Мифы и предрассудки об УКЭП.

Настоящий материал (информация) произведён, распространён и (или) направлен обладателем личного сертификата УКЭП Луниной Л.С. либо касается деятельности обладателя личного сертификата УКЭП Луниной Л.С. Не является партнёрским или рекламным.18+

С такой вот шуточной плашки начну свою статью на не менее интересную тему про электронную подпись, она же электронная цифровая подпись она же цифровая подпись. Попробую разрушить популярные мифы об электронной подписи, в частности речь пойдёт об усиленной квалифицированной электронной подписи (УКЭП) для физических лиц. Статья не является рекламной или партнёрским материалом, описывает мой опыт как физлица-обладателя УКЭП.

Что такое электронная подпись?

С развитием технологий у человечества возникла необходимость документировать события, отражать свои хозяйственные операции, какие-то факты из жизни на носителях информации, передавать информацию на дальние расстояния. Первыми такими носителями были глиняные таблички, листы папируса, береста, дощечки. Так появились первые документы.

Документы было легко подделать, проблема подделки документов нарастала и их нужно было защищать. Для этого придумали подписи (автограф подписавшего), штампы и печати, которые были уникальны и ясно давали понять кто составил тот или иной документ, придавали ему юридическую силу. С изобретением бумаги документы прочно вошли в жизнь людей, менялись их форма, назначение, условия получения или выдачи. И так было до конца XX века.

Прогресс на месте не стоит, ближе к концу XX века появились телекоммуникационные сети передачи данных, это: локальные вычислительные сети, ведомственные сети, интернет. Возникла возможность отправлять информацию и даже документы по ним. Можно стало просто сканировать бумажные документы и отправлять или набрать и отправить. Но, и тут возникла проблема определения того кто этот документ составил и отправил, и тут должна быть гарантия что никто не вносил правки и изменения в документ. Это хорошо, что можно отсканировать и отправить подписанный электронный документ, но это не говорит о том, что этот скан - это скан именно этого документа. Чтобы подписывать электонные документы была придумана электронная подпись.

Электронная подпись - это информация в электронно-цифровой форме, с помощью которой можно идентифицировать физическое или юридическое лицо без его личного присутствия.

Как видно, электронная подпись позволяет однозначно сказать получателю документа, что подписали его именно Вы.

Какие бывают ЭП?

Согласно статье 5 Федерального закона №63-фз от 6 апреля 2011 года в Российской Федерации выделяется три вида электронной подписи.

Простая электронная подпись (ПЭП).

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Так гласит Федеральный закон. На практике ПЭП бывает:

• в виде логина и пароля (портал "Госуслуги", платёжная система Wallet One);
• в виде просто галочки в окошке ("Я принимаю условия лицензионного соглашения" при установке программ или "Я принимаю условия пользования сервисом" при пользовании интернет-ресурсами);
  
• в виде одноразового SMS-кода (многие банки, электронные кошельки, МФЦ, упрощённое вручение на Почте России);
  
• в виде кода с карты сеансовых ключей (они знакомы клиентам ЮниКредит Банка, Банка АВАНГАРД, платёжной системы "Интеллект Мани");
• в виде OTP-токена, который синхронизирован с сервисом и при нажатии на кнопку генерирует одноразовый пароль (используется за рубежом вместо небезопасных SMS-кодов, в России использовали брокер "Фридом Финанс" и некогда "Газпром банк" в системе "Телекард");
• сложного генератора одноразовых кодов или криптокалькулятора (используется банками за рубежом вместо небезопасных SMS-кодов, в России такой был у банка ВТБ-24);
  
• в виде скана подписанного Вами документа на бумаге.
  

Неквалифицированная.

Неквалифицированной электронной подписью является электронная подпись, которая:

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4) создается с использованием средств электронной подписи.

Согласно тому же закону.

Такая подпись является усиленной и её может выпускать любой госорган (например ФНС России выпускает и даёт возможность применять пользователям личного кабинета налогоплательщика для подписания деклараций), любое предприятие, учреждение и теоретически даже физлицо. Подписывать документы для внутреннего какого-то документооборота. Она позволяет зафиксировать целостность документа и однозначно указать на того, кто подписал. Чтобы подписывать документы, направлеяемые кому-то извне, нужно соглашение о взаимном признании такой подписи.

Квалифицированная.

4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Это всё согласно закону.

На практике такую электронную подпись могут выдавать только специально аккредитованные Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) удостоверяющие центры. Их список есть на сайте Министерства. С ним может ознакомиться любой желающий, это не военная тайна.

Криптографические алгоритмы, при помощи которых генерируется подпись, должны быть одобрены ФСБ России (Федеральная служба безопасности), а аппаратные средства иметь одобрение от ФСТЭК России (Федеральная служба по техническому и экспортному контролю, подведомственна Министерству обороны РФ). В России это ГОСТ Р 34.11-2012 и более новый ГОСТ 34.10-2018, чаще всего пока что используется первый.

ФСБ следит за тем, чтобы этот алгоритм не имел изъянов, которые бы позволяли кому-либо что-то взломать или изменить, а ФСТЭК следит за токенами и шифровальными аппаратными модулями, дабы они не имели "дыр" для хакеров и изъянов, позволяющих что-то перехватить, похитить и изменить.

Казалось бы, всё просто, но из-за того, что народ в России не слишком доверяет новым технологиям, не знает многих новшеств цифрового мира, не готов тратиться на приобретение специальных программ, пользование более совершенными средствами электронной подписи вроде УКЭП в России затруднено. А сама подпись обрела сонм различных мифов вокруг себя.

Миф №1. Ну, не может быть документа не на бумаге. В электронных обязательно есть подвох.

Подвоха на самом деле нет. Понятное дело, что столько столетий человечество создавало документы на бумаге. И это не могло не отразиться на подсознании современных людей. Кто-то из нас наверняка предпочтёт составить документ на бумаге, подписать его или подписать и скрепить печатью, потом отсканировать, а уже скан подписать УКЭП и только тогда отправить. Типа для надёжности.

Поверьте, это глупая трата бумаги, сил и времени. Электронный документ не может быть бумажным. Это блок виртуальных данных, подписанный электронной подписью - уникальным шифром, который свидетельствует о том, что этот самый блок данных не изменялся, что он цел. Ваша собственноручная подпись или печать и собственноручная подпись - это и есть Ваша УКЭП в данном случае.

Сканировать есть смысл приложения к электронному документу при условии, что они изначально были сделаны на бумаге. Допустим, вы подаёте исковое заявление в суд о взыскании долга с вашего контрагента, но хотите сделать это электронно. Иск можно подписать УКЭП, а накладные, счета, акты, договор, которые были изложены на бумаге придётся отсканировать. Иск - основной документ, всё остальное - приложения.

Физлицам-обладателям УКЭП тоже не стоит забивать голову чем-то подобным и смело пользоваться всеми возможностями УКЭП, не забивая свой дом бумажками.

Миф №2. Хранить электронные документы нужно на бумаге.

Многим из нас известна ситуация когда в компьютер проник вирус и всё попортил. Или "накрылся" жёсткий диск, либо разлетелся в приводе компакт-диск. Либо это ситуация может вытекать из предыдущего мифа мол "документ это всегда бумага, всё остальное - чушь". И Вы решили лучше от греха подальше распечатать свои электронные документы, красиво подшить в папку-регистратор и поставить на полку в сервант или шкаф у себя дома или в офисе.

Электронный документ - это электронный документ. Как бы тавталогично это не звучало. Распечатка электронного документа - это не электронный документ, это его бумажная копия. Если вы его кому-то отправляете, то на распечатку надо поставить штамп "Копия" или "Копия с электронного документа", заверить её как копию "живой" подписью и скрепить печатью. В качестве примера могу привести судебные письма из Арбитражного суда, если имеете с ним дело, то наверняка видели. Оригиналом судебного акта является судебный акт в системе "Электронное правосудие", а то, что приходит в письме с подписью и печатью - это его заверенная копия. Там наверняка стоит штамп "Копия".

Либо делать тождественный электронному документ на бумаге через нотариуса. Кто занимается регистрациями ИП и юрлиц, или является ИП или участником/руководителем юрлица, знают что это такое. Тождественными документами как правило заказывают Листы записи ЕГРЮЛ и экземпляры учредительных при регистрационных действиях, совершаемых через нотариуса.

Глупо заниматься чем-то подобным для хранения менее значимых документов. Тем более, что хранить вы собираетесь именно документы, а не их копии. Ну, а про составление тождественных вы наверняка разоритесь на услуги нотариуса и завалите нотариуса лишней работой. Тождественные формы документов хороши для учредительных или критически важных документов. А они имеют штучную численность и весьма редки для повседневности.

Хранить электронные документы лучше всего на съёмном внешнем электронном носителе, положив рядом публичные сертификаты, на основании которых они подписывались. Рекомендую использовать для этих целей флеш-карты или внешний HDD (классический винчестер) или SSD (твердотельный диск), которые нужно будет пометить, чтобы не забыть. Носители следует время от времени подключать к чистому от вирусов ПК и просто просматривать ничего не меняя. Документы будут изолированы от сетей, а следовательно и от вирусов.

Миф №3. УКЭП - это дорого.

Отчасти это так. Сама процедура выпуска сертификата для кого-то может показаться как недешёвая. При этом надо купить лицензии на КриптоПРО (криптопровайдер), токен и желательно на программное обеспечение для подписание документов вроде КприптоАРМ или КриптоАРМ ГОСТ. Это всё недешёвое удовольствие.

Юридическим лицам и индивидуальным предпринимателям деваться некуда, их законом обязали пользоваться УКЭП для сдачи отчётности, работе с порталом ЕГАИС, системой "Честный знак", системой "Меркурий", различными электронными торговыми площадками, если они выпускают или реализуют соответствующие товары или оказывают соответствующие услуги.

Физлица же не очень-то пользуется УКЭП, глядя на всю недешёвость удовольствия. Да и законом их никто не обязывал приобретать УКЭП, пользоваться ею.

Всё же у всех этих программ есть бесплатные или более бюджетные аналоги. Только вот их функционал может быть ограничен и может не быть подробных гайдов или обучающего видео на тему "Как этим пользоваться".

Можно заплатить по одному разу за токен и за пожизненные лицензии, а потом только продлевать сертификат УКЭП. Продление сертификата стоит около ₽1000. Согласитель, что это недорого. Вы при походе в один раз супермаркет тратите гораздо больше, чем за год при продлении сертификата. Зато сколько времени вы экономите при взаимодействии с госорганами или работодателем или ещё кем, с кем ведёте электронный обмен документами. Составить, подписать и отправить юридически значимый документ, не печатая и не бегая на почту.

УКЭП для физлиц - не инвестиция, чтобы смотреть на неё с точки зрения "окупится - не окупиться", это удобство. А за удобство надо платить. Удобство не всегда окупается финансово, но оно сильно экономит ваши силы, ваше время.

Миф №4. УКЭП - это сложно и требует мощного компьютера.

Все эти криптопровайдеры, драйверы, токены, плагины, сертификаты, установки. Буду я этим голову забивать! Да и место на компьютере тоже. И с чего вы взяли, что это покатит на моём компьютере, где нет последнего "Пентиума"?

Понятно, простому обывателю это не понять и звучат термины, как лунный или марсианский язык. Это сложно, но необходимо. На сайтах продавцов и производителей есть подробные гайды, инструкции и обучающие материалы на тему как всё это установить, настроить и наладить. Можно так же обратиться в техподдержку своего удостоверяющего центра и по шагам с их помощью всё настроить. При этом не забивать голову. Где-то это платно, а где-то бесплатно.

Мощный компьютер не потребуется. Подписывать УКЭП документы можно даже на слабых компьютерах вроде ультрабука (мобильный компьютер по типу ноутбука, с большей автономностью работы, но с меньшей вычислительной мощностью) или нетбука (мобильный компьютер с малой мощностью, но с большей, чем у ноутбука компактностью).

Миф №5. УКЭП всё удовольствие больше для юрлиц и индивидуальных предпринимателей.

Нет, нет и нет! Физлицам тоже доступна УКЭП. При этом вовсе не обязательно быть адвокатом, арбитражным управляющим, участником торгов. Хотя они все физлица, но типичные пользователи УКЭП. Любое физлицо сможет оформить для себя сертификат УКЭП, обратившись в любой аккредитованный удостоверяющий центр (УЦ). Нужно для начала подать заявку на сайте или по телефону УЦ, оплатить услуги по выпуску сертификата усиленной квалифицированной электронной подписи, прийти в УЦ с паспортом, СНИЛС, ИНН.

Для вас УЦ выпустит соответствующий сертификат, который будет записан на токен. Токен придётся приобрести. Его можно купить или отдельно, или прямо в удостоверяющем центре. Рекомендую второе, потому, что не все токены одинаково полезны, к ним могут предъявляться определённые законодательные требования. Какой токен одобрен ФСБ и ФСТЭК а какой нет - определить человеку не в теме довольно трудно.

Можно и вовсе обойтись без токена, сохранив сертификат УКЭП на флешке, в смартфоне, на компьютере или вовсе отправив на электронную почту себе. Только это крайне небезопасно, есть существенный риск компрометации сертификата или его утраты.

Миф №6. УКЭП, как ни крути, это для торгов и порталов.

Нет. Это не так. С помощью сертификата УКЭП можно подписывать любой электронный документ, а дальше передавать его хоть на флешке, хоть пересылать по E-Mail. И это будет юридически значимый документ. Письма, запросы, заявления, жалобы, претензии можно подписывать и отправлять так без каких-либо порталов.

Миф №7. Нужно соглашение ведь не все признают УКЭП.

Отчасти это так, но при условии, что вы используете усиленную электронную подпись (УЭП), но не усиленную квалифицированную электронную подпись (УКЭП). Документ, подписанный УКЭП, это полный аналог бумажного документа для ИП и ЮЛ с печатью и собственноручной подписью гендиректора или ИП, для ФЛ с собственноручной подписью. И такой документ можно смело отправить адресату, он не имеет права не признавать такой документ. Признание документа, подписанного УКЭП обязательно для всех без исключения.

Миф родился и живёт за счёт непонимания разницы между УЭП и УКЭП. Если Ваш сертификат квалифицированный, а Ваш УЦ из списка Минкомсвязи, значится там как аккредитованный, то не надо никаких соглашений, а все возражения и непризнания адресата безосновательны.

Миф №8. За меня подписали документы.

Допустим, вы вставили свой токен в ПК и отошли куда-то, а то и вовсе уехали домой, на совещание, на деловую встречу. В это время кто-то подписал документ, сидя за вашим ПК. В данном случае отвечать за юридические последствия всё равно будете вы, ведь это Ваша подпись под документом. УКЭП, как и оружие не терпит халатности. Вы оставили ружьё в доступном месте, его кто-то взял и кого-то застрелил, отвечать всё равно будете вы, за халатность. Так же примерно и с УКЭП, только Вам надо будет доказать, что не вы подписали документ. Удостоверяющий центр об этом Вас предупреждает, заверяя, что нельзя передавать свой сертификат УКЭП третьим лицам. Нельзя и сохранять сертификат где попало кроме токена как бы это удобно не было. Храните свой токен, как зеницу ока и не оставляйте где попало. По окончании работы забирайте его с собой. Дома тоже не храните его на видном месте.

Миф №9. Потеря УКЭП - это катастрофа.

Отчасти. При условии, что надо что-то срочно подписать, чтобы отправить, когда горят сроки - это да, это катастрофа. В долгосрочной перспективе это не катастрофа. Если поиск токена с сертификатом УКЭП не увенчались успехом, то следует немедленно созвониться с вашим удостоверяющим центром, представиться, заявить о пропаже токена или его порче и попросить отозвать ваш сертификат. Если токен пропал, но оказался в руках злоумышленников, а вы отозвали сертификат, то подписать они не смогут ничего, не смогут и войти на те ресурсы, на которые Вы входили с помощью вашего сертификата. Есть маленькая неприятность, что злоумышленники смогут узнать Ваши СНИЛС, ИНН, ФИО. Это ещё не критически важные данные. Банки, магазины и т.д. обирают гораздо больше сведений о вас и не стесняются ими делиться. Неприятно, но не смертельно.

После отзыва Вам придётся выпускать новый сертификат и покупать новый токен.

В случае утраты, кражи, порчи токена немедленно следует связаться с удостоверяющим центром и отзывать сертификат.

В заключение.

Пользоваться УКЭП можно и нужно. Это не только экономит время и силы, избавляя от лишних хлопот. Чем больше простых людей будут использовать УКЭП в своей повседневной жизни, тем быстрее будет развитие государственных или окологосударственных порталов ("Госуслуги", "Налог", "Федресурс", "Вестник государственной регистрации" и т.д.), тем быстрее рынок систем электронного документооборота отреагирует на физических лиц, выпуская решения для физических лиц.

Такие решения смогут упростить жизнь тем, кто трудится удлённо, проживает в отдалённой местности, или является маломобильным лицом, чьи физические возможности ограничены. Такие решения смогут помочь сделать большой шаг вперёд цифровой экономике России на пути к её развитию.