11.06.2021 09:45
Технологии с заботой о клиенте.
Кирилл Мещеряков, руководитель направления развития продуктов
Сегодня мы буквально не расстаемся с мобильными устройствами и стараемся использовать их не только для решения личных задач и развлечений, но и для решения задач служебных, связанных с бизнесом. Это делает работу удобной, повышает нашу доступность и позволяет сэкономить огромное количество времени: нет необходимости покидать свое место для проведения денежных транзакций, подписи документов, и даже регистрацию бизнеса сегодня можно сделать с мобильного устройства. Все эти действия требуют обеспечения безопасности и надежной защиты транзакций и сделок от компьютерных мошенников. При этом такое цифровое взаимодействие граждан с государством и бизнесом должно быть простым, понятным и удобным.
Несколько лет назад совместно с партнером, компанией КриптоПро, мы выпустили решение MyDSS, с помощью которого можно было подписывать любые документы и операции квалифицированной электронной подписью со смартфона, в любом месте и в любое время получая доступ к электронному документообороту и государственным услугам, а также в системы дистанционного банкинга, совершенно не проигрывая ни в удобстве, ни в безопасности. Стоит признать, что это решение сразу нашло отклик на рынке: где-то более активно распространяется технология мобильной ЭП, где-то активность поменьше, но в целом, без сомнений, технология нашла свое место на рынке.
Взглянем на реальный кейс?!
Время начала пандемии практически совпало с введением льготных ставок на ипотеку, что повысило доступность кредитов. И застройщики столкнулись сразу с двумя противоречивающими ситуациями: высоким спросом со стороны покупателей и ограничением в их передвижениях, из-за чего застройщики были вынуждены резко перенести свои продажи в цифровые каналы обслуживания. Тогда «удаленная подпись» — полный аналог собственноручной подписи, имеющая к тому же такую же юридическую силу, стала выходом из сложившейся ситуации. Благодаря технологии мобильной электронной подписи застройщики стали активно продавать квартиры онлайн, вносить информацию в Росреестр, выполнять другие сопутствующие операции. А так как «традиционные» технологии квалифицированной электронной подписи оказались не очень готовы к новым вызовам, распространение MyDSS стало весьма успешным.
Тем не менее, даже самые успешные продукты должны развиваться. Проанализировав рынок и откликнувшись на его запросы, мы разработали MyDSS второй версии. В ней мы реализовали все наши передовые идеи: как повысить удобство пользователей и уровень безопасности, и также расширить функциональность.
Поговорим про новую функциональность и удобство?
Во-первых, мы фокусировались на удобстве пользователя: MyDSS 2.0 теперь не просто мобильное приложение, а полноценный комплект разработчика SDK (библиотеки, которые можно встроить в любые другие приложения). То есть, если раньше пользователю приходилось «перепрыгивать» из одного в другое приложение для подписи документов, то теперь весь пользовательский путь можно пройти в одном приложении: без переходов и переключений, с одним дизайном интерфейса, одинаковыми подсказками.
Во-вторых, у MyDSS 2.0 появилась возможность подписания сразу нескольких документов за раз. То есть, если раньше вы хотели отправить несколько документов на подпись, то нужно было отправить несколько транзакций, которые впоследствии наслаивались одна на другую, что нередко приводило к путанице. Пользователям приходилось последовательно просматривать документы и последовательно по очереди подписывать или отказываться. А в ситуации ошибочного действия приходилось начинать весь процесс заново. Но теперь, гораздо все проще, можно посмотреть отдельно каждый документ, а потом подписать их все вместе, или только один-два из них, если по каким-то документам необходимы дополнительные разъяснения.
В-третьих, мы также разработали еще одну очень полезную функцию для пользователей – подпись внутри приложения и отправка документ на подпись из другого приложения. То есть предположим такую ситуацию: отдел кадров забыл, как пользоваться системой ЭДО и отправил вам документ на подпись в WhatsApp. Раньше вы ничего не смогли бы с этим документом сделать. Но теперь вы можете нажать кнопочку в WhatsApp и открыть этот документ в MyDSS, затем отправить его на подпись, подписать и вернуть обратно также в WhatsApp уже подписанный вами документ.
И продолжая разговор об удобстве, мы также дали возможность увидеть и скачать свой сертификат электронной подписи непосредственно в самом приложении, возможность создать заявку на новый сертификат и возможность перенести аккаунт из одного смартфона в другой, не обращаясь в удостоверяющий центр.
А теперь перейдем к безопасности?!
Мы тщательно продумали как еще больше повысить уровень безопасности нашего решения, добавив новый процесс регистрации пользователя на сервере. Если раньше, чтобы зарегистрировать нового пользователя удостоверяющий центр должен был сгенерировать QR-код и передать его пользователю, то в новой версии есть и другой, более безопасный, путь.
А почему использование одного лишь QR-кода недостаточно безопасно? Потому что, после распечатки, его могут подсмотреть или перехватить по «дороге» к пользователю. В частности, сотрудники того же УЦ, или сотрудники банка, связанные с мошенниками… И вот если его перехватят, скопируют и активируют на другом смартфоне, то это будет «несанкционированный доступ к подписи» — инцидент информационной безопасности. Конечно чтобы QR-код было сложнее перехватить, его можно зашифровать. Это поможет повысить безопасность, но решение это все равно «половинчатое», так как, с одной стороны, QR-код передается в зашифрованном виде, но, с другой стороны, целью злоумышленников станет пароль шифрования и его тоже можно будет украсть.
Новый способ регистрации подразумевает, что пользователь заранее анонимно регистрируется на сервере и получает от сервера секретное слово. Далее он приходит в УЦ, проходит очную идентификацию и передает секретное слово ответственному сотруднику. Как только оператор УЦ вводит слово в свою систему, то та самая анонимная учетная запись, созданная на удаленном сервере, привязывается к настоящей уже не анонимной учетной записи.
На сегодняшний день, такой способ однозначно может считаться наиболее безопасным. Даже если кто-то узнает секретное слово, то он ничего с ним сделать не сможет, потому что оно «привязано» к конкретному уникальному мобильному телефону. Использовать это секретное слово во вред пользователю невозможно. Оно может быть использовано только по назначению, а какую-то атаку на него произвести невозможно. Такой способ регистрации значительно повышает уровень безопасности и помогает сотрудникам отделов безопасности решить вопрос несанкционированного доступа внутренним нарушителем.
В новую версию MyDSS 2.0 мы вложили всю собранную нами аналитику, запросы с разных рынков, комментарии и пожелания наших пользователей, потому что мы всеми силами стараемся сделать цифровой мир безопаснее и удобнее. Новая версия myDSS 2.0 позволит пользователю еще проще и удобнее подписывать документы квалифицированной электронной подписью со своего смартфона. Также, myDSS 2.0 позволит расширить спектр инновационных цифровых сервисов для граждан, бизнеса и государства.