Участники пилотного проекта: криптозащита маркировки может ударить по стоимости лекарств

Размер имеет значение

В докладе сообщается, что размер маркировочных данных увеличится на 92 символа (64 байта – шифрование по ГОСТ 34.10-2012 и 4 символа - ключ). Таким образом, общий размер маркировки вырос почти в два раза. Визуально он составит 12*12 мм. Непонятно, сможет ли система бесперебойно и без потери данных обрабатывать такие массивы. Также, полагаясь на обещания оператора и регулятора, производители закупали оборудование под изначальные технические характеристики. Теперь оборудование придется дорабатывать, либо видоизменять от программного обеспечения до «железа».

Управляющий партнер «Промэкос» Евгений Кардаш уверен, что увеличение размера для считывания увеличит погрешность.

«Любая царапина, неровность будет выливаться в отбракованность товара сканером, а это снизит производительность. Коробки нужно будет переупаковывать, либо в ручном режиме пытаться вновь сканировать. В итоге затраты лягут на плечи фармпроизводства, которое попытается возместить это в ценах на лекарства. Но если регулятор ограничит рост для социально значимых категорий, то будет снижаться маржа», – сообщил г-н Кардаш «ФВ».

Однако руководитель продуктового направления «Фарма» ЦРПТ Антон Харитонов сообщил, что в код заложены стандартные механизмы восстановления поврежденных данных по методу коррекции ошибок ЕСС200. Они позволяют уверенно считывать код с повреждением (нечитаемостью) до 30% поверхности.

Кто платит?

Директор по развитию АО НПК «Катрен» Анатолий Тенцер отметил, что обязанность проверять легальность кода по криптохвосту вызывает вопросы: какое оборудование для этого потребуется, нужна ли будет его сертификация и должен ли каждый участник маркировки у себя что-то дополнительное установить? Поскольку ключи от криптошифра будут у ФСБ, которая ведает сертификацией, то вероятно требования к оборудованию также будут высокими, что потребует вложений от производителей.

В ЦРПТ «ФВ» заверили, что расходы производителей не увеличатся.

«Оператор ЦРПТ предоставит регистраторы эмиссии кодов маркировки за свой счет. Каждая производственная линия (около 1000 в России) будет оснащена регистратором эмиссии. Это является частью инвестиций частного оператора в создание единой национальной системы цифровой маркировки и прослеживаемости товаров "Честный ЗНАК"», – сообщила пресс-служба ЦРПТ.

Миссия невыполнима

Для чего же нужна защита маркировки, которую не планируют вводить даже в Евросоюзе? Защита вводится «в соответствии с требованиями информационной безопасности, утвержденных регуляторами и профильными ведомствами в соответствии с разработанной моделью возможных угроз», сообщил оператор. Кто был инициатором введения шифрования, «ФВ» в ЦРПТ так и не ответили. Но сообщили о предполагаемом сценарии махинации, против которого и создавался шифр.

«Недобросовестный производитель может выпускать фальсифицированные ЛП и не передавать данные в систему маркировки. Всем участникам системы предоставляется пять дней на передачу данных. То есть у злоумышленника есть пять дней на то, чтобы нелегально провести лекарства от производителя до аптеки по всей цепи и сбыть их. В аптеке серийные номера при считывании будут признаны легальными, потому что они сформированы по правильному, привычному алгоритму. Только после продажи выяснится, что серийные номера никто не произвел, а поймать злоумышленника уже невозможно. Согласно модели угроз, защищать следует то, к чему у злоумышленника не может быть легального доступа, так как генерация кодов с криптозащитой происходит централизовано в единой системе цифровой маркировки», – сообщили в ЦРПТ. Примечательно, что участники пилота просили регулятора и оператора сократить окно от пяти дней до нескольких часов, но согласия не получили.

Анатолий Тенцер не видит логики в этом сценарии: «Ни в аптеке, ни у дистрибьютора легальность номеров не проверяется согласно текущим методическим указаниям. Она проверяется только при передаче данных в систему "Маркировка". Предполагается, что производитель произведет действия, на которых через 5 дней будет гарантированно пойман, а через шесть лишен лицензии». Чтобы пойти на подлог, нужно быть самоубийцей. С ним соглашается директор по IT «Герофарм» Алексей Кузьмин: «Раз нельзя продать – не будут изготавливать. Целесообразность дополнительной криптографической защиты для нас в настоящее время сомнительна, но то, что это усложнит и удорожит проект – очевидно».

Антон Харитонов так комментирует ситуацию: «Недобросовестный производитель пойман не будет – аптека получила лекарственный препарат с легальными кодами, касса коды приняла. При этом производитель данные с таким сочетанием серийного номера и GTIN в ИС «Маркировка» не передавал и, следовательно, не производил. Не совсем понятно, кого придется ловить, если производитель по системе товар не производил. Номер GTIN не является защитой – он содержит данные о производителе и ряд других. Напечатать GTIN может кто угодно. То есть «поймать» производителя, воспользовавшись данными GTIN, невозможно – это все равно, что обвинять его в том, что на поддельной пачке напечатан его логотип».