21 июль 2019
Либертариум Либертариум

Электронные платежи от ГКЧП до наших дней

Журнал "Мир карточек", из-во "Бизнес и компьютер", 1998г.
Основные этапы развития Российских электронных платежных систем. Автор статьи не мог обойти в своей статье и деятельность ФАПСИ (которая принимала и принимает активное участие в развитии рынка электронных платежей), что и вызвало бурную реакцию представителей этой контролирующей организации.
Часть I <январь 1998г.>
Часть II <июль 1998г.>
О компетенции ФАПСИ и некоторых "независимых" экспертов <Сергей Родионов, сентябрь 1998г.>
Когда извинение хуже проступка <Алексей Волчков, сентябрь 1998г.>

Электронные платежи от ГКЧП до наших дней
(из истории развития капитализма в России)

Алексей Волчков, независимый эксперт

Часть I
("Мир карточек", # 1 <январь> 1998г.)

Ни для кого не секрет, что без современных методов электронных расчетов и развитых телекоммуникаций деятельность финансовых организаций становится не только малоэффективной, но и проблематичной. Это положение сегодня воспринимается как должное, однако, оно установилось сравнительно недавно. Думаю, полезно будет заглянуть в прошлое и вспомнить, что же происходило в 1991 г...

Ты помнишь, как все начиналось... (А. Макаревич)

В России (или еще в РСФСР) к концу 1991 г. сложилась весьма интересная ситуация, связанная с массовым исходом сотрудников КГБ из родной "конторы". Как известно, уходили не худшие. В связи с "успешной конверсией и демилитаризацией" из "оборонки" и военных ведомств готовы были уйти и уходили многие высококлассные специалисты. Правда, начать новое дело и выгодно реализовать себя могли не все. В первую очередь это было связано с тем, что их "орудия труда" (зачастую высокоспециализированные и дорогостоящие) остались в "родных пенатах". Тем же, чей капитал составлял интеллект, а средства производства -- перо и бумага, приходилось искать клиентов. Либерализация цен, попытки перейти к рыночной экономике, эйфория от "свободы" предпринимательства и разрушение устоявшихся межреспубликанских связей и определили потенциальных покупателей высоких технологий -- крупные финансовые организации, которые в конце 1991 г. и в течение последующего года были представлены в основном биржевыми объединениями.

Любая биржа в силу собственной торговой природы заинтересована в увеличении скорости оборачиваемости капитала и расширении круга потенциальных клиентов. Без сделок между удаленными пользователями здесь уже не обойтись, и оплата любых покупок должна производиться в максимально сжатые сроки.

Подобные биржевые системы успешно эксплуатируются в странах с устоявшейся рыночной экономикой. В России же по иронии судьбы они в то время интересовали только специалистов по защите информации, небольшую группу сотрудников одного из теоретических подразделений 8-го главного управления КГБ СССР (ныне структурное подразделение ФАПСИ), которые увидели возможность применения собственных разработок на практике. Несколько сотрудников КГБ-ФАПСИ решили объединиться в некий (тогда еще безымянный) авторский коллектив. В целом же вначале 90-гг. как в КГБ, так и в ФАПСИ на идею открытой криптографии смотрели как на чуждую нам буржуазную науку и интересовались ею лишь для того, чтобы быть в курсе дел "за бугром".

Взлет и падение "Инфокомплекса"

Для спокойной работы необходимо было иметь дружественную фирму, готовую взять на себя организационную часть работы. Фирма нашлась -- ТОО "Инфокомплекс". (Автору неизвестно, жива ли она сейчас. Если она и существует, вряд ли имеет отношение к высоким технологиям.) В начале 1991 г. фирма во главе с господами X. и А. (X. до сих пор занимает одну из руководящих должностей в ФАПСИ, а А. работает в аппарате Совета Безопасности) сотрудничала с несколькими командами разработчиков. В то время образовались несколько "Инфо..." фирм -- "Инфосис", "Инфотекс", "Инфокрипт" и т. д. Названные конторы в той или иной степени контролировались КГБ (сейчас контролируется ФАПСИ) и даже были созданы на его деньги. КГБ не был финансово подотчетен, пожалуй, лишь "Инфокомплекс". Разработки же, проводимые в стенах данной фирмы, были довольно-таки любопытны. К системам электронных расчетов можно отнести две из них:

  • "Электронная биржа и аукцион" (разработка авторского коллектива "Гарнет");
  • "Аргус" (разработка упомянутого выше безымянного авторского коллектива).

"Аргус" стал первым программным пакетом, предоставляющим пользователю возможность шифровать и подписывать сообщения в электронном виде. Наряду с "Аргусом" был выпущен целый ряд программных продуктов, рассчитанных на массового потребителя и содержащих механизмы оформления электронных документов ("Кронос", "Афина", "Сфинкс", "Зевс", "Диана", "Веста", "Гера"). Эти продукты позволяли осуществлять электронные сделки, по обоюдной договоренности сторон, и были ориентированы на создание стандартных финансовых документов типа "Договор", "Счет", "Квитанция". Таким образом, в начале 90-гг. электронные платежи в России были привилегией лишь узкой группы пользователей.

Далее "Инфокомплекс" стал проводить семинары, активно участвовать в конференциях, содействовать появлению журнала "Защита информации". Тем самым фирма не только популяризировала идею электронных документов, но и постепенно формировала рынок сбыта собственной продукции.

Стратегия "Инфокомплекса", ориентированная на биржевую деятельность, во второй половине 1991 г. стала давать сбои. Сократился объем сделок по внедрению системы "Электронная биржа и аукцион": сложный программный продукт требовал дополнительных финансовых вливаний и существенных доработок. "Инфокомплекс" почувствовал себя неуютно. Кроме того, господину А. вежливо намекнули о необходимости поделиться "наработками" с руководством ФАПСИ.

Календарно трудности "Инфокомплекса" совпали не только с политическими и экономическими передрягами, но и с преобразованием безымянного авторского коллектива в отделение "ЛАН-Крипто" (в декабре 1991 г. ставшего самостоятельной фирмой). Сразу же возникли принципиальные разногласия между "ЛАН-Крипто", ориентировавшей свои разработки на банки, и остальной частью "Инфокомплекса", специализировавшейся только на биржевых программных продуктах.

От мертвого осла уши (О. Бендер)

В тот же период времени начала образовываться группа фирм, решивших заняться разработкой программных продуктов, которые бы осуществляли поддержку систем электронных расчетов. В первую очередь в нее попали создатели различных версий "Операционного дня" -- "Программбанк" и "Диасофт", -- затем подключились и более узкоспециальные фирмы -- "Элиас", "Блиц", "Анкей", "Русская Коммерческая Инициатива", "Маг" и "Инфокрипт" (причем последние две жили на деньги ФАПСИ). Не следует думать, что других разработчиков не существовало: здесь упомянуты наиболее активные на рынке фирмы.

Несмотря на наличие потенциальных потребителей, нуждавшихся в средствах электронных платежей, рынок предложения подобных продуктов и объем их продаж был настолько невелик, что его можно было считать нулевым. Это объяснялось отчасти консерватизмом новоявленных банков, а отчасти -- еще не сформировавшимся в России рынком программных средств. Наиболее характерным для описываемого периода было то, что основная часть финансовых структур пыталась решать технические проблемы самостоятельно. Не стоит сбрасывать со счетов и тот факт, что законодательство в области электронных платежей вообще отсутствовало.

К лету 1992 г. у фирм, занимавшихся исключительно системами электронных платежей, возникли серьезные проблемы. У них на руках оказался весьма привлекательный продукт, продать который было не проще, чем "от мертвого осла уши". Возможно, на этом этапе идея электронных платежей "заглохла" бы совсем, если бы не произошло несколько взаимосвязанных событий:

  • появление фальшивых АВИЗО показывало, что бумажные системы, испытанные годами, дали серьезный сбой;
  • возникли серьезнейшие проблемы с межгосударственными расчетами;
  • в Россию пришел S.W.I.F.T.

Прогрессивные финансисты осознали, что, во-первых, без электронных расчетов прибыльного бизнеса не наладишь. Во-вторых, если не начать автоматизировать собственные схемы платежей (приближая их к зарубежным стандартам), придется либо довольствоваться западными разработками, либо забыть о партнерстве с иностранным капиталом. Произошел первый прорыв в область новых информационных технологий.

К рынку, господа, именно к рынку (К. Боровой)

Кризис лета 1992 г. сыграл определенную положительную роль в развитии систем электронных платежей. С одной стороны, резко сократилось количество фирм, пытавшихся делать на этом деньги, что впоследствии вытеснило с рынка непрофессионалов и оставило на нем лишь настоящих фанатиков идеи. С другой стороны, существенно снизился интерес ФАПСИ к желанию "наложить лапу" на эту сферу деятельности.

За короткий период был проведен ряд семинаров по проблемам электронных платежей, автоматизации межгосударственных расчетов, защите информации и юридических аспектах данных проблем. Участие в них крупных банков, а также региональных финансовых кругов существенно оживило интерес к проблеме. Электронные платежи из области "одобренных перспективных проблем" стали переходить в область "проблем, требующих безотлагательного практического решения".

Плоды этой бурной деятельности пожинало множество фирм, не оставивших идею электронных расчетов: рынок средств электронных платежей вновь ожил. Множество контрактов было заключено с фирмами "Блиц", "Элиас", "Анкад" и "ЛАН-Крипто". Фирмы "Анкей" и "Ками", первоначально ушедшие с рынка, вернулись на него снова. Активизировалось и ФАПСИ, пропихивая на рынок, мягко говоря, сыроватый продукт "Калейдоскоп" (который реализовывался через фирму "Маг" и НТЦ ФАПСИ).

Без особых примет (А.Ромов)

Электронные платежи заинтересовали многих, и рынок был вправе ожидать появления новых фирм. Однако этого не произошло, поскольку те, кто хотел заниматься только бизнесом, нашли другие точки приложения собственных сил. Кроме того, конкурировать с фирмами, пережившими кризис 1992 г., новичкам было трудно. До октября 1993 г. продолжалось некоторое затишье: уже существующие компании продолжали укрупняться, специалисты переливались из одной команды в другую, подготавливалась база для новых разработок. Все спорили, объединялись, конкурировали, в общем, -- вели нормальную жизнь.

"Яблоком раздора" стали "опытные" зоны ЦБ по внедрению систем электронных платежей: всем хотелось дать на пробу свои разработки. Не заставило себя ждать и ФАПСИ, которое попыталось в приказном порядке запретить использование всех систем, кроме "Маг" и "Калейдоскоп". К счастью, нарастание активности ФАПСИ было неторопливым и к октябрю 1993 г. несколько приостановилось. Тем не менее, Федеральному агентству удалось убрать с рынка одну из фирм: жертвой стала компания "Блиц".

В фирме "Блиц" работали неплохие программисты, но отсутствие профессионализма в области защиты информации сказалось: программа электронной подписи допускала возможность подделки (хотя только в одном исключительном случае). Демонстрация этого на одной из выставок и дальнейшие публикации в газете вывели "Блиц" из борьбы, а роспуск Верховного Совета РФ, комитет по информатизации которого поддерживал компанию, вообще привел к закрытию фирмы. Тем временем, под шумок, "Элиас", "ЛАН-Крипто" и альянс "Maг" -- "Анкад" -- "Инфокрипт" поделили сферы влияния в опытных зонах ЦБ. А когда делить (кроме возможности в светлом будущем автоматизировать ЦБ) уже было нечего, появилось новое модное слово "клиринг".

Загадка ДКМ (Р. Шпагин)

Одной из первых компаний, осуществивших электронные клиринговые операции, стала московская организация с загадочным названием ДКМ Интербанксервис" (автор до сих пор не догадывается, что скрывается за аббревиатурой ДКМ). Воспользовавшись нехитрой, но весьма привлекательной идеей, что все платежи должны осуществляться в электронном виде и к моменту проверки налоговой инспекцией подтверждаться твердыми бумажными копиями платежных документов, на основании которых этот платеж проводился, "Интербанксервис" убил сразу двух зайцев. Во-первых, практически полностью снимался вопрос о соответствии идеи электронного платежа букве закона, во-вторых, скорость оборачиваемости денег у банков -- клиентов "Интербанксервиса" существенно возросла. В результате стало весьма популярно сотрудничать с ДКМ.

Первый положительный момент был связан с тем, что банковские служащие стали привыкать к работе с такими инструментами, как "электронная платежка", "электронная подпись", "персональный ключ", "электронная квитанция". Вторым немаловажным следствием деятельности "Интербанксервиса" стала мысль: "Почему бы клиентам банка не начать работать с ним по схеме, аналогичной взаимодействию финансового учреждения с ДКМ? Тем более что средства для проведения электронных платежей уже есть".

Сразу же после осуществления первых клиринговых операций разгорелась борьба за поставку в ДКМ средств, обеспечивающих подлинность "электронных документов". ФАПСИ (в лице фирмы "Маг") первоначально лидировало, так как стало "обрабатывать" ДКМ раньше всех. Агентству помешали два события.

Первое -- смена руководства ФАПСИ и корыстные интересы г-на Старовойтова привели к закрытию (временному) фирм "Инфокрипт" и "Маг", а также и уходу из-под опеки ФАПСИ компаний "Инфотекс" и "Анкад" (последние, правда, перестали заниматься электронными платежами). Было объявлено, что главные силы криптографов сосредоточены в Пензе и немедленно открыто МО ПНИЭИ (Московское отделение Пензенского научно-исследовательского электротехнического института), названное "головным разработчиком всех программных продуктов ФАПСИ". Обиженные разработчики из "Мага" и некоторых других фирм "сожгли все мосты" и отказались кому-либо передавать наработки. ФАПСИ вернулось на позиции конца 1991 г.

Второе событие было связано с выпуском на рынок новой серии системы "Криптобанк" фирмы "ЛАН-Крипто", представляющей, по сути, библиотеку разработчика под 6 различных операционных систем. Были использованы улучшенные запатентованные криптографические алгоритмы.

МФД, ЦРП, НБК, ПСБ, РКЦ, СТБ и др.

Следующими крупными китами клиринга на Российском рынке стали Межбанковский Финансовый Дом и Центральная Расчетная Палата "Менатеп", их поделили соответственно "ЛАН-Крипто" и ФАПСИ. Юристами МФД и представителями фирмы "ЛАН-Крипто" был разработан пакет юридических документов, позволяющий сделать взаимоотношения сторон (участников систем электронных платежей) полностью соответствующими законам, а сам процесс действительно безбумажным.

Очередной всплеск активности в 1994 г., связанный с началом массового внедрения удаленных клиентских мест, был спровоцирован соседями -- Национальным Банком Казахстана. Подписав еще в 1993 г. тройственное соглашение о партнерстве, НКБ, "МНТКЦ Парасат" (г. Алма-Аты) и "ЛАН-Крипто" (г. Москва) в 1994 г. уже приступили к массовым поставкам совместной продукции коммерческим банкам Казахстана. Отработав технологию взаимодействия с клиентами, отечественная фирма приступила к пропаганде систем клиент-банк уже непосредственно на территории России. Тогда же крупнейшим потребителем систем электронных платежей стал Промстройбанк (ПСБ), располагавший сетью с более чем 500 филиалов, каждый из которых, в свою очередь, имел сеть собственных клиентов. Построенная система и сегодня остается одной из крупнейших в России сетью межфилиальных расчетов и расчетов клиент-банк.

В том же 1994 г. стали активизироваться региональные РКЦ, которым требовались системы электронных платежей, и сам ЦБ выбирал и экспериментировал, то РКЦ de facto внедряли системы автоматизации.

Значительным прорывом в области электронных платежей стало внедрение в России различных систем пластиковых карточек, пионером в этой области был STB-Card. Появление систем с использованием карточек (магнитных, с памятью и микропроцессорных) существенно расширило как круг клиентов систем электронных платежей, так и возможности для внедрения отечественных разработок в этой области.

Так, например, фирма "ЛАН-Крипто" передала технологию сверхбыстрой аутентификации для нескольких групп разработчиков, специализирующихся на разработке программного обеспечения для банкоматов, разработала собственную технологию электронного кошелька. Компания "Анкад" выпустила на рынок новое изделие -- "Криптон-ИК" -- доработанную плату "Криптон", оснащенную считывателем для интеллектуальных карточек. Петербургская фирма "Конфидент", использующая в качестве криптоядра систему "Верба-0", начала эксперименты с интеллектуальными карточками, бесконтактными считывателями и устройствами touch memory.

Я, между прочим, урист (С. Соловьев)

К началу 1995 г. на рынке систем электронных платежей сложилась интереснейшая ситуация. Девяносто процентов банков использовали систему "Криптобанк" -- фирмы "ЛАН-Крипто" или систему "Верба" (новую разработку МО ПНИЭИ, реально же сделанную воскресшим "Инфокриптом", сдавшегося на милость победителя). Прочие фирмы (ввиду ли утраты интереса или по другим причинам) практически свернули свою деятельность и контролируют в совокупности не более 10% рынка. В эти же 10% входят собственные разработки банков и разработки на основе FreeWare-техно-логий (например, на базе системы PGP).

Подобная ситуация не устраивала ФАПСИ, был предпринят ряд попыток убрать с рынка оставшихся конкурентов. (Конкуренты были и не только в области систем электронных платежей, но и в сфере защиты информации.) Первоначально был предпринят ряд попыток прямого давления на независимых производителей. Фирмы, уверенно стоящие на ногах, свалить не удалось. Агентство пыталось обвинить их в производстве низкокачественной продукции, что опять-таки не удалось (это Вам не "Блиц"). В ответ на одно из подобных обвинений ФАПСИ нарвалось на скандал со "взламыванием" сертифицированной платы семейства "Криптон". Взломали ее на межведомственной конференции по безопасности в присутствии большого количества экспертов, взлом осуществлялся на компьютере, принадлежащем ФАПСИ. Кляузные письма в налоговую полицию и прокуратуру также к успеху не привели, а лишь дали ряду фирм повод подать на ФАПСИ в суд.

Боевые действия на рынке электронных платежей можно было прекратить лишь законодательными актами. Начиная с января 1995 г. по инициативе ФАПСИ было рождено немало постановлений, указов и иных подзаконных актов. К счастью, низкий уровень квалификации юридической службы ФАПСИ привел к обратной реакции. При тщательном изучении этих документов можно прийти к выводу, что независимые фирмы могут свободно работать на рынке негосударственных коммерческих организаций, а поскольку таковых большинство, независимые производители практически не пострадали.

А чем плохо правовое государство? (М. Горбачев)

Автор уже неоднократно давал комментарии по существующему ныне положению с законодательством, регулирующим вопросы электронных платежей. Вывод один: сегодня можно осуществлять на полностью законном основании электронные платежи между любыми юридическими и физическими лицами, в том числе и платежи с переводом денег из одной страны в другую.

Попытки ФАПСИ ограничить деятельность независимых фирм заключаются в запрете на использование (для подтверждения подлинности и защиты содержания сообщения) любых систем, разработанных не в ФАПСИ. Отсюда и происходит мышиная возня, связанная с лицензированием и сертификацией. Даже те зачатки правового государства (главенствующая роль законов над подзаконными актами, превалирование конституции как основного закона, признание международного законодательства), которые имеются в России, сегодня позволяют говорить о несостоятельности попыток затормозить прогресс в этой области.

Правда, уже есть информация о том, что якобы в недрах ФАПСИ готовится очередной документ, "регламентирующий использование электронных документов и средств их защиты". С огромной вероятностью это будет очередной "уридический документ", который произведет очередное шквальное воздухотрясение.

Конец 1547-й серии (Б. Добсон, Д. Добсон)

Как учит нас "Санта-Барбара", в захватывающих историях не бывает последней серии. Системы электронных платежей в России за шесть лет развития претерпели бурное изменение и из полулегальных пасынков банковского дела выросли во вполне здорового и не по годам развитого ребенка. Ребенка удалось вылечить от болезней роста и не дать врачам-вредителям довести его до безвременной кончины.

Но все же следует помнить, что это всего лишь ребенок, к тому же весьма избалованный. Есть основания считать, что если в семилетнем возрасте он пойдет учиться, то любимым его предметом станет "Введение в Интернет-платежи", а любимой игрой -- карточки (интеллектуальные) на деньги (электронные). Занавес? Нет, -- конец очередной серии. Продолжение следует...


Часть II
("Мир карточек", # 7 <июль> 1998г.)

""Хуже плохого романа, только его продолжение""
А. Дюма

В январском номере за 1998 г. была опубликована статья "Электронные платежи от ГКЧП и до наших дней". Статья по духу и по букве являла собой лишь некий исторический экскурс, написанный в достаточно легком стиле и освещающий основные этапы развития Российских электронных платежных систем. Автор подчеркивал, что трактовка отдельных событий носит субъективный характер, тем не менее, конкретные факты не высосаны из пальца и не являются плодом фантазии автора.

Тем больше было удивление, когда, в общем-то, безобидная статья вызвала достаточно бурную реакцию как со стороны частных лиц, так и организаций.

Автор чувствует себя обязанным дать комментарии на некоторые замечания, прозвучавшие в его адрес.

Аплодисментов не надо... (Г. Гудини)

Прежде всего, выражаю горячую признательность тем, кто действительно обратил внимание на январскую статью, дружеская поддержка, которая была оказана автору в борьбе за отстаивание права на независимую трактовку общеизвестных событий, оказалась весьма кстати. Также хочется верить, что мнение, которое было высказано о форме подачи материала, искренне.

И самое главное, огромное спасибо всем тем, кто помог в подборе материалов для публикации продолжения -- такая помощь лучше всяких похвал показала заинтересованность большого количества людей в детальном освещении сегодняшней ситуации на рынке электронных технологий.

И это более чем факт, это было на самом деле... (И. Мюнхгаузен)

Первым пришел в редакцию отзыв от фирмы "Инфокрипт", подписанный ее генеральным директором А. А. Колокольниковым.

Прежде чем привести содержание этого отзыва и собственные комментарии, хочу отметить, что лично к Александру Александровичу отношусь с большим уважением и, кроме прочего, считаю его хорошим специалистом. Что же касается письма, направленного в редакцию, то оно содержало настойчивое желание опровергнуть некоторые факты, указанные в публикации, а именно:

  • фирма "Инфокрипт" создана на деньги ФАПСИ и им контролируется;
  • фирма "Инфокрипт" не умирала и не воскресала;
  • фирма "Инфокрипт" делила сферы влияния в альянсе с фирмой "Анкад" и "Маг";
  • фирма "Инфокрипт" участвовала в создании системы "Верба".

Разберемся с указанными фактами по очереди. Мне весьма понятно желание г-на Колокольникова "отряхнуть прах ФАПСИ с наших ног...", но тем не менее. Фирма "Инфокрипт" создана в 1991 г. и первым ее адресом был следующий: "Москва, ул. Ельнинская, дом 1 " (для несведущих сообщаю: это адрес одного из объектов бывшего КГБ, ныне объект ФАПСИ). В это же время фирму возглавлял некий г-н В. С, являющийся одновременно кадровым сотрудником 8 главного управления КГБ СССР (впоследствии сотрудник МО ПНИЭИ). Действительно, в 1993 г. фирма была перерегистрирована, но, тем не менее, факт остается фактом -- "Инфокрипт" создан на деньги КГБ, а впоследствии ФАПСИ. И если было желание отделиться от этой организации, то следовало подумать не о перерегистрации, а о создании новой фирмы с названием не столь одиозным. Сегодня фирма не имеет к ФАПСИ никакого отношения, однако, по 1993 г. включительно полностью им контролировалась. Поскольку январская статья носит хронологический характер, уместно вспомнить, что об "Инфокрипте" тех лет говорится в прошедшем времени.

Теперь понятно, что разговор о "смерти" "Инфокрипта" и его втором рождении полностью уместен, и замечание о том, что этого не было, лишено смысла. Или не лишено, но лишь в том случае, если перерегистрация носила характер камуфляжа (что, впрочем, вряд ли: слишком уж тонкая игра для ФАПСИ).

Г-н Колокольников может не знать, чем занималась фирма "Инфокрипт" до 1993 г., а вот автор знает, и этот факт легко проверяется: фирма "Инфокрипт" распространяла криптоплату "Криптон" -- изделие фирмы "Анкад", -- и программный продукт "Маг", права на который (как указано в сопроводительной документации) принадлежат фирме "Маг". При этом на рынке средств защиты информации в то время действовало несколько, условно говоря, альянсов, которые в содружестве продвигали комплексные решения по защите информации. Так что автор не видит ничего страшного в том, что "Инфокрипт" сотрудничал с "Анкадом" и "Магом", другое дело, что возможно, как говорят злые языки, эти фирмы стояли у одной кормушки, но здесь уж следовало подумать о том, с кем идти "в разведку".

Сегодня продукта "Маг" нет, да и "Криптон" официально фирма "Инфокрипт" не распространяет, более того, данная фирма не имеет лицензии ФАПСИ, и уж если на то пошло, если и занимается защитой информацией, то под эгидой Гостехкомиссии.

И последнее -- "Инфокрипт" участвовал в создании системы "Верба", и первые ее версии практически были созданы руками сотрудников фирмы. Пересев из фирмы "Инфокрипт" времен 1991--1993 гг. в МО ПНИЭИ, некоторая часть ее сотрудников применила имеющиеся практические наработки (читай -- готовую систему) в создании "Вербы". Автор может даже назвать конкретные имена разработчиков, а также программные продукты, послужившие прототипом "Вербы", но вряд ли это имеет смысл делать здесь. Однако если кто-то сомневается настолько, что готов публично подвергнуть правоту автора сомнению, он должен знать, что ответ уже заготовлен.

Вообще, очень не хотелось погружаться в подробности жизни и деятельности "Инфокрипта", однако, этические нормы требовали отреагировать на официальное письмо в редакцию. По мере возможности автор старался упомянуть как можно меньше фактов, известных ему, и лишь необходимость подкрепить свои утверждения заставила его обнародовать часть из них.

Я буду вежлив, но корректен... (из милицейского протокола)

Вторая официальная реакция на январскую статью более важна, нежели первая, поскольку, во-первых, эта реакция исходила от ФАПСИ, а во-вторых, ФАПСИ в лице своей пресс-службы снизошло до личного общения с автором.

Не буду лукавить, отчасти негативная реакция ФАПСИ на скромный опус автора объясняется тем, что статья вышла (очень удачно по времени) как раз к открытию форума "ИКР-98", на котором ФАПСИ пыталось создать себе имидж спецслужбы с "человеческим лицом".

Сразу же отмечу, представители пресс-службы весьма профессионально и корректно объяснили, чем, собственно, вызвано недовольство публикацией и кто недоволен. Как обычно, недовольным оказалось руководство и, как обычно, оно недовольно было позиционированием ФАПСИ как организации-монополиста, навязывающей потребителю услуги сомнительного качества.

Основными претензиями были:

  • Статья неверно отражает лидирующее положение ФАПСИ в области защиты информации.
  • Статья тенденциозно толкует политику ФАПСИ.
  • Автор не сотрудничает с ФАПСИ при подготовке материалов.
  • Материалы в статье неправдой не назовешь, но это лишь часть правды.

Остальные претензии можно назвать производными от упомянутых выше. Позволю себе ответить на замечания в порядке более удобном для меня.

Итак, о том, что автор пишет не всю правду о ФАПСИ. Господа, Вы обратились не по адресу, всю правду о ФАПСИ пишет "Московский комсомолец", настоящее же издание посвящено проблемам банковских технологий, и ФАПСИ упоминается в нем постольку, поскольку пытается работать на этом рынке.

По поводу сотрудничества с ФАПСИ в области подготовки материалов претензии надо предъявлять самим себе. Еще в феврале месяце в разговоре с представителем пресс-службы ФАПСИ автор услышал предложение пообщаться в неформальной обстановке и устроить нечто вроде круглого стола с участием заинтересованных лиц. В апреле автор в своей статье недвусмысленно дал понять, что представители пресс-службы ФАПСИ приглашаются к обсуждению проблем новых финансовых технологий. Однако кроме невнятного предложения представить интересы ФАПСИ в прессе автор ничего не услышал.

Полной неудачей закончились попытки взять интервью у функционеров агентства. Сотрудники среднего звена ссылались на то, что они не уполномочены давать комментарии прессе, а зам. генерального директора, г-н Матюхин отказался прокомментировать результаты конференции "ИКР-98" для журнала "Мир карточек". Наиболее содержательным выглядит заявление начальника отдела лицензирования г-на Беззубцева: "...а что тут комментировать, в законе все сказано...". Как говорится, действительно, комментарии излишни.

Заканчивая анализ общения ФАПСИ с прессой, хочу сказать: сейчас, господа, на дворе 1998 г. и бегать за Вами, чтобы написать о Вас что-то Вам приятное, никто не будет. Коль скоро у Вас есть желание сотрудничать -- сотрудничайте, а коли нет, то и нечего на зеркало пенять...

Что касается тенденциозной трактовки политики ФАПСИ. Вообще говоря, "тенденциозная" -- это от слова тенденция. Автор в меру возможностей пытается вскрыть, что стоит за серией законодательных и подзаконных актов, с помощью которых ФАПСИ пытается "регулировать" распространение новых технологий в России. И получается из этого анализа только одна тенденция.

Лоббируя принятие протекционистских и запретительных актов, ФАПСИ пытается закрепить за собой монопольное право поставки продуктов, не отвечающих современному уровню развития технологий, на рынок телекоммуникационных, информационных и финансовых систем.

Как прикрытие для претворения этой политики в жизнь идет активная спекуляция на вопросах, напрямую связанных с национальной безопасностью России.

Вот и вся тенденциозность. Автора можно обвинить, что он делает неверные выводы из верных предпосылок, но автор предупреждал, что выводы из фактов носят субъективный характер. К тому же, серьезным аргументом в пользу автора является то, что к подобным выводам пришел не он один. К чему приводит такая ситуация и почему она сложилась, я попытаюсь объяснить ниже.

ФА?СИ (опечатка)

ФАПСИ -- Федеральное агентство правительственной связи и информации. Прочли? Именно правительственной, а не межбанковской, не коммерческой и даже вообще к бизнесу отношения не имеющей.

Если вдруг ниже Вам покажется, что Вы удивлены политикой ФАПСИ, не ищите понимания у автора (он сам удивлен и временами забывает, а какой связи агентство-то), а посмотрите на расшифровку в начале этого раздела.

Автор всегда был высокого мнения о научном потенциале агентства, среднего -- о техническом, и вообще никакого мнения не имел о политике, проводимой руководством. (Политика временщиков -- "после нас хоть потоп".)

Чем объясняется неудовлетворительное положение ФАПСИ сегодня?

Агентство возложило на себя несвойственные ему обязанности защиты коммерческих информационных систем. Цели преследовались однозначные -- через систему дружественных фирм (в том числе принадлежащих родственникам руководства) улучшить личное благосостояние. И как результат -- низкое качество потребительских свойств коммерческих продуктов ФАПСИ (обусловленное неподготовленностью к их созданию) привело к необходимости проведения протекционистской политики в их отношении. Отвлечение большей части сотрудников на работу над коммерческими продуктами без дополнительного материального стимулирования привело к недовольству среди сотрудников и падению уровня научных и технических разработок государственного назначения.

Стандартизация средств защиты сыграла с ФАПСИ дурную шутку. С одной стороны, даже имеющие лицензию ФАПСИ фирмы вынуждены тиражировать один и тот же набор программных и аппаратных средств, который не успевает за стремительным развитием современных технологий. С другой -- замена действующих средств требует проведения разработок новых, при этом использование "грифованных" разработок чревато неприятностями, а создание принципиально новых требует времени и специалистов, которых у ФАПСИ все меньше и меньше. Кроме того, необходимы деньги, которые бюджет дать не может, а частный сектор не хочет.

Самой острой проблемой является принципиальное непонимание руководством агентства схемы зависимости современных технологий от бизнеса. Современная схема задается подчинительным отношением бизнес-технология, что говорит о том, что технология должна отвечать современным требованиям, предъявляемым бизнесом. Таким как, мобильность, совместимость, оперативность, надежность и т. д. ФАПСИ же еще с давних времен шло совершенно по другой схеме -- техника-технология-применение (т. е. техника, какую смогли изготовить, технология, какую можно положить на данную технику, а применение -- путем длительного обучения персонала.) Таким образом, и сегодня агентство пытается загнать пользователя в ту технологическую схему, которую агентство считает пригодной. В то время как независимые производители инкорпорируют свои разработки в технологическую схему клиента.

Тем самым перед ФАПСИ сложились три принципиальные проблемы:

  • выполнение несвойственных функций в ущерб государственной безопасности;
  • необходимость проведения коммерческих разработок в условиях отсутствия их финансирования;
  • смена подхода к внедрению собственных разработок с адаптацией их под технологию клиента.

Рассмотрим две возможности:

  1. ФАПСИ решает данные проблемы (что очень сомнительно). В этом случае ФАПСИ перестает быть агентством правительственной связи, в силу того, что оно переориентировано на коммерческий сектор: правительственная связь разваливается и создается новое ФАПСИ, которому уже баловаться коммерцией не дадут. То, что агентство уже "прокалывается", видно хотя бы потому, что записи разговоров высших государственных деятелей регулярно появляются в прессе.
  2. ФАПСИ не решает этих проблем (или решает частично), при этом в лучшем случае ФАПСИ оставляет коммерческий рынок и начинает заниматься своим делом, в худшем -- остается тормозом на пути развития новых технологий в России.

Заметим, что при любом сценарии событий, будущего у ФАПСИ, как у государственной структуры, на коммерческом рынке нет. Очевидно, и то, что речи о лидирующем положении ФАПСИ на рынке информационных технологий также быть не может. К примеру, в 1997 г. объем продаж системы "Верба" по данным разных источников составил 3-4 тыс. комплектов. В то время как система "Криптобанк" (основной конкурирующий с системой "Верба" продукт) был продан в 6-7 тыс. экземплярах. Учитывая, что система "Криптобанк" поставляется с начала 90 гг. нетрудно прикинуть, что общий объем ее продаж в 10- 20 раз больше, чем у "Вербы".

Давайте жить дружно... (Кот Леопольд)

Дабы ни у кого не возникло сомнений, я не ставлю своей задачей кого-то ругать, а кого-то хвалить. Как независимый эксперт, я пытаюсь оценить сегодняшнее состояние дел на рынке, а также осмыслить как пройденный путь, так и некоторые перспективы. Я выражаю свое личное мнение, которое подлежит обсуждению. В связи с этим упрекать меня в некорректности подачи материала было бы несправедливо, так как я стараюсь придерживаться нейтральной позиции. Однако, если все же появляются сомнения в фактах, мной изложенных, я приглашаю обсудить их. Надеюсь, что эта статья закроет дискуссию по вопросам, которые возникли после январской публикации. Тем не менее, если они остались, я готов обсудить их.


О компетенции ФАПСИ и компетентности некоторых "независимых" экспертов
("Мир карточек", # 9 <сентябрь> 1998г.)

Сергей Родионов, консультант Главного управления ФАПСИ

Иногда создается впечатление, что в обрушивающемся на нас ежедневно потоке информации можно утонуть. Особенно когда приходится выбирать крупицы правды из обилия аналитических изысков всевозможных "независимых экспертов".

Ярким примером подобного рода "аналитической" продукции являются опубликованные в журнале "Мир карточек" " 1 и " 7 за этот год статьи г-на Волчкова "Электронные платежи от ГКЧП до наших дней".

Надо признать, что "независимый эксперт" неоднократно предупреждает неискушенного читателя о субъективизме содержащихся в статьях трактовок и даже готов предположить, что сделал "неверные выводы из верных предпосылок". Тем самым г-н Волчков как бы извиняется перед нами за свою недостаточную компетентность в затронутой им сфере. Но если компетентности не хватает, а статьи все же написаны и опубликованы, очевидно, существует какая-то причина, заставившая "независимого эксперта" взяться за перо. Попробуем разобраться.

Итак, к каким же выводам приходит в своих статьях г-н Волчков, делая по его словам "исторический экскурс" в области распространения средств криптографической защиты (СКЗИ) коммерческой и банковской информации. Кратко их можно сформулировать следующим образом:

Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), используя свои возможности в части лоббирования соответствующих законопроектов и иных нормативных актов, пытается стать монополистом на рынке СКЗИ. Этот вывод сопровождается рассуждениями автора на тему компетенции и возможностей ФАПСИ в целом и, в частности, в решении вопросов защиты коммерческой и банковской информации. По мнению г-на Волчкова, ФАПСИ "в ущерб государственной безопасности возложило на себя несвойственные ему обязанности защиты коммерческих информационных систем", что привело к "падению уровня научных и технических разработок государственного назначения".

Уважаемый "независимый эксперт"! Прежде чем рассуждать на тему национальной безопасности, надо, прежде всего, четко представлять, что это такое. Если бы г-н Волчков потрудился изучить "Концепцию национальной безопасности Российской Федерации", утвержденную Указом Президента Российской Федерации от 17 декабря 1997 г. " 1300, он бы (очевидно с удивлением) прочитал, что экономическая и информационная сферы являются неотъемлемыми слагаемыми национальной безопасности страны, а на ФАПСИ возложена ведущая роль по координации деятельности организаций, решающих вопросы информационной безопасности. Если бы г-н Волчков следил за публикациями специалистов в области информационной безопасности, он бы знал, что она тесно связана с другими сферами национальной безопасности, в том числе и экономической, и что индустриально развитые государства, учитывая изменения приоритетов внутренней и внешней политики, ориентируют свои спецслужбы на защиту своей коммерческой информации и разведку экономических секретов других государств. Например, недавно Стюарт Бейкер, бывший генеральный советник АНБ США, признал, что "в плане обеспечения информационной безопасности задачи АНБ становятся все более близкими к задачам частного бизнеса".

Поскольку экономическая безопасность играет ключевую роль в обеспечении национальной безопасности России, ФАПСИ, являясь государственной спецслужбой, обязано заниматься вопросами защиты коммерческой и банковской информации. При этом ФАПСИ действует исключительно в рамках существующего правового поля. Для сведения г-на Волчкова и всех заинтересованных лиц -- нормативная правовая основа деятельности ФАПСИ в сфере сертификации и лицензирования подробно описана в статье ответственного работника Агентства В. Горбачева, опубликованной в журнале "Банки и технологии" " 2 за 1996г. Если же г-н Волчков не удовлетворен действующим законодательством, то он вправе критиковать Федеральное Собрание, Президента РФ, Правительство страны и общество в целом.

Теперь от проблем государственной политики перейдем к субъективным суждениям "независимого эксперта" и реальному положению дел в области внедрения и защиты современных информационных технологий. Г-н Волчков обвиняет руководство ФАПСИ в принципиальном непонимании "схемы зависимости современных технологий от бизнеса", на чем основывается его умозаключение о том, что Агентство препятствует распространению современных информационных технологий. Этот тезис наглядно иллюстрирует правильность сделанного г-ном Волчковым предположения о "неверных выводах из верных предпосылок". Для г-на Волчкова, кстати, бывшего сотрудника ФАПСИ, особенно странно не знать, что создание качественного средства криптографической защиты -- задача архитрудная даже для государственной организации. Кроме того, широко известно (в том числе и г-ну Волчкову), что есть информационные технологии, для которых адаптировать надежные средства защиты достаточно дорого и чрезвычайно трудно. Например, к таким технологиям относятся операционные системы Windows 95, Windows 98. В связи с этим ФАПСИ рекомендует внедрение таких информационных технологий, где проблемы надежной защиты могут быть эффективно решены сравнительно небольшими ресурсами.

Являясь государственной структурой, ФАПСИ не ведет коммерческих разработок, а ограничивается сертификацией соответствующих СКЗИ. Причем выдаваемый сертификат является надежной государственной гарантией качества. А гарантом качества выдаваемого ФАПСИ сертификата является то обстоятельство, что по приоритетным направлениям современные разработки специалистов ФАПСИ не только не уступают мировым образцам, но и по ряду характеристик их превосходят. Достаточно упомянуть не имеющее аналогов речепреобразующее устройство, рассчитанное на информационный поток 1200 бит/с, аппаратуру защиты информации, передаваемой в стандарте GSM, а также аппаратуру, способную закрывать информационные потоки емкостью свыше 100 Мбит/с.

Политика ФАПСИ в области сертификации СКЗИ и лицензирования соответствующих видов деятельности основана на понимании сложности проблем качественной криптографии и ответственности за соблюдение национальных интересов России. ФАПСИ не против рынка СКЗИ, но рынок этот должен быть цивилизованным, а потребитель должен быть надежно защищен от всевозможной халтуры. Что касается использования в коммерческом секторе и в банковской сфере несертифицированных СКЗИ, то этому, к сожалению, в немалой степени способствуют публикации, подобные статьям г-на Волчкова.

Самое время разобраться, от чего же независим "независимый эксперт" г-н Волчков. От интересов национальной безопасности страны -- это уж точно. Но вернемся к началу и попытаемся все же понять причины появления его публикаций. Не надо пристально вчитываться в первую статью "независимого эксперта", чтобы увидеть, что, по мнению автора, наиболее пред почтительно иметь дело с фирмой "ЛАН-Крипто". А если вспомнить что перед увольнением из кадров ФАПСИ г-н Волчков был уличен в противозаконной деятельности в интересах именно указанной фирмы, можно сделать однозначный вывод, от кого зависим этот "независимый эксперт".

И последнее. В конце своей второй статьи г-н Волчков надеется, что она закроет дискуссию по вопросам, возникшим после первой публикации. Полностью поддерживаем эту здравую мысль. Ибо дискутировать можно и нужно с людьми, заинтересованными в процветании нашей страны, а не с теми, у которых личные интересы являются базой компетентности и независимости.


Когда извинение хуже проступка
<сентябрь 1998г., написано специально для журнала "Мир карточек" в ответ на текст Родионова (ФАПСИ), однако редакция издания решила не публиковать данный материал из-за резкости оного>

Алексей Волчков

В сентябрьском номере "Мира карточек" был опубликован официальный ответ ФАПСИ на мою статью "Электронные платежи от ГКЧП и до наших дней". Само по себе это событие буквально вселенского масштаба, так как автору не известно, чтобы до этих пор столь оперативно был подготовлен хотя бы еще один ответ на критические высказывания в адрес агентства.

Увы, ожидания на плодотворную дискуссию не оправдались. Кроме ничем не подтвержденных оскорбительных высказываний в сторону автора, г-н Родионов, рискнувший поставить свою подпись под ответом ФАПСИ, в своем труде так блестяще "оправдывал" агентство, что теперь ни у кого не возникнет сомнений в "мощных возможностях квалифицированных специалистов".

Итак, что же за откровения преподносит нам консультант Главного управления ФАПСИ?

Автор в своей статье "Электронные платежи от ГКЧП и до наших дней", желая смягчить эффект от критических высказываний, делает допущение о том, что выводы из верных посылов, могут быть некорректными. Г-н Родионов живо хватается за этот тезис и обвиняет автора в некомпетентности. Дело в том, уважаемый консультант, что Вам предлагалось опровергнуть мои выводы, сделанные из общеизвестных фактов. Однако, поскольку Вы этого не сделали, считаю, что главный тезис о сути проводимой ФАПСИ политики и остается верным.

Остался открытым основной вопрос -- что делает Федеральное Агентство Правительственной Связи на коммерческом рынке. Вместо ответа на вопрос мы получили опять-таки туманные ссылки на национальную безопасность, "Концепцию национальной безопасности РФ" и роль ФАПСИ в обеспечении экономической безопасности. (Кстати, как государевы структуры обеспечивают экономическую безопасность банков ярко показали события последних дней августа.) Ссылки на правовое поле также неубедительны. Хорошо известно, что все законодательные акты и подзаконные инструкции, регулирующие деятельность ФАПСИ, им же и писаны. Хорошо, что г-н Родионов процитировал АНБ, это дает мне, без опасения быть обвиненным в заискивании перед Западом, возможность сравнить деятельность ФАПСИ и АНБ. Видели ли Вы стенд АНБ на какой-либо выставке? Занимается ли АНБ лицензированием на право физическими лицами использовать средства защиты информации? Запрещает ли АНБ разработку и использование коммерческих средств защиты? Ведет ли АНБ то, что ФАПСИ стыдливо называет хоздоговорной деятельностью в рамках закона? И, получает ли высшее руководство АНБ доходы от деятельности в Академии Криптографии США (и похоже, такой в отличии от Российской и не существует вовсе)?

Далее. Автор не критиковал квалификацию специалистов ФАПСИ -- за него это сделал, и сделал блестяще, г-н Родионов. Оцените пассаж: "...есть информационные технологии, для которых адаптировать надежные средства защиты достаточно дорого и чрезвычайно трудно. Например, к таким технологиям относятся операционные системы Windows 95, Windows 98". И это говорит консультант Главка! Что же тогда говорить о простых смертных?! Судя по этим словам, бытовые системы для домашних компьютеров для ФАПСИ являются сложными, видимо, Windows NT, для разума господина Родионова вообще непостижима, а о промышленных системах типа 08/400 или IBM/390 и прочих он вообще не слышал. Тем не менее весь мир использует средства защиты для серьезных систем, а вот ФАПСИ руками разводит. Я еще раз подтвержу общеизвестный тезис -- бизнес диктует технологии, а не наоборот, и производителю, обеспечивающему надежную защиту для DOS 2.0 и проволочного телеграфа не место рынке. А искусственное сдерживание внедрения технологий из-за отсутствия решений по их защите у ФАПСИ, наносит непоправимый вред экономике, которую г-н Родионов рвется защищать.

Как бы оправдываясь г-н Родионов упоминает "передовые" разработки агентства. Итак, оценим их.

  • Речепреобразующее устройство на 1200 бит/сек -- с 1995 года фирмой "Сигнал-Ком" (с которой кстати ФАПСИ безуспешно судилось) поставляется на рынок в составе цифрового шифрующего телефона независимой.
  • Аппаратура защиты информации, передаваемой в стандарте GSM -- модернизированная микросхема шифрования для сотового телефона компании Motorola, отличается только алгоритмом шифрования
  • Аппаратура способная закрывать информационные потоки емкостью свыше 100 Мбит/Сек (12,5 Mb/Sec). Фирма "ЛАН-Крипто" в начале 1997 года представила алгоритм шифрования, обеспечивающий скорость шифрования 70 Mb/Sec для процессора Pentium 200.

После такого сравнения сразу видна новизна и актуальность разработок, упомянутых г-ном Родионовым. Более того, начальник отдела лицензирования ФАПСИ г-н Беззубцев, недавно признался, что ФАПСИ отстает в области современных технологий. Так что Вы уж господа разберитесь у себя внутри сначала, а затем заявляйте о себе, как о лидерах в коммерческих средствах защиты информации (заметьте о государственных средствах ни слова).

И последнее по содержанию статьи. То что сертификат ФАПСИ ничего не гарантирует и не дает уже всем известно. Однако, есть более серьезная проблема -- СОРМ (специальные организационно-розыскные мероприятия). Согласно документам по СОРМ, и в частности техническим требованиям к СОРМ, в разработке которых принимало участие ФАПСИ, спецслужбы должны иметь возможность фиксировать содержание передаваемой информации "независимо от того, какие способы защиты информации используются". Следовательно надежное шифрование применяться не должно. Тем не менее средства сертифицированные и разрешенные ФАПСИ использоваться могут. Наводит на размышления?! Ни в этом ли кроется нежелание сертифицировать средства защиты информации, отличные от "Вербы" и иже с ней.

Заканчивая, хочу отметить, что обидно читать, столь откровенно слабый материал от ведомства, старающегося занимать солидную позицию. Чувствуется некая истеричность в оправданиях и нападках. В этом случае г-ну Родионову, стоит порекомендовать, коли он уж употребляет приставку "архи", к которой, как известно питал слабость вождь мирового пролетариата, использовать также и его методы полемики, называя оппонентов "бандой негодяев" и "политическими проститутками". Заканчивать же официальные ответы, написанные в подобном стиле стоит криком с третьей полосы, почившей в бозе газеты "Правда": "С чьего голоса поет этот продажный писака?!".

liberty@ice.ru Московский Либертариум, 1994-2019