Беларусь и Россия пришли к взаимному признанию электронных подписей

Соглашение о взаимном признании электронной подписи (ЭП) между Беларусью и Россией имеет важное значение для выстраивания цифровой экономики Союзного государства, а также для интенсификации деловой активности. Об этом разговор с аналитиком Белорусского института стратегических исследований Виталием Демировым.

— Виталий Викторович, как развивалась история этого взаимодействия?

— Документ подписан 15 апреля 2024 года. Этому предшествовала серьезная подготовительная работа. Были реализованы пилотные проекты Министерства по налогам и сборам Республики Беларусь и Федеральной налоговой службы Российской Федерации по обмену электронными товаросопроводительными документами при трансграничной торговле с применением механизма доверенной третьей стороны.

В проектах участвовали 11 белорусских хозяйствующих субъектов и 10 российских. На первом этапе удалось разработать и протестировать технологию обмена товаросопроводительными документами, подписанными ЭП в соответствии с национальными законодательствами. Обмен прошел через операторов электронного документооборота, а подписи проверялись с применением механизма доверенной третьей стороны. В рамках второго этапа апробировано оформление в электронных товаросопроводительных документах фактов расхождений, выявленных при приемке товаров. Сообщалось, что это позволяло сокращать процедуру документооборота с месяца до нескольких дней. Нужно понимать, что все происходит впервые, делается с нуля, ведь до этого Беларусь не заключала такое соглашение с другими странами.

Справка. В Беларуси национальным оператором доверенной третьей стороны по признанию подлинности электронных документов при межгосударственном электронном взаимодействии определен Национальный центр электронных услуг (НЦЭУ).

— На ваш взгляд, насколько развито применение электронной цифровой подписи (ЭЦП) в Беларуси?

— ЭЦП используются в стране достаточно давно. Кстати, их «выдача» началась 10 лет назад — 1 июля 2014 года. В апреле 2024-го НЦЭУ сообщил, что вручен двухмиллионный сертификат открытого ключа проверки электронной цифровой подписи. Ежедневно их количество увеличивается на 500—1 500 единиц. В Беларуси развита и необходимая инфраструктура: по всей стране создана сеть регистрационных центров, где предоставляют весь спектр услуг по регистрации пользователей, выпуску сертификатов открытых ключей и выдаче средств ЭЦП.

С активным развитием электронных сервисов возрастает и потребность в цифровой подписи, которая в нашей стране используется в электронном документообороте (ЭДО), для подачи статотчетности, налоговых деклараций в режиме онлайн, а также служит доступом к большому количеству электронных услуг и административных процедур. Существует вариант мобильной ЭЦП. Благодаря возможности хранения личного ключа к ней в смартфоне документы визируются максимально оперативно. Доступно и удаленное продление сертификата.

— Когда на практике можно будет использовать электронную подпись в документации трансграничной торговли?

— Конкретные сроки не определены. Прежде необходимо ввести стандарты взаимодействия операторов ЭДО, определить документы для трансграничного ЭДО для работы по согласованным перечням. Кроме того, инфраструктура, которая используется при идентификации цифровой подписи, может быть также задействована при автоматизации межмашинных отношений и более сложной сквозной автоматизации различных процессов, происходящих в рамках цифровой экономики.

Существует много нюансов. Техническим специалистам важна цифровая совместимость систем подписей, шифрования и защиты данных сторон. Документы должны регулировать и саму инфраструктуру — обмен открытыми ключами. Все это необходимо синхронизировать.

Когда речь идет об ЭЦП, а не об электронном шифровании, то документ подписывают закрытым личным ключом, а проверяют открытым. Такой подход позволяет один раз сгенерировать взаимосвязанную пару и затем всем контрагентам посылать открытый ключ для проверки.

Совсем другая ситуация при ассиметричном шифровании. Здесь личный ключ остается у получателя информации, а открытый — получатель информации отправляет тому, кто будет шифровать им сообщение.

В Беларуси и России ЭЦП — это элемент, без которого невозможно создание единого рынка, прозрачное трансграничное функционирование цифровых сервисов и услуг, т.е. базовая услуга.

Подписанный между Беларусью и Россией документ формализует общие условия использования подписи электронного документооборота. Важно, что он должен четко соответствовать законодательству страны, т.е. организационным и техническим ограничениям. 

— Как этот вопрос решается в других странах?

— Если говорить о правовых нюансах и специфике, то подходы бывают разные. В одной стране это могут быть и физлица, и корпорации, и госорганизации.

В другой, например в Германии, законодательно утверждено, что удостоверяющей стороной признается только само физлицо, то есть человек с конкретной фамилией, который занимает еще и соответствующую должность. В Беларуси свой подход — у нас предусмотрена ЭЦП только организации. Даже когда меняется руководитель, электронная подпись остается прежней.

Когда мы говорим об уровне стран, то необходимо выделять третью — доверенную сторону — высший удостоверяющий центр, который должен иметь самый сильный уровень безопасности. Сейчас мы находимся на этапе разработки этой структуры. Полномочия центра будет регулировать совместное законодательство, что не очень сложно. Регламенты, стандарты в области информационной безопасности не сильно отличаются между Беларусью и Россией.

Соглашение достигнуто относительно развития инфраструктуры и выстраивания синхронизации законодательных, организационных и юридических условий. По мере того, как все это будет выстроено, третья сторона начнет функционировать и наши хозсубъекты смогут получать союзные электронные цифровые подписи и использовать их в работе.

— Как это будет выглядеть на практике?

— Допустим, у нас есть документ в цифровой форме. Из него формируют хеш-оттиск, то есть из документа произвольного размера получается фрагмент фиксированной длины. Подписывают именно его. Из взаимодействия хеш-функции, самой подписи и закрытого ключа получается итоговая подпись. Для разных документов создают разные подписи. Таким образом, ключ у нас один и тот же, а информационная часть нет, так как она соответствует содержанию выдержки из конкретного документа.

Важно, что если одна сторона использует один алгоритм хеш-функции, а другая — другой, то при взаимодействии хеш-слепка с ключом подпись не будет читаться. Самое главное именно в технической синхронизации ключей, алгоритмов, дешифровки и т.п.

Поэтому юридические полномочия третьей стороны — выдавать ключ или отказывать, устанавливать срок действия разрешения на него, тарифная политика. За перечень операций для обслуживания и функционирования всей этой инфраструктуры ключей и подписей будет отвечать именно третья сторона. Она сможет применять совместимые подходы к ЭЦП, шифрованию данных и защите. В результате ЭЦП белорусской стороны, например нефтехимического предприятия, будет признаваться российской стороной.

— Без третьей стороны совсем не обойтись? Такой регулятор не станет своего рода препятствием?

— Без иерархической структуры не получится. Она наиболее защищенная и единообразно интерпретирует последовательности бита, четко идентифицируя ЭЦП. Этот орган не только удостоверяет документ, но и проверяет его целостность. Интерпретировать трансграничную ЭЦП должен единый орган по аналогии с защитой криптографии — только «дерево», только жесткая иерархия. Да, это проверяющий орган. Но ведь и перечень задач, которые оперативно решаются с помощью трансграничной ЭЦП, достаточно большой и относится к весьма ответственным сферам. Можно подписывать пакеты документов, дистанционно оформлять банковское обслуживание предприятий и госзакупки. Это приведет к интенсификации сделок, торговли на биржах, подъему цифровой экономики на более высокий уровень. Речь будет идти об идентификации не просто в рамках электронного документооборота, а в сфере межмашинных транзакций и взаимодействия на более автоматизированном уровне.

В этом случае одним из приоритетных направлений станет управление идентификацией машин. По сути в основу лягут традиционные стратегии управления идентификацией и доступом (IAM), применяемые для отслеживания сотрудников, использующих распределенные вычислительные системы. Управление идентификационными данными машин будет стремиться привнести такой же тип отслеживания в сами машины, т.е. будет налажен постоянный мониторинг действий и коммуникаций, в которых участвуют машины. И это имеет смысл, поскольку системы IAM продолжают обновляться, чтобы соответствовать угрозам и рискам современного цифрового пространства. По большому счету, это тоже данные процесса, доступа, валидности с использованием криптографических инструментов. Однако ЭЦП — лишь базовый блок для строительства цифровой экономики. Он, конечно, необходим, но недостаточен для возможности двигаться дальше.

ФОТО Елизавета Лукашун, открытые источники