Сегодняшняя тема как нельзя кстати подходит
под общую канву заметок в данном блоге, ибо вот уж точно касается каждого. Ночь,
улица, фонарь, деревня… онлайн касса?! Да, я с улыбкой относился к идее создания
централизованной системы «под эгидой» ФНС, которая в режиме реального времени (или
близком к тому) должна будет агрегировать информацию о розничных продажах и по QR-коду предоставлять
физическим лицам факт и информацию о совершенной покупке. Да, я считаю рынок ОФД
(операторы фискальных данных – как раз те организации, которые должны обрабатывать
фискальные данные и отправлять в ФНС) централизованной монополией, т.к. 15
организаций в списке по стране по состоянию на декабрь 2017 на 1.8 млн.
торговых точке – что же это еще? И то, по разным данным, год назад ФНС упорно «не
хотела» регистрировать больше 5 организаций. Делалось это разными способами, в
том числе через искусственный дефицит так называемых серверных частей модулей
криптографической защиты (МКЗ). Автор блога сам не понаслышке знает о регистрации
и проблемах создания собственного ОФД, т.к. принимал непосредственное участие в
этом процессе на одной из стадий в некой крупной компании, которая пыталась
ранее получить аккредитацию ФНС. А теперь попробуем прикинуть масштаб возможных
проблем и пофантазировать, система целиком всей розничной торговли в России
подходит под описании КИИ?
Однако же, с лихим принятием 54-ФЗ стало
совершенно ясно, что это все всерьез. Малым и средним предпринимателям стало
очень быстро не до смеха, равно как и когда вводили ЕГАИС (единая
государственная система учета алкогольной продукции) в рознице и маркировку шубных изделий. В
рамках данной заметки опустим технические сложности исполнения закона, возросшую
финансовую нагрузку и очень длительную невозможность в принципе его исполнять (монополия
на продажу фискальных накопителей (ФН) и темная история с компанией РИК). Поговорим
об одном из свойств любимой триады – доступности.
В свое
время, когда я был вовлечен в процесс возможного создания ОФД, изучал методику проведения
приемочных испытаний ОФД. Так вот, большое внимание там было уделено, как
принято, ГОСТовой криптографии, функционированию самой ККТ, требованиям к
размещению серверов под ОФД. Что же с доступностью? На стороне ОФД – все реально
обеспечить. На стороне предпринимателей - казалось бы, тоже просто, особенно когда
есть большой супермаркет, несколько каналов связи, дополнительное резервирование
через мобильный трафик. Даже для отдаленных пунктов продаж с нестабильной
связью, есть решение: передавать информацию о чеках в ОФД не моментально, а
порциями, когда появится связь. Все нюансы учтены, кроме одного: кассир обязан
выдать кассовый чек при совершении покупки в 100% случаях, и здесь отложенное
право не сработает. Именно опасение нарушить закон и попасть на 10000 руб. штрафа
за каждый не выданный чек и парализовали 20 декабря 2017 работу по всей стране 80 000
онлайн касс (или 5% всех в России) самого популярного производителя – «Штрих-М».
«Эльдорадо», DNS, аптеки «Ригла», АЗС «Газпром нефти», «Лукойла», «Роснефти», магазины
«Магнит», «Пятерочка», «Перекресток», «Карусель» - это далеко не полный список
всех ритейлеров, вынужденных отказывать в покупке продукции клиентам. Не беря во
внимание миллиардные убытки компаний, констатируем факт: люди остались без
возможности срочно заправить машину, купить лекарства или продукты. Суть сбоя ККТ
была в том, что, что при конвертации даты 20.12.2017 операция «печать чека»
становилась циклической, касса уходила в ребут.
Кто-нибудь проверял на НДВ ПО ККТ или
хотя бы делал анализ кода на корректность? В требованиях к функционированию
всей цепочки – ККТ-ОФД-ФНС я этого не увидел, в отличие от кучи других
требований, по типу СКЗИ (отечественной криптографии) и ФН в виде неизменяемого
«черного ящика»: вынул-вставил. Если бы масштаб сбоя по количеству был не 5%, а
50%, признавалось бы происшествие ЧС? Все чаще в последнее время мы с коллегами
рассуждаем на тему того, что в погоне за внедрением продвинутых технологий часто
забывают о стандартных методах обеспечения информационной безопасности. Отсюда
- «позор» с шифровальщиками и другими «стандартными» атаками, с которыми NEXT-GENERATION устройства
не могут справиться, ведь они заточены под сложные APT. На мой субъективный взгляд, что-то
подобное произошло и в случае с кассами. Приняли закон, внедрили оборудование,
а риски совершенно не просчитаны или, если угодно, просчитаны совсем не те.
Страшно даже предположить, какие последствия могут случиться, если ошибки в ПО,
либо специально внедренные закладки на этапах производства, поставки, инсталляции,
станут причинами отказа еще более чувствительных федеральных информационных
систем (процессов), чем ритейл.
Все ли на самом деле учтено в перечне
КИИ и самом ФЗ-187? На мой взгляд, покажет исключительно время и, к сожалению,
грабли, на которые еще наступать и наступать, увы, это неизбежная реальность. А
мы, коллеги, просто обязаны оставаться на светлой стороне.
No comments:
Post a Comment