Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
Генеральный директор компании SafeTech рассказал, как с помощью мобильной электронной подписи и сервиса Nopaper компания реагирует на новые запросы по удаленному взаимодействию бизнеса и граждан
— Денис Анатольевич, какие актуальные тренды на рынке ЭП можно выделить?
— Драйвером развития технологий электронной подписи (ЭП) можно назвать рост рынка электронного документооборота (ЭДО) как одной из сфер применения ЭП. Двигателем же этого рынка в текущих непростых условиях стали оптимизация расходов и крайне высокая конкуренция за потребителя во всех сферах бизнеса. Организация, которая не только удаленно найдет клиента, но и предложит ему сразу заключить договор, «не вставая с дивана», не даст конкуренту возможности перехватить заказ. Современные системы ЭДО также позволяют удаленно нанимать персонал, активно наращивать агентские сети, не говоря уже про ускорение и удешевление практически всех бизнес-процессов.
Однако применимость систем ЭДО в массовом сегменте довольно долго упиралась в «последнюю милю» до пользователя, ведь для начала работы ему требовалось потратить как минимум полдня и значительную сумму денег на то, чтобы съездить в удостоверяющий центр, выпустить себе ЭП на аппаратный токен, потом установить комплект весьма специфического программного обеспечения на компьютер и лишь после этого обмениваться документами только с теми «энтузиастами», которые тоже решились пройти этот непростой путь. Естественно, что в основном участниками цифровой коммуникации были крупные компании, масштаб деятельности которых оправдывал такие трудозатраты на подключение.
Денис Калемберг, генеральный директор компании SafeTech (Фото: SafeTech)
При этом рынок и технологии цифрового документооборота в последние годы довольно активно развиваются, немалое влияние на этот процесс оказал ковидный карантин, который практически блокировал не только процесс взаимодействия компаний, у которых не было ЭДО, но и саму возможность получения ключей ЭП, требующую личной встречи. Поэтому появились системы нового поколения, работающие «в смартфоне» с «бесконтактным» процессом подключения за несколько минут, не требующие аппаратных токенов и установки чего-либо на компьютер. В частности, все это позволяет делать система Nopaper, которой мы, в SafeTech , занимаемся.
В итоге появляется возможность значительно сократить или полностью устранить ту самую «последнюю милю» (например, между поставщиком и покупателем), которая все еще нередко заставляет нас совершать ненужные в современном мире действия.
За примерами далеко ходить не надо. Я недавно ездил через полгорода в банк только для того, чтобы подписать одну бумажку: у меня существовали специальные условия по депозиту, которые необходимо было продлить. После этого естественной реакцией была такая: «Ребята, вы понимаете, что если еще пару раз мне придется к вам приехать, то я пойду на обслуживание в тот банк, в котором все будет подписываться без этих визитов, занимающих едва ли не половину рабочего дня».
— А что говорят банкиры по этому поводу?
— Не стану кого-то рекламировать или, наоборот, ругать, скажу в общем. Я считаю, что в какой-то момент именно банки стали драйверами развития финтеха в России, и в отличие от зарубежных финансовых организаций они добились в этом вопросе действительно впечатляющего прогресса. Мы уже давно привыкли к тому, что приложения банков стали способом получения далеко не только банковских услуг, но и огромного количества других — от страховки, до туристических путевок.
Существует множество финансовых продуктов, оформление и обслуживание которых могло бы полностью уйти в дистанционные каналы. Банкиры и здесь могут стать драйвером перевода всех договорных конструкций в цифровой вид. Но пока его отсутствие в ряде случаев значительно усложняет клиентский путь. Сказанное справедливо и для иных финансовых институтов, например для страховщиков.
У нас есть хороший пример, когда компания «АльфаСтрахование», внедрив систему ЭДО нового поколения, не требующую личной встречи с потенциальным агентом для подписания договора сотрудничества, всего лишь за месяц нарастила агентскую сеть в несколько раз. Особенно заметным эффект был в отдаленных регионах, где не было офисов, но были люди, которые захотели сотрудничать со страховой. Им потребовалось лишь зарегистрироваться за пять минут в мобильном приложении и подписать агентский договор. Все дальнейшие документы, например допсоглашения, акты об оказании услуг и вознаграждении, подписываются там же, одним «тапом» по экрану. Раньше процессы обмена подписанными оригиналами и соответственно получения вознаграждения занимали до полутора месяцев. Цифровизация процесса за счет ЭДО позволила агентам сосредоточиться на клиентах, не отвлекаясь на формальности, а бизнес снизил операционные затраты и лучше контролирует движение и хранение электронных документов. Согласитесь, это достойный результат.
— Можно ли пару слов сказать о внедренном продукте?
— Это сервис мобильного электронного документооборота Nopaper с удаленным получением подписи за несколько минут, не требующий подтверждения личности в удостоверяющем центре. Он позволяет подписывать документы из любой точки мира в режиме онлайн буквально одним «тапом» по экрану. Это совместное решение от резидентов «Сколково», компаний Abanking и SafeTech.
Одним из его преимуществ является то, что разработчикам удалось «вписаться» в существующую нормативную базу, регулирующую сферу ЭП. А это означает, что Nopaper позволяет полностью легитимно работать с простой электронной подписью (ПЭП) и усиленной неквалифицированной электронной подписью (НЭП) без личной предварительной встречи.
— С драйверами рынка ЭП понятно, а что тормозит развитие?
— Как в случае с практически любой инновационной технологией, первое, с чем мы и наши коллеги сталкиваемся, это инерционность ментальности людей. Они понимают, что это безопасно, удобно, быстро, но на другой чаше весов находится привычка к устоявшимся процессам.
Приведу еще один пример из собственной практики: я как физическое лицо заказывал ряд услуг с сфере ремонта, соответственно нужно было подписать договоры с поставщиками. Чтобы ускорить и упростить данный процесс, я попросил контрагентов сделать это в электронном виде, они согласились. Однако уже после окончания работ эти поставщики приехали с презентом и просьбой подписать все документы на бумаге, потому что их бухгалтерии «некомфортно», когда договоры и акты не лежат в шкафах для «макулатуры». Очень надеюсь, что и эта привычка в скором будущем канет в Лету.
— Не смущает ли людей то, что ЭП — небесплатный продукт?
— Смущает. Но надо понимать, что предыдущее поколение технологий ЭП было рассчитано не на массовое использование, а на немногочисленную «верхнюю прослойку» бизнеса. Соответственно ключи подписи хранились на дорогих аппаратных токенах, к ним приобреталось криптографическое программное обеспечение, выпускался сертификат в аккредитованном удостоверяющем центре, прибавлялась стоимость самой системы ЭДО, и все это, конечно, выходило в очень существенную сумму. Такой подход невозможен, когда мы говорим о миллионах пользователей — физических лиц, самозанятых, ИП и т.д.
Мы стараемся предложить рынку «прозрачное» ценообразование, которое основано на стоимости подписания пакета документов без скрытых платежей за средство подписи, сертификат, абонентскую плату и т.д. Пользователь всегда знает, сколько стоит процесс подписи в «бумажном» варианте, куда входят бумага, печать, время на передачу, курьерский сервис, хранение и т.д., и может сравнить все это с ценой, которую гарантирует цифровой сервис. Могу сказать, что в ряде наших проектов экономия заказчика доходила до 85%.
— SafeTech делает ставку не на классические токены, а на мобильную ЭП. В чем различия и как относится к ЭП законодатель?
— Я бы сказал, что сейчас эти виды средств ЭП существуют в двух неконкурирующих мирах, так как их целевой аудиторией являются разные категории пользователей.
Во-первых, есть классический ЭДО, в котором вы в обязательном порядке идете «испытывать боль» в удостоверяющий центр для получения пакета бумаг с синими печатями и классического токена с ЭП для работы исключительно с компьютера. Именно так сегодня выглядит способ общения между крупными компаниями, либо между компаниями и государством благодаря квалифицированной электронной подписи (КЭП), аналогу собственноручной подписи руководителей.
Во-вторых, существует намного больший мир малых предприятий, ИП, самозанятых, а также обычных физических лиц, которых мало какая сила сможет загнать в удостоверяющий центр с энной суммой денег. Именно для этой аудитории предназначена, как мы ее называем, Neo ЭДО. Nopaper — мобильная система электронного документооборота, главная особенность которой — то, что для получения подписи не нужно куда-то ехать, а вся работа может осуществляться со смартфона. Особо подчеркну: использование мобильной ЭП полностью легитимно, что подтверждено значительным количеством внедрений в банках и страховых компаниях.
Мы полагаем, что в течение ближайших двух-трех лет ситуация с проникновением ЭП в бизнес сильно поменяется, в том числе за счет государственных сервисов, хотя они отчасти и являются нашими конкурентами. Сейчас предпринимаются довольно большие усилия для популяризации цифровых госуслуг: «госключа», порталов для обмена документами и т.д. Авторитет государства, безусловно, изменит ментальность как должностных лиц, так и обычных граждан: раз государство занимается переводом «бумаги» в «цифру», обычный бухгалтер не будет переживать по поводу отсутствия макулатуры в его шкафу.
Поэтому, отвечая на вопрос о динамике развития рынка мобильной ЭП, отмечу: именно эта технология способна сделать электронный документооборот действительно массовым.
— Насколько часто сталкивались кредитно-финансовые организации с неправомерным использованием ЭП при проведении финансовых операций?
— Одной из форм простой ЭП является код, присылаемый на смартфон через СМС или push-канал, его необходимо ввести в специальную форму на сайте банка, онлайн-магазина или веб-портала.
С моей точки зрения, данная технология несет в себе значительные риски, так как не обеспечивает ни защиты, ни контроля авторства и целостности документа. Ведь подписывая какой-то документ в цифровом виде, мы должны быть уверены, что на другой стороне с нами взаимодействует тот человек, который имеет на это полномочия, а какие-либо значимые поля не были изменены при передаче или во время хранения. Все это в данном случае реализовать невозможно, то есть открывается пространство как для мошенничества в отношении подписантов, так и для отказа от документа одной из сторон.
В качестве примера неудачного применения «кодиков» можно привести системы дистанционного банкинга по всему миру. Эта технология для подтверждения финансовых транзакций сгенерировала такое количество инцидентов краж со счетов клиентов банков, что к настоящему времени попала под запрет во множестве стран. Например, в Европе это платежная директива PSD2, в России — Положение ЦБ № 683-п. И я уверен, что в итоге банковская практика отказа от отправки кодов подтверждения будет распространена и на другие сферы цифрового взаимодействия, ведь весь арсенал кибермошенников сначала «обкатывается» на финансовой отрасли как на наиболее прибыльной и лишь потом начинает использоваться в других отраслях.
Кроме того, использование СМС-кодов одновременно и для доступа к личному кабинету ДБО, и для подписания, например, электронного кредитного договора резко увеличивает возможный убыток клиента, ведь мошенник может получить доступ к дубликату SIM-карты (по поддельной доверенности), зайти от его имени в мобильный банк, взять кредит и отправить его вместе со всеми остатками средств на карту дропа (обналичить). А дубликат SIM-карты — это далеко не единственный способ перехватить код подтверждения (подписи). Вариантов довольно много, начиная с банального фишинга и заканчивая атаками класса SS7, с помощью которых обчистили счета многих тысяч банковских клиентов в Германии.
— А что же суды? Какая существует юридическая практика по работе с мошенничеством посредством СМС?
— Практики накопилось немало и у нас, и за рубежом, при этом исход дела зависит от уровня привлеченной экспертизы. Мой опыт показывает, что грамотный адвокат в связке с опытным техническим экспертом практически в 100% случаев докажет, что их клиент никакой документ не подписывал, потому что технология СМС уязвима на всем протяжении жизненного цикла сообщения.
Начнем с того, что если организация высылает для подписи кому-то SMS-код, то она сама же его и генерирует, соответственно знает его раньше клиента. Затем код обычно попадает в инфраструктуру сторонней компании — агрегатора сообщений, которая также имеет доступ к этой вроде-бы секретной информации. После этого код попадает в канал телеком-оператора, где может быть скомпрометирован при помощи упомянутой выше уязвимости SS7. Потом «прилетает» в SIM-карту (например, выпущенную по поддельной доверенности в офисе оператора), а затем клиент может сообщить код по телефону «специалисту службы информационной безопасности СберБанка» или ввести в окошко на фишинговом сайте.
Согласитесь, что довольно странно со стороны провайдеров банковских и любых других услуг использовать заведомо скомпрометированную технологию для подтверждения транзакций или юридически значимого электронного документооборота, особенно если он также может генерировать финансовые убытки.
Что в итоге я хочу сказать? Риски при использовании одноразовых кодов в качестве ЭП слишком велики, и в итоге рынок от этого уйдет. Реализованных инцидентов, а также судебной практики предостаточно, причем не только в финансовом секторе. На горизонте двух-трех лет их заменит мобильная электронная подпись, встроенная в приложения для ЭДО, мобильный банкинг и другие. Это позволит сделать сервисы более удобными, а также поднять защищенность и юридическую значимость на качественно новый уровень.
— А вы не видите альтернатив? Какие еще технологии ЭП могут использоваться в системах ЭДО нового поколения?
— Когда мы говорим о требованиях к технологии ЭП, самыми важными из них являются отсутствие у кого-либо, кроме пользователя, возможности сформировать подпись от его имени (то есть только он может воспользоваться ключом подписи), а также контроль целостности электронного документа, который может быть обеспечен лишь криптографическими алгоритмами.
Соответственно есть всего три альтернативных пути решения этой задачи:
Поэтому альтернатив мобильной ЭП в массовом сегменте пока нет.
— Какие бизнес-процессы в финансовых организациях можно и нужно оптимизировать с помощью мобильной ЭП и Neo ЭДО?
— В первую очередь, чтобы оптимизировать процессы, нужно сегментировать их с точки зрения применимости различных уровней подписи на основании 63-ФЗ. Например, квалифицированная ЭП, даже реализованная в «мобильном» варианте, — это «пушка крупного калибра», которую имеет смысл применять в исключительных или специальных случаях. Она дорогая, обычно требует очной идентификации и т.д. Сфера ее применения — регистрация юрлица, ИП, недвижимости, выдача ипотеки.
Мобильная неквалифицированная электронная подпись может использоваться для открытия счетов, выдачи кредитов и т.д. Вообще, все, что связано с деньгами, лучше выстраивать на НЭП, поскольку она обеспечивает безотказность, в отличие от ПЭП. А ПЭП, включая ее реализацию посредством СМС-кода, лучше всего оставлять для нефинансовых бизнес-процессов с минимальным уровнем риска: подписи соглашений на обработку персональных данных, каких-то документов из разряда «подписали и забыли».
В каких отраслях экономики сейчас наиболее востребована мобильная ЭП? Самая «горячая» для нас сейчас сфера — банковская, что связано с ужесточением требований к технологиям подтверждения финансовых транзакций со стороны Центробанка, которые, по сути, вывели из легитимного поля ПЭП на базе СМС-кода и push-уведомлений, соответственно резко вырос интерес к нашей платформе PayControl ГОСТ.
Также много проектов идет в страховании — наверное, это одна из самых «оцифрованных» отраслей. С моей точки зрения, здесь очень важно обращать внимание на то, какой именно ЭП подписываются страховые договоры и акты об урегулировании убытков. ПЭП без контроля авторства оставляет большое пространство для мошенничества. Про вариант оптимизации агентской сети мы уже говорили ранее, сейчас проект расширяется. Идут переговоры о старте новых.
При помощи ЭДО Nopaper мы вообще вышли в «голубой океан» и получили возможность работать с практически любой отраслью. Например, у нас есть встроенный кадровый документооборот: сегодня можно нанять человека, не встречаясь с ним. Он может находиться при этом где-нибудь на Бали и подписывать в мобильном приложении заявки на отпуск и другие внутрикорпоративные документы в соответствии с регламентом компании.
Также мы работаем с физическими лицами, которым нужно удаленно сдать квартиру, продать машину, заказать какую-то услугу посредством нашего сервиса Nopaper. У нас уже были иски по попыткам отказа от удаленно подписанных документов, и суды отклоняли эти попытки. Жизнь меняется, у людей появляются новые запросы, связанные с электронной подписью, и мы должны дать им сервисы и технологии, которые ответят на эти запросы!
Уход западных IT-вендоров стал не только вызовом, но и стимулом: импортозамещение ускоряется и охватывает все больше сегментов рынка. В авангарде — финансовый сектор: в банках уже появляются надежные программно-аппаратные комплексы на базе российских решений