— Денис Анатольевич, какие актуальные тренды на рынке ЭП можно выделить?

— Драйвером развития технологий электронной подписи (ЭП) можно назвать рост рынка электронного документооборота (ЭДО) как одной из сфер применения ЭП. Двигателем же этого рынка в текущих непростых условиях стали оптимизация расходов и крайне высокая конкуренция за потребителя во всех сферах бизнеса. Организация, которая не только удаленно найдет клиента, но и предложит ему сразу заключить договор, «не вставая с дивана», не даст конкуренту возможности перехватить заказ. Современные системы ЭДО также позволяют удаленно нанимать персонал, активно наращивать агентские сети, не говоря уже про ускорение и удешевление практически всех бизнес-процессов.

Однако применимость систем ЭДО в массовом сегменте довольно долго упиралась в «последнюю милю» до пользователя, ведь для начала работы ему требовалось потратить как минимум полдня и значительную сумму денег на то, чтобы съездить в удостоверяющий центр, выпустить себе ЭП на аппаратный токен, потом установить комплект весьма специфического программного обеспечения на компьютер и лишь после этого обмениваться документами только с теми «энтузиастами», которые тоже решились пройти этот непростой путь. Естественно, что в основном участниками цифровой коммуникации были крупные компании, масштаб деятельности которых оправдывал такие трудозатраты на подключение.

Денис Калемберг, генеральный директор компании SafeTech (Фото: SafeTech)

При этом рынок и технологии цифрового документооборота в последние годы довольно активно развиваются, немалое влияние на этот процесс оказал ковидный карантин, который практически блокировал не только процесс взаимодействия компаний, у которых не было ЭДО, но и саму возможность получения ключей ЭП, требующую личной встречи. Поэтому появились системы нового поколения, работающие «в смартфоне» с «бесконтактным» процессом подключения за несколько минут, не требующие аппаратных токенов и установки чего-либо на компьютер. В частности, все это позволяет делать система Nopaper, которой мы, в SafeTech , занимаемся.

В итоге появляется возможность значительно сократить или полностью устранить ту самую «последнюю милю» (например, между поставщиком и покупателем), которая все еще нередко заставляет нас совершать ненужные в современном мире действия.

За примерами далеко ходить не надо. Я недавно ездил через полгорода в банк только для того, чтобы подписать одну бумажку: у меня существовали специальные условия по депозиту, которые необходимо было продлить. После этого естественной реакцией была такая: «Ребята, вы понимаете, что если еще пару раз мне придется к вам приехать, то я пойду на обслуживание в тот банк, в котором все будет подписываться без этих визитов, занимающих едва ли не половину рабочего дня».

— А что говорят банкиры по этому поводу?

— Не стану кого-то рекламировать или, наоборот, ругать, скажу в общем. Я считаю, что в какой-то момент именно банки стали драйверами развития финтеха в России, и в отличие от зарубежных финансовых организаций они добились в этом вопросе действительно впечатляющего прогресса. Мы уже давно привыкли к тому, что приложения банков стали способом получения далеко не только банковских услуг, но и огромного количества других — от страховки, до туристических путевок.

Существует множество финансовых продуктов, оформление и обслуживание которых могло бы полностью уйти в дистанционные каналы. Банкиры и здесь могут стать драйвером перевода всех договорных конструкций в цифровой вид. Но пока его отсутствие в ряде случаев значительно усложняет клиентский путь. Сказанное справедливо и для иных финансовых институтов, например для страховщиков.

У нас есть хороший пример, когда компания «АльфаСтрахование», внедрив систему ЭДО нового поколения, не требующую личной встречи с потенциальным агентом для подписания договора сотрудничества, всего лишь за месяц нарастила агентскую сеть в несколько раз. Особенно заметным эффект был в отдаленных регионах, где не было офисов, но были люди, которые захотели сотрудничать со страховой. Им потребовалось лишь зарегистрироваться за пять минут в мобильном приложении и подписать агентский договор. Все дальнейшие документы, например допсоглашения, акты об оказании услуг и вознаграждении, подписываются там же, одним «тапом» по экрану. Раньше процессы обмена подписанными оригиналами и соответственно получения вознаграждения занимали до полутора месяцев. Цифровизация процесса за счет ЭДО позволила агентам сосредоточиться на клиентах, не отвлекаясь на формальности, а бизнес снизил операционные затраты и лучше контролирует движение и хранение электронных документов. Согласитесь, это достойный результат.

— Можно ли пару слов сказать о внедренном продукте?

— Это сервис мобильного электронного документооборота Nopaper с удаленным получением подписи за несколько минут, не требующий подтверждения личности в удостоверяющем центре. Он позволяет подписывать документы из любой точки мира в режиме онлайн буквально одним «тапом» по экрану. Это совместное решение от резидентов «Сколково», компаний Abanking и SafeTech.

Одним из его преимуществ является то, что разработчикам удалось «вписаться» в существующую нормативную базу, регулирующую сферу ЭП. А это означает, что Nopaper позволяет полностью легитимно работать с простой электронной подписью (ПЭП) и усиленной неквалифицированной электронной подписью (НЭП) без личной предварительной встречи.

— С драйверами рынка ЭП понятно, а что тормозит развитие?

— Как в случае с практически любой инновационной технологией, первое, с чем мы и наши коллеги сталкиваемся, это инерционность ментальности людей. Они понимают, что это безопасно, удобно, быстро, но на другой чаше весов находится привычка к устоявшимся процессам.

Приведу еще один пример из собственной практики: я как физическое лицо заказывал ряд услуг с сфере ремонта, соответственно нужно было подписать договоры с поставщиками. Чтобы ускорить и упростить данный процесс, я попросил контрагентов сделать это в электронном виде, они согласились. Однако уже после окончания работ эти поставщики приехали с презентом и просьбой подписать все документы на бумаге, потому что их бухгалтерии «некомфортно», когда договоры и акты не лежат в шкафах для «макулатуры». Очень надеюсь, что и эта привычка в скором будущем канет в Лету.

— Не смущает ли людей то, что ЭП — небесплатный продукт?

— Смущает. Но надо понимать, что предыдущее поколение технологий ЭП было рассчитано не на массовое использование, а на немногочисленную «верхнюю прослойку» бизнеса. Соответственно ключи подписи хранились на дорогих аппаратных токенах, к ним приобреталось криптографическое программное обеспечение, выпускался сертификат в аккредитованном удостоверяющем центре, прибавлялась стоимость самой системы ЭДО, и все это, конечно, выходило в очень существенную сумму. Такой подход невозможен, когда мы говорим о миллионах пользователей — физических лиц, самозанятых, ИП и т.д.

Мы стараемся предложить рынку «прозрачное» ценообразование, которое основано на стоимости подписания пакета документов без скрытых платежей за средство подписи, сертификат, абонентскую плату и т.д. Пользователь всегда знает, сколько стоит процесс подписи в «бумажном» варианте, куда входят бумага, печать, время на передачу, курьерский сервис, хранение и т.д., и может сравнить все это с ценой, которую гарантирует цифровой сервис. Могу сказать, что в ряде наших проектов экономия заказчика доходила до 85%.

— SafeTech делает ставку не на классические токены, а на мобильную ЭП. В чем различия и как относится к ЭП законодатель?

— Я бы сказал, что сейчас эти виды средств ЭП существуют в двух неконкурирующих мирах, так как их целевой аудиторией являются разные категории пользователей.

Во-первых, есть классический ЭДО, в котором вы в обязательном порядке идете «испытывать боль» в удостоверяющий центр для получения пакета бумаг с синими печатями и классического токена с ЭП для работы исключительно с компьютера. Именно так сегодня выглядит способ общения между крупными компаниями, либо между компаниями и государством благодаря квалифицированной электронной подписи (КЭП), аналогу собственноручной подписи руководителей.

Во-вторых, существует намного больший мир малых предприятий, ИП, самозанятых, а также обычных физических лиц, которых мало какая сила сможет загнать в удостоверяющий центр с энной суммой денег. Именно для этой аудитории предназначена, как мы ее называем, Neo ЭДО. Nopaper — мобильная система электронного документооборота, главная особенность которой — то, что для получения подписи не нужно куда-то ехать, а вся работа может осуществляться со смартфона. Особо подчеркну: использование мобильной ЭП полностью легитимно, что подтверждено значительным количеством внедрений в банках и страховых компаниях.

Мы полагаем, что в течение ближайших двух-трех лет ситуация с проникновением ЭП в бизнес сильно поменяется, в том числе за счет государственных сервисов, хотя они отчасти и являются нашими конкурентами. Сейчас предпринимаются довольно большие усилия для популяризации цифровых госуслуг: «госключа», порталов для обмена документами и т.д. Авторитет государства, безусловно, изменит ментальность как должностных лиц, так и обычных граждан: раз государство занимается переводом «бумаги» в «цифру», обычный бухгалтер не будет переживать по поводу отсутствия макулатуры в его шкафу.

Поэтому, отвечая на вопрос о динамике развития рынка мобильной ЭП, отмечу: именно эта технология способна сделать электронный документооборот действительно массовым.

— Насколько часто сталкивались кредитно-финансовые организации с неправомерным использованием ЭП при проведении финансовых операций?

— Одной из форм простой ЭП является код, присылаемый на смартфон через СМС или push-канал, его необходимо ввести в специальную форму на сайте банка, онлайн-магазина или веб-портала.

С моей точки зрения, данная технология несет в себе значительные риски, так как не обеспечивает ни защиты, ни контроля авторства и целостности документа. Ведь подписывая какой-то документ в цифровом виде, мы должны быть уверены, что на другой стороне с нами взаимодействует тот человек, который имеет на это полномочия, а какие-либо значимые поля не были изменены при передаче или во время хранения. Все это в данном случае реализовать невозможно, то есть открывается пространство как для мошенничества в отношении подписантов, так и для отказа от документа одной из сторон.

В качестве примера неудачного применения «кодиков» можно привести системы дистанционного банкинга по всему миру. Эта технология для подтверждения финансовых транзакций сгенерировала такое количество инцидентов краж со счетов клиентов банков, что к настоящему времени попала под запрет во множестве стран. Например, в Европе это платежная директива PSD2, в России — Положение ЦБ № 683-п. И я уверен, что в итоге банковская практика отказа от отправки кодов подтверждения будет распространена и на другие сферы цифрового взаимодействия, ведь весь арсенал кибермошенников сначала «обкатывается» на финансовой отрасли как на наиболее прибыльной и лишь потом начинает использоваться в других отраслях.

Кроме того, использование СМС-кодов одновременно и для доступа к личному кабинету ДБО, и для подписания, например, электронного кредитного договора резко увеличивает возможный убыток клиента, ведь мошенник может получить доступ к дубликату SIM-карты (по поддельной доверенности), зайти от его имени в мобильный банк, взять кредит и отправить его вместе со всеми остатками средств на карту дропа (обналичить). А дубликат SIM-карты — это далеко не единственный способ перехватить код подтверждения (подписи). Вариантов довольно много, начиная с банального фишинга и заканчивая атаками класса SS7, с помощью которых обчистили счета многих тысяч банковских клиентов в Германии. 

— А что же суды? Какая существует юридическая практика по работе с мошенничеством посредством СМС?

— Практики накопилось немало и у нас, и за рубежом, при этом исход дела зависит от уровня привлеченной экспертизы. Мой опыт показывает, что грамотный адвокат в связке с опытным техническим экспертом практически в 100% случаев докажет, что их клиент никакой документ не подписывал, потому что технология СМС уязвима на всем протяжении жизненного цикла сообщения.

Начнем с того, что если организация высылает для подписи кому-то SMS-код, то она сама же его и генерирует, соответственно знает его раньше клиента. Затем код обычно попадает в инфраструктуру сторонней компании — агрегатора сообщений, которая также имеет доступ к этой вроде-бы секретной информации. После этого код попадает в канал телеком-оператора, где может быть скомпрометирован при помощи упомянутой выше уязвимости SS7. Потом «прилетает» в SIM-карту (например, выпущенную по поддельной доверенности в офисе оператора), а затем клиент может сообщить код по телефону «специалисту службы информационной безопасности СберБанка» или ввести в окошко на фишинговом сайте.

Согласитесь, что довольно странно со стороны провайдеров банковских и любых других услуг использовать заведомо скомпрометированную технологию для подтверждения транзакций или юридически значимого электронного документооборота, особенно если он также может генерировать финансовые убытки.

Что в итоге я хочу сказать? Риски при использовании одноразовых кодов в качестве ЭП слишком велики, и в итоге рынок от этого уйдет. Реализованных инцидентов, а также судебной практики предостаточно, причем не только в финансовом секторе. На горизонте двух-трех лет их заменит мобильная электронная подпись, встроенная в приложения для ЭДО, мобильный банкинг и другие. Это позволит сделать сервисы более удобными, а также поднять защищенность и юридическую значимость на качественно новый уровень.

— А вы не видите альтернатив? Какие еще технологии ЭП могут использоваться в системах ЭДО нового поколения?

— Когда мы говорим о требованиях к технологии ЭП, самыми важными из них являются отсутствие у кого-либо, кроме пользователя, возможности сформировать подпись от его имени (то есть только он может воспользоваться ключом подписи), а также контроль целостности электронного документа, который может быть обеспечен лишь криптографическими алгоритмами.

Соответственно есть всего три альтернативных пути решения этой задачи:

1. аппаратные криптографические средства (токены и смарт-карты). Они активно и успешно применяются, но слишком дороги в производстве и логистике, чтобы использоваться в массовых проектах;
2. подпись на SIM-карте. Я видел уже, наверное, четыре попытки реализовать такой проект, но пока ни один из них не увенчался успехом из-за дороговизны инфраструктуры и самих SIM-карт с криптографическими возможностями. Этот вариант вполне подходит для страны с населением 5–7 млн человек, но не для России;
3. облачная или «дистанционная» ЭП, которая на самом деле является частным случаем всех перечисленных выше, но отличается тем, что ключ подписи хранится на сервере удостоверяющего центра. Пока обсуждать этот вариант большого смысла не нет, так как до сих пор отсутствуют требования регулятора к средствам дистанционной ЭП и по этой же причине — сертифицированные решения.

Поэтому альтернатив мобильной ЭП в массовом сегменте пока нет.

— Какие бизнес-процессы в финансовых организациях можно и нужно оптимизировать с помощью мобильной ЭП и Neo ЭДО?

— В первую очередь, чтобы оптимизировать процессы, нужно сегментировать их с точки зрения применимости различных уровней подписи на основании 63-ФЗ. Например, квалифицированная ЭП, даже реализованная в «мобильном» варианте, — это «пушка крупного калибра», которую имеет смысл применять в исключительных или специальных случаях. Она дорогая, обычно требует очной идентификации и т.д. Сфера ее применения — регистрация юрлица, ИП, недвижимости, выдача ипотеки.

Мобильная неквалифицированная электронная подпись может использоваться для открытия счетов, выдачи кредитов и т.д. Вообще, все, что связано с деньгами, лучше выстраивать на НЭП, поскольку она обеспечивает безотказность, в отличие от ПЭП. А ПЭП, включая ее реализацию посредством СМС-кода, лучше всего оставлять для нефинансовых бизнес-процессов с минимальным уровнем риска: подписи соглашений на обработку персональных данных, каких-то документов из разряда «подписали и забыли».

В каких отраслях экономики сейчас наиболее востребована мобильная ЭП? Самая «горячая» для нас сейчас сфера — банковская, что связано с ужесточением требований к технологиям подтверждения финансовых транзакций со стороны Центробанка, которые, по сути, вывели из легитимного поля ПЭП на базе СМС-кода и push-уведомлений, соответственно резко вырос интерес к нашей платформе PayControl ГОСТ.

Также много проектов идет в страховании — наверное, это одна из самых «оцифрованных» отраслей. С моей точки зрения, здесь очень важно обращать внимание на то, какой именно ЭП подписываются страховые договоры и акты об урегулировании убытков. ПЭП без контроля авторства оставляет большое пространство для мошенничества. Про вариант оптимизации агентской сети мы уже говорили ранее, сейчас проект расширяется. Идут переговоры о старте новых.

При помощи ЭДО Nopaper мы вообще вышли в «голубой океан» и получили возможность работать с практически любой отраслью. Например, у нас есть встроенный кадровый документооборот: сегодня можно нанять человека, не встречаясь с ним. Он может находиться при этом где-нибудь на Бали и подписывать в мобильном приложении заявки на отпуск и другие внутрикорпоративные документы в соответствии с регламентом компании.

Также мы работаем с физическими лицами, которым нужно удаленно сдать квартиру, продать машину, заказать какую-то услугу посредством нашего сервиса Nopaper. У нас уже были иски по попыткам отказа от удаленно подписанных документов, и суды отклоняли эти попытки. Жизнь меняется, у людей появляются новые запросы, связанные с электронной подписью, и мы должны дать им сервисы и технологии, которые ответят на эти запросы!