Применение цифровой подписи в суровых степях Казахстана
Случилось мне недавно узнать о нововведении в сфере госзакупок. Кроме того, что уже достаточно давно любые, даже мельчайшие, траты нужно делать посредством тендера, госчиновников озарила мысль, чтобы уж точно никто ничего не украл, крайне необходимо сделать все без бумажек и через интернет, да еще параллельно проконтролировать, кто, чего и сколько. В общем придумали использовать цифровую подпись.
Затея тендеров вообще была в том, чтобы нельзя было украсть купив что-то подороже, но у своего родственника. Тендер, в котором обычно больше одного участника, якобы позволяет избежать лишних трат (по факту — хищений). Однако никто не отменял возможности “приоткрыть” пакет с коммерческим предложением до официального тендера и сделать свое предложение чуть дешевле. Поскольку ума для такой схемы особого не нужно господа из госконтор такими способами пользовались, чем и привели к новому витку тендерного маразма, теперь уже в сфере электронной передачи информации. Опять же надо отчитываться о компьютерной грамотности и интернетизации всей страны.
Как всегда бывает в таких случаях, заказ уходит (может, даже согласно тендеру) людям, которые в компьютерах понимают слабо, а уж в “интернетах” и тем более. В результате рождается нежизнеспособная уродливая система, о которой и пойдет речь.
Первоочередной задачей при создании этой системой было разворовывание средств налогоплательщиков был тотальный контроль и тотальная же “защита” заказчиков и исполнителей. “Защита” указана в скобках, потому что реальной защитой там и не пахнет, да и надобность в защите более чем сомнительная.
Для того чтобы получить цифровую подпись бизнесмен должен иметь компьютер, доступ в интернет и очень много свободного времени.
Сначала с отдельного сайта нужно скачать несколько программ и подробную инструкцию. С инструкции сразу начинаются чудеса. Например составители до конца не уверены нужно ли пользователю устанавливать Java VM, которая есть среди программ. Также неизвестно нужно ли обновлять Internet Explorer до версии 7 или же сойдет шестая, хотя по тексту видно, что может и в той и в другой заработает, но “может и не заработает”. В настройках Internet Explorer тоже много подводных камней: так два ActiveX модуля вроде бы и нужны, и даже как-то там устанавливаются, но, как говорит инструкция, они могут отображаться в настройках, а могут и нет! Но работать будут. Хотя и неизвестно точно. Да-да, инструкция именно так и написана.
С горем пополам начинаем установку программ. Для чего нужна каждая программа (а их там как минимум три) никто нигде не пишет, нужно и все тут. Установка вроде бы и работает, а вроде бы и не до конца: на всех компьютерах по разному — и это при том, что ОС официально поддерживается программами, о чем совершенно четко написано в инструкции.
После первой установки необходимо сходить на сайт, где примут заявку на выдачу цифровой подписи. Чтобы зайти в нужный раздел требуется выполнить огромное количество ручных настроек в браузере Internet Explorer. Не будет откровением, что никакой другой браузер для этого не подходит. По ходу дела оказывается, что цифровые сертификаты, которыми пользуется Национальный Удостоверяющий Центр на самом деле ничего не значат и все программы прямо об этом говорят, намекая, что эти сертификаты просто пустышка. Чтобы они перестали быть пустышкой нужно заплатить немного денег, но, как мы все прекрасно знаем, деньги тратить на что-то нормальное у нас не принято, деньги всегда уходят прямо в чей-то карман минуя качественную продукцию и квалифицированных специалистов.
Итак, после тяжелого и трудного пути, который у неподготовленного человека, на чуть отличной от эталона разработчика конфигурации компьютера, может занять пару-тройку дней, попадаем в регистрацию на получение цифровой подписи. При этом все соединения естественно зашифрованы, чтобы не дай бог, кто-то не перехватил ваши данные, такие как: ФИО директора, название фирмы, ИНН, БИН, район регистрации и еще кучу никому не нужной, но широкодоступной информации. Почему нельзя взять эти данные из общей базы, никто не объяснил. После ввода всей информации нужно выбрать несколько параметров цифровой подписи. В этом моменте есть два натуральных издевательства:
1. Хоть вариаций выбора и много — шесть списков, выбирать нужно только один пункт в каждом списке. Эти пункты четко указаны в инструкции. Для чего давать пользователю возможность выбора, если вариантов выбора по факту нет, никто не знает. Даже разработчики.
2. Списки не подгружаются. Часть сделана на Visual Basic (из-за чего не работают никакие браузеры, кроме Internet Explorer), другая — видимо ActiveX (тоже работает исключительно в Internet Explorer).
Для каких целей нужно было использовать несовместимые малораспространенные технологии для столь простой операции, которая делается стандартными средствами — непонятно. Более того, непонятно для чего вообще было делать возможность выбора там, где выбора быть не может.
Но это далеко не самое интересное. Напомню, вся информация передается в зашифрованном виде, чтобы никакие данные не попали в чужие руки.
После запроса для получения цифровой подписи, два файла с сертификатами отправляются по обычной почте, без какой-либо шифровки в обычных zip-архивах. Всё! Как говорится: бери кто хошь! Вся секретность и параноидная шифровка никому ненужной информации перечеркивается одним простым действием.
Кроме того, приходит два одинаковых письма, с одинаковым на первый взгляд содержимым. Только скачав архивы из двух писем становится понятно, что несмотря на их одинаковый размер они имеют разное содержимое: два файла с цифровыми сертификатами. Один, как указано, для подписывания документов, второй — для подключения к сайту госзакупок.
После благополучной установки сертификатов в систему, нужно зарегистрироваться на сайте госзакупок. Да-да, еще раз зарегистрироваться, уже на том сайте, который действительно нужен.
Казалось бы, уже все данные отправлены и в сертификатах есть название фирмы и куча другой информации, но все равно при регистрации пользователя просят ввести те же самые ФИО, названия, ИИНы, БИНы и т.д. Для чего это сделано? Почему нельзя получить эти данные с помощью централизованной системы? Ведь данные от сертификатов уже лежат в общей базе, ведь данные по фирме уже лежат в другой базе и даже появились там еще раньше.
После регистрации, которая достаточно стандартна, начинается настоящий цирк. Читать заявки удовольствие намного большее чем смотреть “КВНы” или “камеди клубы”. Уровень неграмотности чиновников составляющих заявки просто зашкаливает. Не думаю, что занимается этим непосредственно руководство, но явно это делают работники различных министерств, акиматов и департаментов, который так или иначе являются чиновниками и получают зарплату из кармана граждан. Ошибки настолько элементарные, что возникает подозрение не то, что в отсутствии у них высшего или хотя бы среднего образования, но даже первых трех классов начальной школы.
А теперь представим, как это могло бы быть в нормальной стране, где деньги идут на реальные нужды, а не разворовываются.
Для начала отбросим обоснованные подозрения в ненужности системы тендеров или их строгой секретности в интернете. Представим, что без этого никуда. Как должна выглядеть регистрация в таком случае.
Всё очень просто:
1. Пользователь скачивает программу с сайта;
2. Вводит один (!) из параметров фирмы: РНН, либо название либо еще одну из множества цифр, которые зачем-то присваиваются достаточно регулярно;
3. Получает подтверждение с сервера, что такая организация действительно существует и убеждается, что это именно их фирма;
4. Всё.
Программа должна сама сгенерировать уникальный сертификат. При необходимости связаться по шифрованному каналу с сервером и подписать сертификат, после чего установить его в систему, чтобы пользователь не делая огромного количества лишних движений мог сразу приступить к работе.