- Радник у сфері публічних закупівель - https://radnuk.com.ua -

У чергу за токенами: чи можна під час закупівель користуватися електронним підписом, розміщеним не на захищеному носієві?

Закупівельній громаді сьогодні не обійтися без електронного підпису (далі — ЕП): і тендер оголосити, і пропозицію подати — для усього цього потрібен ЕП. А на чому цей ЕП розміщується? Та в кого як: у когось на захищених носіях, так званих токенах, а в когось на звичайних флешках, SIM-картках чи просто на жорсткому диску ПК. Тож чи можна замовникам та учасникам публічних закупівель користуватися ЕП, записаним на звичайній флешці та інших незахищених носіях?

Що каже закон?

Для початку відзначимо, що в Законі України «Про публічні закупівлі» про використання ЕП немає ані слова, тож звертаємося до законодавства про електронні підписи.

З 07.11.2018 набув чинності Закон України «Про електронні довірчі послуги» (далі — Закон про ЕДП) на заміну своєму попередникові Закону України «Про електронний цифровий підпис». Відповідно до абзацу 1 частини 2 статті 17 Закону про ЕДП електронна взаємодія фізичних та юридичних осіб, яка потребує відправлення, отримання, використання та постійного зберігання за участю третіх осіб електронних даних, аналоги яких на паперових носіях повинні містити власноручний підпис відповідно до законодавства, а також автентифікація в складових частинах інформаційних систем, в яких здійснюється обробка таких електронних даних та володільцями інформації в яких є органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, повинні здійснюватися з використанням кваліфікованих електронних довірчих послуг. Однією з таких послуг відповідно до статті 18 Закону про ЕДП є кваліфікована електронна довірча послуга створення, перевірки та підтвердження кваліфікованого електронного підпису (далі — КЕП) чи печатки, що надає кваліфікований постачальник електронних довірчих послуг.

Оскільки взаємодія в електронній системі закупівель передбачає обмін документами, що в паперовій формі потребують власноручного підпису (наприклад, оголошення про проведення закупівлі чи тендерна пропозиція), то доходимо висновку, що під час роботи в ЕСЗ користувачі (і замовники, і учасники) повинні застосовувати КЕП.

А на яких носіях можуть розміщувати КЕП? Пошукаймо відповідь разом.

Правильні засоби (носії) КЕП

Відповідно до пункту 23 частини 1 статті 1 Закону про ЕДП кваліфікований електронний підпис — удосконалений електронний підпис, який створюють з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа. Маємо наче формулу з трьома доданками: КЕП = удосконалений ЕО + засіб КЕП + кваліфікований сертифікат. Оскільки засіб КЕП — необхідний доданок у формулі, то слід з’ясувати, що він означає.

Засіб КЕП чи печатки — апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, який відповідає вимогам цього Закону (пункт 17 частини 1 статті 1 Закону про ЕДП). Засобам КЕП присвячена стаття 19 Закону про ЕДП. Окрім того, вимоги до засобів КЕП чи печатки відображені в пунктах 130–133 Вимог у сфері електронних довірчих послуг, затверджених Постановою Кабінету Міністрів України від 07.11.2018 № 992 (далі — Постанова № 992), а також у стандартах, перелік яких є додатком до цих Вимог. Засоби КЕП повинні забезпечувати належний рівень унікальності пари ключів, що ними генеруються, конфіденційність особистих ключів та захист від доступу сторонніх осіб. Звертаємо увагу, що відповідність засобів КЕП чи печатки зазначеним вимогам підтверджується документами про відповідність або позитивними експертними висновками за результатами їх державної експертизи у сфері криптографічного захисту інформації. Замість засобів КЕП чи печатки можуть також використовувати надійні засоби ЕЦП, які отримали позитивні експертні висновки за результатами державної експертизи у сфері криптографічного захисту інформації, видані до набрання чинності Законом про ЕДП, до закінчення строку дії експертних висновків (пункт 2 Постанови № 992).

Детальніше про стандартизацію у сфері закупівель читайте в статтях «Належна якість: оцінка відповідності в публічних закупівлях [1]» та «Згідно з ДСТУ і не тільки: стандартизація в публічних закупівлях [2]» — журнал «Радник в сфері державних закупівель» № 2 (101) за лютий 2020 року на стор. 27–33 та № 3 (102) за березень 2020 року на стор. 21–25.

Якщо засіб КЕП чи печатки, що призначений для зберігання особистого ключа, має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання, то, згідно з абзацом 2 частини 2 статті 17 Закону про ЕДП та пунктом 4 Порядку використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності, затвердженого Постановою Кабінету Міністрів України від 19.09.2018 № 749, такий засіб визначають захищеним носієм особистих ключів, його можуть використовувати суб’єкти владних повноважень для реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи відповідно до закону.

Отже, КЕП має бути створений з використанням засобу, що або відповідає стандартам, наведеним у пунктах 28–34 Переліку стандартів, що застосовують кваліфіковані надавачі електронних довірчих послуг під час надання кваліфікованих електронних довірчих послуг, що затверджені Постановою № 992, і має сертифікат відповідності про це, або успішно пройшов державну експертизу у сфері криптографічного захисту інформації й має позитивний експертний висновок. Зрозуміти, на якому засобі розміщено ЕП, дуже просто: кваліфікований сертифікат відкритого ключа обов’язково повинен містити відомості про те, що особистий ключ зберігається в засобі КЕП печатки (пункт 12 частини 2 статті 23 Закону про ЕДП). Якщо ж не містить, то електронний підпис буде просто удосконаленим (а не кваліфікованим: пригадаймо формулу з трьома доданками), що забезпечує середній рівень довіри. Очевидно, що звичайні флешки чи CD-диски таким вимогам не відповідають, ані сертифіката відповідності стандартам, ані позитивного експертного висновку не мають, а отже записані на них підписи не відповідають визначенню КЕП, наведеному в пункті 17 частини 1 статті 1 Закону про ЕДП, про що негайно стає відомо під час перевірки підпису завдяки відмітці «Розміщений на незахищеному носієві».

А чи є це реальною перешкодою для використання ЕП, записаних не на засоби КЕП, в електронній системі закупівель? Ні, не є. І на це є дві причини.

По-перше, відповідно до частини 3 статті 18 Закону про ЕДП електронний підпис чи печатка не можуть бути визнані недійсними та позбавлені можливості бути розглянутими як доказ у судових справах виключно на тій підставі, що вони мають електронний вигляд або не відповідають вимогам до КЕП чи печатки.

По-друге, електронна система закупівель просто не містить у собі такого технічного рішення, яке б не допускало застосування ЕП, розміщеного не на засобах КЕП. 

Про це нам повідомили Державна служба спеціального зв’язку та захисту інформації України у листі від 26.02.2020 № 01/03/04-1018 [3] та ДП «Прозорро» у листі від 16.03.2020 б/н [4].

Урядовий експеримент

Закон про ЕДП діє вже півтора року, однак засоби КЕП і сьогодні мають доволі мало підписників. Причина банальна: ніхто не хоче (а багато хто просто не може через скромне фінансування) витрачати кошти на нові носії ЕП, якщо й старі працюють справно, а єдиний наслідок від використання неналежного засобу КЕП — лише стандартне нагадування від податкової під час направлення звітності про необхідність розжитися справжнім КЕП. Нещодавно такий статус-кво був узаконений: Уряд запустив експериментальний проєкт щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів. У межах цього експериментального проєкту підпунктом 1 пункту 3 Постанови Кабінету Міністрів України від 03.03.2020 № 193 «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів» встановлено, що вдосконалені ЕП чи печатки, які базуються на кваліфікованих сертифікатах відкритих ключів, що відповідають затвердженим пунктом 2 цієї постанови вимогам, користувачі електронних довірчих послуг можуть використовувати для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у разі, коли законодавством передбачено використання виключно КЕП чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри.

Інакше кажучи, Уряд експериментально своєю постановою змінив Закон про ЕДП, дозволивши використовувати вдосконалені ЕП там, де Закон про ЕДП вимагає лише КЕП. Наразі ми не будемо зупинятися на питанні наявності, а точніше — повної відсутності повноважень Уряду змінювати положення будь-якого закону навіть як експеримент. Просто візьмемо до відома, що відтепер удосконалений електронний підпис, який базується на кваліфікованому сертифікаті відкритого ключа, у більшості випадків нічим не гірший за КЕП. Експеримент діятиме до дня набрання чинності змінами до Закону про ЕДП щодо врегулювання використання удосконалених ЕП і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, але не пізніше ніж до 31 грудня 2021 року.

Зауважимо, що експеримент не поширюється на випадки реалізації владних повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи відповідно до закону, з боку органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності, державних реєстраторів, нотаріусів та інших суб’єктів, уповноважених державою на здійснення функцій державного реєстратора: їхні КЕП мають бути записані на захищені носії. У цьому контексті слід згадати органи Держаудитслужби, які здійснюють владні повноваження у вигляді моніторингу, у результаті якого в замовника нерідко з’являється обов’язок щодо виконання відповідного висновку. У даному випадкові посадові особи мали б використовувати КЕП, записаний саме на захищений носій (відповідно до абзацу 2 частини 2 статті 17 Закону про ЕДП). Проте, як свідчать дані вебпорталу PROZORRO, і в органі державного фінансового контролю токени є зовсім не у всіх.

Висновки 

  1. Державні замовники під час роботи в ЕСЗ мають право використовувати як КЕП, записаний на засобі КЕП, так і вдосконалений електронний підпис, що базується на кваліфікованому сертифікаті відкритого ключа, записаний на будь-якому носієві.
  2. Органи державного фінансового контролю при проведенні моніторингу зобов’язані використовувати КЕП, розміщені тільки на захищених носіях, оскільки проведення моніторингу є формою реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи відповідно до закону.
  3. Які електронні підписи допустимі для використання в ЕСЗ PROZORRO? Питання не стільки законодавче, скільки технічне: які б обмеження щодо КЕП та його носіїв не передбачало законодавство сьогодні чи в майбутньому, такі обмеження не запрацюють, допоки не будуть технічно втілені в самій системі.

У публікаціях на порталі RADNUK.COM.UA було розглянуто такі питання:ож про КЕП читайте у наступних публікаціях: