КИИ пришла, откуда не ждали

КИИ пришла, откуда не ждали


Сегодняшняя тема как нельзя кстати подходит под общую канву заметок в данном блоге, ибо вот уж точно касается каждого. Ночь, улица, фонарь, деревня… онлайн касса?! Да, я с улыбкой относился к идее создания централизованной системы «под эгидой» ФНС, которая в режиме реального времени (или близком к тому) должна будет агрегировать информацию о розничных продажах и по QR-коду предоставлять физическим лицам факт и информацию о совершенной покупке. Да, я считаю рынок ОФД (операторы фискальных данных – как раз те организации, которые должны обрабатывать фискальные данные и отправлять в ФНС) централизованной монополией, т.к. 15 организаций в списке по стране по состоянию на декабрь 2017 на 1.8 млн. торговых точке – что же это еще? И то, по разным данным, год назад ФНС упорно «не хотела» регистрировать больше 5 организаций. Делалось это разными способами, в том числе через искусственный дефицит так называемых серверных частей модулей криптографической защиты (МКЗ). Автор блога сам не понаслышке знает о регистрации и проблемах создания собственного ОФД, т.к. принимал непосредственное участие в этом процессе на одной из стадий в некой крупной компании, которая пыталась ранее получить аккредитацию ФНС. А теперь попробуем прикинуть масштаб возможных проблем и пофантазировать, система целиком всей розничной торговли в России подходит под описании КИИ?
Однако же, с лихим принятием 54-ФЗ стало совершенно ясно, что это все всерьез. Малым и средним предпринимателям стало очень быстро не до смеха, равно как и когда вводили ЕГАИС (единая государственная система учета алкогольной продукции)  в рознице и маркировку шубных изделий. В рамках данной заметки опустим технические сложности исполнения закона, возросшую финансовую нагрузку и очень длительную невозможность в принципе его исполнять (монополия на продажу фискальных накопителей (ФН) и темная история с компанией РИК). Поговорим об одном из свойств любимой триады – доступности.
                В свое время, когда я был вовлечен в процесс возможного создания ОФД, изучал методику проведения приемочных испытаний ОФД. Так вот, большое внимание там было уделено, как принято, ГОСТовой криптографии, функционированию самой ККТ, требованиям к размещению серверов под ОФД. Что же с доступностью? На стороне ОФД – все реально обеспечить. На стороне предпринимателей - казалось бы, тоже просто, особенно когда есть большой супермаркет, несколько каналов связи, дополнительное резервирование через мобильный трафик. Даже для отдаленных пунктов продаж с нестабильной связью, есть решение: передавать информацию о чеках в ОФД не моментально, а порциями, когда появится связь. Все нюансы учтены, кроме одного: кассир обязан выдать кассовый чек при совершении покупки в 100% случаях, и здесь отложенное право не сработает. Именно опасение нарушить закон и попасть на 10000 руб. штрафа за каждый не выданный чек и парализовали 20 декабря 2017 работу по всей стране 80 000 онлайн касс (или 5% всех в России) самого популярного производителя – «Штрих-М». «Эльдорадо», DNS, аптеки «Ригла», АЗС «Газпром нефти», «Лукойла», «Роснефти», магазины «Магнит», «Пятерочка», «Перекресток», «Карусель» - это далеко не полный список всех ритейлеров, вынужденных отказывать в покупке продукции клиентам. Не беря во внимание миллиардные убытки компаний, констатируем факт: люди остались без возможности срочно заправить машину, купить лекарства или продукты. Суть сбоя ККТ была в том, что, что при конвертации даты 20.12.2017 операция «печать чека» становилась циклической, касса уходила в ребут.
Кто-нибудь проверял на НДВ ПО ККТ или хотя бы делал анализ кода на корректность? В требованиях к функционированию всей цепочки – ККТ-ОФД-ФНС я этого не увидел, в отличие от кучи других требований, по типу СКЗИ (отечественной криптографии) и ФН в виде неизменяемого «черного ящика»: вынул-вставил. Если бы масштаб сбоя по количеству был не 5%, а 50%, признавалось бы происшествие ЧС? Все чаще в последнее время мы с коллегами рассуждаем на тему того, что в погоне за внедрением продвинутых технологий часто забывают о стандартных методах обеспечения информационной безопасности. Отсюда - «позор» с шифровальщиками и другими «стандартными» атаками, с которыми NEXT-GENERATION устройства не могут справиться, ведь они заточены под сложные APT. На мой субъективный взгляд, что-то подобное произошло и в случае с кассами. Приняли закон, внедрили оборудование, а риски совершенно не просчитаны или, если угодно, просчитаны совсем не те. Страшно даже предположить, какие последствия могут случиться, если ошибки в ПО, либо специально внедренные закладки на этапах производства, поставки, инсталляции, станут причинами отказа еще более чувствительных федеральных информационных систем (процессов), чем ритейл.
Все ли на самом деле учтено в перечне КИИ и самом ФЗ-187? На мой взгляд, покажет исключительно время и, к сожалению, грабли, на которые еще наступать и наступать, увы, это неизбежная реальность. А мы, коллеги, просто обязаны оставаться на светлой стороне.
Alt text