Аналітичний
огляд
організації та побудови Електронного Уряду України
(короткий
огляд стану справ і проблем
та нагальні задачі станом на березень 2005 року)
Міжнародний
досвід
Відповідно до
звіту ООН («Звіт ООН щодо стану суспільного сектору в світу на 2003 р.:
електронний уряд на перехрестях», опублікований 4 листопад 2003 р. на 5-му
глобальному форумі по реформуванню урядів, Мехіко) 33 країни за
допомогою Інтернет здійснюють такі трансакції, як заповнення будь-яких форм чи
сплата штрафів.
Перша десятка
країн, членів ООН, щодо «електронної готовності», тобто які можуть
забезпечити надання урядових послуг через Інтернет (в онлайновому режимі) в
поєднанні з розширеною телекомунікаційною інфраструктурою та високим рівнем
суспільною освітою, представлена такими країнами як: США, Швеція, Австралія,
Данія, Великобританія, Канада, Норвегія, Швейцарія, Німеччина та
Фінляндія.
Хоча
зазначені «чемпіони» по електронній готовності є розвинутими країнами, треба підкреслити,
що більших практичних результатів («електронної участі») досягли ряд країн, що
розвиваються, - перша десятка країн щодо «електронної участі», тобто готовності
урядів взаємодіяти та вести діалог з громадянами, виглядає таким чином:
·
Великобританія
·
США
·
Канада, Чілі
·
Естонія, Нова Зеландія, Філіппіни, Франція, Нідерланди
·
Австралія
Таким
чином, рівень електронного розвитку держави не є головним чинником успішності
проектів Електронного Уряду. В той же час, відповідно до звіту ООН, щонайменше
60% усіх проектів по Електронному уряду не вдається реалізувати. У
звіті говориться: «З одного боку широкий погляд на проблему може значно
поширити розвиток цифрових технологій, з іншого боку надто великий розмах може
обернутися невдачами та дорогими «білими слонами», і, не дивлячись на
важливість Інтернета при здійсненні економічних операцій, нові системи можуть
виявитися дорогими".
Задачі Електронного уряду
На сторінках сайту Світового банку, присвячених питанням реформування
цивільних служб, відзначені проблеми, які є загальними для більшості країн
світу, - часто громадяни розглядають свої уряди як штучно роздуті
структури, марнотратні і байдужі до їх потреб. Недовіра до уряду широко
поширена і серед населення, і серед підприємців. Держслужбовці часто
розглядаються як спекулянти, вимагачі і хабарники, що загрузнули в корупції.
Електронні технології допомагають зруйнувати негативний образ уряду, що
склався.
Задачею електронного уряду повинна стати кардинальна
зміна порядку і характеру роботи у сфері державних послуг, що надаються бізнесу
(юридичним особам) і громадянам (фізичним особам).
Для громадян найпопулярнішими з послуг, що надаються електронними
адміністраціями, є: оплата державних податків і зборів, послуги соціального
забезпечення, повідомлення про зміну адреси, реєстрація народження та зміни
сімейного стану, реєстрація автомобілів, документи для поліції, користування
суспільними бібліотеками, реєстрація у вищих учбових закладах, отримання
дозволу на будівництво і ін.
Для бізнесу найбільш часто використовуються такі електронні послуги:
оплата державних податків і зборів, оплата корпоративних податків, реєстрація
нових компаній, оформлення митних процедур, соціальні відрахування працедавців,
подача відомостей про наявність вакантних робочих місць, передача різної
інформації (наприклад, статистичних документів), проведення закупівель та
тендерів і ін.
Законодавчі
принципи електронного голосування
Одним із
найважніших елементів електронної демократії є електронні вибори/голосування.
Виборчі
питання були предметом неодноразового обговорення Парламентської Асамблеї ЄС,
зокрема ряду докладів так званої Венеціанської комісії Ради Європи -
Європейська комісія для Демократії через Закон (Венеціанська Комісія) (
European Commission for Democracy through Law (Venice Commission)),
присвяченому проблемам відповідності видаленого голосування (голосування поштою
або електронне голосування) стандартам Ради. Доклад був схвалений Радою 12-13
березня 2004 року.
Відзначаючи,
що деякі країни вже використовують електронне голосування (надалі
е-голосування) або планують це робити, і підкреслюючи вигоди, які надає
е-голосування, Комісія, проте попередила про необхідність вжиття певних заходів
захисту, які покликані мінімізувати ризик фальсифікації. Комісія визначила
5 принципів, які відображають засади європейської демократії та однаково
придатні як для виборчих компаній, так і для референдумів:
·
Універсальне право голосу: всі люди мають право голосу та підтримку
вибору кандидата на визначених умовах, наприклад, віку та громадянства.
·
Рівні права голосу: кожен виборець має рівне число
голосів.
·
Свобода права голосу: виборець має право сформувати та
виявити власну думку у вільній формі, без будь-якого примушення або впливу.
·
Таємність права голосу: виборець має право вибирати таємно
як особистість, та мати спроможність обов’язково захистити це право.
·
Пряме право голосу: вибір (балотування), зроблений
виборцями, безпосередньо визначає вбрану(их) особу (або осіб).
У зв'язку з цим, Комісія рекомендувала наступне:
·
Е-голосування може використовуватися лише за умови, що система є
безпечною/захищеною (тобто, в змозі витримати сплановану/навмисну атаку) і надійною
(тобто, здатна нормально функціонувати незалежно від проблем з програмним
забезпеченням, устаткуванням, живленням і т.п.);
·
Система е-голосования
повинна бути прозорою, тобто надавати можливість перевірки її функціонування, у
тому числі, система має бути відкритою з точки зору методів та рішень, які в
ній застосовуються;
·
Виборці повинні мати нагоду одержати підтвердження свого вибору і виправити
його, у разі помилки. При цьому не повинен порушуватися принцип таємності
голосування;
·
Для полегшення перерахунку голосів у разі конфліктної ситуації може
передбачатися процедура роздруку голосів в спеціальні бюлетені і їх подальше
зберігання в спеціальних контейнерах.
Комісія
прийшла до висновку, що, при дотриманні вказаних умов, електронне голосування у
принципі не суперечить положенням «Кодексу (системи правил) законної практики у
виборчих питаннях»
та європейській Конвенції про права людини.
Тобто,
прийнятність систем е-голосування визначається правовими, процедурними і
технологічними стандартами, які використовуються в процесі голосування та
забезпечують зазначені вище вимоги.
Мається вже певний досвід
електронного голосування в інших країнах, наприклад, Австралія, США, Швейцарія,
Естонія, Індія, Корея, Казахстан, Бразилія, який необхідно вивчити та
врахувати.
Досягнення в
Україні
Станом на кінець 2003 року в Україні (дослідження проводилося Internews, GIPI)
малося більш ніж 250 офіційних сторінок органів державної влади, які
підтримуються у мережі Інтернет. Так, в українському сегменті Інтернет доступні
веб-сторінки Президента України, Верховної Ради України, Порталу Кабінету
Міністрів України (на сьогодні всі Міністерства підтримують власні сторінки),
16 сторінок державних комітетів України та інших центральних органів виконавчої
влади (всього таких органів виконавчої влади 19), 13 сторінок центральних
органів виконавчої влади зі спеціальним статусом (всього 16), 19 сторінок інших
центральних органів влади (всього 25), 22 сторінки обласних державних
адміністрацій (з 24-х облдержадміністрацій), 145 сторінок органів виконавчої
влади в регіонах та органів місцевого самоврядування.
На сторінках як центральних органів виконавчої влади, так і на сторінках
органів місцевого самоврядування, все частіше працюють так звані
Інтернет-приймальні, за допомогою яких, заповнивши спеціальну електронну форму,
можна поставити питання, написати скаргу тощо.
Надання різноманітних інтерактивних послуг населенню за допомогою Інтернет
(наприклад, сплата різноманітних зборів, реєстрація документів тощо) не
реалізовано.
Згідно з
Указом Президента України від 1 серпня 2002 р. №683 «Про додаткові заходи
щодо забезпечення відкритості у діяльності органів державної влади» та
Постановою Кабінету Міністрів України (КМУ) від 24 лютого 2003 р. №208 «Про
заходи щодо створення електронної інформаційної системи "Електронний
Уряд"» (пункт 6) одним з пріоритетних завдань щодо розвитку інформаційного
суспільства України визначено надання громадянам та юридичним особам
інформаційних та інших послуг шляхом використання електронної інформаційної
системи "Електронний Уряд", яка забезпечує інформаційну взаємодію
органів виконавчої влади між собою, з громадянами та юридичними
особами на основі сучасних інформаційних технологій.
Однією із
задач зазначеної постанови КМУ від 24 лютого 2003 р. №208 визначено на 2005 рік
забезпечити надання громадянам і юридичним особам з використанням електронної
інформаційної системи "Електронний Уряд" інформаційних та інших
послуг, які потребують ідентифікації суб'єктів правових відносин і забезпечення
цілісності та достовірності інформації з використанням електронного
цифрового підпису (далі - ЕЦП).
Розвиток Електронного Уряду в Україні буде успішно розвиватися,
якщо будуть ліквідовані суттєві недоліки, про які йдеться далі.
Стандартизація - один з основних критеріїв успіху проекту
Щоб реалізувати проекти електронного документообігу, зокрема „Електронного
уряду”, необхідні загальнонаціональні стандарти безпеки та взаємодії і
інформаційного обміну між відомствами уряду, громадянами і бізнесами (юридичним
особам), а також усередині цих груп. Якщо система буде побудована на різних
стандартах усередині кожної групи і при взаємодії між собою, то це рішення явно
не «працюватиме» - хоча б через його дуже високу вартість і складність в
експлуатації, необхідність користувачам (громадянам і бізнесам) застосовувати
різні стандарти для доступу до різних державних служб.
Звідси, одна з основних вимог – повинні бути затверджені загальні стандарти
побудови моделі електронного цифрового підпису. Будь-яка архітектура системи
повинна включати профіль стандартів забезпечення безпеки.
Не зважаючи на актуальність задачі побудови електронного
уряду та впровадження електронного документообігу на державному рівні,
зробити виважені та результативні кроки у цьому напрямку вважається сьогодні за
неможливе.
Проблемні питання
1.
Відсутність інфраструктури засвідчення цифрових сертифікатів
Постанова КМУ
від 28 жовтня 2004 р. №1452 про затвердження «Порядку застосування електронного
цифрового підпису органами державної влади, органами місцевого самоврядування,
підприємствами, установами та організаціями державної форми власності», визначає,
що в державних органах України необхідно застосовувати електронний цифровий
підпис лише за умови використання посилених сертифікатів відкритих
ключів у своїх працівників – підписувачів. Тим самим вимагається, відповідно до
Закону України «Про електронний цифровий підпис», акредитація центру
сертифікації ключів – документальне засвідчення компетентності центру
сертифікації ключів здійснювати діяльність, пов'язану з обслуговуванням посилених
сертифікатів ключів.
Відповідно до
«Положення про центральний засвідчувальний орган», затвердженого постановою
Кабінету Міністрів України від 28 жовтня 2004 р. №1451, акредитацію центру
сертифікації ключів здійснює центральний засвідчувальний орган.
На сьогодні
це здійснити неможливо через відсутність центру сертифікації ключів
центрального засвідчувального органу. Виконання функцій центрального
засвідчувального органу покладено на Міністерство транспорту та зв'язку
(постанова КМУ від 28 жовтня 2004 р. №1451 «Про затвердження Положення про
центральний засвідчувальний орган»).
2.
Відсутність технічних стандартів та специфікацій щодо центрів сертифікації
ключів та електронного цифрового підпису
Відповідно до
«Порядку акредитації центру сертифікації ключів», затвердженого постановою КМУ
від 13 липня 2004 р. №903, вимоги до програмно-технічного комплексу, засобів
криптографічного захисту інформації, в тому числі засобів електронного
цифрового підпису, та форматів даних, які ними використовуються, повинні бути
визначені спеціально уповноваженим органом у сфері криптографічного та
технічного захисту інформації (ДСТСЗІ Служби безпеки України).
На
сьогодні такі вимоги відсутні, відсутні також рекомендовані чи затверджені в
Україні технічні стандарти щодо інфраструктури електронного цифрового підпису.
Зазначені
вимоги повинні бути сформульовані у вигляді технічних стандартів. Так,
наприклад, на міжнародному рівні – це близько 35 стандартів RFC
(розробляється Інститутом інженерів по електротехніці та електроніці; Institute of Electrical and Electronics Engineers, Inc.,
професійне безприбуткове об’єднання більш ніж 360 000 технічних
спеціалістів із 175 країн, яке випускає власні технічні стандарти; членами ІЕЕЕ
є американський інститут стандартів ANSI та міжнародна
організація по стандартизації ISO), на
європейському рівні – це 16 стандартів ETSI
(Європейський інститут технічних стандартів).
Відповідні технічні міжнародні та європейські стандарти почали активно
розроблятися та затверджуватися з 1999 року. І якщо в 1994 році Україна
була на передових позиціях електронного документообігу, хоча б у банківській
системі, то тепер ми значно відстали у цьому питанні. Зокрема, СЕП НБУ
використовує для ЕЦП міжнародний стандарт RSA ЕЦП з довжиною ключа 512 біт, що
вже з 2001 року не рекомендується використовувати (через слабкість цих ключів)
– найменша довжина ключів повинна бути вдвічі більшою, 1024 біт та більше
(2048, 4096). Таким чином, вже починаючи з 2000-2001 року система ЕЦП в Україні
вимагає перегляду та модернізації.
Головна проблема сучасного етапу в Україні – майже повна
відсутність прийнятих в Україні чи адаптація рекомендованих міжнародних
(європейських) технічних стандартів.
Відповідно до
розпорядження КМУ від 27 березня 2004 р. №181-р «про затвердження переліку
завдань (проектів) Національної програми інформатизації на 2004 рік, іх
державних замовників та обсягів фінансування», Держспоживстандарт України
повинен був у 2004 році розробити державні стандарти засобів інформатизації,
зокрема, у сфері електронного документообігу та електронного цифрового підпису,
методів та засобів безпеки у сфері інформаційних технологій.
Станом
на 08.12.2004 року щодо стандартів електронного документообігу та електронного
цифрового підпису, методів та засобів безпеки у сфері інформаційних технологій
не виконано.
Зокрема на
поточний момент в Україні не визначено технічні стандарти:
-
формату ЕЦП. Таким чином, що таке „електронний цифровий підпис” в
Україні технічно не визначено;
-
послуги фіксування часу.
Таким чином, що таке „послуга фіксування часу” в Україні технічно не
визначено;
-
тощо.
Треба
зазначити, що нещодавно прийняті «Правила посиленої сертифікації», які
затверджені Наказом Департаменту спеціальних телекомунікаційних систем та
захисту інформації Служби безпеки України від 13.01.2005 № 3 (набрав
чинності 07.02.2005). Цими правилами (не стандартами!) визначені окремі
технічні аспекти формату посиленого сертифікату. Чому Правилами, а не
стандартом? Бо «наш» посилений сертифікат (України) не сумісний з
посиленим сертифікатом Європи (не відповідає стандартам ETSI) та
світу (не відповідає стандартам RFC).
Взагалі термін „посилений сертифікат”, визначений Законом України
«Про електронний цифровий підпис», не має відповідного аналога ні на
європейському, ні на міжнародному рівні. На європейському рівні законодавче
затверджені терміни, які відсутні в законодавстві України, – це „розширений
електронний підпис” (Advanced Electronic Signature) та „кваліфікований
сертифікат” (Qualified certificate), для яких є відповідні технічні стандарти,
але в Україні їх не можна використовувати через, як зазначено, відсутність
законодавчого визначення цих термінів.
3.
Відсутність концепції функціональності та взаємодії, відповідних технічних
стандартів
Електронний
уряд необхідно планувати у формі «державних шлюзів», тобто реалізувати згідно з
«принципом одного вікна» - громадянин не повинен «носити» електронні
довідки з одного відомства в інше, а повинен просто звернутися в державний
електронний орган, - весь подальший обмін документами повинен здійснюватися
всередині «Електронного Уряду» без участі громадянина.
Побудова такої інтегрованої системи ставить на перший план питання
стандартизації – затвердження єдиних стандартів побудови моделі системи
«Електронного Уряду» та єдиного профілю стандартів забезпечення безпеки як для
усіх урядових відомств, так і для не урядових.
Відсутність на сьогодні таких єдиних стандартів (навіть
відповідної концепції) та «стихійний» розвиток відомчих інформаційних систем
(навіть за умови їх успішної «локальної» реалізації в межах окремих
відомств) приведе до того, що створені відомчі системи не можна буде об’єднати
в єдину систему «Електронного Уряду» України. Ще складніше (майже неможливо)
буде створити достатньо доступний для юридичних осіб та громадян України
програмно-технічний засіб взаємодії та спілкування з безліччю окремих систем
державних відомств.
4.
Недосконалість архітектури Національної структури ЕЦП, що планується
Побудова Національної інфраструктури ЕЦП є не тільки технічним питання, а й
питанням національної безпеки.
Дійсно, якщо уявити, що в межах Держави уже впроваджено електронний
документообіг (в перспективі), який майже (чи повністю) витіснив звичайний
паперовий документообіг, то компрометація системи ЕЦП приведе до
блокування будь-яких урядових справ (від фінансових операцій до розпорядчих
документів) в Державі.
Таким чином, Національна інфраструктура ЕЦП повинна будуватися саме
виходячи з питань національної безпеки, припускаючи можливість
(враховуючи ризики) компрометації окремих підсистем ЕЦП.
Базуючись на стандартах та міжнародній практиці, можливі такі моделі
побудови Національної інфраструктури ЕЦП:
-
ієрархічна модель (визначена законодавством для побудови в Україні);
-
шлюзова модель.
Ієрархічна
модель
В ієрархічній моделі ЕЦП є єдина перша точка довіри - один центральний
Центр сертифікації ключів (Центральний засвідчувальний орган), який
називається Кореневим центром сертифікації (ЦС). Кореневий ЦС засвідчує ключі
(випускає сертифікати) Засвідчувальних центрів державних органів та
Акредитованих центрів сертифікації (комерційні структури).
Перевагою ієрархічної моделі є простота її початкової побудови.
Головним недоліком ієрархічної моделі є наслідками
довіри єдиній точці (вищому рівню – Кореневому СА) в структурі ієрархії -
компрометація «кореня» (ключа Центрального засвідчувального органу) призводить
до компрометації усіх підпорядкованих центрів сертифікації та необхідності
перевипуска усіх без виключення ключів ЕЦП (в масштабах України), що може мати
фатальні наслідки для електронної Держави. Ніяких інших безпечних методів
відновлення роботи після компрометації «кореня» не існує.
Шлюзова модель
Шлюзова модель (Bridge/Gateway Model) складається
із окремих ізольованих ЦС та ієрархічних доменів ЦС, які об’єднані довірчими
відносинами через довірчого посередника (технічно - через механізми «кросс-сертифікації»).
Ця модель прийнята за основну для побудови Національної
(Федеральної) структури Цифрового підпису США, Канади та ін., а також для
Європейського співтовариства.
Переваги
шлюзової моделі:
-
дозволяє легко підключити новий ЦС; держателі та користувачі сертифікатів
не повинні змінювати їх точку довіри чи свої ключі;
-
компрометація окремого ЦС, у тому числі Центрального засвідчувального
органу, не може скомпрометувати усю структуру;
-
відновлення після компрометації більш просте в компонентної структурі, ніж
в ієрархічній структурі.
Таким чином, в Україні вибрана для побудови архітектура Національної
інфраструктури ЕЦП, яка з точки зору її безпеки та технологічності щодо
підключення існуючих структур є гіршою.
Вибрана в Україні модель не дозволить Електронному
Уряду України інтегруватися до Електронного Уряду ЄС.
5.
Стандарти криптографічного перетворення
Чи не єдине,
що на поточний момент визначено для державних структур - це такі криптографічні
стандарти:
Стандарт
блочного шифрування - ГОСТ 28147-89 "Системы обработки
информации. Защита криптографическая. Алгоритм криптографического преобразования".
Стандарти
цифрового підпису:
–
ДСТУ 4145-2002 «Інформаційні технології. Цифровий підпис, що ґрунтується на
еліптичних кривих».
–
ГОСТ 34.310-95 "Информационные технологии. Криптографическая защита информации.
Процедуры выработки и проверки электронной цифровой подписи на базе
асимметричного криптографического алгоритма".
Стандарт
хеш-функції - ГОСТ 34.311-95 " Информационные технологии.
Криптографическая защита информации. Функция хеширования".
Таким
чином, визначено один стандарт колишнього СРСР (ГОСТ 28147-89), два міждержавні
стандарти (ГОСТ 34.310-95, 34.311-95) та один стандарт України (ДСТУ 4145-2002).
Міжнародні
стандарти, звичайно, інші – це такі криптографічні стандарти
для електронної комерції та електронного уряду (в тому числі в межах
Європейського співтовариства):
Стандарт
блочного шифрування – DES, 3DES, AES.
Стандарти
цифрового підпису – RSA, DSA.
Стандарт
хеш-функції – MD5, SHA-1.
Питання щодо
міжнародних та європейських стандартів є актуальним з таких причин:
-
в Україні вже впроваджуються ці стандарти; вони використовуються в
міжнародних платіжних системах VISA, Europay (Eurocard/Mastercard) та
міжнародною системою міжбанківських переказів S.W.I.F.T.;
-
розвиток електронної комерції через Інтернет, що не має кордонів, також
використовує зазначені міжнародні стандарти.
Отже, поряд з
національними криптографічними стандартами, в Україні необхідно визначити, які із
міжнародних криптографічних стандартів можуть застосовуватися в комерційному
секторі економіки України. На цей час в Україні не визначено, які з міжнародних
криптографічних стандартів є чинними в Україні.
Висновок
На європейському і міжнародному рівні затверджено свої стандарти цифрового
підпису, в Україні – свої, у тому числі і термін «електронний цифровий підпис»,
„посилений сертифікат” тощо.
В Україні на поточний момент не затверджено технічні стандарти щодо
електронного документообігу та створення Національної інфраструктури ЕЦП. Це не
дає можливості розробити та впровадити будь-яке з рішень інфраструктури ЕЦП.
Вибрана модель побудови Національної інфраструктури ЕЦП в Україні як
ієрархічна структура, є небезпечною для Електронного Уряду та становить
потенційну загрозу національній безпеці електронної України.
Експерти США робочої Групи по електронному уряду в країнах, що розвиваються, розглянули
різні країни усіх регіонів світу - Бразилію, Чілі, Китай, Данію, Єгипет, Індію,
Ізраїль, Мексику, Південну Африку, Танзанію, Таїланд, Об’єднані Арабські
Емірати та США. Досвід інших країн щодо організації робіт зі створення
електронного уряду свідчить, що:
1.
Програма повинна підтримуватися на державному рівні.
2.
Необхідно залучити до формування системи «Електронного уряду» недержавні
структури.
3.
Треба чітко технічно стандартизувати систему Електронного уряду.
4.
Необхідно здійснювати координацію робіт щодо створення систем державних
установ і відомств.
Залучення ключових осіб у вигляді груп громадян,
асоціацій, підприємців, урядових посадових осіб, не урядових організацій
гарантує успіх програми.
Це передбачено також Концепцією формування системи національних електронних
інформаційних ресурсів, яка затверджена розпорядженням Кабінету Міністрів
України від 5 травня 2005 р. №259-р, де визначено основні задачі, зокрема,
залучення до формування системи національних ресурсів недержавних структур та
створення умов для забезпечення захисту національних ресурсів незалежно від їх
форми власності.
Таким чином, для успіху проекту створення системи Електронного уряду в
Україні треба суттєво змінити законодавство в галузі електронного цифрового
підпису в Україні, привівши його у відповідність до законодавства ЄС, та
додатково вжити заходів щодо технічної стандартизації, - розробити, як мінімум:
1. Концепцію
побудови та розвитку електронного уряду
2. Концепцію по
організації середовища та функціям взаємодії електронного уряду
3. Технічну
політику електронного уряду
4. Технічні
специфікації (стандарти) середовища взаємодії електронного уряду
5. Технічні
специфікації (стандарти) методів та засобів безпеки електронного уряду
Ця послуга вимагається, як послуга, що надається
акредитованим центром сертифікації ключів, відповідно до «Порядку засвідчення
наявності електронного документа (електронних даних) на певний момент часу»,
який затверджено постановою КМУ від 26 травня 2004 р. №680, та «Порядку
акредитації центру сертифікації ключів», який затверджено постановою КМУ від 13
липня 2004 р. №903.
| Назад |
