Все разделы
Главная / Статьи / Мы, в цифре подписавшиеся
Регулирование / Статьи
сервисы
16.10.2019

Мы, в цифре подписавшиеся

Государство и рынок обсуждают меры безопасности для электронного документооборота

Для развития цифровой экономики важно повысить доверие к институту электронной подписи (ЭП). Сегодня эксперты обсуждают законопроект по изменению работы удостоверяющих центров (УЦ), где граждане получают сертификаты ЭП. Документ могут рассмотреть в Госдуме в первом чтении уже в октябре. Одновременно Минкомсвязь предложила с ноября 2019 года провести эксперимент по дистанционному использованию ЭП. Ее, в частности, будут применять при регистрации недвижимости и заключении договоров об услугах связи.


ПОДТВЕРДИТЬ ЦИФРОВУЮ ЛИЧНОСТЬ

ЭП давно стала универсальным инструментом для оформления заявлений, участия в госзакупках, отправки отчетности и т. п. С каждым днем электронные ключи все более востребованы. Так, 1 октября вступил в силу закон «О цифровых правах». Он расширяет способы подписания документов с помощью ЭП и приравнивает сделки, подтвержденные через SMS, к письменным, что выгодно, например, операторам связи. В этом случае речь идет о простой ЭП, которую использует большинство граждан – проходя авторизацию на портале госуслуг или отправляя банковские переводы онлайн. В бизнес-процессах необходима усиленная ЭП: она бывает неквалифицированная (НЭП) и квалифицированная (КЭП) в зависимости от степени защиты криптографическими средствами.

В обороте в России ежегодно находятся примерно 15 млн КЭП. 90% таких сертификатов используется организациями, предпринимателями и чиновниками, 10% – физлицами 

Эти данные привел директор правового департамента Минкомсвязи Роман Кузнецов на профильной конференции в сентябре 2019 года. Он отметил, что «текущий уровень обеспечения КЭП не растет в течение уже нескольких лет, и эффект от существующей конструкции достиг потолка своего развития». По его мнению, в числе причин:

  • дороговизна сертификатов для бизнеса;
  • необходимость множества КЭП для различных нужд.

Представитель регулятора отметил, что количество экономически активного населения в стране составляет не менее 70 млн человек и призвал реформировать институт ЭП.


ПИЛОТНОЕ ВНЕДРЕНИЕ С КРИПТОГРАФИЕЙ

Важным новшеством стала инициатива по проведению эксперимента по дистанционному использованию КЭП при электронном взаимодействии госорганов, организаций и граждан. Он пройдет с ноября 2019-го по декабрь 2020 года. Предложенный 11 октября 2019 года документ предусматривает создание и внедрение:

  • автоматизированной системы (АС) (до октября 2020 года),
  • модели угроз информационной безопасности АС (до июля 2020 года).

Эти задачи, согласно проекту, будут решать ПАО «Ростелеком» и ФГБУ НИИ «Восход».

Предполагается, что

пилот по дистанционному использованию ЭП пройдет с применением российских криптографических алгоритмов и средств шифрования


БЕЗ ВЕДОМА ВЛАДЕЛЬЦА

Упомянутая АС подразумевает защищенную идентификацию при передаче поручения использования дистанционной ЭП, что особенно критично при массовом развертывании.

В последние годы рынок столкнулся с несовершенством этой процедуры в УЦ. СМИ все чаще стали рассказывать о преступлениях, связанных с неправомерной выдачей ЭП.

«Наиболее частый тип мошенничества – выпуск сертификата открытого ключа по доверенности от третьего лица, притом что оно не давало согласия на эти действия и мошенник использует фальшивую доверенность. Именно таким образом можно неожиданно для себя стать генеральным директором фирмы-однодневки с огромным долгом или продать квартиру», – рассказал RSpectr представитель компании «Код безопасности» Александр Колыбельников.

Николай Антипов, заместитель начальника департамента консалтинга Центра информационной безопасности «Инфосистемы Джет»:

– Появляющиеся сообщения о выпуске и использовании ЭП без ведома граждан, на имя которых они были выпущены, подрывают доверие к этому инструменту и тормозят развитие цифровизации сервисов.

Ряд инцидентов и схем махинаций был представлен ведущим экспертом компании «Электронные Офисные Системы» Натальей Храмцовской. Эксперт привела такие примеры из судебной практики:

  • На 50 жительниц Сургута, находящихся в декрете, в Москве были оформлены «фирмы-однодневки», которые получали кредиты.
  • Мосгорсуд рассмотрел дело о несанкционированном переводе пенсионных накоплений из одного негосударственного пенсионного фонда в другой с помощью подделки КЭП.

23 сентября 2019 года в комитете Госдумы по финансовому рынку прошли парламентские слушания, посвященные мерам защиты прав граждан при использовании ЭП.

«С одной стороны, мы не можем внедрить цифровую экономику и цифровой оборот без ЭП, которая и удостоверяет, и подтверждает неизменность документа. Но с другой стороны – наблюдается уязвимость этой подписи, возможность мошенничества чрезвычайно велика», – отметил заместитель председателя комитета Мартин Шаккум.

В Федеральной налоговой службе (ФНС), фиксирующей факты представления фальшивых деклараций, регистрации организаций на имена ничего не подозревающих граждан и др., разработали алгоритм защиты владельцев КЭП.

Стоит отметить, что законодатели быстро отреагировали на инцидент, случившийся в мае этого года на рынке недвижимости, когда с помощью КЭП у москвича была похищена квартира.

Уже 13 августа 2019 года вступил в силу закон, который призван защитить граждан от мошенничества при сделках с жильем. Теперь

при продаже собственности с использованием электронных ключей владелец должен подать заявление об этом в Росреестр в бумажной форме, иначе госрегистрация перехода прав на основании КЭП будет невозможна


ЗАЧЕМ ПЕРЕДАВАТЬ ФУНКЦИИ УЦ ГОСУДАРСТВУ

На сентябрьских слушаниях в Госдуме обсудили меры по повышению требований к удостоверяющим центрам, которые создают и выдают НЭП и КЭП.

В России слишком много УЦ, имеющих право на выпуск квалифицированных ключей – порядка 500. Мировая практика говорит о том, что подобных доверенных центров может быть гораздо меньше, считает завкафедрой информационной безопасности в ВШЭ Александр Баранов.

«При слабом контроле со стороны регулятора мы имеем в РФ наибольшее количество удостоверяющих центров на душу населения», – подтвердил А. Колыбельников.

Коммерческие УЦ часто становятся нарушителями из-за необходимости получения дополнительной прибыли и по причине несовершенства законодательства, объяснил представитель ВШЭ. Он также обратил внимание на тенденцию:

неквалифицированная ЭП повсеместно используется во всех системах вместо квалифицированной

«Каждую неделю мы получаем три-четыре запроса от правоохранительных органов с просьбой установить те или иные параметры электронных подписей или их владельцев», – констатирует А. Баранов (является замгендиректора АО «ГНИВЦ»*).

В то же время ни в одном документе сегодня не содержится технических требований к процессам и системам идентификации и аутентификации при получении ЭП, отмечает замгендиректора ЗАО «Аладдин Р.Д.» Алексей Сабанов. Сотрудникам УЦ разрешено работать по доверенности. Но порой они принимают копию паспорта, не проверяя его подлинность, сказал эксперт. По его мнению, многие даже не знают, что этот главный идентификатор содержит 21 защитный признак.

Реестр аккредитованных удостоверяющих центров ведет Минкомсвязь. Р. Кузнецов также отметил, что в министерстве «регулярно получают негативные сигналы от ЦБ, ПФР, ФНС, ФСБ о выявляемых схемах выдачи сертификатов неустановленным лицам». Он отметил, что

у 60% центров есть нарушения, которые не всегда устраняются, при этом аккредитация прекращается у пятой части проверяемых УЦ

Представитель регулятора подчеркнул, что аккредитованные УЦ органов власти не фигурируют среди центров, которые выдавали бы проблемные сертификаты.

За последние полтора года только по линии ФНС стало известно о 43 тыс. случаев неправомерного использования КЭП, уточнил он. 

При этом четко работающие механизмы по возмещению ущерба в результате мошенничества с подписью в РФ отсутствуют, налицо и противоречивая арбитражная практика, сказал А. Колыбельников.


ТРИ ЗАКОНОПРОЕКТА

Летом 2019 года в парламент внесли три законопроекта с поправками в закон «Об электронной подписи». Первый предложил член Совета Федерации А. Турчак. Согласно положениям этого документа, одобренного правительством, получать цифровые сертификаты юрлица и индивидуальные предприниматели (ИП) смогут только в ФНС, а не в различных УЦ, как сейчас. Эту инициативу взяла на вооружение Минкомсвязь, которую не устраивает, что электронные ключи выдаются коммерческими организациями. Но идею раскритиковал бизнес, в частности, против выступил Сбербанк. Основные претензии касаются нецелесообразности масштабной переработки информационных систем УЦ и огромных инвестиций на их реорганизацию.

«Монополизация в сфере ЭП фактически ликвидирует существующий рынок УЦ: в этом случае ожидается сокращение трудовых ресурсов и увольнение квалифицированных специалистов», – рассказали RSpectr в компании «Прецедент Консалтинг».

Автором второго законопроекта является сенатор Людмила Бокова: этот документ не согласовали и отправили на доработку.

Третий был вынесен на обсуждение сенаторами В. Кравченко, Л. Глебовой, М. Пономаревым, А. Пронюшкиным – сегодня именно он поддержан профильным комитетом Думы.

Согласно этой версии закона, УЦ ждет:

  • высокий порог собственного капитала (до 1 млрд руб. или 500 млн руб. при наличии филиалов);
  • увеличение порога страховой ответственности деятельности;
  • сокращение срока аккредитации до трех лет;
  • введение административной ответственности за нарушения работы технического характера;
  • введение уголовной ответственности за заведомо умышленные действия сотрудников.
  • Законопроект вводит несколько важных понятий, а именно:
  • «метку доверенного времени» – достоверную информацию о дате и времени подписания электронного документа ЭП;
  • «институт доверенных третьих сторон» – в него войдут организации, уполномоченные осуществлять деятельность по проверке ЭП в фиксированный момент времени.

А. Баранов назвал представленный законопроект «грандиозным и коренным образом меняющим ситуацию». Однако эксперт считает, что документ «вряд ли пройдет, потому что слишком тяжел и имеет много противоречий».

По словам А. Баранова,

из документа следовало бы убрать рукописную доверенность, с которой связаны 90% инцидентов с ЭП

Также для защиты и усиления ЭП он предлагает применить технологию электронных водяных знаков.

По словам А. Аксакова, немногочисленные претензии к проекту закона депутаты обещают принять к сведению и рассмотреть при подготовке ко второму чтению.


ЭП В ЦИФРОВОМ ПАСПОРТЕ И ПРОФИЛЕ

Этот законопроект можно рассматривать как переходный этап перед внедрением паспортов нового поколения, которые уже будут содержать в себе КЭП. Это сохранит кредит доверия, который еще есть у ЭП, считает Р. Кузнецов.

Такой кризис доверия возник из-за темпов цифровизации: когда принимался ныне действующий закон об ЭП, электронное взаимодействие в обществе было на базовом уровне, констатировал статс-секретарь замглавы Минкомсвязи Олег Пак.

Александр Колыбельников, «Код безопасности»:

– Размежевание отдельных частей единого пространства доверия имеет свои корни в несовершенстве первого закона об ЭП (ФЗ-1, принят в 2001 году). Тогда создание УЦ уже было разрешено, а государственных УЦ еще не существовало. Буквально через год в РФ можно было наблюдать эпоху феодальной раздробленности – каждое региональное ведомство сделало себе свой УЦ и принимало отчетность, подписанную только на ключах, выпущенных этим УЦ. С появлением ФЗ-63 на смену подобным ограничениям пришли другие:

  • по возможностям применения сертификатов, которые записываются каждым УЦ в виде цифрового кода OID;
  • по контейнеру ключей – как попытка отдельных производителей средств криптографической защиты информации (СКЗИ) защитить освоенную часть рынка от посягательств конкурентов.

Цифровые удостоверения личности планируется начать выдавать с середины следующего года. Это подтвердил О. Пак.

Н. Антипов, в свою очередь, считает, что, помимо совершенствования механизмов выдачи ЭП, прозрачности процесса проверки ее легитимности, также должны быть проработаны вопросы:

  • ведения единой базы выданных ЭП,
  • четкого обозначения сфер ее использования,
  • уведомления граждан о выпуске ЭП на их имя и о совершаемых с ней действиях.

Сегодня нет возможности проверить, какие сертификаты электронной подписи оформлены на то или иное имя. Подобная практика в России развита пока в сфере кредитования. Между тем

информирование пользователей о собственных электронных ключах сможет значительно сократить число мошеннических действий в отношении ЭП

Эта задача заложена в том числе в Концепцию цифрового профиля. Проект предусматривает доступ к документам, формируемым в процессе оказания госуслуг, а также ЭП, заверенных нотариусами или сотрудниками многофункциональных центров.

______________

*АО «Главный научный инновационный внедренческий центр» (НИВЦ) является разработчиком автоматизированной информационной системы ФНС России.

Изображения: RSpectr, freepik.com


ЕЩЕ ПО ТЕМЕ:

Пластиковое будущее паспортов

Внедрение электронных удостоверений личности планируется начать через год



Поделиться:
Поделиться:
Все теги
домены
природа
регуляторика
госдума
фейки
Страховые компании
за рубежом
культура
персональные данные
инновации
онлайн-кинотеатры
онлайн
кадры
блокчейн
сша
чат-боты
хостинг-провайдеры
ВКС-платформы
кибергигиена
киберпреступность
судебная практика
роскомнадзор
минтранс
почта
мобильный интернет
регулирование
интернет-магазины
спутниковая связь
ии
экономика
интернет-вещи
суперкомпьютер
кибербезопастность
телевидение
сделка
BB
зло
приложение
провайдеры
экспорт
киберспорт
ведомства
торговля
операторы
школа
нейросеть
санкции
КИИ
разработки
мессенджеры
реклама
hj
информация
банки
роботы
цифровая гигиена
инфраструктура
vb
дипфейки
биометрия
госинформсистемы
бот\
импортозамещение
экосистемы
смартфоны
штрафы
люди
буллинг
транспорт
данные
компьютеры
дата-центр
нейрочип
радиоконтроль
спутники
аутсорсинг
спам-звонки
цифровизация
информбезопасность
базовые станции
российский софт
события
госуслуги
вакансии
мошенники
бизнес
стандарты связи
маркетплейс
умные устройства
рекламе
компании
операторы данных
финансы
криптовалюта
стартапы
ГИС
хакеры
Киберугрозы
оборудование
нелегальный контент
роспотребнадзор
сим-карты
инвестиции
кибератаки
спам
квантовый компьютер
интернет вещей
Госдума
международные компании
мобильные приложения
видеосервисы
кинематограф
цод
дезинформация
фишинговые сайты
технологии
контент
чипы
сайты
злоумышленники
робототехника
треш-стримы
видеонаблюдение
программисты
ИТ-компании
рунет
услуги связи
медицина
операторы связи
социальный инжиниринг
утечки
политтика
видеоигры
соцсети
ФАС
дети
ит-решения
Центр правовой помощи гражданам в цифровой среде
образование
правительство
гос
интернет
сеть
майнинг
статистика
цифровая грамотность
пд
медиа
связь
трафик
минпромторг
телеком
кабмин
радиочастоты
ИТ
Китай
медиаконтент
rb
наука
Совет Федерации
гаджеты
цифровой рубль
Минцифры
авторское право
xfn-
IT
минфин
блогеры
сервисы
деструктивный контент
Кибербуллинг
микроэлектроника
ИИ
Правительство РФ
IP-адресов
игры
ПО
мобилизация
беспилотники
экспертная колонка
гейминг
аналитика данных
шеринг
фишинг
Показать все
Еще по теме
 
Все новости по теме

Еще по теме

ЦОД и порядок
Регулирование / Статьи

ЦОД и порядок

Какое регулирование ждет российский рынок дата-центров

Детки в ИИ-клетке
Регулирование / Статьи

Детки в ИИ-клетке

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Застрахуй утечку
Регулирование / Статьи

Застрахуй утечку

Как повлияет система обязательного страхования от утечек на операторов ПД

Смена ИБ-векторов
Регулирование / Статьи

Смена ИБ-векторов

Каким стал профиль современных киберугроз

Не корпоративный ИТ-дух
Регулирование / Статьи

Не корпоративный ИТ-дух

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Стимулируя телеком-конкуренцию
Регулирование / Статьи

Стимулируя телеком-конкуренцию

Зачем операторам связи упростят доступ в многоквартирные дома

Мои биодокументы
Регулирование / Статьи

Мои биодокументы

Как бизнес будет работать с биометрической информацией в новых условиях

Чужие здесь не хостят
Регулирование / Статьи

Чужие здесь не хостят

Как попасть и не выпасть из реестра провайдеров хостинга

Хостинг-провайдеры ответят за клиентов
Регулирование / Статьи

Хостинг-провайдеры ответят за клиентов

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

Сигналы регуляторов
Регулирование / Статьи

Сигналы регуляторов

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Данные всему голова
Регулирование / Статьи

Данные всему голова

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Стратегическую инфраструктуру обезопасят
Регулирование / Статьи

Стратегическую инфраструктуру обезопасят

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Есть вопросы к DPO
Регулирование / Статьи

Есть вопросы к DPO

Что сейчас обсуждают специалисты по защите персональных данных

Минимализм в персданных
Регулирование / Статьи

Минимализм в персданных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

ИИ: запретить нельзя разрешить
Регулирование / Статьи

ИИ: запретить нельзя разрешить

Чего ожидать от нейросетей и как избежать необратимых последствий