Что мы подписываем?

Каждый из совершеннолетних граждан страны много раз собственноручно, а иногда и в присутствии нотариуса, подписывает различные документы. И этим никого не удивишь – в этой ситуации все знают, что подписывают. Потому что изображение (надписи) на подписанной бумаге не так легко изменить после подписания. Совершенно иначе обстоят  дела, когда речь заходит об электронно-цифровой подписи (ЭЦП)…

Много лет назад в одной далекой европейской стране одно финансовое учреждение убедило своих клиентов в необходимости передавать первичные финансовые документы на оплату одновременно как на традиционном бумажном носителе, так и в электронном виде на электронном носителе информации. По правилам учреждения, его сотрудники должны были сверять глазами информацию, написанную в бумажных документах с информацией, принесенной в электронном виде. Несколько лет система работала безотказно,  и постепенно сотрудники привыкли, что совпадать информация будет всегда. И перестало у них хватать времени на ручную сверку данных. Однажды обнаружилось, что один из платежей был сделан не на расчетный счет, указанный в бумажном документе. Конечно, следствие быстро выяснило, что расчетные счета указанные в базе данных отличались, от указанных в бумажном документе. И правильно расчетный счет  был как раз в бумажном документе. Конечно, следствие как всегда нашло виновных и наказало их.

Сразу же были подняты вопросы о достоверности данных на электронных носителях, о необходимости наличия ЭЦП на электронных входящих документах и ответственности тех, кто накладывает ЭЦП. Законодательная база в то время не позволяла разговаривать об ответственности за использование ЭЦП. 

Следующий вопрос, который оказался в центре обсуждения клиентов – что они подписывают. Действительно, каждый из клиентов финансового учреждения готовил первичные финансовые документы в разных программах (от MS Excel и MS Word до разнообразных ERP систем). Каждая из этих систем позволяла просматривать сгенерированные финансовые документы на экране. Но ЭЦП применялось совершенно не к изображению на экране, а к файлу документа. Идентичность одного другому – полностью на совести авторов систем. Проверка такой идентичности – вопрос отдельной сертификации каждой из систем. Т.о. один из выходов из ситуации – использование заранее сертифицированных систем для подготовки электронных документов, использующих ЭЦП.

А  что делать, если такой подход невозможен? Ведь подобная сертификация должна предусматривать анализ всего исходного кода системы, что не только трудоемко но и ненадежно…