Boa tarde, caro leitor!
Há algum tempo que acompanho ativamente as atualizações e novidades do programa Economia Digital. Do ponto de vista de um funcionário interno do sistema EGAIS, é claro que o processo durará décadas. Tanto do ponto de vista do desenvolvimento, quanto do ponto de vista de testes, reversão e posterior implementação, seguidos de ajustes inevitáveis e dolorosos de todos os tipos de bugs. No entanto, o assunto é necessário, importante e urgente. O principal cliente e impulsionador de toda essa diversão é, obviamente, o Estado. Na verdade, assim como em todo o mundo.
Todos os processos já passaram para o digital há muito tempo ou estão a caminho disso. Isso ainda é maravilhoso. No entanto, existem desvantagens nas medalhas de excelência. Sou uma pessoa que trabalha constantemente com assinaturas digitais. Sou um defensor dos métodos talvez “de ontem”, mas “antiquados”, confiáveis e ganha-ganha de proteção de assinaturas eletrônicas usando tokens. Mas a digitalização nos mostra que tudo está nas “nuvens” há muito tempo e o CEP também é necessário lá e é necessário muito rapidamente.
Tentei descobrir, ao nível do quadro legislativo e técnico, sempre que possível, como estão as coisas com as assinaturas electrónicas na nuvem aqui e na Europa. Na verdade, já foi publicada mais de uma dissertação científica sobre este tema. Por isso, incentivamos os profissionais do assunto a se unirem no desenvolvimento do tema.
Por que o CEP na nuvem é atraente? Na verdade, existem vantagens. Existem muitas dessas vantagens. É rápido e conveniente. Parece um slogan publicitário, você concordará, mas essas são as características objetivas de uma assinatura digital em nuvem.
A velocidade está na capacidade de assinar documentos sem estar vinculado a tokens ou cartões inteligentes. Não nos obriga a usar apenas o desktop. História cem por cento multiplataforma para qualquer sistema operacional e navegador. Isto é especialmente verdadeiro para os fãs dos produtos Apple, para os quais existem certas dificuldades no suporte de assinaturas eletrônicas no sistema MAC. Saída de qualquer lugar do mundo, liberdade de escolha de CAs (mesmo as não russas). Ao contrário do hardware CEP, as tecnologias em nuvem permitem evitar dificuldades com a compatibilidade de software e hardware. O que, sim, é conveniente e, sim, rápido.
E como não se deixar seduzir por tamanha beleza? O diabo está nos detalhes. Vamos falar sobre segurança.
CEP "nuvem" na Rússia
A segurança das soluções em nuvem, e especialmente das assinaturas digitais, é um dos principais problemas para os profissionais de segurança. O que exatamente eu não gosto, o leitor vai me perguntar, porque todo mundo já usa serviços em nuvem há muito tempo, e com SMS é ainda mais confiável fazer transferência bancária.
Na verdade, novamente, vamos voltar aos detalhes. A assinatura digital na nuvem é um futuro difícil de contestar. Mas agora não. Para fazer isso, devem ocorrer mudanças regulatórias que protejam o proprietário das assinaturas digitais na nuvem.
O que temos hoje? Existem vários documentos que definem o conceito de assinatura digital, gestão eletrónica de documentos (EDF), bem como leis sobre proteção de informação e circulação de dados. Em particular, é necessário levar em consideração o Código Civil (Código Civil da Federação Russa), que regulamenta o uso de assinaturas eletrônicas em documentos.
Lei Federal nº 63-FZ “Sobre Assinaturas Eletrônicas” de 06.04.2011/XNUMX/XNUMX. A lei básica e-quadro que descreve o significado geral da utilização de assinaturas digitais na realização de transações de vários tipos e na prestação de serviços.
Lei Federal nº 149-FZ “Sobre informação, tecnologias de informação e proteção da informação de 27.07.2006 de julho de XNUMX. Este documento especifica o conceito de documento eletrônico e todos os segmentos relacionados.
Existem atos legislativos adicionais que estão envolvidos na regulamentação do EDI
Lei Federal 402-FZ “Sobre Contabilidade” de 06.12.2011 de dezembro de XNUMX. O ato legislativo prevê a sistematização dos requisitos relativos à contabilidade e aos documentos contabilísticos em formato eletrónico.
Inclui. Você pode levar em consideração o Código de Procedimento de Arbitragem da Federação Russa, que permite documentos assinados por assinatura eletrônica como prova em tribunal.
E foi aqui que me ocorreu aprofundar a questão da segurança, pois os nossos padrões de meios de criptoproteção são fornecidos pelo FSB e garantem a emissão de certificados de conformidade. Em 18 de fevereiro, novos padrões GOST foram introduzidos. Assim, as chaves armazenadas na nuvem não são protegidas diretamente pelos certificados FSTEC. A proteção das próprias chaves e a entrada segura na “nuvem” são os pilares que ainda não resolvemos. A seguir, analisarei o exemplo da regulamentação na União Europeia, que demonstrará claramente um sistema de segurança mais avançado.
Experiência europeia na utilização de assinaturas digitais na nuvem
Vamos começar com o principal: as tecnologias de nuvem, não apenas as assinaturas digitais, têm um padrão claro. A base é o grupo de Coordenação de Padrões de Nuvem (CSC) do Instituto Europeu de Padrões de Telecomunicações (ETSI). No entanto, ainda existem diferenças nas normas de proteção de dados entre os diferentes países.
A base para uma proteção abrangente de dados é a certificação obrigatória para fornecedores de acordo com a norma ISO 27001:2013 para sistemas de gestão de segurança da informação (a correspondente GOST R ISO/IEC 27001-2006 russa é baseada na versão de 2006 desta norma).
A ISO 27017 fornece elementos de segurança adicionais para a nuvem que estão faltando na ISO 27002. O nome oficial completo desta norma é “Código de práticas para controles de segurança da informação baseado na ISO/IEC 27002 para serviços em nuvem”. ISO/IEC 27002 para serviços em nuvem ").
No verão de 2014, a ISO publicou a norma ISO 27018:2015 sobre proteção de dados pessoais na nuvem e, no final de 2015, a ISO 27017:2015 sobre controles de segurança da informação para soluções em nuvem.
No outono de 2014, entrou em vigor uma nova Resolução do Parlamento Europeu n.º 910/2014, denominada eIDAS. As novas regras permitem que os usuários armazenem e utilizem a chave EPC no servidor de um provedor de serviços confiável credenciado, o chamado TSP (Trust Service Provider).
Em outubro de 2013, o Comité Europeu de Normalização (CEN) adotou a especificação técnica CEN/TS 419241 “Requisitos de Segurança para Sistemas Confiáveis que Suportam Assinatura de Servidor”, dedicada à regulamentação de assinaturas digitais em nuvem. O documento descreve vários níveis de conformidade de segurança. Por exemplo, a conformidade de “nível 2” necessária para gerar uma assinatura eletrônica qualificada requer suporte para opções fortes de autenticação de usuário. De acordo com os requisitos deste nível, a autenticação do utilizador ocorre diretamente no servidor de assinaturas, ao contrário, por exemplo, da autenticação permitida para o “nível 1” numa aplicação que acede ao servidor de assinaturas em seu próprio nome. Além disso, de acordo com esta especificação, as chaves de assinatura do usuário para gerar uma assinatura eletrônica qualificada devem ser armazenadas na memória de um dispositivo seguro especializado (módulo de segurança de hardware, HSM).
A autenticação do usuário em um serviço em nuvem deve ser de pelo menos dois fatores. Via de regra, a opção mais acessível e fácil de usar é confirmar o login por meio de um código recebido em mensagem SMS. Por exemplo, a maioria das contas pessoais RBS dos bancos russos foram implementadas. Além dos tokens criptográficos usuais, um aplicativo em smartphone e geradores de senhas de uso único (tokens OTP) também podem ser usados como meio de autenticação.
Por enquanto, posso tirar uma conclusão provisória sobre o fato de que os CEPs de nuvem ainda estão sendo formados e é muito cedo para nos afastarmos do hardware. Em princípio, este é um processo natural, que mesmo na Europa (oh, ótimo!) durou cerca de 13-14 anos até que padrões mais ou menos precisos fossem desenvolvidos.
Até que desenvolvamos bons padrões GOST que regulem nossos serviços em nuvem, é muito cedo para falar sobre um abandono completo das soluções de hardware. Em vez disso, agora, pelo contrário, começarão a avançar para “híbridos”, ou seja, a trabalhar também com assinaturas em nuvem. Alguns exemplos que atendem aos padrões europeus para trabalhar com Cloud já foram implementados. Mas falaremos sobre isso com mais detalhes em um novo material.
Fonte: habr.com