Ольга Перевозчикова: Деструктивные действия Госспецсвязи полностью изолировали Украину от всего мира

Игорь Самойленко

Дата публикации: 
2010

Сейчас в Украине активно обсуждается возможность перехода государственных органов на электронный документооборот, который может стать основой для создания в Украине электронного государства. Необходимость построения е-государства ни у кого не вызывает вопросов.

Ведь это помимо прямой экономии (за счет перехода на безбумажные технологии, снижения численности чиновников) значительно уменьшает время на само прохождение документа по инстанциям, на обслуживание налогоплательщиков и т. п.

Обсуждение проблем внедрения электронных систем ведется уже давно. Однако пути их реализации зачастую выбираются исходя далеко не из государственнических позиций. О том, почему так происходит и готова ли Украина к внедрению данных систем мы расспросили одного из трех основателей Национальной системы электронной цифровой подписи (НСЭЦП), члена-корреспондента Национальной академии наук, заведующую отделом Института кибернетики имени В. М. Глушкова, доктора физико-математических наук Ольгу Перевозчикову.

C момента запуска созданной Вами Национальной системы электронной цифровой подписи (НСЭЦП) прошло уже пять лет. Государство подходит к следующему этапу внедрения информационных технологий – уже в систему управления страной. Как вы оцениваете происходящие процессы?

Создание Национальной системы начиналось с внедрения законодательной базы. В январе 2004 года вступили в силу законы Украины «Об электронных документах и электронном документообороте» и «Об электронной цифровой подписи», в которых четко прописаны основные положения и требования. И лишь 5 июля 2005 года начала функционировать сама система, четко подогнанная под требования законов.

Что же происходит сейчас? Различные министерства и ведомства пытаются начать проекты по реализации собственной системы документооборота, а Кабинет Министров со своей властной командой хочет в ближайшее время получить технический регламент на государственную систему электронного документооборота.

Но в Украине для этой системы нет национальных стандартов электронного документооборота, а международные у нас не действуют! Вы представьте только объем предстоящей работы по гармонизации международных стандартов, если самый короткий из них содержит 600 страниц, а есть и по 7 тысяч страниц.

Ввиду евроинтеграции, как главного вектора Украины, сейчас мы гармонизируем европейские стандарты. Из них готовы уже 53, и стоит задача разработать технический регламент для Национальной системы электронной цифровой подписи. Согласно техническому регламенту все национальные стандарты приобретают обязательный характер действия, а не добровольный, как сейчас. Эти европейские стандарты на нормы и правила, образцы и эталоны необходимы для работы всех субъектов, объектов и сущностей НСЭЦП. Именно соответствие стандартам гарантирует качество товаров и услуг согласно системе стандартов ISO 9000.
Помимо разработанных нами есть еще 50 международных стандартов, которые срочно надо гармонизировать в Украине. Под них мы запросили 1,5 млн. грн. В эту смету входит создание формальной процедуры аккредитации и специального тестового стенда для автоматической проверки программно-технических комплексов (ПТК) для субъектов НСЭЦП. Даже если государство не сможет выделить такие средства, мы сумеем к концу года «протолкнуть» регламент на основе готовых 53-х стандартов и все-таки создать необходимый тестовый стенд.

Помимо финансирования, какие еще существуют проблемы в сфере отечественных информационных технологий?

Отсутствует должная координация усилий и четкое разграничение полномочий между профильными ведомствами в ИТ-сфере. Действующие законы написаны в такой форме, что по ним, ввиду допущенных пробелов и неточностей, многое сложно проверить, а тем более сертифицировать что-то на соответствие чему-то.

В лице Госкоминформнауки имеем центральный удостоверяющий орган (аббревиатура на украинском языке – ЦЗО), который от имени государства гарантирует качество услуг Национальной системы. Здесь происходит аккредитация центров сертификации ключей (ЦСК). Уже аккредитованные 12 ЦСК продают своим клиентам усиленные сертификаты ключей для использования электронной цифровой подписи и в случае компрометации ключей возмещают нанесенный ущерб.

Это требования так называемой квалифицированной инфраструктуры открытых ключей, принятой во всех государствах-членах Евросоюза, согласно директиве ЕС от 1999 года. Именно ей соответствует наш Закон об электронной цифровой подписи, то есть в этом вопросе мы законодательно находимся на уровне ЕС.

А вот итог пятилетнего развития НСЭЦП плачевен и обусловлен существенными организационными и технологическими просчетами, что лишний раз подтверждает хуторянскую позицию многих субъектов хозяйствования в Украине.

Государственная служба специальной связи и защиты информации Украины (Госспецсвязи) фактически монополизировала данную сферу, имея функции контролирующего органа! Получить сертификат комплексной системы защиты информации (КСЗИ) в Украине можно только у этой службы. Одно из требований – наличие изолированной «металлической» комнаты, в которой установлены компьютеры и программное обеспечение ЦСК и которая защищает от фиксации электромагнитного излучения, даже со спутника!

Разумеется, нельзя игнорировать возможность атак на системы защиты информации, связанных с электромагнитными излучениями, но против них эффективны специальные щиты и фильтры.

Тогда что плохого в этих требованиях?

Требования к системам защиты информации зафиксированы не в стандартах, а в нормативных материалах (некоторые еще 1990-х годов), введенных в действие приказами СБУ (правопреемником которого по защите информации стала Госспецсвязи), и всего лишь зарегистрированных в Министерстве юстиции. Эти нормативные материалы не проходили процедур обсуждения ИТ-специалистами, экспертизы и утверждения, как это принято для стандартов Украины.

Для сравнения, за рубежом получение сертификата КСЗИ органом, аналогичным нашему центру сертификации ключей, ограничивается вызовом независимого оценщика, который проводит экспертизу и по ее результатам выдает свидетельство. При Минэкономики работает Национальное агентство по оценке соответствия качества товаров и услуг. В нем следовало бы создать специальную инфраструктуру независимых и компетентных оценщиков. А так мы имеем монополию в лице Госспецсвязи, которая сейчас занимает деструктивную позицию – только мы и никто другой.

Но и это еще не все. Как контролирующий орган Госспецсвязи единолично согласовывает Техническое задание на программно-технические комплексы каждого центра сертификации ключей, перед его аккредитацией. То есть данная служба позволяет или запрещает деятельность Центра уже перед его комплексной проверкой на способность качественно предоставлять услуги клиентам. И здесь Госспецсвязи допустила главную ошибку, запретив всем 12 аккредитованным Центрам и даже ЦЗО поддерживать международные электронные цифровые подписи, хотя требования к ним регламентировали действующие с 2005 года национальные стандарты Украины.

Такие деструктивные действия Госспецсвязи полностью изолировали Украину от всего мира, поскольку сейчас НСЭЦП технологически неспособна обеспечить кроссертификацию с другими странами, даже с Россией. Кроссертификация – это процедура трансграничного признания наборов сертификатов, выданных в разных странах.

На самом деле Госспецсвязи должна отвечать только за системы защиты информации, чтобы исключить утечку информации из любого центра сертификации ключей, а клиенты доверяли своим Центрам.

Может быть украинским айтишникам следует использовать зарубежный опыт, а не набивать шишки, изобретая свою уникальную систему?

Мы отстаем от Евросоюза примерно на 20 лет. То есть происходящие у нас события аналогичны ситуации начала 90-х годов прошлого века в развитых странах. Разумеется, необходимо активно использовать зарубежный опыт, зафиксированный в стандартах, дабы не повторять их ошибок и не выбрасывать деньги на ветер.

Надо помнить, что в любом электронном бизнесе за рубежом якорем доверия является электронная цифровая подпись. Она обеспечивает лишь два свойства электронного документа. Это его целостность – к нему вирус не «привяжется» и невозможно никоим образом исказить содержание документа. Любая модификация электронного документа будет сразу же видна. Вторым качеством является неопровержимость, аутентичность подписанта. Электронный документ не обязательно является конфиденциальным – это свойство не обеспечивается. Конечно, можно применять шифрование, но всем кто обладает аналогичными ключами от любого Центра сертификации ключей – доступно содержание документа. Кстати, из-за рубежа мы получаем сообщения только с электронной цифровой подписью.

Одной из первоочередных задач украинского правительства сейчас является внедрение государственной системы электронного документооборота. Готова ли Украина к этому?

Первое что надо сделать – это привести в порядок правила нашего документооборота в составе систем делопроизводства. Своим студентам я читаю лекции о двух существующих системах документооборота. Это цивилизационно ортогональные типы – европейская (на горизонтальных связях) и российская (по командной вертикали), сохранившаяся еще со времен царской России и сейчас используемая на постсоветской территории.

Как пример, в нашей командной вертикали я должна подписать свое письмо у руководителя и отправить в соответствующую инстанцию. В Европе ведут служебную переписку согласно своей компетенции, те есть должностным и функциональным обязанностям. Там нет никаких канцелярий и референтов, а в нашей командной вертикали обрабатывать документы топ-менеджеру помогает целая свита, как при рабовладельческом строе. И сейчас многие пытаются засунуть это в европейскую систему делопроизводства. Замечу, что в эту проблему в середине 90-х годов уже упирались россияне, которые с наскока хотели запустить собственный электронный документооборот.

Делопроизводство необходимо максимально привести в соответствие с зарубежными аналогами. Вертикаль мы, конечно, не обрушим и не превратим в горизонталь, но обязаны выписать и формализовать основные бизнес-алгоритмы. Именно с них необходимо начинать государственный электронный документооборот, а уже потом к их реализации применять технические решения.

Причем помнить, что предстоит огромная работа по неизбежному преобразованию фискальной отчетности. А на рынке ИТ сейчас имеем массу систем электронного документооборота, которые следовало бы оценить или сертифицировать на предмет соответствия нашим требованиям к документообороту.

Именно техническое решение по внедрению системы единого документооборота государства вызывает массу вопросов. Предложенный Госспецсвязи проект «Электронная Украина» и ЦСК «Цезарис» подвергаются резкой критике ряда специалистов. Рационально ли внедрять эти системы?

К этому вопросу необходимо подходить комплексно. С начала года Госкоминформнауки выполняет пилотный проект, который должен закончиться разработкой технического регламента по электронному документообороту. Но, на августовском совещании по этому проекту Госспецсвязи в очередной раз прямо заявила о своих претензиях на главенствующую роль в создании электронных систем и во всей информатизации Украины.

Не скрою, это вызвало даже не раздражение, а возмущение присутствовавших. Сейчас Госспецсвязи не то, что никем не уполномочена и достаточно некомпетентна, она даже не имеет осведомленных ИТ-специалистов. В своих предложениях по электронному документообороту Госспецсвязи написала, что целесообразно проанализировать международный стандарт EDIFACT. А все его 10 частей действуют в Украине с 2005 года! Зачем же мы его гармонизировали за деньги налогоплательщиков Украины? Для кого?

Я знаю, что Комитет по экономическим реформам при Президенте Украины поставил условие разработать технический регламент системы электронного документооборота. Это преждевременно, сейчас можно разработать только технический регламент по конкретным министерствам, но это тоже не очень целесообразно, поскольку технический регламент – это, по сути, Закон Украины или Постановление Кабмина, согласно которым в течение года нужно адаптировать информационно-аналитические системы наиболее продвинутых государственных органов, а потом внедрять их везде.

Что можно сказать по поводу ЦСК «Цезарис», программно-технический комплекс которого иностранного производства. Мы готовили его экспертную оценку по заказу некоторых ведомств. Это один из 12 аккредитованных Центров. Особенность этих Центров в том, что они пока работают по инициативному, действующему только в Украине стандарту ДСТУ 4145. Под этот стандарт разработаны четыре криптомодуля, ни один из которых не является интероперабильным. Говоря простым языком – способным к взаимодействию с остальными тремя модулями. Помимо отсутствия внутреннего взаимодействия, мы не имеем и внешнего – признания наборов сертификатов другими странами, о чем я уже говорила.

Да, ЦСК «Цезарис» поддерживает международные цифровые подписи, но реализует американо-российскую инфраструктуру открытых ключей, которая не полностью соответствует Закону Украины об электронной цифровой подписи и Директиве ЕС.
Не вдаваясь в технические подробности по поводу ЦСК «Цезарис», отмечу одну негативную тенденцию. Госспецсвязи как контролирующий орган «имеет право» на монопольное (единоличное и неоспоримое) управление Национальной системой электронной цифровой подписи (а не контроль!), скажем, через согласование Технического задания на создание программно-технического комплекса какого-либо Центра сертификации ключей. Вопрос в том, гарантируют ли такие полномочия независимость суждений Госспецсвязи обо всех конкурентах ЦСК «Цезарис» (то есть других Центрах)? Иными словами, энергично продвигая ЦСК «Цезарис» на рынок, не демонстрирует ли Госспецсвязи явные признаки конфликта интересов?

Кстати, Госспецсвязи заявляла о том, что в системе электронного документооборота предлагается применить стандарт Moreq2, который сейчас Европа переделывает в спешном порядке…

Предложенный Службой в качестве базового стандарта под систему «Электронная Украина» европейский стандарт фискальной отчетности Moreq2 является разработкой консорциума коммерческих фирм и его гармонизировать в Украине можно только после оплаты (разумеется, из государственного бюджета) в евро за передачу имущественных прав. Зачем нам такая роскошь во время кризиса, когда Украина имеет право на ряд международных стандартов как объектов интеллектуальной собственности? Их можно использовать абсолютно бесплатно в поддержку систем электронного документооборота, соответствующих международным нормам.

Резюмируя сказанное, я считаю, что рано создавать общегосударственную систему электронного документооборота до того как будут выполнены перечисленные мною выше мероприятия.