Не носитель, а облако в правах
Финансовые сделки скрепят без устройств
Скоро на финансовом рынке может быть запущен пилот по использованию облачной универсальной электронной квалифицированной подписи (УКЭП). Это продвинутый аналог стандартной УКЭП, который хранится в облаке, поэтому не нуждается в физическом носителе. Подпись может использоваться для заключения фактически любых сделок — от покупки недвижимости до получения госуслуг. Но есть и риски: в случае попадания в руки кибермошенников такая подпись открывает неограниченный доступ к распоряжению средствами и имуществом жертвы.
Фото: Игорь Иванко, Коммерсантъ / купить фото
Как стало известно “Ъ”, на днях ассоциация «Финтех» (АФТ) разослала своим участникам письмо о «подготовке начала проекта — внедрение облачной цифровой подписи на финансовом рынке». В письме ассоциация просит до 5 февраля ответить на ряд вопросов относительно внедрения технологии, а также сообщить о готовности участвовать в пилотном проекте.
В АФТ уточнили, что по итогам опроса финансовых организаций ассоциация выявила потребность во внедрении механизма облачной УКЭП на финансовом рынке. «Облачная УКЭП — необходимый элемент для перехода к полностью дистанционному и безбумажному взаимодействию клиентов (физических и юридических лиц) с финансовыми институтами,— поясняют там.— Она позволяет подписывать документы в электронном виде и является аналогом собственноручной подписи». При использовании облачной УКЭП применяются средства криптографической защиты информации, сертифицированные ФСБ.
Облачная УКЭП в отличие от «обычной» УКЭП не требует наличия специального устройства, токена, для подписания документов и может использоваться как на компьютере, так и на планшете или смартфоне.
Ряд стран уже используют этот механизм, например, в Эстонии, Норвегии, Дании и Швеции реализована облачная квалифицированная подпись.
В опрошенных кредитных организациях видят широкие перспективы для внедрения облачной УКЭП в финансовой сфере.
«ВТБ уже проводит пилотные проекты с целью предоставления клиентам возможности использовать облачную УКЭП при обслуживании в дистанционных каналах,— указали там.— Банк примет участие пилоте на уровне АФТ в случае принятия решения о его целесообразности». Основным преимуществом данного инструмента является возможность использования на любых устройствах без применения физических носителей УКЭП — токенов, флешек, карт и т. д.: подпись нельзя потерять и забыть дома. По словам директора департамента информационной безопасности МКБ Вячеслава Касимова, эта технология потенциально может быть использована во всех без исключения сделках, осуществляемых финансовыми организациями. Банк «Русский стандарт» рассматривает для себя участие во внедрении облачной УКЭП, поскольку это позволит клиентам полноценно оформлять удаленно любые банковские продукты, услуги и сервисы без дополнительных рисков, сообщили там.
Руководитель центра технологических инноваций Райффайзенбанка Евгения Овчинникова отмечает, что облачная УКЭП может быть применима и для взаимодействия с госорганами в составе цифрового профиля юридического лица, для удаленного онбординга, дистанционного заключения договоров между клиентами и компаниями, что особенно актуально в связи с расширением практик безопасной удаленной работы. Например, с помощью облачной УКЭП можно сдавать отчетность в налоговую, не выходя из дома, чем активно пользовались наши клиенты в 2020 году в разгар пандемии, указывает она.
Среди основных рисков эксперты называют возможность утечек данных пользователей и оригиналов УКЭП в пользу злоумышленников, которые могут взломать базы данных операторов, поскольку УКЭП хранится в облачном виртуальном пространстве, а значит, теоретически уязвима для кибератак.
По словам руководителя направления «Разрешение IT- & IP-споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослава Шицле, это, в свою очередь, может порождать риски утечек и других ценных данных, так или иначе привязанных к конкретной УКЭП. «Сюда же можно прибавить риски неправомерного использования такой подписи,— продолжает он.— Кроме того, не все клиенты смогут ей пользоваться по причине технического несоответствия программным продуктам — это если какая-либо услуга оказывается вдруг удаленно, что сейчас не редкость».