Grüße, Freunde!Kürzlich habe ich mich mit einem neuen Gesetz vertraut gemacht, das wesentliche Änderungen im Bereich des elektronischen Dokumentenmanagements vorsieht, nämlich 63- „On electronic signature“ (im Folgenden: EDS). Die Einführung von Änderungen soll durch den Einsatz von IT-Technologien erfolgen, sie haben beispielsweise angesprochen, wie der elektronische Schlüssel gespeichert werden soll, jetzt wird er im Cloud-Dienst gespeichert.
Meine Gedanken zu diesem Thema führten zum Schreiben dieses Artikels. Ich möchte mit Ihnen meine Gedanken darüber teilen, wie sich der EDS-Markt nach Inkrafttreten des Gesetzes verändern wird und was die Teilnehmer des elektronischen Dokumentenmanagements erwartet.
Es handelt sich um das Gesetz Nr. 476-FZ über Änderungen des Bundesgesetzes über elektronische Signaturen. Am 28. Dezember wurde es auf dem offiziellen Internetportal
www.pravo.gov.ru veröffentlicht , was bedeutet, dass es alle Phasen der Unterzeichnung und Prüfung durchlief. Es tritt am 1. Juli 2020 in Kraft, mit Ausnahme von Artikel 1 Nummer 14, und wird am 1. Januar 2022 in Kraft treten.
Welche Veränderungen erwarten uns?
Das Gesetz macht viele Änderungen, ich stelle fest, das wichtigste:
- Die Anforderungen an Zertifizierungsstellen haben sich geändert: Jetzt beträgt die Akkreditierungsdauer 3 Jahre, die zuständige Behörde sollte 100 Millionen Rubel Versicherungsfonds und mindestens 1 Milliarde Rubel Eigenmittel oder 500 Millionen Rubel für Zentren mit Repräsentanzen in 3/4 oder mehr Regionen der Russischen Föderation haben.
- Autorisierte Stellen: Federal Tax Service, Treasury, Central Bank erhielten Sonderrechte zur Ausstellung einer elektronischen digitalen Signatur. Sie sind übrigens nicht von allen in Absatz 1 genannten finanziellen Anforderungen betroffen.
- Jetzt werden signierte EDS-Dokumente mit IT-Tools "trusted third party" auf Echtheit geprüft. Eine spezielle juristische Person versieht sie mit einem „Zeitstempel“.
- Eine Zertifizierungsstelle (CA), die Ihnen ein EDS zur Verfügung stellt, speichert es in der Cloud. Außerdem werden die Dokumente von der Zertifizierungsstelle in Ihrem Namen für Sie signiert.
- Das Gesetz legt Methoden zur Identifizierung der Identität des Antragstellers fest, der ein EDS beantragt hat. Eine dieser Methoden ist das Abrufen von Informationen aus einem einzigen biometrischen System.
- Die Rechtskraft von Unterschriften ausländischer Staaten, die den Anforderungen der Russischen Föderation entsprechen, wird anerkannt.
Warum ist das alles notwendig?
Die Gesetzesvorlage wurde ursprünglich entwickelt, um die Arbeit der CA zu verbessern und die Informationssicherheit zu erhöhen. Heutzutage stellen viele Unternehmen digitale Signaturen aus, können jedoch die Echtheit der Daten des Antragstellers nicht überprüfen. Infolgedessen sind Fälle von Unterschriftenbetrug häufiger geworden. Über die Website von State Services führten Angreifer Transaktionen im Wert von mehreren Millionen Dollar durch.
Es scheint, dass das Gesetz das Problem der Informationssicherheit im Bereich EDS lösen und die EDI-Teilnehmer vor allen Arten von Risiken schützen wird. Aber leider ist nicht alles so einfach ...
Was erwartet den EDS- und EDI-Markt?
Jetzt werde ich Ihnen meine Gedanken darüber mitteilen, wozu all diese Änderungen meiner Meinung nach führen werden. Als Spezialist des Zertifizierungszentrums interessierte ich mich sofort für das Gesetz und überwachte ständig die Phasen seiner Unterzeichnung.
Tatsächlich kann jetzt derjenige, der die digitale Signatur besitzt, jedes Dokument an Ihrer Stelle signieren. Theoretisch kann er über den Schlüssel nach eigenem Ermessen verfügen. Und jetzt haben sowohl die Zertifizierungsstelle als auch der "vertrauenswürdige Dritte" Zugriff auf die Dokumente selbst. Aber was ist mit Fragen der Informationssicherheit? Nur der Eigentümer muss Zugriff auf den privaten Teil des EDS-Schlüssels haben!
Ich schweige bereits über die Befugnisse des Föderalen Steuerdienstes, die sich immer weiter ausbreiten. Ich spreche nicht von der Monopolisierung durch autorisierte Stellen des EDS-Marktes, sondern von der Tatsache, dass sie die Last erhöhen werden.
Ihre Server, Standorte usw. sind ständig erhöhten Belastungen ausgesetzt. Das Ergebnis - Fehlschläge, Verzögerungen bei der Arbeit, wie es Ende 2019 war, als sich die Beschaffungsteilnehmer nach den neuen Regeln über die Website der staatlichen Dienste massiv im einheitlichen Informationssystem zu registrieren begannen, um an elektronischen Parketten zu arbeiten und sich zu akkreditieren. Ein Versagen in der Arbeit eines Gremiums wie des Federal Tax Service ist eigentlich ein Stopp der Aktivitäten aller Organisationen, eine Störung von Regierungsaufträgen. Aber der Punkt ist nicht nur das:
- Die Speicherung digitaler Signaturen in der Cloud erfordert leistungsfähige technische und IT-Tools. Die Funktionsweise aller Portale für öffentliche Dienste muss geändert werden. Es ist schwer vorstellbar, wie viel Geld benötigt wird. Selbstverständlich werden alle Kosten von den Geldbörsen der Antragsteller getragen.
- Für vertrauenswürdige Prüfungen sind ebenfalls Mittel erforderlich. Es wird aber auch einige Zeit dauern, Verzögerungen werden auftreten, das Unterschreiben von Dokumenten wird länger dauern.
- Unabhängig davon kann festgestellt werden, dass viele kommerzielle Zertifizierungsstellen einen schweren Schlag für ihr Geschäft erleiden werden. Sie müssen nicht nur strenge Anforderungen erfüllen, Ihre Aktivitäten auf neue IT-Standards umstellen, um die Cloud-Speicherung digitaler Signaturen und das Signieren von Dokumenten zu gewährleisten. Ein erheblicher Teil des Marktes wird an autorisierte staatliche Stellen gehen.
Um es zusammenzufassen
Sie sind also nicht derjenige, der den Schlüssel besitzt, sondern derjenige, der die Dokumente signiert. Gleichzeitig werden Sie durch die mit Ihrer Unterschrift signierten Dokumente auf Gültigkeit geprüft. Aber wenn sich herausstellt, dass etwas nicht stimmt, werden Sie antworten.
Außerdem wird die Ausstellung eines EDS unweigerlich viel teurer - die Kosten der beteiligten IT-Infrastruktur für den Cloud-Speicher und die Arbeit eines „vertrauenswürdigen Dritten“ werden darauf übertragen. Solche Veränderungen sind nicht ermutigend.