«Актив». Российские технологии для безопасного бизнеса
Стремительное развитие дистанционных сервисов поставило перед вендорами ряд важных задач, одна из которых — обеспечение не только удобных для бизнеса механизмов расчетов, но и безопасных алгоритмов передачи информации. Об эффективности современных способов защиты данных мы беседуем с Дмитрием Гореловым, управляющим партнером, коммерческим директором Компании «Актив» — ведущего российского разработчика средств информационной безопасности.
ПЛАС: Какие технологии сегодня, в эпоху стремительного роста киберугроз и запроса на удаленную работу, используются в финансовых организациях для электронной подписи? Расскажите подробнее об эволюции этих технологий и решений, построенных на их основе.
Д. Горелов: Если говорить про электронную подпись (далее по тексту — ЭП), она неотделима от такой технологии, как аутентификация. Потому что в информационных системах прежде всего происходит процесс идентификации и аутентификации некоторого субъекта. В банковской среде это касается как юридических и физических лиц, которые совершают операции в системе ДБО, так и банковских сотрудников, которые работают в АБС. Поэтому в том или другом виде ЭП в первую очередь применяют для того, чтобы безопасно аутентифицироваться в системе на основе известного только субъекту «секрета» — ключа ЭП. Далее при обмене документами с сервером или между двумя лицами при помощи ЭП осуществляется безопасная передача данных, обеспечивающая их целостность и неотказуемость. Под целостностью мы подразумеваем, что пришел именно тот документ, который отправлялся. Под неотказуемостью — то, что мы знаем, что данный документ подписал именно тот человек, от которого мы ожидаем эту подпись.
ИТ-системы, которые используют кредитно-финансовые организации, я бы разделил на две группы. С одной стороны, это информационные системы, которые обеспечивают внутрикорпоративную работу банка и используются для взаимодействия его сотрудников. С другой стороны, это системы дистанционного банковского обслуживания (ДБО), работа которых гораздо более заметна простому клиенту.
Сегодня без ЭП банкам обойтись не только очень сложно, но и практически невозможно: с трудом можно представить банк, который бы в том или ином виде не использовал эту технологию. Если говорить про системы ДБО, особенно для юридических лиц, то они включают в себя криптографическое программное обеспечение, которое на компьютере присутствует в контексте браузера или банковского приложения. Вместе с этим криптографическим ПО используются ключевые носители в виде USB-токенов, а в некоторых случаях — смарт-карты, на которых безопасным образом хранятся криптографические ключи. Сам механизм наложения ЭП реализуется внутри аппаратного устройства, чтобы гарантировать безопасность ключей и невозможность их компрометации.
Наша компания выпускает устройства Рутокен: USB-токены и смарт-карты. Большинство бухгалтеров и генеральных директоров нашей страны используют устройства Рутокен для того, чтобы проводить платежи в системе ДБО и сдавать отчетность в государственные информационные системы. Среди клиентов Компании «Актив» — подавляющее большинство российских банков, которые в том или ином виде используют наши программные и аппаратные средства.
Д. Горелов: Если говорить про электронную подпись (далее по тексту — ЭП), она неотделима от такой технологии, как аутентификация. Потому что в информационных системах прежде всего происходит процесс идентификации и аутентификации некоторого субъекта. В банковской среде это касается как юридических и физических лиц, которые совершают операции в системе ДБО, так и банковских сотрудников, которые работают в АБС. Поэтому в том или другом виде ЭП в первую очередь применяют для того, чтобы безопасно аутентифицироваться в системе на основе известного только субъекту «секрета» — ключа ЭП. Далее при обмене документами с сервером или между двумя лицами при помощи ЭП осуществляется безопасная передача данных, обеспечивающая их целостность и неотказуемость. Под целостностью мы подразумеваем, что пришел именно тот документ, который отправлялся. Под неотказуемостью — то, что мы знаем, что данный документ подписал именно тот человек, от которого мы ожидаем эту подпись.
ИТ-системы, которые используют кредитно-финансовые организации, я бы разделил на две группы. С одной стороны, это информационные системы, которые обеспечивают внутрикорпоративную работу банка и используются для взаимодействия его сотрудников. С другой стороны, это системы дистанционного банковского обслуживания (ДБО), работа которых гораздо более заметна простому клиенту.
Сегодня без ЭП банкам обойтись не только очень сложно, но и практически невозможно: с трудом можно представить банк, который бы в том или ином виде не использовал эту технологию. Если говорить про системы ДБО, особенно для юридических лиц, то они включают в себя криптографическое программное обеспечение, которое на компьютере присутствует в контексте браузера или банковского приложения. Вместе с этим криптографическим ПО используются ключевые носители в виде USB-токенов, а в некоторых случаях — смарт-карты, на которых безопасным образом хранятся криптографические ключи. Сам механизм наложения ЭП реализуется внутри аппаратного устройства, чтобы гарантировать безопасность ключей и невозможность их компрометации.
Наша компания выпускает устройства Рутокен: USB-токены и смарт-карты. Большинство бухгалтеров и генеральных директоров нашей страны используют устройства Рутокен для того, чтобы проводить платежи в системе ДБО и сдавать отчетность в государственные информационные системы. Среди клиентов Компании «Актив» — подавляющее большинство российских банков, которые в том или ином виде используют наши программные и аппаратные средства.
ПЛАС: В чем преимущество квалифицированной ЭП перед другими видами электронной подписи? В каких областях она наиболее востребована?
Д. Горелов: Электронная подпись — достаточно широкое понятие. Есть Закон об электронной подписи, есть большое количество коммерческих и государственных игроков рынка ЭП. Квалифицированная ЭП должна быть обязательно создана при помощи сертифицированного средства электронной подписи. За сертификацию таких решений у нас в стране отвечает Федеральная служба безопасности. Сертификат открытого ключа должен быть выдан аккредитованным удостоверяющим центром, за аккредитацию таких центров отвечает Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.
Другие виды ЭП не столь универсальны, как квалифицированная ЭП. Например, неквалифицированная ЭП требует отдельного соглашения между участниками электронного документооборота. А использование так называемой простой подписи вообще не дает никаких гарантий личности подписавшего. С точки зрения специалиста по ИБ простая подпись подписью не является. Я считаю, это больше юридическая конструкция из Федерального закона об электронной подписи, чем реальная технология.
Основное отличие квалифицированной ЭП от других видов состоит в том, что она является подписью прямого действия. Если некто подписал квалифицированной ЭП документ, этот документ должен приниматься всеми информационными системами, которые эту ЭП могут использовать. Таким образом, подпись прямого действия — это аналог собственноручной подписи: не нужно заключать никакого дополнительного соглашения о том, что вы признаете ЭП для данной информационной системы, данных групп лиц и т. п.
В России ежегодно выпускаются миллионы квалифицированных ЭП, которые эксплуатируются как физическими, так и юридическими лицами. Наиболее часто эта технология используется юрлицами (ИП и организациями) для сдачи отчетности в госорганы. Ее также активно используют в электронных торгах и электронном документообороте, а это достаточно широкий рынок.
Сейчас в рамках Закона об электронной подписи в силу вступают сразу несколько новых положений. Сфера ЭП трансформируется, но благодаря развитию в России электронного документооборота и позиции государства, в частности Федеральной налоговой службы, рынок применения ЭП активно растет.
Банковское сообщество также проявляет к этому направлению заметный интерес. Так, Банк России рекомендует более широкое использование квалифицированной ЭП для укрепления информационной безопасности и повышения уровня доверия между участниками электронного документооборота.
Д. Горелов: Электронная подпись — достаточно широкое понятие. Есть Закон об электронной подписи, есть большое количество коммерческих и государственных игроков рынка ЭП. Квалифицированная ЭП должна быть обязательно создана при помощи сертифицированного средства электронной подписи. За сертификацию таких решений у нас в стране отвечает Федеральная служба безопасности. Сертификат открытого ключа должен быть выдан аккредитованным удостоверяющим центром, за аккредитацию таких центров отвечает Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.
Другие виды ЭП не столь универсальны, как квалифицированная ЭП. Например, неквалифицированная ЭП требует отдельного соглашения между участниками электронного документооборота. А использование так называемой простой подписи вообще не дает никаких гарантий личности подписавшего. С точки зрения специалиста по ИБ простая подпись подписью не является. Я считаю, это больше юридическая конструкция из Федерального закона об электронной подписи, чем реальная технология.
Основное отличие квалифицированной ЭП от других видов состоит в том, что она является подписью прямого действия. Если некто подписал квалифицированной ЭП документ, этот документ должен приниматься всеми информационными системами, которые эту ЭП могут использовать. Таким образом, подпись прямого действия — это аналог собственноручной подписи: не нужно заключать никакого дополнительного соглашения о том, что вы признаете ЭП для данной информационной системы, данных групп лиц и т. п.
В России ежегодно выпускаются миллионы квалифицированных ЭП, которые эксплуатируются как физическими, так и юридическими лицами. Наиболее часто эта технология используется юрлицами (ИП и организациями) для сдачи отчетности в госорганы. Ее также активно используют в электронных торгах и электронном документообороте, а это достаточно широкий рынок.
Сейчас в рамках Закона об электронной подписи в силу вступают сразу несколько новых положений. Сфера ЭП трансформируется, но благодаря развитию в России электронного документооборота и позиции государства, в частности Федеральной налоговой службы, рынок применения ЭП активно растет.
Банковское сообщество также проявляет к этому направлению заметный интерес. Так, Банк России рекомендует более широкое использование квалифицированной ЭП для укрепления информационной безопасности и повышения уровня доверия между участниками электронного документооборота.
ПЛАС: Насколько успешно реализуется импортозамещение в сфере информационной безопасности? Как продвигается технологическое партнерство и совместные решения с российскими разработчиками?
Д. Горелов: Я более склонен вместо понятия «импортозамещение» использовать термин «цифровой суверенитет», т. е. возможность создавать решения на контролируем стеке технологий. Цель не в том, чтобы убрать импортные продукты, а в том, чтобы технологии, которые используются государством и бизнесом, были менее подвержены и санкционному влиянию, и тем рискам, которые глобализация и монополизация ИТ несут для многих стран мира. Наша компания всегда конкурировала с крупнейшими западными вендорами, но у нас достаточно узкая, специфическая ниша. Сейчас появились прекрасные возможности для развития российских компаний, которые создают общесистемный софт. Потому что без замены ядра операционной системы, без своих офисных пакетов настоящее импортозамещение, цифровая независимость вряд ли возможны в принципе. И в этой области мы очень активно работаем вместе с нашими коллегами, российскими разработчиками операционных систем, построенных, как правило, на ядре Linux, для которых Компания «Актив» уже многие годы выступает стратегическим партнером.
Если говорить про текущую рыночную ситуацию, то в настоящее время запущены масштабные проекты в федеральных и региональных органах государственной власти. Есть пример Челябинска и ряда других регионов, где местный госаппарат уже работает на российском стеке программного обеспечения, а также использует некоторые аппаратные решения, включая наши интеллектуальные ключевые носители Рутокен.
Судя по опубликованным планам, в дальнейшем импортозамещение затронет и крупные госкорпорации. Думаю, что они будут внедрять российские программно-аппаратные средства поэтапно. Но благодаря усилиям государства, общественных организаций, ассоциаций российских разработчиков в этом направлении многое делается, а многое уже сделано. Считаю, что процесс, который последние два года стартовал в сфере информационной безопасности, уже через несколько лет принесет вполне ощутимые плоды.
Д. Горелов: Я более склонен вместо понятия «импортозамещение» использовать термин «цифровой суверенитет», т. е. возможность создавать решения на контролируем стеке технологий. Цель не в том, чтобы убрать импортные продукты, а в том, чтобы технологии, которые используются государством и бизнесом, были менее подвержены и санкционному влиянию, и тем рискам, которые глобализация и монополизация ИТ несут для многих стран мира. Наша компания всегда конкурировала с крупнейшими западными вендорами, но у нас достаточно узкая, специфическая ниша. Сейчас появились прекрасные возможности для развития российских компаний, которые создают общесистемный софт. Потому что без замены ядра операционной системы, без своих офисных пакетов настоящее импортозамещение, цифровая независимость вряд ли возможны в принципе. И в этой области мы очень активно работаем вместе с нашими коллегами, российскими разработчиками операционных систем, построенных, как правило, на ядре Linux, для которых Компания «Актив» уже многие годы выступает стратегическим партнером.
Если говорить про текущую рыночную ситуацию, то в настоящее время запущены масштабные проекты в федеральных и региональных органах государственной власти. Есть пример Челябинска и ряда других регионов, где местный госаппарат уже работает на российском стеке программного обеспечения, а также использует некоторые аппаратные решения, включая наши интеллектуальные ключевые носители Рутокен.
Судя по опубликованным планам, в дальнейшем импортозамещение затронет и крупные госкорпорации. Думаю, что они будут внедрять российские программно-аппаратные средства поэтапно. Но благодаря усилиям государства, общественных организаций, ассоциаций российских разработчиков в этом направлении многое делается, а многое уже сделано. Считаю, что процесс, который последние два года стартовал в сфере информационной безопасности, уже через несколько лет принесет вполне ощутимые плоды.
ПЛАС: Как такому направлению, как научно-исследовательские и опытно-конструкторские работы, удалось пережить сложные времена в период изоляции? По вашему мнению, наличие собственного производственного НИОКР — это сейчас очевидная необходимость для крупной компании?
Д. Горелов: Среди российских разработчиков я больше всего ценю те структуры и людей, которые в сегодняшних непростых условиях пытаются создавать российский программный стек и аппаратные решения. Особенно те компании, которые тратят силы и огромные ресурсы на разработку новых аппаратных решений. Развитие российской электроники — это большая наукоемкая история, требующая огромных ресурсов. И те компании, которые ее развивают, — настоящие алмазы российской ИТ-индустрии.
Если говорить про 2020 «пандемийный» год, то нам как российскому разработчику и производителю было очень непросто. Если некоторые компании, которые занимались разработкой программного обеспечения, смогли перевести почти 100% своих сотрудников на удаленку, не нарушив бизнес-процессы, то в нашем случае это было невозможно. Достаточно большое количество сотрудников Компании «Актив» используют специальное оборудование, которое можно эксплуатировать только в офисе. Кроме того, само производство, логистику также нельзя перевести на удаленку. И поэтому с марта по июнь 2020 года нам приходилось предпринимать очень серьезные усилия для того, чтобы продолжать выполнять в полном объеме крупные контракты, особенно государственные. Чтобы уменьшить число контактов, мы ввели сменную работу, обеспечили постоянное тестирование, а во время самого сложного периода доставляли сотрудников на работу на такси. В результате у нас все получилось, хотя работать, конечно же, стало сложнее, особенно тем специалистам, которые разрабатывают и производят аппаратные решения.
Д. Горелов: Среди российских разработчиков я больше всего ценю те структуры и людей, которые в сегодняшних непростых условиях пытаются создавать российский программный стек и аппаратные решения. Особенно те компании, которые тратят силы и огромные ресурсы на разработку новых аппаратных решений. Развитие российской электроники — это большая наукоемкая история, требующая огромных ресурсов. И те компании, которые ее развивают, — настоящие алмазы российской ИТ-индустрии.
Если говорить про 2020 «пандемийный» год, то нам как российскому разработчику и производителю было очень непросто. Если некоторые компании, которые занимались разработкой программного обеспечения, смогли перевести почти 100% своих сотрудников на удаленку, не нарушив бизнес-процессы, то в нашем случае это было невозможно. Достаточно большое количество сотрудников Компании «Актив» используют специальное оборудование, которое можно эксплуатировать только в офисе. Кроме того, само производство, логистику также нельзя перевести на удаленку. И поэтому с марта по июнь 2020 года нам приходилось предпринимать очень серьезные усилия для того, чтобы продолжать выполнять в полном объеме крупные контракты, особенно государственные. Чтобы уменьшить число контактов, мы ввели сменную работу, обеспечили постоянное тестирование, а во время самого сложного периода доставляли сотрудников на работу на такси. В результате у нас все получилось, хотя работать, конечно же, стало сложнее, особенно тем специалистам, которые разрабатывают и производят аппаратные решения.
ПЛАС: Какие продукты вы сегодня наиболее активно выводите на рынок?
Д. Горелов: Во-первых, на рынок ЭП мы постоянно выводим нечто новое. Сейчас в нашем портфеле — несколько интересных продуктов, появление которых связано с тем, что ИТ-отрасль все больше смотрит в сторону мобильных платформ. Смартфон и планшет стали рабочими инструментами, а не просто средством связи или развлечений, поэтому сейчас в полный рост встает вопрос о плавном переходе использования ЭП с десктопного компьютера или ноутбука на планшет и мобильное устройство. Но с точки зрения рынка оптимальным представляется универсальное решение, позволяющее работать одновременно на стационарных и мобильных устройствах. В конце 2020 года мы разработали подобное техническое решение и в этом году презентовали новую линейку нашей продукции Рутокен ЭЦП версии 3.0 на его платформе.
Во-вторых, мы рады, что в свое время угадали тренд мобильности и удаленной работы при проектировании Рутокен ЭЦП версии 3.0, предложив для рынка два интересных мобильных решения: дуальные карты Рутокен ЭЦП 3.0 и дуальные же USB-токены Рутокен ЭЦП 3.0. По сути, это та же смарт-карта или токен, которые оснащены помимо контактного интерфейса еще и NFC-интерфейсом. NFC-технология широко развилась в последнее десятилетие благодаря платежным решениям Visa, Mastercard, а теперь и ПС «Мир». Однако в платежных картах пока используется западная криптография. Мы же на своей собственной платформе создали решение, которое позволяет использовать российскую криптографию и традиционную ЭП. На мобильном устройстве с NFC-модулем наш токен или смарт-карта точно так же подписывают документ через установленное на них мобильное приложение. В настоящий момент мы сертифицируем это решение и планируем, что уже к концу года оно станет полностью легитимным и готовым к использованию для квалицированной ЭП.
Д. Горелов: Во-первых, на рынок ЭП мы постоянно выводим нечто новое. Сейчас в нашем портфеле — несколько интересных продуктов, появление которых связано с тем, что ИТ-отрасль все больше смотрит в сторону мобильных платформ. Смартфон и планшет стали рабочими инструментами, а не просто средством связи или развлечений, поэтому сейчас в полный рост встает вопрос о плавном переходе использования ЭП с десктопного компьютера или ноутбука на планшет и мобильное устройство. Но с точки зрения рынка оптимальным представляется универсальное решение, позволяющее работать одновременно на стационарных и мобильных устройствах. В конце 2020 года мы разработали подобное техническое решение и в этом году презентовали новую линейку нашей продукции Рутокен ЭЦП версии 3.0 на его платформе.
Во-вторых, мы рады, что в свое время угадали тренд мобильности и удаленной работы при проектировании Рутокен ЭЦП версии 3.0, предложив для рынка два интересных мобильных решения: дуальные карты Рутокен ЭЦП 3.0 и дуальные же USB-токены Рутокен ЭЦП 3.0. По сути, это та же смарт-карта или токен, которые оснащены помимо контактного интерфейса еще и NFC-интерфейсом. NFC-технология широко развилась в последнее десятилетие благодаря платежным решениям Visa, Mastercard, а теперь и ПС «Мир». Однако в платежных картах пока используется западная криптография. Мы же на своей собственной платформе создали решение, которое позволяет использовать российскую криптографию и традиционную ЭП. На мобильном устройстве с NFC-модулем наш токен или смарт-карта точно так же подписывают документ через установленное на них мобильное приложение. В настоящий момент мы сертифицируем это решение и планируем, что уже к концу года оно станет полностью легитимным и готовым к использованию для квалицированной ЭП.
ПЛАС: «Актив» работает на рынке уже давно и весьма успешно, учитывая стабильный миллиардный ежегодный оборот на протяжении уже нескольких лет. Какие основные принципы лежат в основе успешного развития вашей компании?
Д. Горелов: У нас есть несколько постулатов, которых мы придерживаемся и которые для банковского рынка намного важнее, чем для других сегментов. Во-первых, мы всегда стараемся делать так, чтобы все типы нашей продукции и модели, аутентификаторы и средства ЭП были вертикально совместимы с тем софтом, который мы сейчас поставляем. У нас есть клиенты, которые до сих пор используют наши аппаратные решения, проданные им 5−10 лет назад! За это время на рабочем месте сменилось несколько поколений компьютерной техники, а наш новый софт работает со всеми «древними» устройствами, и вопросов при эксплуатации не возникает.
Во-вторых, мы обеспечиваем гарантированную совместимость наших аппаратных и программных средств с ПО, которое в данный момент работает у пользователя. Огромное количество ресурсов мы тратим на тестирование продуктов Рутокен на совместимость с операционными системами и массовым ПО, которые используются на рабочих станциях и мобильных решениях наших клиентов.
И наконец, третий наш постулат — надежность. Для нас качество продукции важнее быстрой маржинальности. Мы работаем на рынке ИБ, и доверие для нашего бизнеса — основа основ. Поэтому зачастую «Актив» вынужден расходовать избыточные с точки зрения классического, быстрого бизнеса ресурсы на то, чтобы жизненный цикл наших устройств был дольше и они могли бы работать в сложных сценариях эксплуатации. Это обеспечивает еще большее доверие к нам, нашей продукции и торговой марке со стороны клиентов.
Д. Горелов: У нас есть несколько постулатов, которых мы придерживаемся и которые для банковского рынка намного важнее, чем для других сегментов. Во-первых, мы всегда стараемся делать так, чтобы все типы нашей продукции и модели, аутентификаторы и средства ЭП были вертикально совместимы с тем софтом, который мы сейчас поставляем. У нас есть клиенты, которые до сих пор используют наши аппаратные решения, проданные им 5−10 лет назад! За это время на рабочем месте сменилось несколько поколений компьютерной техники, а наш новый софт работает со всеми «древними» устройствами, и вопросов при эксплуатации не возникает.
Во-вторых, мы обеспечиваем гарантированную совместимость наших аппаратных и программных средств с ПО, которое в данный момент работает у пользователя. Огромное количество ресурсов мы тратим на тестирование продуктов Рутокен на совместимость с операционными системами и массовым ПО, которые используются на рабочих станциях и мобильных решениях наших клиентов.
И наконец, третий наш постулат — надежность. Для нас качество продукции важнее быстрой маржинальности. Мы работаем на рынке ИБ, и доверие для нашего бизнеса — основа основ. Поэтому зачастую «Актив» вынужден расходовать избыточные с точки зрения классического, быстрого бизнеса ресурсы на то, чтобы жизненный цикл наших устройств был дольше и они могли бы работать в сложных сценариях эксплуатации. Это обеспечивает еще большее доверие к нам, нашей продукции и торговой марке со стороны клиентов.
Контакты