Анастасия Харыбина (AKTIVE.CONSULTING) провела очередной выпуск подкаста «Безопасный выход». В ходе беседы ведущая и приглашенный эксперт — Сергей Кирюшкин, советник генерального директора и начальник удостоверяющего центра (УЦ «ГазИнформСервис») обсудили сферы применения трансграничного юридически значимого электронного документооборота (ЭДО), порядок взаимодействия участников этого процесса, особенности развертывания и функционирования необходимой для этого инфраструктуры, безопасность, а также перспективы развития в России и мире.
Смотреть на:
Слушать на Podster
Кому и зачем нужен трансграничный ЭДО
Анастасия Харыбина (далее Анастасия): Прежде всего нам надо понять кому и зачем нужен трансграничный электронный документооборот нужен. Предлагаю рассмотреть эту технологию в трех плоскостях: что она дает государству, бизнесу и гражданину? Я вообще люблю использовать эту классическую триаду для оценки актуальности и значимости технологий.
Сергей Кирюшкин (далее Сергей): Я тоже люблю эту триаду: G-государство, B-бизнес и C-граждане. Возможность получить из-за границы электронный документ, заверенный электронной подписью, уметь отработать с этой электронной подписью и признать действительность документа время от времени бывает нужна всем.
Сейчас в роли драйвера трансграничного ЭДО выступает бизнес, потому что внешнеэкономическая деятельность, внешняя торговля, логистика — это сферы, где он востребован, где его ждут. Бизнес заинтересован в сокращении издержек, связанных с подготовкой и пересылкой бумажных документов. К тому же, надо помнить о «зеленой» повестке, для трансграничного ЭДО она такая же, как и для обычного, а отказ от бумаги дает экономию расходных материалов.
Но самое важное преимущество трансграничного ЭДО для бизнеса − это экономия времени. И тут есть действительно впечатляющие цифры. Возьмем для примера двусторонний трансграничный договор между Россией и Казахстаном. По данным наших партнеров, заключение такого договора в бумажном виде занимает до нескольких недель. А рекорд оператора ЭДО, тоже нашего партнера, который реализует сервис трансграничного юридически значимого документооборота и пользуется сервисом признания иностранных электронных подписей, − 42 минуты.
Анастасия: Это минимальное время? Двустороннее подписание трансграничного договора на поставку за 42 минуты?
Сергей: Да. Есть среднее время − несколько часов, а рекорд 42 минуты. Время − это деньги, я уже не говорю об экономии на логистике.
Анастасия: Это тоже очень важно.
Сергей: Есть финансовые вопросы, напрямую зависящие от оперативности решения этой задачи. Например, подтверждение нулевой ставки НДС при внешнеэкономической деятельности. Если этот налог заплачен в одной стране, и товар поставлен в другую, то в месте получения нет необходимости его платить, но это нужно подтвердить документально и чем быстрее такие документы придут в страну покупателя, тем лучше для его бизнеса. И тут у трансграничного ЭДО нет конкурентов.
Что касается граждан, приведу пример, гражданин работал всю жизнь в России, а после выхода на пенсию переехал в Беларусь или в Казахстан. И для получения пенсии по российскому законодательству от него требуется документально подтвердить факт нахождения в другой стране. Раньше гражданам нужно было лично предъявлять бумажные документы. Сейчас такой сервис доступен на портале госуслуг, и для того чтобы им воспользоваться, достаточно применить электронную подпись, полученную в стране пребывания, то есть белорусскую или казахскую.
Далее поговорим о государстве. Для него основной профит от перевода в «цифру» трансграничного документооборота состоит в повышении прозрачности взаимодействия, например, G2G. Об упрощении С2G-взаимодействия я говорил, когда о преимуществах для гражданина рассказывал.
Сергей: Есть широкая практика взаимодействия налоговых органов, таможенных органов, органов внутренних дел разных стран. Мы сами занимались его цифровизацией и знаем о проектах наших коллег. И, конечно, самый большой проект G2G на пространстве Евразийского экономического союза, − это интегрированная информационная система ЕАЭС, предназначенная для автоматизации трансграничных информационных процессов, которые начинаются в органе власти одной страны, а завершаются в органе власти другой или непосредственно в Евразийской экономической комиссии.
Как работает трансграничный ЭДО
Анастасия: А какова схема трансграничного юридически значимого электронного документооборота? Понятно, что есть, как минимум, две стороны-резиденты разных стран, которые должны обменяться электронными документами и подтвердить их юридическую значимость с помощью ЭЦП. Как происходит их взаимодействие?
Сергей: Ты очень четко сказала, что в трансграничном ЭДО, как минимум, две стороны, это важно. Сейчас уже есть случаи, когда сторон больше. Пример — транспортная накладная. Товар загружен продавцом в одной стране, оттуда он транзитом проезжает по территории другой страны, а покупатель получает его в третьей. В таком случае в электронной транспортной накладной могут указываться и три разных стороны: логистическая компания в России, поставщик в Белоруссии, покупатель в Казахстане.
Обычно в профессиональной среде вопрос о взаимодействии сторон обсуждается применительно к задачам торговли, то есть трансграничному движению электронных документов, сопровождающих импортно-экспортные операции и некоторые другие процессы.
Но тут важно отметить, что такое взаимодействие требуется еще и в телемедицине, когда консилиум врачей находится в Москве, а больной − в Беларуси, например, в Гомеле. В ходе телемедицинского сеанса возникают электронные юридически значимые документы: анамнез, диагноз. Все фиксируется и заверяется электронной подписью.
Другой пример −дистанционное образование. Я недавно узнал, что наша платформа SkyEng во всем мире признана базовой для изучения иностранных языков. Тут может возникнуть необходимость в трансграничном приложении для граждан, регламентирующем, в том числе, ответственность сторон. И вообще говоря, многие университеты за пределами России сегодня обучают студентов дистанционно, а значит, заключают с ним договоры на оказание образовательных услуг. Это просто для понимания, что мы не замыкаемся только на торговле и смежных с ней сферах.
Анастасия: Мне еще больше хочется узнать о схеме.
Сергей: Да, возвращаюсь. В рамках торговой сделки должен быть хотя бы один электронный документ, к которому предъявляется требование юридической значимости. Это могут быть универсальные передаточные документы: счет-фактура, электронная транспортная накладная. Значит, эту задачу надо решить.
По данным исследований, которые проводят уважаемые организаций, а также по нашим собственным данным, порядка 90 стран мира для обеспечения юридической силы электронного документа применяют механизм электронной подписи. Это значит, что, где бы твой контрагент ни находился: в Китае, в Азербайджане, в Армении, в Российской Федерации, в Беларуси, в Казахстане − ему удобнее всего воспользоваться своей электронной подписью. А она, как правило, выполнена на основе национальной криптографии (мы говорим сейчас о российской усиленной квалифицированной электронной подписи и о видах иностранной электронной подписи, соответствующих ей по уровню надежности). Криптографические алгоритмы используются для того, чтобы подписать электронный документ, вычислить хэш, проверить подписи.
Во многих странах, в том числе и бывшего СССР, такие алгоритмы закреплены национальными стандартами и в национальном законодательстве, потому что в Советском Союзе была криптографической школа и во многих странах остались ее «выпускники» − наследники выдающихся ученых. Так что национальные стандарты есть, но напрямую они несовместимы друг с другом. И если ваш поставщик из Узбекистана подпишет счет-фактуру узбекской ЭП, то в России ее нельзя будет проверить криптографически. Это технологическая проблема.
Другая проблема − инфраструктура открытых ключей. В России она реализуется с помощью системы удостоверяющих центров, которые проходят процедуру аккредитации и выполняют свои функции по выдаче сертификатов, в том числе квалифицированных, по заявлениям клиентов. И в большинстве стран, использующих ЭП для обеспечения юридической значимости электронных документов, есть национальные системы удостоверяющих центров. Это второй барьер на пути трансграничного ЭДО.
Мы узбекскому или белорусскому государственному национальному удостоверяющему центру, даже самому правильному и аккредитованному в России, доверять не будем, просто потому, что так устроена организационная часть.
Анастасия: Ну, это же касается не только России? Любая страна сталкивается с теми же трудностями.
Сергей: Конечно. И потому принципы взаимодействия сторон при трансграничном ЭДО определены на уровне законодательства. И Россия, и те 90 стран, о которых я говорил, положили в основу своего национального законодательства в области электронной подписи типовой закон Комиссии Организации Объединенных Наций по международной торговле, ЮНСИТРАЛ, об электронных подписях от 2001 года.
В 1996 году ЮНСИТРАЛ опубликовала Типовой закон об электронной торговле, устанавливающий одинаковый режим для информации в бумажном и электронном виде, в 2001 году он был дополнен Типовым законом ЮНСИТРАЛ об электронных подписях.
Сформулированные в этом нормативно-правовом документе базовые принципы имплементированы в законодательство ряда стран с учетом национальных особенностей. В России на эти цели направлены поправки, внесенные в федеральный закон «Об электронной подписи» в августе 2023 года.
Федеральным законом № 457-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» от 04.08.2023 внесены изменения в Федеральный закон № 63-ФЗ «Об электронной подписи» от 06.04.2011.
Там много серьезных изменений, о которых еще далеко не все знают. Сейчас мы отслеживаем эти изменения.
Анастасия: Важно, чтобы на месте кто-то мог оценить валидность законодательства и его должный уровень, при котором электронная подпись соответствует всем требованиям по безопасности.
Сергей: В конкретный момент времени. Понимаешь? В этом суть. Технология сводится к тому, чтобы, получив в другой стране электронный документ с иностранной ЭП, обратиться к уполномоченному оператору (в России — к доверенной третьей стороне) в стране его происхождения и получить документ, подтверждающий, что электронная подпись была поставлена правильно, она действительна и соответствовала законодательству на момент подписания документа.
Анастасия: Тогда у меня вопрос: на основании чего доверенная третья сторона в одной стране начинает доверять такой же ДТС в другой стране, не просто же за красивые глаза? Это же должно быть и криптографически подкреплено.
Сергей: Это очень хороший вопрос, прямо корневой. Задача сводится к тому, чтобы такие уполномоченные операторы подтверждали, что электронная подпись как механизм безопасности в стране происхождения эквивалентна по уровню надежности той электронной подписи, которая обеспечивает юридическую силу в стране получателя, и брали на себя ответственность за результат этого подтверждения.
Для того, чтобы быть уверенным изначальной надежности ЭП в стране происхождения, есть несколько критериев. Они изложены в трех статьях уже упомянутого типового закона об электронных подписях 2001-го года: 6, 9 и 10. В них с разных сторон рассматривается «надежность» электронной подписи, а также приводятся требования к уполномоченным операторам. Согласно документу, достаточно проверить, что электронная подпись отвечает этим нормам с точки зрения математических основ, технологий, законодательства и требования к операторам, или поставщикам сертификационных услуг для подкрепления электронной подписи.
Такой же подход применяется к УЦ и смежным сервисам. В этом случае важно убедиться в том, что они отвечают простым принципам, изложенным в типовом законе, а затем имплементированным в национальное законодательство.
Для этого, к примеру, в Российско-Белорусском международном соглашении о взаимном признании электронных подписей предусмотрен механизм обзорных визитов. Как это будет работать, мы еще посмотрим: пока это только на бумаге написано. Искали эти формулировки долго, и получилось следующее: для того, чтобы третьи стороны разных государств друг другу доверяли, они должны провести взаимное обследование: приехать в страну, проверить по заранее оговоренным критериям, заполнить чек-лист, возможно, сделать замечания, записать их в протокол встречи, доложить регуляторам о том, что следует поправить. Затем все приводится в соответствие требованиям проверяющей стороны. После документального подтверждения обе ДТС начинают доверять друг другу и нести ответственность.
Анастасия: Не всякая же организация может стать доверенной третьей стороной? Она должна быть аккредитована государством?
Сергей: Во всех странах, с которыми сейчас так или иначе ведется работа, государства такую аккредитацию проводят. Более того, в типовом законе об электронных подписях тоже говорится, что уполномоченный государством регулятор несет ответственность за то, что оператор того или иного сервиса доверия отвечает за корректное выполнение этой функции.
В Федеральном законе «Об электронной подписи» от 06.04 2011 № 63-ФЗ дается определение доверенной третьей стороны (статья 18.1) и описывается процедура аккредитации ДТС (статья 18.2).
В 2022 году мы трижды ее пытались пройти, но, к сожалению, безуспешно. Надеюсь, что с четвертого раза получится: все для этого делаем. В других странах тоже есть очень интересные прецеденты, и к ним, кстати, стоит присмотреться. Это хорошие практики, в которых аккредитация проводится не по требованиям отдельной страны, а по требованиям того или иного международного объединения.
И самый масштабный пример − это Европейский союз, где принят общеевропейский регламент с требованиями к сервисам доверия, eIDAS.
eIDAS — общеевропейский регламент (1 июля 2016 года), который устанавливает правовую базу для электронных подписей. Его цель − обеспечение удобных и безопасных электронных транзакций через границы ЕС.
Документом предусмотрен не только сервис проверки ЭП, в нем прописаны роли уполномоченных организаций, международных аудиторов, в том числе тех, которые проводят обследование на соответствие этим требованиям.
Таким образом достигается эквивалентный уровень надежности, который обеспечивается операторами. Если мне память не изменяет, к концу 2023-го года в Европейском союзе операторов, аккредитованных в соответствии с нормативными требованиями 31 или 32.
У нас далеко не все из этого реализуется. И это еще один повод присмотреться.
Анастасия: К тому, что сейчас происходит в мире с трансграничным ЭДО мы чуть позже вернемся. А сейчас я предлагаю осветить важный аспект, связанный с инфраструктурой.
Инфраструктура трансграничного ЭДО
Анастасия: Если говорить об инфраструктуре, которую необходимо развернуть на территории страны для реализации трансграничного ЭДО, то нужно принимать во внимание три аспекта, требующие серьезной проработки: правовой, технологический и организационный. Расскажи, пожалуйста, поподробнее, в чем там соль, на что нужно обратить внимание и что обязательно должно быть сделано?
Сергей: Давай начнем с уровня, вокруг которого идут основные споры, — нормативно-правового. Во-первых, необходимо принять закон был об электронной подписи. Во-вторых, нужно, чтобы в этом законе была зафиксирована норма, определяющая, так же, как в типовом законе об электронных подписях, инвариантность. Должно было сказано, что неважно, каким УЦ выдан сертификат, неважно, в какой стране документ или информация подписаны электронной подписью.
И в нашем законе об ЭП первые два пункта статьи 7 как раз об этом. Так что в российском законодательстве базовый нормативный уровень заложен на уровне международных договоров, которые являются частью правовой системы страны, а также на уровне нормативно-технического регулирования. Это первое, что должно быть.
Второе − это технологии. Технология, которая позволяет использовать электронную подпись: создавать ее и проверять. И технология, которая при выявлении средством проверки подписи ее иностранного происхождения обеспечит соблюдение принципов инвариантности. «Да, я не могу, но я знаю, кто может», − вот так она должна отработать.
И последняя составляющая − организационная. В стране должны быть компании, которые обеспечивают трансграничный ЭДО, квалифицированные кадры и система, которая обеспечивает надежность этих организаций. Система образования обеспечивать подготовку таких специалистов. Также необходима система аккредитации таких организаций, в рамках которой государство берет на себя часть ответственности за тех, кого она на этот рынок пустила.
Ну, пожалуй, к оргвопросам я бы еще отнес очень важный аспект − страхование ответственности.
Анастасия: Со стороны кого, чьей ответственностью и перед кем?
Сергей: Ответственности оператора, проверяющего иностранную подпись, перед клиентом, который берет на себя такие риски, доверяя результатам этой проверки. Да, я доверяю результату его проверки, упаковываю этот результат в свою квитанцию. А затем моя квитанция идет к моему клиенту, и мой клиент доверяет этой квитанции. И если кто-то в этой цепочке ошибся перед клиентом, ответственность я несу, поэтому я страхуюсь. Страховые компании очень сильно удивлялись, когда к ним пришли.
И сказали: «Давайте». Они стали искать какие-то похожие правила страхования: автогражданская ответственность не подошла, строительство тоже, а вот удостоверяющие центры оказались ближе всего к правде. И первые проекты договоров страхования ДТС были основаны прямо на договорах страхования УЦ.
Тогда была проделана большая работа. А сейчас есть типовые договоры, и Минцифры даже их валидировало. Так что эта работа — тоже элемент организационного обеспечения.
Анастасия: Если ты помнишь, наш подкаст посвящен информационной безопасности. В любом юридически значимом электронном документообороте всегда стоит вопрос безопасного обмена сообщениями и безопасности всей инфраструктуры, о которой мы сейчас говорили, особенно в технологических аспектах. Каковы проблемы и вопросы информационной безопасности в разрезе трансграничного ЭДО?
Сергей: Электронная подпись − это технология безопасности, потому что она обеспечивает аутентичность и целостность документа. Но когда мы говорим о трансграничной передаче, появляются свои нюансы в области ИБ, и о них обязательно надо сказать.
Самый базовый и самый дискуссионный вопрос и в России, и на международной арене − эквивалентный уровень надежности. Это вопрос безопасности. Приведу очень простой пример: все стороны должны быть уверены в том, что криптостойкость алгоритмов хеширования электронной подписи по существу эквивалентна, по сути, это криптографические исследования.
Анастасия: И кто должен такие исследования провести?
Сергей: На PKI форуме 2022 года по нашей просьбе об этом делал доклад специадист-криптограф Станислав Владиленович Кутузов.
PKI-Форум — международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи.
Он упомянул о том, что Россия и Беларусь такие исследования проводили взаимно и с другими странами. Есть международные организации, которые криптографические алгоритмы изучают и стандартизируют. Так что это, в принципе, решабельная задача из области ИБ, специфическая.
Второй очень важный и близкий к теме нашего обсуждения аспект безопасности состоит в том, что валидация ЭП − это сервис, который клиенту нужен в режиме онлайн, практически в режиме реального времени. Он, в общем-то, стоит в ряду с сервисами PCI, такими, как изготовление сертификата удостоверяющим центром, Certification Authority. Они называются в соответствии с международными стандартами ISO X.842: то, что у нас УЦ, в стандартах − CA.
Для того, чтобы зарегистрировать пользователя, который получит сертификат, у нас нужно обратиться в центр регистрации. В технических стандартах это Registration Authority. А сервис проверки подписи, который у нас называется ДТС, в ISO Х.842, − Validation Authority, то есть уполномоченный оператор сервиса проверки электронной подписи.
Так вот единственный в этом ряду сервис, который должен работать в режиме онлайн, − это сервис валидации ДТC, потому что и зарегистрировать, и выдавать сертификат можно в оффлайне. А проверять подпись надо всегда в онлайне.
Это означает, что нарушитель присутствует в Интернете в режиме онлайн, поэтому этот режим и характерен, прежде всего, для сервиса ДТС. И все сложные вопросы, связанные с выводом в продакшн и оказанием этих услуг, давно сводятся к обеспечению безопасности этого сервиса.
Модель нарушителя определена приказом регулятора. Осталась производителям и испытательным лабораториям показать, что сделано, что приказу соответствует и может противостоять угрозам, которые в нем определены.
Анастасия: Спасибо за разговор об информационной безопасности. Он важный, базовый в контексте нашего подкаста. Еще одна тема, которая мне кажется очень значимой, − что уже сделано? Сегодня уже говорилось о сотрудничестве России с близлежащими странами. А что происходит в мире? Насколько зрелая эта технология, каков уровень ее проникновения? Какие страны занимаются трансграничным ЭДО, в какой стадии развития он у них находится? Есть ли где-то уже работающая в промышленной эксплуатации такая система?
Развитие трансграничного ЭДО
Сергей: В рамках европейского регламента действует более 30 операторов таких сервисов в разных странах, но интересно даже не то, что их количество с каждым годом растет, а то, что не было ни года, когда бы оно уменьшилось.
Есть известные паневропейские проекты, для которых на прикладном уровне этот сервис нужен. Ну, например, значит, пан европейский государственный заказ. К примеру, это проект PEPPOL.
PEPPOL — общеевропейские государственные закупки онлайн — проект нацелен на внедрение общих стандартов для проведения государственных электронных закупок по всему ЕС.
Он уже реализован, задача паневропейских госзакупок решается, и процесса взаимно признаются электронные подписи.
Еще один пример приведу. Европейский таможенный кодекс предполагает, что экспортная декларация подписывается электронной подписью европейского таможенника.
Хороший очень пример − это Азиатско-Тихоокеанский регион, и действующее там рамочное соглашение об упрощении процедуры международной торговли. Россия к нему присоединилась в июле прошлого года. А готовился этот шаг с 2014-го.
Анастасия: У меня есть отдельный вопрос о ратификации этого соглашения, в котором участвуют более 50 стран. Чем это нам грозит? Понятно, что мы присутствуем в АТРе и что Владивосток − один из ключевых городов, нами заявленных. Но не со всеми у нас сейчас в этом регионе хорошие отношения.
Сергей: Это рамочное соглашение. Оно нужно для того, чтобы определить базовые принципы и правила международной торговли в регионе, возможно, еще договориться о каких-то общих подходах.
Основные правила, подходы, мероприятия, дорожную карту определяет специально созданный орган − постоянно действующий совет. Россия, после ратификации, входит в его состав и участвует в работе. При этом результаты — дальнейшие шаги, правила игры, не обязательно распространяются на все страны-участницы соглашения, некоторые из них действуют в двустороннем порядке.
Кстати, на пространстве СНГ есть страны, которые тоже присоединились к этому рамочному соглашению. Они для нас ключевые партнеры для выстраивания отношений в рамках этого международного соглашения. Это Азербайджан и Кыргызстан, который присоединился относительно недавно. Армения находится на пути находится на ратификации, они тоже входят в ЭСКАТО.
Я бы перефразировал твой вопрос: что ратификация рамочного соглашения нам позволяет? Оно упрощает нам торговые процедуры. Общие правила игры, базовые принципы определены, (то, которое непосредственно касается нашего сегодняшнего разговора, содержится в 5 статье). Там написано: развитие трансграничного пространства доверия — это базовый принцип. А это значит, что стороны, которые присоединились к этому соглашению, договорились о том, что для упрощения торговых процедур им нужно пространство доверия друг к другу, и они его будут развивать.
Анастасия: А мы, в первую очередь, надеемся на взаимодействие в области трансграничного ЭДО с теми странами, которые примерно в одно время с Россией ратифицировали рамочное соглашение.
Сергей: Мне хочется сказать, с кем мы уже работаем. Сейчас, если говорить в контексте рамочного соглашения, практическая работа — пилотный проект — ведется с Китайской Народной Республикой. Надеемся, что не за горами тот день, когда это электронное взаимодействие будет в продуктив переведено. Там, по большому счету, технология отлажена, и осталось только договорную цепочку выстроить. Отношения между ДТС-ми, между операторами ЭДО.
Индия тоже понятный, привлекательный в современной геополитической ситуации экономический партнер. С ними, правда, пока ведутся переговоры. Но мы активно в рабочей группе в ЭКАТО с коллегами из Индии общались, как, кстати, и с коллегами из Китая. Еще один из ведущих экспертов, который наряду с нами занимается этой темой в ЭСКАТО, это коллега из Южной Кореи.
По большому счету, в этом регионе договорились об общих правилах упрощения процедур торговли, и в том числе о том, чтобы в рамках этих процедур развивать трансграничное пространство доверия, это дорогого стоит. Я бы вообще назвал ратификацию Россией рамочного соглашения об упрощении процедур трансграничной безбумажной торговли в Азиатско-Тихоокеанском регионе (АТР) событием 2023 года.
Анастасия: В этом же году произошло еще одно важное событие: принятие поправок в Федеральный закон «Об электронной цифровой подписи» № 63-ФЗ. Оно позволило не только в рамках соглашения между странами действовать, но и напрямую между доверенными сторонами участников. И если я правильно понимаю, изменение закона стало бустером этого процесса, поскольку до этого ни одного соглашения не было, а после сразу пошли пилоты.
Давай поговорим о пилотных проектах, которые идут сейчас и которые уже готовы к промышленной эксплуатации.
Сергей: Каковы критерии готовности? Сервис оказывается в режиме 24/7, техническая поддержка организована и осуществляется на коммерческой основе, то есть за получение квитанции клиент платит. В таком режиме работает сейчас трансграничное пространство доверия в интересах процедур международной торговли между Россией, Казахстаном. Там и договорная база выстроена, вся технология отлажена. Между Россией и Беларусью тоже взаимодействие выстроено на основе соглашений между участниками электронного взаимодействия.
В сегменте b2b этих стран все выстроено, все находится в промышленной эксплуатации. Но пока нельзя сказать, что российско-белорусский трафик такой же насыщенный, как российско-казахстанский, хотя там есть реальные заказчики, которые работают на направлении Россия — Беларусь. Я думаю, что сейчас трафик и здесь начнет увеличиваться просто потому, что там регуляторы. Драйверами трансграничного ЭДО по линии Россия — Беларусь активно выступают налоговые органы.
Анастасия: Есть еще пилоты в Армении, в Азербайджане.
Сергей: Замечу, что говоря о таких проектах, обязательно надо упоминать, в интересах каких органов власти развивается трансграничный ЭДО. По направлениям Беларусь — Россия и Россия — Армения проводились пилоты, которые курировали налоговые органы этих стран по товарно-сопроводительным документам. Пилот в России и Беларуси был сделан по такому международному транспортному документу, как электронная транспортная накладная в формате CMR, определенном СЕФАКТ ООН.
Правила международных грузоперевозок подпадают под действие Конвенции ООН КДПГ (Конвенции о договоре международной перевозки грузов автомобильным транспортом), известной также как CMR.
Опыт этого пилотного проекта способствовал дальнейшему развитию самого формата этого закрепленного в международном законодательстве транспортного электронного документа. В него были внесены поля для электронных подписей всех участников перевозки.
Пилотный проект по внедрению международной автомобильной транспортной накладной e-CMR между Россией и Беларусью завершен. Результаты эксперимента показали техническую и практическую возможность осуществления «безбумажных» международных автоперевозок.
Соответственно, в СЕФАКТ ООН была внесена такая инициатива.
Продолжались пилотные проекты довольно долго: в электронном виде передавались первичные документы, необходимые при импортно-экспортных операциях: договоры, акты, счета фактуры, универсальные передаточные документы. И только потом состоялся ввод в промышленную эксплуатацию.
Сейчас пилот по такой же первичной документации, сопровождающий внешнеэкономическую деятельность, ведется с Китайской Народной республикой. Коллеги из Китая называли нам объем электронных документов, который нас ждет: 1 млн, и мы, конечно, с удовольствием ждем эту нагрузку.
Анастасия: А мы готовы к этой нагрузке?
Сергей: Инфраструктура готова. С организационной точки зрения, всему этому нужна техническая поддержка. Так что мы рады, что постепенно от месяца к месяцу наращиваем объем. Пока 1 млн документов нет. Но мы готовимся, чтобы подойти к такому объему всеоружии.
Что мешает трансграничному ЭДО
Анастасия: В завершение нашего подкаста предлагаю обсудить проблемы. Что тормозит процесс проникновения трансграничного ЭДО в России? Что, на твой взгляд, нужно исправить, скорректировать? Что новое можно привнести? Какие конкретные шаги необходимо предпринять для того, чтобы технологии трансграничного ЭДО имели более широкое, нежели сейчас, применение?
Сергей: Я начну с большой победы над барьером, которая была одержана 15 апреля. Это действительно историческое событие − подписание международного договора о взаимном признании электронных подписей между Россией и Беларусью.
Недавно, готовясь к одной из конференций, я задал себе вопрос: будет ли это достижение масштабироваться? И сам на него ответил: масштабировать это очень хочется. Понятно, что, в таком каноническом виде, как между Россией и Беларусью, масштабирования не будет. Скорее всего, оно пойдет с неким допущениями, потому важную роль в той победе сыграли близость России и Белоруссии, а также особый формат союзного государства.
Но вернемся к проблемам, которые нам предстоит решить, барьерам, которые придется преодолеть. Над поиском решений сегодня работают множество организаций и регуляторы. Это отсутствие сертифицированного программно-аппаратного комплекса доверенной третьей стороны. Такой ПАК — непременное условие для аккредитации организации в качестве доверенной третьей стороны. Я оптимист по жизни, поэтому мы занимаемся этим с 2014 года.
И в очередной раз говорю, что сегодня мы достаточно близко подошли к результату. Понятно, что нужно делать для того, чтобы его достичь. И тогда барьер, о котором знают все, кто этой темой занимается в России, знают все наши внешние партнеры, будет преодолен. И тогда оказание этой услуги станет таким, как надо.
Впрочем, хоть это и барьер, но голь на выдумку хитра.
Анастасия: Удостоверяющий центр нам в помощь.
Сергей: Да. Когда поправки принимались, обсуждалась тема, а надо ли эту услугу, также оставить Удостоверяющим центрам? В результате было принято решение оставить, поэтому те пилоты и те решения, которые уже в коммерческой эксплуатации с участием операторов из России, сейчас работают именно по этой схеме. УЦ тоже могут эту услугу оказывать.
Но все равно мы понимаем, что правильно это делать именно ДТС. Так что очень хочется, и мы для этого, повторюсь, все делаем, чтобы в этом году процедура сертификации была положительно завершена. Там есть планы продолжения, есть новые версии, новые договоренности.
И тем не менее, она будет продолжена, потому что вокруг этой темы есть много новых задач, сервисов и идей, которые необходимо в сертифицированные решения вложить.
Анастасия: Я правильно понимаю, что аккредитоваться как ДТС будут все-таки Удостоверяющие центры? Вряд ли с нуля будут строиться какие-то ДТС.
Сергей: Я думаю, что будут аккредитоваться две категории организаций: это Удостоверяющие центры и операторы ЭДО. Мы в прошлом году, где-то по осени, проводили опрос в PCI клубе, в канале, где удостоверяющий центр и операторы ЭДО участвуют. По-моему, 68% участников опроса ответили, что планируют аккредитоваться как ДТС.
Анастасия: Как ты думаешь, через год сколько у нас будет ДТС? Через два года? Через пять лет?
Сергей: Думаю, что через год в России будет, скорее всего, 2 оператора. Один будет широко работать на пространстве В2В, а второй − обеспечивать интеграцию пространства В2В с органами власти. Он тоже будет ДТС, но в случаях, когда нужно очень правильно трансграничные документы в органы государственной власти занести.
Если говорить о перспективе трех лет, то я думаю, что тогда уже будет, скорее всего, 5-10 операторов. Ну, а дальше будет все зависеть от того, насколько это будет рынком востребовано и насколько эта первая очередь сможет удовлетворить такой спрос.
На самом деле, для трансграна 5-10 операторов для России достаточно. Но дело в том, что этот сервис, вообще говоря, только для проверки трансграничной электронной подписи, он позволит правильно проверить любую электронную подпись.
Анастасия: Сейчас же это удостоверяющие центры делают, верно?
Сергей: УЦ это делают для клиентов, в том числе в России, которым нужно проверить электронную подпись с гарантией, со страховкой, на всякий случай переложив ответственность на специализированного оператора. Но вообще говоря, правильно проверять электронную подпись не умеет никто. Точка.
Так что в случаях, когда использовались сложные форматы электронной подписи или ретродокументы с электронной подписью, которая вот-вот «протухнет», когда электронной подписью заверены документы с очень большой финансовой ответственностью, не надо пытаться самостоятельно проверять ЭП в рамках системы документооборота. Где нет уверенности, что все процедуры проверки выполняются корректно, надо сходить в ДТС, получить квитанцию и спать спокойно.
Анастасия: По сути, это передача риска. Спасибо огромное, Сергей. Мне было очень интересно, и я уверена, что нашим зрителям и слушателям тоже. Даже если вы не занимаетесь внешнеэкономической деятельностью, все равно эта технология может и облегчить жизнь граждан, и повлиять на наш бизнес. Вот почему мы как ИБ-шники интересуемся вопросами электронной подписи и трансграничной передачи документов с использованием доверенных признанных международных электронных подписей.
Смотреть на:
Слушать на Podster
ваша подписка
оформлена. Назад
к нам. В ближайшее время
мы с вами свяжемся. Назад
Мы будем оповещать вас
о встречах дискуссионного клуба. Назад
на дегустационную
консультацию