україна до електронного документообігу, тим більше питань виникає. Днями потрапила на гарячу дискусію в Мережі на цю тему. Основні питання, які цікавлять суспільство: Що буде з електронним цифровим підписом? Які зміни впроваджує новий закон “Про електронні довірчі послуги”? Що з цим робити бізнесу та приватним особам?

Щоб уникнути таких питань в подальшому, вирішила розкласти все по поличках. Отже, перше: Чому це важливо?

Найголовніше, закон передбачає зміну способу зберігання особистого ключа електронного підпису. Особистий ключ - це основа вашого електронного цифрового підпису, по суті це унікальні електронні дані для створення електронного підпису чи печатки. Сам ключ доступний тільки підписувачу чи створювачу електронної печатки. Для того, щоб зрозуміти чому і наскільки це важливо, необхідно трішки повернутись до історії.

Без належного юридичного регулювання підтверджувати угоди в електронному вигляді неможливо. Вперше цю проблему вирішили в ЄС. Ще в 1999 році там прийняли Директиву ЄС 1999/93/ЄС “Про систему електронних підписів”. Нею в юридичний обіг було введено поняття “електронного підпису”. Крім того, країни-члени ЄС мали змогу самостійно формувати політику електронного документообігу. Прийняття Директиви стало поштовхом до створення цього ринку та запровадження послуги “електронних підписів” у країнах-членах ЄС.

Втім вона мала й певні недоліки. Зокрема, юридичними угодами суд міг визнавати навіть звичайну переписку по e-mail або так звані “клік-договори”, коли ви натискаєте кнопку “Згоден” на будь-якому сайті.

У рамках наближення українського законодавства до європейського, ще в 2003 році прийняли Закон України “Про електронний цифровий підпис”. Саме він і вніс в українську законодавчу термінологію поняття “електронного цифрового підпису”. Важливим аспектом цього закону було визнання ЕЦП повноцінним юридичним інструментом на рівні зі звичайним, власноручним підписом. Прийняття цього закону можна вважати початком ери електронного документообігу в Україні.

Однак, на той час, ні українським, ні європейським законодавством питання безпеки ЕЦП не було практично врегульоване. Особистий ключ електронного підпису можна було зберігати будь-де та будь-яким чином. Для розуміння абсурдності ситуації, наведу простий приклад. Уявіть, що ви підписуєте будь-які папери не вникаючи у зміст або взагалі не читаючи, або підписуєте чисті аркуші паперу та передаєте незнайомій особі. Ситуація з цифровим підписом абсолютно ідентична.

Вирішенням цієї проблеми стало скасування попередньої Директиви та прийняття у 2014 році нового Регламенту ЄС “Про електронну ідентифікацію, верифікацію та довірчі послуги”, він набув чинності у 2016 році. Основною новацією є вимога зберігати особисті ключі кваліфікованого електронного підпису (прирівняного в правах до власноручного) лише на захищених апаратних носіях (електронних ключах, токенах, централізованих сховищах ключів тощо), котрі пройшли відповідну сертифікацію в державних органах. Що це дасть бізнесу?

Передусім, потрібно розуміти, що ратифікувавши Угоду про асоціацію з ЄС, Україна взяла на себе зобов’язання гармонізувати своє законодавство з законодавством Європейського союзу. За відсутність норми про обов’язкове зберігання особистого ключа електронного цифрового підпису на захищеному носієві ЄС неодноразово критикував Україну, адже при такому підході абсолютно порушений принцип безпеки.

Тому цілком логічним кроком власне й стало прийняття Закону України “Про електронні довірчі послуги”, який повністю враховує вимоги оновленого Регламенту ЄС. Закон вступив у дію в 2018 році, підзаконні акти Кабінет міністрів повинен розробити до 7 листопада 2019 року. Якщо ж ви отримали ЕЦП до 7 листопада 2018 року ви можете його використовувати без захищеного носія аж до завершення його терміну дії, але при наступній генерації ключових даних для кваліфікованого електронного підпису чи печатки необхідно буде використовувати виключно захищені носії. Крім того, закон дозволяє використання ще однієї технології, під назвою Mobile ID, яка передбачає створення кваліфікованого електронного підпису за допомогою вашого мобільного телефону, при цьому роль захищеного носія здійснює сім-карта, на якій записаний особистий ключ.

Для кого ці зміни і як їх врахувати в своїй роботі?

Зміни стосуються всіх тримачів електронного цифрового підпису. Оскільки кваліфікований підпис прирівнюється до власноручного, основним пріоритетом є безпека та захист від шахрайства. При використанні спеціального апаратного засобу (токену), особистий ключ, який використовується як унікальні електронні дані для створення електронного підпису чи печатки знаходиться всередині токену, і ніколи не покидає його меж. Крім того, токен захищений пін-кодом з обмеженою кількістю можливих спроб входу. Підібрати пін-код практично неможливо, адже в разі декількох невдалих спроб, токен просто блокується. Для його повторного використання необхідно відформатувати та згенерувати особистий ключ заново. Тобто навіть у разі його викрадення та спроб взлому, ваш особистий ключ просто знищиться. Якщо провести просту аналогію, то токен є своєрідним міні-сейфом для вашого особистого ключа. Закон фактично захищає бізнес, зокрема його керівників, від несанкціонованого використання їх кваліфікованого підпису.

Разом з тим, закон дозволяє використовувати й інші способи захисту. Це можуть бути і спеціалізоване програмне забезпечення, і вище згаданий Mobile ID та навіть ID-картка. До речі, саме останній спосіб використовується у діджиталізованій Естонії. Відтак, в естонських ID-картках вже вмонтований чіп з криптографічною парою, що дозволяє підписувати документи за допомогою своєї ID-картки. Ця технологія вже апробована в Україні і незабаром очікується можливість використання такого способу.

Також можливе використання "серверного" або "хмарного" підпису на основі централізованого сховища ключів. Ця технологія також вже апробована в Україні і незабаром буде готова до використання.

Підсумовуючи, хочу зазначити, що прийняттям закону “Про електронні довірчі послуги” Україна зробила суттєвий крок вперед в сфері використання електронних технологій в повсякденному житті.

Комментировать
Сортировать:
в виде дерева
по дате
по имени пользователя
по рейтингу
 
 
 
 
 
 вверх