Пару дней назад на сайте Известий появилась новость о том, что москвичам повезло: они смогут устанавливать на электронные документы цифровую подпись с помощью мобильного телефона. Суть нововведения состоит в том, что теперь ПО, обеспечивающее установку ЭП, вшито непосредственно в сим-карту, и с помощью сервиса сим-карты (наподобие тех, которые операторы сотовой связи добавляют в свои сим-карты, чтобы обеспечивать, например, подписки на услуги или получение информации о балансе) можно будет установить электронную подпись от своего имени - от имени держателя сим-карты.
Что гарантирует такой подход? Известия приводят два позитивных аргумента. Во-первых, ЭП теперь можно установить с помощью обычного сотового телефона (не смартфона), а во-вторых, возможность обещает быть бесплатной для клиента оператора сотовой связи - ЭЦ не добавит стоимости сим-карте (в действительности добавит, но для оператора связи, а не конечного потребителя).
Честно скажу, у меня большие сомнения на счёт работоспособности этой идеи. Рост числа смартфонов в руках граждан по всей России (а не только в западной её части, как это было прежде) говорит о том, что пока операторы сотовой связи обновляют своё программное обеспечение, закупают и распространяют новые крипто-сим-карты, последние могут оказаться устаревшими. И это усугубляется необходимостью сертификации по российским стандартам ФСБ, а это дополнительное время ожидания.
Сейчас носитель подписи может быть записан на любой носитель данных; в новости упоминается MicroSD, соответственно нет препятствий перед тем, чтобы установить этот носитель непосредственно в память смартфона. С точки зрения безопасности эти два варианта практически равноценны.
Действительно безопасными считаются аппаратные ключи, доступ к памяти в которых любым путём, кроме как из ПО самого ключа, запрещён. Эти ключи считаются устойчивыми к взлому, поскольку имеют множество степеней защиты - как программно-криптографических, так и аппаратных. Кроме того, физически такой ключ доступен извне не всегда, а только в определённые (потенциально кратковременные) периоды, когда он подключен к устройству. Сим-карта же включена всегда, даже когда устройство не в сети.
Внимание привлекает заявление о том, что себестоимость новой сим-карты по сравнению с таковой старого образца вырастет на $10, но операторы не будут включать это в стоимость, а вместо этого будет происходить некий lock-in на оператора (усложнится процедура получения сим-карты за счёт присутствия на ней носителя ЭП), - на одного из трёх. Неясно, как к этому отнесутся конечные потребители этого продукта.
Слова «чтобы подписать документ, нужно ввести персональный PIN-код» немного пугают. Принято PIN-кодом называть комбинацию из четырёх цифр. Это не криптостойкая комбинация, и её перебор - вопрос времени. Кроме того, абсолютно непонятно, как будет реализован запрос этого пин-кода на устройствах под разными операционными системами, как часто будет обновляться софт. Кстати, на мой взгляд, очевидно, что потребуется промежуточный софт для доставки подписи, а это предоставляет большие возможности для мошенников (вспомним с фальшивым приложением Сбербанка в Google Play).
Заставляет задуматься и концептуальная проблема предлагаемого подхода. Например, в новости речь идёт о том, что решение зашить ЭП в сим-карту позволит подписывать документы с помощью устройств, к которым нельзя подключить MicroSD- или USB-носитель. Но фактически содержимое такого носителя можно с лёгкостью перенести в память самого устройства. Для чего в таком случае генерировать лишнюю работу для поставщиков и добавлять лишнюю стоимость и сложности для потребителей? Непонятно.
Также до конца неясно, можно ли использовать ЭП, «вшитую» в сим-карту, в личных целях (например, в имущественных сделках), или она предназначена и пригодна только для отношений с государственными органами. Впрочем, последнее - не так уж плохо.
Взаимодействие в электронном виде делает нас мобильнее. Изобретение механизмов электронной подписи позволило сделать мобильнее обмен информацией с подтверждением целостности и авторства. А применение электронной подписи на мобильных устройствах - логичный эволюционный шаг и новая степень свободы в нашем динамичном мире.
Максим Чирков
Руководитель направления развития сервисов
ЭП компании "Аладдин Р.Д."
Современное российское законодательство определяет три вида электронной подписи: простая электронная подпись, усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (квалифицированная электронная подпись).
Если говорить о простой подписи, то с уверенностью можно сказать, что почти каждый из нас сталкивался с этим видом подписи на своем телефоне, смартфоне или планшете. Этот механизм достаточно давно взят на вооружение учреждениями кредитно-финансового сектора и рядом онлайн-сервисов. Действительно, каждый из нас получал так называемые одноразовые пароли или одноразовые сгенерированные гиперссылки для подтверждения тех или иных действий в личном кабинете системы дистанционного банковского обслуживания (ДБО), управления услугами оператора связи и т.д. Важно отметить, что при использовании простой электронной подписи отсутствует возможность проверки подписываемых данных на предмет наличия изменений с момента подписания.
Усиленная неквалифицированная электронная подпись создается с использованием криптографических средств и позволяет определить не только автора документа, но и проверить его на наличие изменений. Для формирования данного вида подписи можно использовать средства с реализованными общеизвестными алгоритмами (RSA, DSA, ГОСТ 31.10-2001 и т.д.). Основное применение - внутренние системы, интегрированные с PKI, такие как электронная почта, корпоративные порталы, системы электронного документооборота, системы управления и т.д. При использовании западных алгоритмов особых сложностей в работе на мобильных платформах с данными привычными системами нет, так как основные распространенные мобильные операционные системы содержат в себе необходимые криптографию и функционал. Более того, хорошим тоном становится выпуск разработчиками корпоративных систем специальных мобильных приложений (мобильных клиентов) с адаптированным интерфейсом, даже если система имеет Web-интерфейс и доступна из обычного мобильного браузера.
Помимо внутренних корпоративных задач неквалифицированная электронная подпись может применяться и в межкорпоративных системах, системах публичных сервисов. Но надо понимать, что для признания данного вида электронной подписи аналогом собственноручной подписи необходима тщательная проработка регламента электронного взаимодействия и применения ЭП, юридических аспектов и закрепление их в соглашении.
Технологические сложности работы с ГОСТовой подписью" и шифрованием:
Несмотря на то что действующая редакция Федерального закона № 63-ФЗ "Об электронной подписи" позволяет при определенных условиях признавать неквалифицированную электронную подпись аналогом собственноручной подписи, все больше и больше систем используют именно квалифицированную электронную подпись, что подразумевает применение сертифицированных ФСБ России средств ЭП с реализованными российскими криптографическими алгоритмами, а сертификат должен быть определенного вида и выдан аккредитованным удостоверяющим центром. Количество таких центров, по данным Минкомсвязи, на 15 августа 2013 г. составляет 296 организаций. Неоспоримым достоинством квалифицированной электронной подписи является признание аналогом собственноручной подписи во всех системах без дополнительных условий. Так как использование данного вида электронной подписи на мобильных платформах вызывает больше всего вопросов, рассмотрим технологии, которые существуют на рынке.
Технологически сложность работы с "ГОСТовой подписью" заключается в том, что мобильные платформы не содержат средства, реализующие требуемые криптографические алгоритмы. Самый логичный шаг - полностью программная реализация средства ЭП и шифрования. При кажущейся простоте реализации возникает много вопросов. Во-первых, для некоторых подобного рода продуктов требуются операции взлома внутренних механизмов мобильной операционной системы, например Jailbreak на платформе iOS и UnlockRoot на Android, что не может не сказаться на общей безопасности. Во-вторых, так как такие реализации содержат российскую криптографию, возникают вопросы с размещением в общедоступных репозиториях ПО как со стороны политик владельца репозитория, так и со стороны регулятора, так как фактически эта операция может быть подведена под экспорт криптографии. В-третьих, при сертификации средства ЭП обязательно определяется перечень версий ОС, на которых допустимо его использование, но новые версии мобильных ОС выходят гораздо чаще, чем для ПК. В-четвертых, полностью программная реализация подразумевает хранение криптографических ключей на мобильном устройстве, таким образом устройство становится носителем ключевой информации с особым порядком обращения с ним.
Аппаратная реализация криптографии на внешнем устройстве (смарт-карте) лишена большинства вышеуказанных недостатков. Действительно, ключи, сформированные в режиме неизвлекаемого ключа, хранятся на смарт-карте, что обеспечивает гораздо более высокий уровень защиты ключевой информации, чем при хранении непосредственно на самом мобильном устройстве. Также снимаются вопросы, связанные с распространением СКЗИ, так как приложения, использующие карту, криптографию не содержат.
Более того, на рынке уже представлены PKI смарт-карты с платежным приложением MasterCard или Visa и различными радиометками "на борту", которые содержат сертифицированное ФСБ России СКЗИ. Данные карты получили определение "единое электронное удостоверение сотрудника" и позволяют не только формировать электронные подписи, хранить ключевую информацию, аутентифицироваться как на обычных ПК, так и на мобильных устройствах, но и выступать визуальным пропуском, пропуском СКУД систем и зарплатной картой. Последнее заставляет пользователя с большим вниманием относиться к персональному средству аутентификации, ЭП и идентификации.
Подключение подобных карт к мобильному устройству на платформе iOS (iPad или iPhone) производится посредством специального считывателя смарт-карт через разъемы Apple Dock или Lightning. Дополнительно считыватель имеет microUSB-разъем и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов. Если Android-устройство допускает подключение по USB, этот же считыватель может применяться и на данной платформе.
Еще одной разновидностью внешних криптографических устройств для мобильных платформ является карта SecureMicroSD. В корпус карты Flash-памяти формата MicroSD имплантируется чип смарт-карты с российской и западной криптографией. Таким образом, Secure MicroSD совмещает криптографические возможности и функции модуля Flash-памяти на любом устройстве, которое поддерживает формат карт памяти MicroSD.
Описание технологий следует закончить так называемыми SIM-картами с ЭП "на борту". Они несколько отличаются от классических PKI смарт-карт как архитектурно, так и методом обращения к криптографической подсистеме. В данном случае процедура подписания подразумевает использование инфраструктуры оператора сотовой связи, что несет определенные риски. Однако несмотря на это, данная технология довольно перспективна и позволит привести электронную подпись в широкие массы. На сегодняшний момент уже стартовало несколько пилотных проектов с подобными комбинированными SIM-картами у операторов сотовой связи.
Сегодня на рынке представлено несколько технологий, позволяющих использовать ЭП с любого устройства (телефона, смартфона, планшета) из любой точки мира. Все они имеют и плюсы, и минусы. Однако нельзя забывать и об угрозах И Б на мобильных платформах. Лишь комплексный подход позволит безопасно использовать сервисы с ЭП на таких ставших уже привычными мобильных устройствах.
Компания «МегаФон» начала внедрять в России технологию электронной мобильной подписи в SIM-картах. В пилотном режиме проект запущен с дочерней компанией ОАО «РЖД» - ОАО «НИИАС». Мобильная подпись в SIM используется для подтверждения личности абонента в цифровом пространстве, в том числе для удаленного подписания электронных документов и защиты интернет-платежей.
В рамках совместного проекта с ОАО «НИИАС» («Научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте») технология электронной мобильной подписи (электронная подпись на SIM-карте мобильного телефона) внедрена в автоматизированную систему подготовки и оформления перевозочных документов ЭТРАН. Теперь грузоотправители, использующие услуги ОАО «РЖД», могут подписывать оформленные в этой системе электронные перевозочные документы с помощью мобильных устройств, оснащенных SIM-картами «МегаФона». Пилотный проект уже стартовал на Октябрьской железной дороге, в ближайшее время он будет распространен на Куйбышевскую и Свердловскую железные дороги.
Грузоотправители проявляют большой интерес к внедрению новой технологии и участию в пилотном проекте.
Технология включает в себя несколько этапов: формирование электронного сообщения на мобильном устройстве, запрос с SIM-карты электронной подписи абонента, его авторизация на закрытом веб-ресурсе с использованием цифрового сертификата, выданного доверенным удостоверяющим центром (в проекте эту роль выполняет Удостоверяющий центр ОАО «НИИАС»), формирование юридически значимой электронной подписи под электронным документом после подтверждения абонентом правильности подписываемых данных. Технология дает возможность подтвердить личность с помощью цифрового сертификата при оказании банковских, финансовых и прочих услуг, требующих строгой аутентификации. Также электронная подпись, сформированная на SIM, обеспечивает доступ к услугам или помещениям с использованием технологии NFC, позволяет пользоваться подпиской на ресурсы с охраной прав, получать доступ к своим медицинским или персональным данным. Абоненту, имеющему возможность формировать подпись на SIM-карте «МегаФон», не нужно сохранять многочисленные логины и пароли для различных защищенных ресурсов - подпись может выступать единым ключом для всех сервисов.
При этом SIM-карта обеспечивает даже более высокий уровень безопасности, чем, например, кредитные карты: чтобы получить доступ к данным без ведома владельца, понадобится не только номер карты и пароль, но и мобильное устройство с SIM-картой.
«Технология „МегаФона“ дает возможность создать новую услугу для грузоотправителей ОАО „РЖД“, предоставив им мобильный и безопасный инструмент для работы с технологией электронной подписи, обеспечивающий при этом простоту подключения и пользования услугами УЦ ОАО „НИИАС“, - прокомментировал Андрей Галдин, руководитель Научно-технического комплекса технологий информационного общества ОАО „НИИАС“. - Данная услуга вызывает большой интерес у клиентов ОАО „РЖД“ и, по-нашему мнению, ее внедрение коренным образом изменит существующие сейчас представления об обеспечении юридической значимости электронных документов, повысив скорость оформления железнодорожных перевозок».
«Сегодня все больше сервисов для физических лиц и организаций нуждается в простом и безопасном инструменте для безбумажного удаленного взаимодействия, - отметил Влад Вольфсон, директор по развитию корпоративного бизнеса „МегаФон“. - Электронная подпись на SIM-карте позволяет сделать технологию максимально простой и доступной для всех категорий клиентов и одновременно гарантирует беспрецедентный уровень безопасности. Запустив этот проект, „МегаФон“ в очередной раз выступил флагманом внедрения прорывной технологии. На сегодня альтернатив на российском рынке не существует, и фактически наш продукт создает новый рынок, на котором подтверждение личности абонента является самостоятельной услугой в цифровом пространстве».
Напомним, что, по словам Владимира Завиткова, гендиректора «Центр идентификации», технология уже тестируется на оборудовании одного из операторов связи; она позволит провести незатратную для бюджета массовую идентификацию граждан.
В связи с этим мы попросили прокомментировать данную информацию некоторых экспертов отрасли.
Представитель компании МТС подтвердил, что тестирование технологии, упомянутой в новости, проходило на оборудовании МТС. «Компания успешно провела тестирование технической реализации сервиса, внедрение услуг с использованием электронной цифровой подписи для наших клиентов не потребует значительного времени – сообщил представитель компании. – В настоящий момент мы рассматриваем возможность оказания услуг удостоверяющего центра с выпуском SIM-карт со встроенной электронной цифровой подписью для абонентов всех сегментов» – сообщила пресс-секретарь МТС Ирина Агаркова.
Екатерина Лебедева, руководитель службы по бренд-коммуникациям «ВымпелКом», отметила, что электронная цифровая подпись уже в достаточной мере распространена в сегменте корпоративных клиентов, где потребность в таком функционале очевидна. «Что же касается массового рынка и распространения электронных подписей среди всего населения, наша компания рассматривает данное направление как потенциально перспективное. Если говорить о решении, в котором закрытый ключ находится на SIM-карте, то необходимы инвестиции, связанные и с закупкой SIM-карт, с технологией идентификации, а также поддержка данной технологии со стороны компаний акцептантов», – подчеркнула Екатерина Лебедева.
Игорь Голдовский, генеральный директор компании «Платежные Технологии» сообщил, что подобная идея уже реализуется в ОАО УЭК, однако не на телефоне, а на персональном компьютере. По словам эксперта, ни компьютер, ни телефон не представляют собой доверенную среду исполнения приложений, однако для компьютера существует большое количество дешевых PC/SC- ридеров, через которые может работать держатель карты УЭК, телефон же является альтернативным каналом проверки подписываемого документа. «За время загрузки документа в браузер сетевого устройства пользователя или после загрузки документ может быть модифицирован. Чтобы предохраниться от подлога, используется телефон, как альтернативный канал коммуникации с клиентом, всегда находящимся у него под рукой. Причем номер телефона, который используется для альтернативного представления документа пользователю, тоже читается с карты УЭК, что повышает безопасность проверки», – отметил эксперт.
Он также подчеркнул, что в ОАО УЭК был разработан оригинальный алгоритм верификации держателя карты с использованием одноразового пароля. По мнению Игоря Голдовского, процесс сертифицирования SIM/UICC-карты в наших компетентных органах на предмет проверки реализации российских криптографических алгоритмов и уязвимости среды исполнения карты не является прозрачным. По данным эксперта, среди основных поставщиков SIM/UICC-карт таких желающих еще недавно не было. «Идея объявленного проекта не является новой, и первая ее реализация, насколько мне известно, появится через несколько месяцев в ОАО УЭК, что правильно. ОАО УЭК является уполномоченной Правительством России организацией, занимающейся разработкой средств идентификации/аутентификации граждан нашей страны», – отметил Игорь Голдовский.
По материалам ПЛАС
Технический директор ООО «1С-СП» Алексей Александров в интервью порталу сайт рассказал о новинке мира электронного бизнеса. Он также поделился информацией о ее преимуществах, технологии работы, степенях защиты и о юридической значимости документов, подписанных с помощью ЭП на sim-карте.
Алексей, что представляет из себя электронная подпись на sim-карте?
На sim-карту со специальным чипом на этапе производства безопасным образом загружают крипто-апплет (примечание сайт: Крипто-апплет — это java-приложение, которое сотовые операторы записывают на sim-карту, чтобы расширить ее функциональность; доступ осуществляется через sim-меню. Например, у МТС - это «МТС-Инфо» и «Лёгкий платёж»). В остальном, это обычная «симка», с помощью которой можно звонить, отправлять sms-сообщения или выходить в интернет. Компания ООО «1С-СП» назвала данный продукт 1С-SIM.
Как бы Вы простым языком описали механизм действия электронной подписи на sim-карте?
Если говорить совсем просто, то 1С-SIM для пользователя - это комбинированное решение, состоящее из токена в виде sim-карты и устройства визуализации подписываемых данных - мобильного устройства. Отличие от USB-токена в том, что команды к нему поступают не через USB-разъём с компьютера, а через специальные sms-сообщения, которые отправляет сервер Платформы 1С-SIM через GSM-канал.
Такой подход позволяет пользователю видеть, что он подписывает.
Процедура подписи выглядит следующим образом:
Для формирования подписи в платформу 1С-SIM вместе с документом передаётся на подпись сопроводительное сообщение, в котором представлена значимая информация из полного документа, позволяющая взаимно однозначно сопоставить документ и сообщение. Сообщение отображается на экране мобильного устройства пользователя и ему предлагается ввести PIN-код как подтверждение того, что он предварительно ознакомился с полным документом и сопроводительное сообщение соответствует документу. Sim-карта формирует электронную подпись и передаёт её через платформу 1С-SIM в информационную систему, откуда изначально поступил запрос на подпись.
Как же на практике выглядит использование электронной подписи на sim-карте?
Фото телефона в момент подтверждения входа на демо-портал на www.1c-sp.ru/demo
Скриншот сценария «Подпись платёжного поручения» на демо-портале www.1c-sp.ru/demo
Фото телефона в момент подтверждения подписи тестового Платёжного поручения на демо-портал на www.1c-sp.ru/demo
Подскажите, как давно появилась идея с внедрением ключа электронной подписи на sim-карту оператора?
Идея использования sim-карт для формирования электронной подписи существует довольно давно. На текущий момент есть целый ряд стран, где такая технология активно используется в сегментах G2C, G2B, B2B. Это Азербайджан, Казахстан, Беларусь, Турция, страны Прибалтики, Финляндия. В некоторых из них инициатива создания подобных систем исходила от государства, что обеспечивало проектам бюджетное финансирование. В России идея внедрения ЭП на sim-картах существует уже более 5 лет, но реализовать её удалось только сейчас.
Что тормозило внедрение данной инициативы?
Создание Платформы мобильной аутентификации и электронной подписи - это крупный инфраструктурный проект, который включает в себя интеграцию со многими игроками рынка - операторами связи, удостоверяющими центрами, информационными системами. Со всеми нужно договориться, выстроить отношения, согласовать условия работы. Это довольно сложная задача, которую быстро не решить. Но техническая реализация - это только одна сторона проблемы. Вторая сторона - это наличие сервисов, готовых применять подобные технологии, и зрелость их пользователей. Например, ещё 5 лет назад для большинства было достаточно наличия токена или смарт-карты. Но мир вокруг нас меняется, появляются новые сервисы, а вместе с ними новые угрозы. Сейчас одного только токена недостаточно для обеспечения удобной и безопасной работы в информационных системах, особенно для активных мобильных пользователей.
Какие операторы станут партнерами проекта? Кто занимается выпуском ЭП на сим-картах? Где пользователи могут ее получить?
Наша цель - привлечь в проект всех операторов связи, и мы активно работаем в этом направлении. Первая партия полноценно работающих sim-карт выпущена совместно с оператором МТТ, активные переговоры ведутся с Теле2, ВымпелКом и другими операторами.
Платформа 1С-SIM готова к работе с любым Удостоверяющим центром, в том числе с «внутренними» УЦ крупных заказчиков.
На первых этапах планируется организовать точки выдачи в офисах удостоверяющих центров - партнёров или там, куда пользователи приходят за услугами, например, в отделениях банков. Это позволит всего за один визит и выдать пользователю sim-карту, и выпустить сертификат подписи, и зарегистрировать его в системе банка, где пользователь сможет использовать преимущества мобильной подписи 1С-SIM.
А какие преимущества данного вида ЭП Вы считаете наиболее важными в современных реалиях бизнеса?
Наше решение позволяет сделать формирование ЭП не только безопасным, но и удобным. В первую очередь это оценят активные мобильные пользователи, так как с 1С-SIM они получат намного больше свободы и возможностей, чем при использовании «классических» средств ЭП.
Мобильный телефон всегда под рукой, и пользователи 1С-SIM видят на экране, какое действие они подтверждают и что они подписывают.
Какие параметры данной ЭП важно знать потенциальным покупателям?
Карта 1С-SIM может работать в любом телефоне, выпущенном позднее 1995 года и соответствующем требованиям GSM 11.14 .
В 1С-SIM электронная подпись формируется согласно ГОСТ Р 34.10-2012. На текущий момент, в соответствии с ФЗ-63, она считается усиленной неквалифицированной.
Поскольку за идентификацию пользователей и выпуск сертификатов отвечают удостоверяющие центры, именно от УЦ зависит набор полей сертификатов и то, в каких информационных системах они смогут применяться.
Будут ли документы подписанные данной электронной подписью юридически значимыми? Внесены ли соответствующие поправки в законодательство? Если нет, то когда это будет реализовано?
После завершения работ по сертификации решения по линии ФСБ России и при условии использования квалифицированного сертификата подписи, выданного аккредитованным удостоверяющим центром, она станет усиленной квалифицированной. Соответственно подписанные ей документы смогут стать юридически значимыми.
В прочих информационных системах мобильный телефон чаще всего выступает второй ступенью двухфакторной идентификации пользователя, но здесь он выходит на первый план. Продуманы ли механизмы дополнительной защиты ЭП на sim-карте от компрометации?
Использование Платформы 1С-SIM как механизма строгой аутентификации позволяет информационным системам повысить уровень безопасности и защититься от целого ряда угроз, актуальных при использовании «классических» средств электронной подписи.
В-пятых, sim-карта 1С-SIM предоставляет механизм двухфакторной аутентификации: первый фактор - это наличие закрытого ключа подписи внутри SIM, а второй фактор - знание пароля доступа к этому ключу. Даже при утере или краже мобильного устройства с картой 1C-SIM, ей невозможно будет воспользоваться, не зная пароля.
Реализованная на Платформе 1С-SIM технология мобильной ЭП подразумевает её безопасное и удобное использование для подписи электронных документов, подтверждения транзакций и строгой аутентификации в информационных системах. Это обеспечивает востребованность продукта, который своевременно появился на рынке в период подготовки к запуску программы развития цифровой экономики, о которой говорил Владимир Путин еще в конце 2016 года.
Редакция портала сайт благодарит за интервью технического директора ООО «1С-СП» Алексея Александрова
Статья подготовлена Единым порталом Электронной подписи. При полном или частичном использовании материала активная гиперссылка на обязательна.
