Мы, в цифре подписавшиеся

Государство и рынок обсуждают меры безопасности для электронного документооборота

Для развития цифровой экономики важно повысить доверие к институту электронной подписи (ЭП). Сегодня эксперты обсуждают законопроект по изменению работы удостоверяющих центров (УЦ), где граждане получают сертификаты ЭП. Документ могут рассмотреть в Госдуме в первом чтении уже в октябре. Одновременно Минкомсвязь предложила с ноября 2019 года провести эксперимент по дистанционному использованию ЭП. Ее, в частности, будут применять при регистрации недвижимости и заключении договоров об услугах связи.


ПОДТВЕРДИТЬ ЦИФРОВУЮ ЛИЧНОСТЬ

ЭП давно стала универсальным инструментом для оформления заявлений, участия в госзакупках, отправки отчетности и т. п. С каждым днем электронные ключи все более востребованы. Так, 1 октября вступил в силу закон «О цифровых правах». Он расширяет способы подписания документов с помощью ЭП и приравнивает сделки, подтвержденные через SMS, к письменным, что выгодно, например, операторам связи. В этом случае речь идет о простой ЭП, которую использует большинство граждан – проходя авторизацию на портале госуслуг или отправляя банковские переводы онлайн. В бизнес-процессах необходима усиленная ЭП: она бывает неквалифицированная (НЭП) и квалифицированная (КЭП) в зависимости от степени защиты криптографическими средствами.

В обороте в России ежегодно находятся примерно 15 млн КЭП. 90% таких сертификатов используется организациями, предпринимателями и чиновниками, 10% – физлицами 

Эти данные привел директор правового департамента Минкомсвязи Роман Кузнецов на профильной конференции в сентябре 2019 года. Он отметил, что «текущий уровень обеспечения КЭП не растет в течение уже нескольких лет, и эффект от существующей конструкции достиг потолка своего развития». По его мнению, в числе причин:

  • дороговизна сертификатов для бизнеса;
  • необходимость множества КЭП для различных нужд.

Представитель регулятора отметил, что количество экономически активного населения в стране составляет не менее 70 млн человек и призвал реформировать институт ЭП.


ПИЛОТНОЕ ВНЕДРЕНИЕ С КРИПТОГРАФИЕЙ

Важным новшеством стала инициатива по проведению эксперимента по дистанционному использованию КЭП при электронном взаимодействии госорганов, организаций и граждан. Он пройдет с ноября 2019-го по декабрь 2020 года. Предложенный 11 октября 2019 года документ предусматривает создание и внедрение:

  • автоматизированной системы (АС) (до октября 2020 года),
  • модели угроз информационной безопасности АС (до июля 2020 года).

Эти задачи, согласно проекту, будут решать ПАО «Ростелеком» и ФГБУ НИИ «Восход».

Предполагается, что

пилот по дистанционному использованию ЭП пройдет с применением российских криптографических алгоритмов и средств шифрования


БЕЗ ВЕДОМА ВЛАДЕЛЬЦА

Упомянутая АС подразумевает защищенную идентификацию при передаче поручения использования дистанционной ЭП, что особенно критично при массовом развертывании.

В последние годы рынок столкнулся с несовершенством этой процедуры в УЦ. СМИ все чаще стали рассказывать о преступлениях, связанных с неправомерной выдачей ЭП.

«Наиболее частый тип мошенничества – выпуск сертификата открытого ключа по доверенности от третьего лица, притом что оно не давало согласия на эти действия и мошенник использует фальшивую доверенность. Именно таким образом можно неожиданно для себя стать генеральным директором фирмы-однодневки с огромным долгом или продать квартиру», – рассказал RSpectr представитель компании «Код безопасности» Александр Колыбельников.

Николай Антипов, заместитель начальника департамента консалтинга Центра информационной безопасности «Инфосистемы Джет»:

– Появляющиеся сообщения о выпуске и использовании ЭП без ведома граждан, на имя которых они были выпущены, подрывают доверие к этому инструменту и тормозят развитие цифровизации сервисов.

Ряд инцидентов и схем махинаций был представлен ведущим экспертом компании «Электронные Офисные Системы» Натальей Храмцовской. Эксперт привела такие примеры из судебной практики:

  • На 50 жительниц Сургута, находящихся в декрете, в Москве были оформлены «фирмы-однодневки», которые получали кредиты.
  • Мосгорсуд рассмотрел дело о несанкционированном переводе пенсионных накоплений из одного негосударственного пенсионного фонда в другой с помощью подделки КЭП.

23 сентября 2019 года в комитете Госдумы по финансовому рынку прошли парламентские слушания, посвященные мерам защиты прав граждан при использовании ЭП.

«С одной стороны, мы не можем внедрить цифровую экономику и цифровой оборот без ЭП, которая и удостоверяет, и подтверждает неизменность документа. Но с другой стороны – наблюдается уязвимость этой подписи, возможность мошенничества чрезвычайно велика», – отметил заместитель председателя комитета Мартин Шаккум.

В Федеральной налоговой службе (ФНС), фиксирующей факты представления фальшивых деклараций, регистрации организаций на имена ничего не подозревающих граждан и др., разработали алгоритм защиты владельцев КЭП.

Стоит отметить, что законодатели быстро отреагировали на инцидент, случившийся в мае этого года на рынке недвижимости, когда с помощью КЭП у москвича была похищена квартира.

Уже 13 августа 2019 года вступил в силу закон, который призван защитить граждан от мошенничества при сделках с жильем. Теперь

при продаже собственности с использованием электронных ключей владелец должен подать заявление об этом в Росреестр в бумажной форме, иначе госрегистрация перехода прав на основании КЭП будет невозможна


ЗАЧЕМ ПЕРЕДАВАТЬ ФУНКЦИИ УЦ ГОСУДАРСТВУ

На сентябрьских слушаниях в Госдуме обсудили меры по повышению требований к удостоверяющим центрам, которые создают и выдают НЭП и КЭП.

В России слишком много УЦ, имеющих право на выпуск квалифицированных ключей – порядка 500. Мировая практика говорит о том, что подобных доверенных центров может быть гораздо меньше, считает завкафедрой информационной безопасности в ВШЭ Александр Баранов.

«При слабом контроле со стороны регулятора мы имеем в РФ наибольшее количество удостоверяющих центров на душу населения», – подтвердил А. Колыбельников.

Коммерческие УЦ часто становятся нарушителями из-за необходимости получения дополнительной прибыли и по причине несовершенства законодательства, объяснил представитель ВШЭ. Он также обратил внимание на тенденцию:

неквалифицированная ЭП повсеместно используется во всех системах вместо квалифицированной

«Каждую неделю мы получаем три-четыре запроса от правоохранительных органов с просьбой установить те или иные параметры электронных подписей или их владельцев», – констатирует А. Баранов (является замгендиректора АО «ГНИВЦ»*).

В то же время ни в одном документе сегодня не содержится технических требований к процессам и системам идентификации и аутентификации при получении ЭП, отмечает замгендиректора ЗАО «Аладдин Р.Д.» Алексей Сабанов. Сотрудникам УЦ разрешено работать по доверенности. Но порой они принимают копию паспорта, не проверяя его подлинность, сказал эксперт. По его мнению, многие даже не знают, что этот главный идентификатор содержит 21 защитный признак.

Реестр аккредитованных удостоверяющих центров ведет Минкомсвязь. Р. Кузнецов также отметил, что в министерстве «регулярно получают негативные сигналы от ЦБ, ПФР, ФНС, ФСБ о выявляемых схемах выдачи сертификатов неустановленным лицам». Он отметил, что

у 60% центров есть нарушения, которые не всегда устраняются, при этом аккредитация прекращается у пятой части проверяемых УЦ

Представитель регулятора подчеркнул, что аккредитованные УЦ органов власти не фигурируют среди центров, которые выдавали бы проблемные сертификаты.

За последние полтора года только по линии ФНС стало известно о 43 тыс. случаев неправомерного использования КЭП, уточнил он. 

При этом четко работающие механизмы по возмещению ущерба в результате мошенничества с подписью в РФ отсутствуют, налицо и противоречивая арбитражная практика, сказал А. Колыбельников.


ТРИ ЗАКОНОПРОЕКТА

Летом 2019 года в парламент внесли три законопроекта с поправками в закон «Об электронной подписи». Первый предложил член Совета Федерации А. Турчак. Согласно положениям этого документа, одобренного правительством, получать цифровые сертификаты юрлица и индивидуальные предприниматели (ИП) смогут только в ФНС, а не в различных УЦ, как сейчас. Эту инициативу взяла на вооружение Минкомсвязь, которую не устраивает, что электронные ключи выдаются коммерческими организациями. Но идею раскритиковал бизнес, в частности, против выступил Сбербанк. Основные претензии касаются нецелесообразности масштабной переработки информационных систем УЦ и огромных инвестиций на их реорганизацию.

«Монополизация в сфере ЭП фактически ликвидирует существующий рынок УЦ: в этом случае ожидается сокращение трудовых ресурсов и увольнение квалифицированных специалистов», – рассказали RSpectr в компании «Прецедент Консалтинг».

Автором второго законопроекта является сенатор Людмила Бокова: этот документ не согласовали и отправили на доработку.

Третий был вынесен на обсуждение сенаторами В. Кравченко, Л. Глебовой, М. Пономаревым, А. Пронюшкиным – сегодня именно он поддержан профильным комитетом Думы.

Согласно этой версии закона, УЦ ждет:

  • высокий порог собственного капитала (до 1 млрд руб. или 500 млн руб. при наличии филиалов);
  • увеличение порога страховой ответственности деятельности;
  • сокращение срока аккредитации до трех лет;
  • введение административной ответственности за нарушения работы технического характера;
  • введение уголовной ответственности за заведомо умышленные действия сотрудников.
  • Законопроект вводит несколько важных понятий, а именно:
  • «метку доверенного времени» – достоверную информацию о дате и времени подписания электронного документа ЭП;
  • «институт доверенных третьих сторон» – в него войдут организации, уполномоченные осуществлять деятельность по проверке ЭП в фиксированный момент времени.

А. Баранов назвал представленный законопроект «грандиозным и коренным образом меняющим ситуацию». Однако эксперт считает, что документ «вряд ли пройдет, потому что слишком тяжел и имеет много противоречий».

По словам А. Баранова,

из документа следовало бы убрать рукописную доверенность, с которой связаны 90% инцидентов с ЭП

Также для защиты и усиления ЭП он предлагает применить технологию электронных водяных знаков.

По словам А. Аксакова, немногочисленные претензии к проекту закона депутаты обещают принять к сведению и рассмотреть при подготовке ко второму чтению.


ЭП В ЦИФРОВОМ ПАСПОРТЕ И ПРОФИЛЕ

Этот законопроект можно рассматривать как переходный этап перед внедрением паспортов нового поколения, которые уже будут содержать в себе КЭП. Это сохранит кредит доверия, который еще есть у ЭП, считает Р. Кузнецов.

Такой кризис доверия возник из-за темпов цифровизации: когда принимался ныне действующий закон об ЭП, электронное взаимодействие в обществе было на базовом уровне, констатировал статс-секретарь замглавы Минкомсвязи Олег Пак.

Александр Колыбельников, «Код безопасности»:

– Размежевание отдельных частей единого пространства доверия имеет свои корни в несовершенстве первого закона об ЭП (ФЗ-1, принят в 2001 году). Тогда создание УЦ уже было разрешено, а государственных УЦ еще не существовало. Буквально через год в РФ можно было наблюдать эпоху феодальной раздробленности – каждое региональное ведомство сделало себе свой УЦ и принимало отчетность, подписанную только на ключах, выпущенных этим УЦ. С появлением ФЗ-63 на смену подобным ограничениям пришли другие:

  • по возможностям применения сертификатов, которые записываются каждым УЦ в виде цифрового кода OID;
  • по контейнеру ключей – как попытка отдельных производителей средств криптографической защиты информации (СКЗИ) защитить освоенную часть рынка от посягательств конкурентов.

Цифровые удостоверения личности планируется начать выдавать с середины следующего года. Это подтвердил О. Пак.

Н. Антипов, в свою очередь, считает, что, помимо совершенствования механизмов выдачи ЭП, прозрачности процесса проверки ее легитимности, также должны быть проработаны вопросы:

  • ведения единой базы выданных ЭП,
  • четкого обозначения сфер ее использования,
  • уведомления граждан о выпуске ЭП на их имя и о совершаемых с ней действиях.

Сегодня нет возможности проверить, какие сертификаты электронной подписи оформлены на то или иное имя. Подобная практика в России развита пока в сфере кредитования. Между тем

информирование пользователей о собственных электронных ключах сможет значительно сократить число мошеннических действий в отношении ЭП

Эта задача заложена в том числе в Концепцию цифрового профиля. Проект предусматривает доступ к документам, формируемым в процессе оказания госуслуг, а также ЭП, заверенных нотариусами или сотрудниками многофункциональных центров.

______________

*АО «Главный научный инновационный внедренческий центр» (НИВЦ) является разработчиком автоматизированной информационной системы ФНС России.

Изображения: RSpectr, freepik.com


ЕЩЕ ПО ТЕМЕ:

Пластиковое будущее паспортов

Внедрение электронных удостоверений личности планируется начать через год