Журнал «Компьютерра» № 10 от 14 марта 2006 года
Шрифт:
Идея перейти на электронный документооборот зрела в Казначействе последние два-три года, и в конце концов был объявлен открытый тендер на закупку комплексного решения. Немало времени потребовалось на технико-экономическое обоснование, потому что стоимость контракта обещала быть довольно высокой, но и поддержание старой системы обходилось недешево. Надо было найти способы сэкономить и одновременно определить – сколько займут работы по внедрению. Стоимость тендера, выигранного НИИ «Квант» и нами как соисполнителем, составила семьсот миллионов рублей, которые были предназначены для закупки инфраструктуры, необходимой для обеспечения электронного ведения всех платежных документов по исполнению государственного бюджета. Кроме того, наверняка будут выделяться некие суммы на сопровождение
Важно еще и то, что факт доставки документа адресату всегда подтверждается квитанцией, и это можно отследить фактически в реальном времени.
Из каких элементов состоит система?
– По сути, это иерархическая структура удостоверяющих центров, выдающих сертификаты цифровой подписи. Центральный развернут здесь, в Москве, на улице Ильинка, в здании Главного управления Федерального казначейства. По одному подчиненному удостоверяющему центру находится в каждом из 89 регионов страны, включая Чечню, где, кстати, даже Центробанк пока работать не хочет. Далее у каждого регионального управления Казначейства есть отделения, расположенные в различных населенных пунктах – в зависимости от региона количество отделений меняется, но в общей сложности их примерно 2200. Там организуются рабочие места для людей, которые регистрируют цифровые сертификаты абонентов и сотрудников самого Казначейства.
Рабочие места, наверное, всегда на платформе x86 и с решениями Microsoft на борту?
– Да, действительно, используются только решения Microsoft, потому что одним из требований тендера было избежать дополнительного обучения пользователей. Кроме того, на рабочие места устанавливается целый комплекс защитных средств, тоже работающих под Windows. Последние необходимы, потому что если враг пробирается на такое место регистрации, он может от своего имени начать выдавать сертификаты каким-нибудь левым организациям, которые начнут включаться в документооборот и будут восприниматься остальными как законные участники.
Сначала Казначейство начало оснащать сертификатами всех своих сотрудников, и они перевели весь внутренний документооборот в электронную форму. В результате сегодня на бумаге практически не выпускается документов, связанных с функционированием самого Казначейства. Это позволило, во-первых, оптимизировать расходы на документооборот, а во-вторых, повысить скорость доведения всех распоряжений до регионов, причем у адресатов пропала возможность сказать: «Мы конверта не получали, поэтому до сих пор выполнять распоряжение и не начинали».
Затем выбрали несколько опорных регионов – как бюджетополучателей, так и бюджетораспорядителей, и начали переводить взаимодействие с ними в электронную форму. Им предоставляют соответствующее ПО, выдают сертификаты и обучают технологии обмена. В ближайшие два года на созданную систему будут переведены все подразделения во всех регионах, что ее проектная емкость – один миллион сертификатов – позволяет сделать без дополнительного расширения. Причем миллионная лицензия действует в масштабах всей страны: она установлена в корневом удостоверяющем центре и распределяется по регионам в зависимости от потребностей.
А какой закладывался срок службы решения без глобальной модернизации?
– Обычно это определяется сроком службы техники, на базе которой система создается. В данном случае речь идет о трех-пяти годах, после чего потребуется обновление компьютерного парка. Тут еще многое зависит от того, насколько сама казначейская система за это время будет модернизироваться, поскольку она представляет собой исполнительный механизм, а что ему придется исполнять, решают совсем не те люди, которые эксплуатируют нашу систему. Формальное требование тендера – гарантийная поддержка в течение трех
Какие каналы связи используются Казначейством в Чечне? Наверняка с традиционными способами их прокладки там есть трудности…
– Насколько я знаю, они сидят на спутниковой связи. Это, конечно, дорого, зато и вмешиваться в ее работу гораздо сложнее – реально «достать» можно только базовую станцию. Ряд регионов для взаимодействия между собой использует открытые каналы связи – разумеется, с использованием средств шифрования трафика.
Давайте представим невозможное: я обошел всю защиту и вошел в систему как полноправный пользователь. Что там можно натворить?
– Это очень непростой вопрос. Нужно очень хорошо представлять устройство платежной казначейской системы. Посторонний человек, который влезет в систему, просто не разберется – что там к чему? Что он может сделать… Простейший вариант – забить канал, слать в него какой-нибудь информационный мусор, затрудняя взаимодействие легальных пользователей. То есть обычная DоS-атака, от которой не застрахован никто, но фатальных последствий она иметь не будет. Если же злоумышленник знает систему изнутри, он может способствовать перечислению денег «не той» организации. Хотя изначально перечень абонентов в системе закрытый. Искусственно расширить его практически невозможно, поскольку список бюджетополучателей конечен, и существует специальный порядок «включения» нового участника. Нельзя просто создать собственный банковский счет и перевести на него деньги – на этом уровне злоупотребление бюджетными средствами сильно затруднено. На мой взгляд, гораздо дешевле и эффективнее растаскивать средства внутри организации-бюджетополучателя. Но на этот случай есть Счетная палата и другие надзирающие органы. Задача же Казначейства – в заданные сроки и по нужным «адресам» распределить утвержденный бюджет.
А в других странах казначейства применяют аналогичные решения?
– С точки зрения казначейств не во всех странах это реализовано так, но по похожему принципу часто строятся системы сбора налогов. Например, в Ирландии и Австралии действует то же PKI-решение, на базе которого функционирует система Казначейства РФ. Каждый гражданин Австралии подает налоговую декларацию в электронном виде; у него есть свой цифровой сертификат, которым он ее подписывает, что гарантирует авторство документа; затем ему выдается квитанция с датой и временем отправки (она нужна для того, чтобы исключить судебные споры о задержке сроков подачи налоговой отчетности).
Это другой денежный поток, но система похожая – тоже на базе решения, которое когда-то называлось UniCert. Его родоначальником была ирландская компания Baltimore, которая объединилась с еще двумя и стала называться Betrusted, а потом ее купила американская Cybertrust. Несмотря на частую смену имен эта система входит в тройку крупнейших мировых производителей PKI-решений. Все разработчики (около двухсот человек) до настоящего времени работают в Ирландии. Локализация для России не делалась – фактически потребовалось добавление средств криптографии, предусмотренных отечественным законодательством. Это и было сделано нами совместно с «Крипто-Про» и «Балтимором».