В РФ создается все больше информационных систем, которые требуют от пользователей – сотрудников коммерческих и гос. организаций наличия электронной подписи. Появляется всё больше возможностей для взаимодействия граждан, организаций и государства в электронной форме.
В той же отрасли здравоохранения чуть ли не всему медицинскому персоналу нужно обзавестись ЭП: электронные больничные (ПП РФ от 16.12.2017 N 1567), рецепты, мед. справки и заключения, согласие на мед. вмешательство, документирование телемедицинских услуг в электронном виде (N 242-ФЗ от 29.07.2017), маркировка обращения лекарственных средств (№ 425-ФЗ от 28 декабря 2017 г.), проект Минздрава “Электронное здравоохранение” до 2025 г. – не менее 99% рабочих мест мед. работников оборудовано ЭП.
При этом вопросы применения, эксплуатации и обеспечения безопасности ЭП регламентируются либо документами 17-ти летней давности либо не регламентируются вовсе.
Например, не определено, должны ли ЭП быть выданы на физ. лицо или на юр. лицо? Владельцы ГИС-ов решают этот вопрос на свое усмотрение. Ответ ФСС: разрешают личные ЭП.
Организации видя существенную разницу в стоимости, заказывают ЭП на физ. лица. А то и заставляют сотрудников самостоятельно приобретать и получать ЭП.
В итоге получается в организации большой кусок серых ИТ: персональные токены с СКЗИ, ключи ЭП которые не подконтрольны службе ИБ. Какой-то bring your own crypto.
Как выполнить обязательные требования ФСБ для таких СКЗИ: на каком основании принимать их на баланс? как учитывать такие ЭП и СКЗИ? как обеспечить их безопасное хранение? как заставить пользователя сдавать их на хранение? С другой стороны, пользователи – владельцы персональных ЭП говорят: с какой стати мы будем отдавать вам наши личные токены c ЭП?
А кроме обязательных требований есть ведь ещё и актуальные угрозы:
· ЭП сотрудника может быть несанкционированное получена или пере выпущена злоумышленником;
· потерян или украден носитель с ключами ЭП;
· ключи могут быть извлечены с токена;
· если пользователь один раз и навсегда подключил свой токен к компьютеру и никогда не извлекает его – существенно повышаются шансы на выполнение каких-то операций с ЭП вредоносным ПО;
· фишинг и социальная инженерия могут заставить пользователя ввести пароль и подписать какой-то ЭД.
Служба ИБ должна разрабатывать какие-то корпоративные правила безопасного использования ЭП и повышать осведомленность пользователей. Но как это сделать в случае личных ключей?
Примерно такой вопрос я задавал в ФСБ России и получил следующий ответ:
Если кратко – то применение личных ЭП в рабочих системах Организации – это вне закона.
PS: ещё остаются нерешенными такие проблемные вопросы, как: текущая практика УЦ выпускать отдельные сертификаты ЭП под каждую отдельную ИС/ГИС; порядок использования ЭП в случае если врач работает сразу в нескольких Организациях - если записать несколько ключей на один токен, то приходится разрываться в его учете. Если под каждую организацию свой отдельный токен – то работникам придется на шее носить ожерелье из токенов.