25 мая, 2018, BIS Journal №2(29)/2018

В пять кликов


Янсон Иван

бизнес-партнер по информационной безопасности (ПАО Сбербанк)

Технологии Сбербанка для дистанционной регистрации бизнеса и открытия счетов

15 февраля 2018 года на Российском инвестиционном форуме в Сочи был запущен в опытную эксплуатацию уникальный сервис полностью дистанционной регистрации бизнеса и открытия счетов в кредитных организациях (далее РБиДОС). Он использует квалифицированную электронную подпись, которая формируется и применяется с помощью Специализированной защищённой автоматизированной системы (далее СЗАС). Эту систему разработали Сбербанк и его дочерняя компания «Деловая среда» совместно с 8 Центром ФСБ России при участии других федеральных ведомств и организаций согласно Постановлению Правительства от 29.10.2016 №1104. В этой статье мы расскажем о том, как создавалась технология, заложенная в основу СЗАС.

ПРОЕКТ И ГОСУДАРСТВЕННЫЕ ЗАДАЧИ

В 2012 году был издан указ Президента РФ от 07.05.2012 N 596 «О долгосрочной государственной экономической политике», который наряду с другими мероприятиями предусматривал улучшение позиции Российской Федерации в рейтинге Всемирного банка по условиям ведения бизнеса со 120-й в 2011 году до 50-й – в 2015 году и до 20-й – в 2018 году. Рейтинг составляется на основании десяти индикаторов регулирования предпринимательской деятельности, один из которых носит название «регистрация предприятий». В 2017 году Россия заняла 28 место в мире по этому показателю. При измерении индикаторов Всемирный банк проверяет, насколько развито законодательство для соответствующего индикатора, а также можно ли это законодательство реально применять на практике.

Для улучшения этого индикатора необходимо создать условия, во-первых, для электронной, полностью дистанционной регистрации бизнеса без необходимости очного посещения органов ФНС, и, во-вторых, для дистанционного открытия счетов.

Таким образом, вопрос дистанционной регистрации бизнеса и открытия счёта является вопросом развития экономики в стране в целом, вопросом улучшения макроэкономических показателей страны. Хотя, конечно, нельзя умалять и значение развития такого сервиса для кредитных организаций, так как его внедрение позволит улучшить эффективность процессов открытия счетов и повысить удовлетворённость клиентов.

НОРМАТИВНЫЕ ПРЕДПОСЫЛКИ ПРОЕКТА

Закон «О государственной регистрации юридических лиц и индивидуальных предпринимателей» от 08.08.2001 N 129-ФЗ позволяет дистанционные действия по регистрации предприятий. Согласно пункту 1 статьи 9 указанного закона, «в регистрирующий орган документы могут быть направлены в форме электронных документов, подписанных электронной подписью, с использованием информационно-телекоммуникационных сетей общего пользования, в том числе сети Интернет…». При этом если заявление и документы подписаны квалифицированной подписью, то очный визит в регистрирующий орган не требуется в принципе.

Что касается дистанционного открытия счетов, то открытие счёта без личного присутствия открывающего счёт представителя клиента запрещается законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 N 115-ФЗ. Но есть одна оговорка в пункте 5 статьи 7 этого закона, согласно которой личное присутствие не требуется, если ранее этот представитель клиента был идентифицирован при личном присутствии. При этом согласно п.5.4 этой же статьи 7 для проведения идентификации клиента - юридического лица при открытии ему банковского счёта клиент может направлять документы и сведения в форме электронного документа, подписанного его квалифицированной электронной подписью. Упомянутые подпункты, позволяющие дистанционное открытие счёта, были специально внесены законом 191-ФЗ от 23.06.2016.

Таким образом, если физическое лицо планирует зарегистрировать бизнес, в котором оно будет единоличным исполнительным органом, ранее стало клиентом банка и было идентифицировано, то потенциально можно открыть счёт соответствующему юридическому лицу без его личного присутствия.

ЭКСПЕРИМЕНТАЛЬНЫЙ СЕРВИС РБиДОС

Исходя из приведённых выше соображений правового характера, Сбербанк совместно с дочерней компанией «Деловая среда» ещё до запуска эксперимента по Постановлению Правительства от 29.10.2106 № 1104, разработал систему РБиДОС. При этом предполагался следующий порядок действий: клиент заходит на портал компании «Деловая среда», регистрируется в личном кабинете и далее выбирает услугу РБиДОС. Далее он вводит личные и паспортные данные, СНИЛС, виды экономической деятельности, указывает систему налогообложения. После этого производится аутентификация клиента с помощью интернет-банкинга для физических лиц Сбербанк Онлайн.

Если аутентификация в Сбербанк Онлайн прошла успешно, то производится сверка персональных данных в заявлении с теми, что соответствуют введённым логину и паролю в Сбербанк Онлайн. В случае совпадения данных клиенту формируется ключ электронной подписи (далее ЭП) и запрос на выпуск квалифицированного сертификата ЭП, который направляется в Удостоверяющий центр. Саму ключевую пару (закрытый и открытый ключи) при этом первоначально планировалось формировать на отдельном сервере электронной подписи (далее СЭП).

Удостоверяющий центр проверяет пользовательские данные (паспорт РФ, СНИЛС, ИНН) через СМЭВ, и в случае положительного результата формирует сертификат квалифицированной электронной подписи. 

Подготовленное заявление на регистрацию бизнеса должно быть подписано только что выпущенной электронной подписью. Для подтверждения применения подписи на телефон пользователя предполагалось направлять СМС-сообщение с информацией о заявлении и с разовым паролем для подтверждения этого заявления. Если данные в СМС-сообщении соответствуют заявлению, то клиент вводит СМС-пароль, а СЭП подписывает дистанционной подписью заявление клиента. После этого пользователь оплачивает государственную пошлину и услуги и ожидает принятия решения со стороны ФНС[1].

В случае успешной регистрации бизнеса клиент может воспользоваться и услугой дистанционного открытия счёта. Заявление на открытие счёта первоначально планировалось формировать отдельно[2] там же, в ранее заведённом личном кабинете.

Для подписи этого заявления новоиспечённому ООО или ИП также планировалось формировать квалифицированную ЭП на СЭП. Подтверждение применения ЭП тоже должно было обеспечиваться с помощью разового СМС-пароля.

ОБЛАЧНАЯ ПОДПИСЬ И СЛОЖНОСТИ

Слабым местом в первоначальной схеме реализации РБиДОС оказался сервис облачной ЭП – по двум причинам. Первая из них лежит в нормативно-правовой плоскости. Согласно статье 18 закона 63-ФЗ «Об электронной подписи» при выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан установить личность заявителя - физического лица, обратившегося к нему за получением квалифицированного сертификата. Заявитель должен предоставить основной документ, удостоверяющий личность (далее ДУЛ), либо его надлежащим образом заверенную копию. Описанная выше аутентификация по паролю в Сбербанк Онлайн является недостаточно надёжной для целей выпуска квалифицированного сертификата ЭП.

Вторая причина невозможности использования облачной ЭП в описанном варианте связана с уровнем безопасности этого сервиса. В нём применение ЭП подтверждается с помощью СМС-паролей, но сейчас нельзя признать такой способ управления ЭП безопасным. Существует ряд атак на этот канал – подмена сим-карты, перехват СМС-сообщений, возможны атаки на сигнальные сети операторов сотовой связи. То есть нельзя быть абсолютно уверенным в том, что СМС-сообщение исходит от владельца электронной подписи, а значит, нельзя быть уверенным в том, что волеизъявление по применению электронной подписи исходит от владельца ЭП.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА И СЗАС

При обсуждении проблемы на межведомственном уровне был поставлен вопрос о необходимости создания специализированной защищённой автоматизированной системы (СЗАС) для дистанционного применения электронной подписи. Соответствующее решение было закреплено в Постановлении Правительства № 1104 от 29.10.2016 «О проведении в 2016-2018 гг. эксперимента в целях обеспечения направления электронных документов для государственной регистрации юридических лиц и индивидуальных предпринимателей и открытия ими счетов в кредитных организациях…». Участники эксперимента должны были решить следующие задачи:

Разработать модель угроз информационной безопасности СЗАС;
На основе модели угроз разработать и утвердить временные требования к СЗАС;
Создать СЗАС в соответствии с временными требованиями;
Провести эксплуатацию СЗАС в течение эксперимента, провести оценку результатов эксперимента и представить соответствующий доклад в Правительство РФ.

При этом СЗАС должна обеспечивать безопасность:

при хранении ключей усиленной квалифицированной ЭП (УКЭП);
при дистанционной идентификации (аутентификации) владельцев квалифицированных сертификатов ключа проверки ЭП (КСКПЭП);
при передаче информации по каналу дистанционного взаимодействия между владельцами КСКПЭП и аккредитованным УЦ;
при автоматизированном создании УКЭП по дистанционному поручению владельцев КСКПЭП.

Кроме того, СЗАС должна обеспечивать возможность доказательства неотказуемости владельцев КСКПЭП от поручения на автоматизированное создание УКЭП таких владельцев.

ЗАЩИЩЕННОЕ ВОЛЕИЗЪЯВЛЕНИЕ И ИНДЕНТИФИКАЦИЯ

Технология защищённого дистанционного применения ЭП создавалась совместно с сотрудниками 8 Центра ФСБ. При этом нужно было решить две задачи: создание криптографического средства дистанционного управления ЭП и обеспечение надёжной первичной дистанционной аутентификации владельца усиленной квалифицированной ЭП.

По первому направлению было выработано два способа дистанционного управления ЭП. Первый из них основан на использовании сим-карты со специализированным криптографическим апплетом, второй – на применении криптографического мобильного приложения на смартфоне клиента. В случае СИМ-карты с криптографическим апплетом клиент управляет своей облачной ЭП, находящейся на сервере ЭП, с помощью аутентификационного ключа на СИМ-карте. Этот аутентификационный ключ вместе с криптографическим апплетом должен был бы записываться в банке, и сама СИМ-карта в такой схеме тоже должна была бы выдаваться при личном визите клиента в офис банка.

Формирование и подписание документа со стороны клиента выглядело бы следующим образом. Клиент сначала формирует ЭД на своем ПК, далее этот документ или его хэш передаётся через ОТА-платформу на смартфон клиента, где ключевые поля документа или его хэш отображаются в апплете. Если значения на ПК и смартфоне совпадают, то клиент нажимает в апплете кнопку «Подписать». Формируется сообщение о согласии клиента, подписанное ключом аутентификационной подписи, хранящейся на СИМ-карте. Далее оно отправляется через ОТА-платформу на сервер ЭП в банке, где проверяется аутентификационная подпись клиента под сообщением-командой о подписи. Если результат проверки является положительным, то электронный документ подписывается облачной подписью. (Рис. 1).

ПЛЮСЫ И МИНУСЫ СХЕМЫ «КРИПТОАППЛЕТ НА СИМ-КАРТЕ»

Схема с сим-картой в целом получилась достаточно цельной и логичной, но, к сожалению, не совсем удобной и для клиентов, и для банка: клиентам нужно было бы приходить в банк, а банку пришлось бы обеспечить возможность выдачи сим-карт всех основных операторов связи, чтобы не ограничивать клиентов каким-то одним оператором. Отметим, что в ходе эксперимента межведомственная рабочая группа старалась изучить и современный опыт в других странах. В том числе был рассмотрен опыт Республики Казахстан, где довольно широкое распространение получили сервисы на основе электронной подписи. Там был проведён эксперимент по внедрению электронной подписи на сим-картах. Однако этот сервис оказался не вполне востребованным – за полтора года эксперимента (с конца 2015 года) было выдано только около тысячи сим-карт с электронными подписями. В связи с этим Сбербанк не стал реализовывать схему «Криптоапплет».

СХЕМА «МОБИЛЬНОЕ ПРИЛОЖЕНИЕ» И ЕЕ ЭВОЛЮЦИЯ

Схема управления ЭП с помощью криптографического мобильного приложения (далее МП) сначала также предполагала использование технологии облачной подписи, управляемой с помощью аутентификационного ключа. Только этот ключ должен был храниться не на сим-карте, а в криптографическом МП, расположенном на смартфоне клиента. В остальном идея похожа на только что рассмотренную для сим-карт. Клиент формирует заявление на регистрацию бизнеса и на открытие счёта на ПК, далее заявление отправляется с сервера в МП на смартфон по защищённому каналу. Заявление отображается в МП, клиент его проверяет, и если результат положительный, нажимает кнопку «Подписать» в МП. На сервер ЭП уходит подписанное аутентификационным ключом сообщение о согласии клиента использовать облачную подпись. Сервер ЭП проверяет аутентификационную подпись и при положительном результате подписывает облачной подписью ЭД.

В отличии от сим-карты с криптоапплетом МП можно выдать клиенту дистанционно. Клиент может скачать его с выделенных точек дистрибьюции, а целостность приложения можно подтвердить с помощью проверки контрольных сумм, опубликованных на сайте банка. Аутентификационный ключ и его сертификат для МП также могут быть сформированы дистанционно.

Для надёжной дополнительной аутентификации клиента при выпуске сертификата квалифицированной ЭП, а также при последующей подписи ЭД указанной квалифицированной ЭП было предложено использовать биометрические загранпаспорта[3]. Для аутентификации можно с помощью МП по протоколу NFC считать с чипа ПВДНП персональные данные клиента и, во-первых, сравнить их с персональными данными в системе банка, а, во-вторых, проверить подпись под этими данными с помощью специализированного сервиса[4] проверки ПВДНП. (Рис. 2).

Однако для применения этой схемы есть два ограничения. Во-первых, у клиента должен быть ПВДНП и телефон с поддержкой NFC, а, во-вторых, пока речь идет только об операционной системе Android: модуль NFC в смартфонах производства компании Apple используется преимущественно в интересах технологии Apple Pay и недоступен для иных применений. Загранпаспортов нового поколения выдано более 30 миллионов, но всё же указанным требованиям соответствует относительно немного клиентов. Тем не менее схема представляется очень перспективной, так как планируется расширение числа типов ПВДНП и масштаба их распространения. Речь идёт и водительских удостоверениях с чипом, и о планах по развитию общегражданских биометрических паспортов. Если же компания Apple откроет возможность использования NFC-модуля для мобильного приложения в нашем эксперименте, то схема будет пригодна для большинства потенциальных клиентов.

ХРАНЕНИЕ КЛЮЧЕЙ ЭП В ОБЛАКЕ И ЗАЩИТА

Кроме описанных возможностей по созданию полностью дистанционного сервиса РБиДОС, исследование схемы с МП дало нам ещё одну интересную возможность, которая и была реализована при внедрении сервиса в опытную эксплуатацию.

При рассмотрении схемы мы поняли, что в мобильном приложении можно хранить сам ключ квалифицированной ЭП, а не аутентификационный ключ. В базовом варианте предполагалось, что ключ КЭП хранится на сервере ЭП, зашифрованный на индивидуальном ключе шифрования в мобильном приложении у клиента. Это было сделано для того, чтобы защитить ключ КЭП клиента на сервере ЭП от несанкционированного использования сотрудниками банка, имеющими доступ к серверу ЭП. Предполагалось, что в момент использования ключа подписи ключ шифрования будет передаваться из МП на сервер ЭП, ключ КЭП будет расшифровываться на этом ключе шифрования на сервере ЭП и использоваться для подписания ЭД. Реализован же был такой вариант: ключ подписи хранится в МП в зашифрованном виде, а ключ шифрования, на котором зашифрован ключ подписи, хранится на сервере. В этом случае, строго говоря, нет облачной подписи, а есть облачный сервис по защите клиентских электронных подписей. Для использования ключа подписи МП запрашивает ключ шифрования в облаке и, получив его, расшифровывает хранимый внутри себя ключ подписи и далее применяет его. Такая схема позволяет понизить требования к криптографическому модулю HSM – на нём хранятся только технические ключи шифрования, а обладание ими мало что даёт нарушителю.

ОПЫТНАЯ ЭКСПЛУАТАЦИЯ

В результате эксперимента было создано две технологии защищённого дистанционного управления ключами ЭП, предложена технология дистанционной дополнительной аутентификации клиентов с помощью ПВДНП и на их основе спроектирована технология полностью дистанционного создания квалифицированной ЭП в мобильном приложении, защищённой с помощью облачного сервиса шифрования.

15 февраля была начата опытная эксплуатация сервиса РБиДОС и СЗАС в её составе. Входящее в состав СЗАС криптографическое мобильное приложение прошло тематическое исследование и получило положительное заключение ФСБ. Для системы СЗАС 8 Центром ФСБ были разработаны временные требования, и СЗАС была реализована в соответствии с ними.

Опытная эксплуатация сервиса РБиДОС проводится в трёх регионах РФ: Калужской, Тверской и Тульской областях. В мае планируется распространить эксперимент на территорию всей страны, а в конце года подвести его итоги.

Проект поможет решить целый ряд важных задач. Онлайн-регистрация бизнеса и дистанционное открытие расчётного счёта позволят увеличить число малых и средних предприятий в России. Благодаря новым удобным сервисам банк может повысить удовлетворённость своих корпоративных клиентов. И, пожалуй, самое главное – этот проект внесёт свой вклад в выход экономики нашей страны на новый уровень развития.

[1] В итоговой реализации сервиса клиент оплачивает пошлину сразу после ввода данных, необходимых для формирования заявления на регистрацию бизнеса и на открытие счёта, и перед формированием ключей ЭП.

[2] В итоговой реализации сервиса клиент сразу перед регистрацией бизнеса вводит всю необходимую информацию, и повторно заходить в личный кабинет ему не приходится. Сделано это для уменьшения числа шагов, затрачиваемых на регистрацию бизнеса и открытие счёта.

[3] Имеются в виду загранпаспорта с чипом на борту, относящиеся к категории паспортно-визовых документов нового поколения (далее ПВДНП).

[4] В эксперименте используется сервис проверки ПВДН, предоставленный ФГБУ НИИ «Восход».

Подпишись на новости!
Подписаться