|
||||
|
ОКНО ДИАЛОГА: Госбюджет — впервые на компьютерах всей страны! Автор: Сергей Вильянов Компьютерное изобилие вокруг нас создает ложное впечатление, что цифровые технологии проникли везде и всюду. Но если отойти от прилавков с красивыми гаджетами, можно столкнуться с удивительными фактами. Например, узнать, что управление государственным бюджетом Российской Федерации до недавнего времени осуществлялось исключительно «бумажными» средствами. Фантастика? Ничего подобного, скорее один из многочисленных приветов из прошлого, которых в нашей стране можно встретить еще очень много. Чтобы узнать подробности о новых механизмах распределения государственных средств, получателем которых, так или иначе, является каждый из нас, мы встретились с Андреем Степаненко, директором по маркетингу компании «Информзащита». Именно ей в ближайшие годы военные, учителя и врачи смогут сказать «спасибо» за соблюдение регулярности выплат, благодаря созданной компанией сети ведомственных удостоверяющих центров Федерального казначейства. Или, наоборот, выразить недовольство, если с регулярностью не заладится.Давайте начнем издалека. Как Федеральное казначейство управляло государственным бюджетом до реализации вашего проекта? Компьютерное изобилие вокруг нас создает ложное впечатление, что цифровые технологии проникли везде и всюду. Но если отойти от прилавков с красивыми гаджетами, можно столкнуться с удивительными фактами. Например, узнать, что управление государственным бюджетом Российской Федерации до недавнего времени осуществлялось исключительно «бумажными» средствами. Фантастика? Ничего подобного, скорее один из многочисленных приветов из прошлого, которых в нашей стране можно встретить еще очень много. Чтобы узнать подробности о новых механизмах распределения государственных средств, получателем которых, так или иначе, является каждый из нас, мы встретились с Андреем Степаненко, директором по маркетингу компании «Информзащита». Именно ей в ближайшие годы военные, учителя и врачи смогут сказать «спасибо» за соблюдение регулярности выплат, благодаря созданной компанией сети ведомственных удостоверяющих центров Федерального казначейства. Или, наоборот, выразить недовольство, если с регулярностью не заладится. Давайте начнем издалека. Как Федеральное казначейство управляло государственным бюджетом до реализации вашего проекта? — Весь документооборот осуществлялся на бумаге, и действовала специальная фельдъегерская служба, развозившая по стране платежные документы. Служба обходилась очень недешево. Точную цифру я назвать не могу, но она была весьма и весьма ощутима, учитывая, что объектов Казначейства в России более двух тысяч, а количество бюджетополучателей и распорядителей превышает четыреста тысяч. Даже если каждому из них написать по одному письму и отправить такой службой, представляете, сколько потребуется бумаги… …и еще принтеров, конвертов, фельдъегерей и ответственных товарищей… А эта служба была частью Казначейства или приходилось прибегать к аутсорсингу? — Все зависело от региона — в одних были сильные представительства со своей службой, а в других, где своих людей нет, заключались договора со специализированными компаниями. Причем не всегда государственными: доставка такого рода корреспонденции — это лицензируемый род деятельности, и при наличии лицензии услуги Казначейству и другим федеральным органам могут оказывать и частники. Идея перейти на электронный документооборот зрела в Казначействе последние два-три года, и в конце концов был объявлен открытый тендер на закупку комплексного решения. Немало времени потребовалось на технико-экономическое обоснование, потому что стоимость контракта обещала быть довольно высокой, но и поддержание старой системы обходилось недешево. Надо было найти способы сэкономить и одновременно определить — сколько займут работы по внедрению. Стоимость тендера, выигранного НИИ «Квант» и нами как соисполнителем, составила семьсот миллионов рублей, которые были предназначены для закупки инфраструктуры, необходимой для обеспечения электронного ведения всех платежных документов по исполнению государственного бюджета. Кроме того, наверняка будут выделяться некие суммы на сопровождение всей этой системы, однако я думаю, что Казначейство все равно выиграет — как в деньгах, так и в управляемости. Они получили действительно централизованно управляемую систему, снижающую требования к квалификации людей на местах. Вдобавок весь мониторинг тоже осуществляется из центра, так что любые проблемные места выявляются дистанционно и могут быть по команде сверху оперативно устранены. Важно еще и то, что факт доставки документа адресату всегда подтверждается квитанцией, и это можно отследить фактически в реальном времени. Из каких элементов состоит система? — По сути, это иерархическая структура удостоверяющих центров, выдающих сертификаты цифровой подписи. Центральный развернут здесь, в Москве, на улице Ильинка, в здании Главного управления Федерального казначейства. По одному подчиненному удостоверяющему центру находится в каждом из 89 регионов страны, включая Чечню, где, кстати, даже Центробанк пока работать не хочет. Далее у каждого регионального управления Казначейства есть отделения, расположенные в различных населенных пунктах — в зависимости от региона количество отделений меняется, но в общей сложности их примерно 2200. Там организуются рабочие места для людей, которые регистрируют цифровые сертификаты абонентов и сотрудников самого Казначейства. Рабочие места, наверное, всегда на платформе x86 и с решениями Microsoft на борту? — Да, действительно, используются только решения Microsoft, потому что одним из требований тендера было избежать дополнительного обучения пользователей. Кроме того, на рабочие места устанавливается целый комплекс защитных средств, тоже работающих под Windows. Последние необходимы, потому что если враг пробирается на такое место регистрации, он может от своего имени начать выдавать сертификаты каким-нибудь левым организациям, которые начнут включаться в документооборот и будут восприниматься остальными как законные участники. Сначала Казначейство начало оснащать сертификатами всех своих сотрудников, и они перевели весь внутренний документооборот в электронную форму. В результате сегодня на бумаге практически не выпускается документов, связанных с функционированием самого Казначейства. Это позволило, во-первых, оптимизировать расходы на документооборот, а во-вторых, повысить скорость доведения всех распоряжений до регионов, причем у адресатов пропала возможность сказать: «Мы конверта не получали, поэтому до сих пор выполнять распоряжение и не начинали». Затем выбрали несколько опорных регионов — как бюджетополучателей, так и бюджетораспорядителей, и начали переводить взаимодействие с ними в электронную форму. Им предоставляют соответствующее ПО, выдают сертификаты и обучают технологии обмена. В ближайшие два года на созданную систему будут переведены все подразделения во всех регионах, что ее проектная емкость — один миллион сертификатов — позволяет сделать без дополнительного расширения. Причем миллионная лицензия действует в масштабах всей страны: она установлена в корневом удостоверяющем центре и распределяется по регионам в зависимости от потребностей. А какой закладывался срок службы решения без глобальной модернизации? — Обычно это определяется сроком службы техники, на базе которой система создается. В данном случае речь идет о трех-пяти годах, после чего потребуется обновление компьютерного парка. Тут еще многое зависит от того, насколько сама казначейская система за это время будет модернизироваться, поскольку она представляет собой исполнительный механизм, а что ему придется исполнять, решают совсем не те люди, которые эксплуатируют нашу систему. Формальное требование тендера — гарантийная поддержка в течение трех лет. При этом набор ПО и документации унифицирован для всей России, а если некий компьютер выходит из строя, из коробки извлекается такой же, хранящийся в холодном резерве, и отправляется на место службы. Надо понимать, что одни из главных бюджетополучателей в нашей стране — это силовые ведомства, и можно сказать, что одним из… толчков, побудивших начать внедрение описываемой системы, стала история двухлетней давности с невыплатой зарплаты ОМОНу в Чечне. А случилось так потому, что из Москвы соответствующий платежный документ отправили, причем в электронном виде, а на месте — тогда еще в Ставрополе — его не приняли из-за сбоя в каналах связи. Хотя в центре все были уверены, что деньги благополучно ушли. Конечно, наши ребята — это не американцы во Вьетнаме, которые отказывались воевать, если апельсиновый сок не подвезли, но проблемы были серьезные, поскольку нервная система у людей в зоне боевых действий немного расшатана, и их реакция не всегда адекватна. Какие каналы связи используются Казначейством в Чечне? Наверняка с традиционными способами их прокладки там есть трудности… — Насколько я знаю, они сидят на спутниковой связи. Это, конечно, дорого, зато и вмешиваться в ее работу гораздо сложнее — реально «достать» можно только базовую станцию. Ряд регионов для взаимодействия между собой использует открытые каналы связи — разумеется, с использованием средств шифрования трафика. Давайте представим невозможное: я обошел всю защиту и вошел в систему как полноправный пользователь. Что там можно натворить? — Это очень непростой вопрос. Нужно очень хорошо представлять устройство платежной казначейской системы. Посторонний человек, который влезет в систему, просто не разберется — что там к чему? Что он может сделать… Простейший вариант — забить канал, слать в него какой-нибудь информационный мусор, затрудняя взаимодействие легальных пользователей. То есть обычная DоS-атака, от которой не застрахован никто, но фатальных последствий она иметь не будет. Если же злоумышленник знает систему изнутри, он может способствовать перечислению денег «не той» организации. Хотя изначально перечень абонентов в системе закрытый. Искусственно расширить его практически невозможно, поскольку список бюджетополучателей конечен, и существует специальный порядок «включения» нового участника. Нельзя просто создать собственный банковский счет и перевести на него деньги — на этом уровне злоупотребление бюджетными средствами сильно затруднено. На мой взгляд, гораздо дешевле и эффективнее растаскивать средства внутри организации-бюджетополучателя. Но на этот случай есть Счетная палата и другие надзирающие органы. Задача же Казначейства — в заданные сроки и по нужным «адресам» распределить утвержденный бюджет. А в других странах казначейства применяют аналогичные решения? — С точки зрения казначейств не во всех странах это реализовано так, но по похожему принципу часто строятся системы сбора налогов. Например, в Ирландии и Австралии действует то же PKI-решение, на базе которого функционирует система Казначейства РФ. Каждый гражданин Австралии подает налоговую декларацию в электронном виде; у него есть свой цифровой сертификат, которым он ее подписывает, что гарантирует авторство документа; затем ему выдается квитанция с датой и временем отправки (она нужна для того, чтобы исключить судебные споры о задержке сроков подачи налоговой отчетности). Это другой денежный поток, но система похожая — тоже на базе решения, которое когда-то называлось UniCert. Его родоначальником была ирландская компания Baltimore, которая объединилась с еще двумя и стала называться Betrusted, а потом ее купила американская Cybertrust. Несмотря на частую смену имен эта система входит в тройку крупнейших мировых производителей PKI-решений. Все разработчики (около двухсот человек) до настоящего времени работают в Ирландии. Локализация для России не делалась — фактически потребовалось добавление средств криптографии, предусмотренных отечественным законодательством. Это и было сделано нами совместно с «Крипто-Про» и «Балтимором». Кстати, одним из требований Казначейства была реализация всех механизмов криптографии только на базе российских алгоритмов. Соответственно, был разработан совместный продукт, получивший название «Юнисерт-ГОСТ»; на данный момент это единственный зарубежный пакет, получивший сертификат ФСБ РФ. На нем и построена система, о которой мы говорим. Как восприняли внедрение этой системы в регионах? — Трудно сказать. Конечно, она облегчает жизнь, но в то же время одних людей она нагружает новыми обязанностями, а в других нужда отпадает. Разумеется, с развитием техники такие ситуации неизбежны: помню, когда я служил на одном крупном вычислительном центре, у нас сменили парк ЕС ЭВМ, для которых ранее были созданы специальные отделения кондиционирования и энергообеспечения. Вместо них поставили машину IBM с аналогичной вычислительной мощностью, питающуюся от обычной розетки, и никакой кондиционер ей был не нужен. В результате замена техники привела к сокращению тридцати с лишним человек. Тем не менее я не слышал о массовых увольнениях в Казначействе. Подобные организации очень жестко подходят к набору сотрудников, потому что «засланный казачок» может наделать бед. Такими кадрами не разбрасываются, проверенных людей обычно переучивают и направляют на другие участки работы. Сейчас на рынках Москвы можно купить любые базы, вплоть до полного перечня проводок коммерческих банков за последний год. Не может ли из-за проведенной вами «централизации» документооборота в Казначействе по соседству появиться и информация о расходовании госбюджета? — Стопроцентных вариантов защиты баз данных от кражи не существует. Всегда есть администратор, который обслуживает базу и делает ее резервные копии. Одно можно сказать точно: даже если уйдет список выданных сертификатов, воспользоваться ими злоумышленник не сможет, потому что каждый из сертификатов состоит из двух половинок — открытой и секретной, которая имеется только у его обладателя. Больше того: любой легальный пользователь теоретически может скопировать и унести список открытых половинок, но следует учитывать, что в систему встроены определенные контролирующие меры, которые позволят определить «несуна». И еще: прикладную часть, непосредственно отвечающую за выписку бумаг, система с открытыми ключами практически не затрагивает. Она интегрирована с нею на таком уровне, что когда генерируется финансовый документ, система автоматически ставит на нем подпись оператора, а затем там же ставится подпись принявшей документ стороны. Прикладное ПО делалось под заказ Федерального казначейства специализированной компанией-разработчиком, и я думаю, что там защита данных закладывалась на всех уровнях. Конечно, если человек приедет на Ильинку на танке, пробьет стены и захватит сервер — он базу данных получит. Но для борьбы с такими случаями есть специальные меры физической защиты. Итак, система внедрена и работает, но пока охвачены не все регионы… — Нет, развернута она во всех регионах, и внутренний документооборот Казначейства работает на ней, однако пока подключены далеко не все бюджетополучатели. Есть опорные регионы — Москва, Южный Федеральный округ и Уральский Федеральный округ, где идет активное подключение бюджетополучателей. В остальных регионах пока подключают только самых крупных. Но условно говоря, если из трехсот тысяч абонентов подключить десять тысяч, восемьдесят процентов бюджета пойдет в электронном виде. А дальше это постепенный процесс, поскольку повсеместное внедрение требует и работы самих сотрудников Казначейства по выдаче сертификатов, и работы с бюджетополучателями, которые должны развернуть у себя соответствующие программные и аппаратные решения. Существует перечень ПО, которое должно быть установлено на компьютере, чтобы документооборот заработал. Это в первую очередь криптоядро производства компании «Крипто-Про» и «математика», необходимая для взаимодействия с точкой отправки и приема информации. В простейшем случае это может быть почтовый клиент, если взаимодействие осуществляется через почтовую систему, либо клиент казначейского приложения. Причем аппаратные требования достаточно низкие и совпадают с теми, что требовались уже снятым с продаж версиям Windows. То есть можно сказать, что движение средств государственного бюджета до уровня каждого конкретного бюджетополучателя находится под полным контролем из федерального центра? — Да, именно так. PKI (public key infrastructure) — инфраструктура открытых ключей (или ИОК). Главное назначение PKI — оборот сертификатов, структур данных, содержащих идентификатор и открытый ключ пользователя системы, и другой служебной информации. Сертификат заверяется электронной цифровой подписью центра сертификации («удостоверяющего центра» в терминологии закона «Об ЭЦП»). То есть центр сертификации играет роль своеобразного нотариуса, хотя профессиональные юристы предъявляют к такому сравнению серьезные претензии. Подпись центра сертификации (или подчиненного ему центра регистрации) удостоверяет подлинность открытого ключа владельца сертификата. Таким образом, получатель сообщения, запросив сертификат и используя указанный там открытый ключ пользователя, может проверить целостность сообщения и подлинность его отправителя. |
|
||
Главная | Контакты | Прислать материал | Добавить в избранное | Сообщить об ошибке |
||||
|