Selamat siang, pembaca yang budiman!
Saya telah aktif mengikuti update dan berita program Ekonomi Digital selama beberapa waktu. Dari sudut pandang pegawai internal sistem EGAIS, tentunya prosesnya akan memakan waktu puluhan tahun. Baik dari sudut pandang pengembangan, maupun dari sudut pandang pengujian, rollback, dan implementasi lebih lanjut, yang diikuti dengan penyesuaian segala jenis bug yang tak terelakkan dan menyakitkan. Namun demikian, hal ini perlu, penting dan mendesak. Pelanggan dan pendorong utama semua kesenangan ini, tentu saja, adalah negara. Sebenarnya sama seperti di seluruh dunia.
Semua proses sudah lama berpindah ke digital atau sedang menuju ke arah digital. Ini masih luar biasa. Namun, ada kelemahan dari medali keunggulan. Saya adalah orang yang selalu bekerja dengan tanda tangan digital. Saya adalah pendukung metode yang mungkin “kemarin”, tetapi “kuno” yang andal dan saling menguntungkan dalam melindungi tanda tangan elektronik menggunakan token. Namun digitalisasi menunjukkan kepada kita bahwa segala sesuatu sudah lama berada di “awan” dan CEP juga dibutuhkan di sana dan dibutuhkan dengan sangat cepat.
Saya mencoba mencari tahu, pada tingkat kerangka legislatif dan teknis, jika memungkinkan, bagaimana keadaan dengan tanda tangan elektronik cloud di sini dan di Eropa. Faktanya, lebih dari satu disertasi ilmiah telah diterbitkan mengenai topik ini. Oleh karena itu, kami mendorong para profesional di bidang ini untuk ikut serta dalam pengembangan topik ini.
Mengapa CEP di cloud menarik? Sebenarnya ada kelebihannya. Keuntungan ini sudah cukup banyak. Ini cepat dan nyaman. Kedengarannya seperti slogan iklan, Anda pasti setuju, tetapi ini adalah karakteristik obyektif dari tanda tangan digital cloud.
Kecepatan terletak pada kemampuan menandatangani dokumen tanpa terikat pada token atau kartu pintar. Tidak mewajibkan kita hanya menggunakan desktop saja. Kisah lintas platform seratus persen untuk OS dan browser apa pun. Hal ini terutama berlaku bagi penggemar produk Apple, yang mengalami kesulitan tertentu dalam mendukung tanda tangan elektronik di sistem MAC. Keluar dari mana saja di dunia, kebebasan memilih CA (bahkan yang non-Rusia). Tidak seperti perangkat keras CEP, teknologi cloud menghindari kesulitan dengan kompatibilitas perangkat lunak dan perangkat keras. Yang mana, ya, nyaman, dan, ya, cepat.
Dan bagaimana seseorang tidak tergoda oleh keindahan seperti itu? Iblis ada dalam detailnya. Mari kita bicara tentang keamanan.
CEP "Cloud" di Rusia
Keamanan solusi cloud, dan khususnya tanda tangan digital, adalah salah satu masalah utama bagi para profesional keamanan. Apa sebenarnya yang saya tidak suka, pembaca akan bertanya kepada saya, karena semua orang sudah lama menggunakan layanan cloud, dan dengan SMS bahkan lebih dapat diandalkan untuk melakukan transfer bank.
Sebenarnya, sekali lagi, mari kita kembali ke detailnya. Tanda tangan digital cloud adalah masa depan yang sulit untuk diperdebatkan. Tapi tidak sekarang. Untuk melakukan hal ini, perubahan peraturan harus terjadi yang akan melindungi pemilik tanda tangan digital cloud.
Apa yang kita punya hari ini? Ada sejumlah dokumen yang mendefinisikan konsep tanda tangan digital, pengelolaan dokumen elektronik (EDF), serta undang-undang tentang perlindungan informasi dan peredaran data. Secara khusus, Anda perlu mempertimbangkan KUH Perdata (Kode Sipil Federasi Rusia), yang mengatur penggunaan tanda tangan elektronik dalam dokumen.
Undang-Undang Federal No. 63-FZ “Tentang Tanda Tangan Elektronik” tanggal 06.04.2011/XNUMX/XNUMX. Undang-undang dasar dan kerangka yang menjelaskan pengertian umum penggunaan tanda tangan digital dalam melakukan berbagai jenis transaksi dan memberikan layanan.
Undang-undang Federal No. 149-FZ “Tentang informasi, teknologi informasi, dan perlindungan informasi tanggal 27.07.2006 Juli XNUMX. Dokumen ini menjelaskan konsep dokumen elektronik dan semua segmen terkait.
Ada undang-undang tambahan yang terlibat dalam regulasi EDI
Undang-Undang Federal 402-FZ “Tentang Akuntansi” tanggal 06.12.2011 Desember XNUMX. Undang-undang legislatif mengatur sistematisasi persyaratan akuntansi dan dokumen akuntansi dalam bentuk elektronik.
Termasuk. Anda dapat mempertimbangkan Kode Prosedur Arbitrase Federasi Rusia, yang mengizinkan dokumen yang ditandatangani dengan tanda tangan elektronik sebagai bukti di pengadilan.
Dan di sinilah terpikir oleh saya untuk mempelajari lebih dalam masalah keamanan, karena standar sarana perlindungan kripto kami disediakan oleh FSB dan memastikan penerbitan sertifikat kesesuaian. Pada tanggal 18 Februari, standar Gost baru diperkenalkan. Oleh karena itu, kunci yang disimpan di cloud tidak dilindungi secara langsung oleh sertifikat FSTEC. Melindungi kunci itu sendiri dan mengamankan akses ke “cloud” adalah landasan yang belum kami pecahkan. Selanjutnya saya akan melihat contoh regulasi di Uni Eropa yang secara jelas menunjukkan sistem keamanan yang lebih maju.
Pengalaman Eropa dalam menggunakan tanda tangan digital cloud
Mari kita mulai dengan hal utama - teknologi cloud, tidak hanya tanda tangan digital yang memiliki standar yang jelas. Basisnya adalah kelompok Cloud Standard Coordinate (CSC) dari European Telecommunications Standards Institute (ETSI). Namun, masih terdapat perbedaan dalam standar perlindungan data di berbagai negara.
Dasar untuk perlindungan data yang komprehensif adalah sertifikasi wajib bagi penyedia menurut ISO 27001:2013 untuk sistem manajemen keamanan informasi (GOST R ISO/IEC 27001-2006 Rusia yang sesuai didasarkan pada versi standar ini tahun 2006).
ISO 27017 memberikan elemen keamanan tambahan untuk cloud yang tidak ada dalam ISO 27002. Nama resmi lengkap standar ini adalah “Kode praktik untuk kontrol keamanan informasi berdasarkan ISO/IEC 27002 untuk layanan cloud.” ISO/IEC 27002 untuk layanan cloud ").
Pada musim panas tahun 2014, ISO menerbitkan standar ISO 27018:2015 tentang perlindungan data pribadi di cloud, dan pada akhir tahun 2015, ISO 27017:2015 tentang kontrol keamanan informasi untuk solusi cloud.
Pada musim gugur tahun 2014, Resolusi baru Parlemen Eropa No. 910/2014, yang disebut eIDAS, mulai berlaku. Aturan baru memungkinkan pengguna untuk menyimpan dan menggunakan kunci EPC di server penyedia layanan tepercaya yang terakreditasi, yang disebut TSP (Trust Service Provider).
Pada bulan Oktober 2013, Komite Standardisasi Eropa (CEN) mengadopsi spesifikasi teknis CEN/TS 419241 “Persyaratan Keamanan untuk Sistem yang Dapat Dipercaya Mendukung Penandatanganan Server”, yang didedikasikan untuk regulasi tanda tangan digital cloud. Dokumen tersebut menjelaskan beberapa tingkat kepatuhan keamanan. Misalnya, kepatuhan “tingkat 2” yang diperlukan untuk menghasilkan tanda tangan elektronik yang memenuhi syarat memerlukan dukungan untuk opsi otentikasi pengguna yang kuat. Menurut persyaratan tingkat ini, otentikasi pengguna terjadi langsung pada server tanda tangan, berbeda dengan, misalnya, otentikasi yang diizinkan untuk “tingkat 1” dalam aplikasi yang mengakses server tanda tangan atas namanya sendiri. Selain itu, sesuai dengan spesifikasi ini, kunci tanda tangan pengguna untuk menghasilkan tanda tangan elektronik yang memenuhi syarat harus disimpan dalam memori perangkat aman khusus (modul keamanan perangkat keras, HSM).
Otentikasi pengguna di layanan cloud setidaknya harus terdiri dari dua faktor. Biasanya, opsi yang paling mudah diakses dan digunakan adalah mengonfirmasi login melalui kode yang diterima dalam pesan SMS. Misalnya, sebagian besar rekening RBS pribadi bank-bank Rusia telah diimplementasikan. Selain token kriptografi biasa, aplikasi di smartphone dan pembuat kata sandi satu kali (token OTP) juga dapat digunakan sebagai alat otentikasi.
Untuk saat ini, saya dapat menarik kesimpulan sementara mengenai fakta bahwa cloud CEP masih dalam tahap pembentukan dan masih terlalu dini untuk beralih dari perangkat keras. Pada prinsipnya, ini adalah proses alami, yang bahkan di Eropa (oh, hebat!) berlangsung sekitar 13-14 tahun hingga standar yang kurang lebih akurat dikembangkan.
Sampai kami mengembangkan standar Gost yang baik yang mengatur layanan cloud kami, masih terlalu dini untuk membicarakan penolakan total terhadap solusi perangkat keras. Sebaliknya, mereka sekarang akan mulai beralih ke “hibrida”, yaitu bekerja dengan tanda tangan cloud juga. Beberapa contoh yang memenuhi standar Eropa untuk bekerja dengan Cloud telah diterapkan. Namun kita akan membicarakan hal ini lebih detail di materi baru.
Sumber: www.habr.com