- 7 июня, 2019
- 152
Итоги пресс-конференции «Электронная подпись: источники рисков и реализация потенциала в цифровой экономике»
Чем вызвано мошенничество с электронной подписью? Безопасна ли сама технология электронной подписи?
Прежде всего представители сообщества рассказали, о видах электронной подписи – о простой электронной подписи, об усиленной электронной подписи и об усиленной квалифицированной подписи. Простая электронная подпись используется чаще всего гражданами и малым бизнесом, она основана обычно на применении разовых паролей. Усиленная подпись основана на использовании криптографических средств и обеспечивает авторство и неотказуемость от подписи. Квалифицированная подпись является подписью прямого действия и может применяться без предварительного заключения договоров. Эксперты объяснили, почему усиленная электронная подпись надежнее рукописной. В отличие от рукописной подписи и печати, усиленную электронную подпись невозможно подделать. Технология основана на современных криптографических алгоритмах, на использовании сертифицированных ФСБ криптографических средств и позволяет в любой момент времени проследить «цепочку доверия»: кто, в какой момент и под какой версией документа поставил подпись, какой удостоверяющий центр выдал сертификат.
Юрий Маслов, коммерческий директор «КРИПТО-ПРО», одного из предприятий по разработке и внедрению средств применения электронной подписи, подчеркнул, что «технологическая основа обеспечения общества всеми средствами электронной подписи качественно разрабатывается, правильно эксплуатируется и надёжно контролируется соответствующим регулятором (примечание – Федеральной службой безопасности). В технологии нет узких мест».
За 17 лет использования технологии в России неизвестно ни одного случая подделки усиленной электронной подписи, в то время как число мошенничеств в бумаге традиционно велико. Однако если доверие к электронной подписи, как к технологии, не оспаривается, то почему вообще возможно мошенничество с электронной подписью? Эксперты объяснили, что недавние инциденты связаны с проблемой идентификации заявителей при получении электронной подписи, а не с самой технологией электронной подписи, и говорят о необходимости усовершенствовать нормативное правовое регулирование в этой области, начиная с Федерального закона № 63-ФЗ от 06.04.2011 «Об электронной подписи».
В частности, важным недостатком существующей на сегодня системы контроля сведений, представляемых будущими владельцами сертификатов ключей электронной подписи в удостоверяющие центры, является невозможность проверить паспортные данные по централизованным реестрам. На сегодня этот сервис не работает. Другим важным недостатком системы идентификации является допускаемая законом возможность получения сертификатов для юрлиц по простой доверенности. Вот что сказали об обеих проблемах эксперты.
Юрий Малинин, президент Ассоциации «РОСЭУ»: Сейчас гражданин не имеет возможности проверить какие сертификаты электронных подписей оформлены на его имя. Нужно предоставить эту возможность гражданину, это значительно нивелирует предпосылки к мошенническим действиям. Необходимо создание единого реестра выданных сертификатов квалифицированной электронной подписи и доработать функции в ЕСИА на предмет предоставления информации гражданину в его личном кабинете на портале госуслуг.
Отметим, что возникающие проблемы могли быть решены ранее, путем введения нормативных актов, нужных отрасли. Но многих документов на текущий момент нет. Обязательно должны быть правила и порядок идентификации заявителей аккредитованными удостоверяющими центрами, который должен быть утвержден Минкомсвязью. Проекты этих документов разработаны профессиональным сообществом еще в 2017 году и предлагались к обсуждению регулятору, но принятых решений нет.
Эксперт некоммерческого партнерства «Эффективный отклик на запросы потребителей» (ECR Rus) Елена Ткаченко отметила: «Сегодня есть две проблемных зоны – законодательная и техническая, которые порождают мошеннические схемы: 1. Право сотрудников юридических лиц получать сертификаты ЭП по простой доверенности. 2. Отсутствие возможности УЦ проверять паспорта в СМЭВ.3. Первую проблему, регуляторную, решает проект внесения изменений в 63-ФЗ».
Анастасия Лабуцкая, Удостоверяющий центр СКБ Контур:
«Как ни парадоксально, возможность мошенничества с электронной подписью открывает бумага, а точнее поддельные документы, по которым ее можно получить. Федеральный закон от 06.04.2011 № 63 «Об электронной подписи» дает возможность представить в УЦ рукописную доверенность и копию паспорта человека, на которого выдается подпись. Простой способ убрать это узкое место прописан в законопроекте Совета Федерации – обязать заявителя прийти лично в удостоверяющий центр или к нотариусу за доверенностью».
Обсуждение вопроса о том, как предотвратить мошенничество с электронными подписями продолжил Алексей Пауков, руководитель управления решений в сфере информационной безопасности компании «Гарант»: «Из-за пробелов в регулировании УЦ могут позволить себе использовать методы работы, которые не отвечают требованиям безопасности. Прежде всего, необходимо установить строгие требования к процедуре идентификации заявителя, эту процедуру УЦ должны осуществлять только очно, с предоставлением конкретного набора документов. Второе, нужно установить требования к ситуациям, когда используется доверенность. Третье, важно установить требования к форме договора, это должен быть прямой договор, непосредственно от имени УЦ с владельцем сертификата ключа проверки, где прописана ответственность обеих сторон».
Кирилл Романов, ФТС России: «Таможенное оформление с 2004 базируется на электронных документах. Сегодня все документы (64 вида формализованных документов), требуемые и выдаваемые таможенными органами, являются электронными и подписываются усиленной квалифицированной электронной подписью. При этом все факты злоупотреблений с использованием квалифицированной электронной подписи, с которыми мы сталкиваемся, связаны с человеческим фактором. Это нарушение норм в процессе выдачи сертификатов ЭП в удостоверяющем центре, либо использование сертификата ЭП кем-либо кроме его владельца. К сожалению, многие люди не осознают сам предмет квалифицированного сертификата ЭП, нарушая очевидные принципы цифровой гигиены (например, оставляют носитель с сертификатом и ключом ЭП бывшим работодателям, отдают попользоваться «по дружбе», получают квалифицированный сертификат квалифицированной ЭП без отзыва ранее выданных сертификатов)».
Участники пресс-конференции согласились, что проблема мошенничества с использованием электронной подписи не решится, если передать права выдачи от коммерческих к государственным структурам, поскольку это не закроет имеющиеся пробелы. Для решения проблемы необходимо на законодательном и нормативно-правовом уровне установить надёжную, безопасную и удобную процедуру по идентификации заявителей и, одновременно ужесточить контроль за выполнением требований к проверке заявителей. Также на законодательном и техническом уровне необходимо обеспечить удостоверяющие центры инструментами для проведения такой проверки (в частности, через сервисы СМЭВ) и кроме того, ввести ответственность для самих заявителей:
1. Обязать юридические лица предоставлять нотариальную доверенность при получении сертификата и автоматизировать их проверку по реестру действующих доверенностей.
2. Создать единый реестр выданных квалифицированных сертификатов электронной подписи в ЕСИА и открыть гражданам доступ к нему через личные кабинеты портала предоставления Государственных услуг (с возможностью отзыва сертификатов ЭП).
3. Ввести ответственность заявителя за предоставление поддельных документов.
4. Внедрить механизм регулирования деятельности УЦ через систему независимых аудиторов в соответствии с лучшими мировыми практиками.
5. Вести просветительскую работу о возможностях и рисках использования технологии квалифицированной электронной подписи.
Директор Фонда «Центр инноваций информационных технологий» Федеральная нотариальная палата Михаил Веселов дополнительно сообщил, что единый реестр нотариальных доверенностей уже создан, и его использование позволяет эффективно бороться с мошенничеством в разных областях. Также он подчеркнул, что участие нотариуса при совершении регистрационных действий в отношении юридических лиц позволит избежать противоправных действий. Сейчас нотариус удостоверяет сделки с долями в уставном капитале ООО. Появление обязательной нотариальной формы таких сделок полностью нивелировало мошенничество в этой сфере.
Что предлагает Совет Федерации и Минкомсвязи поменять в законе «Об электронной подписи» и в чем отличие изменений?
Участники пресс-конференции сообщили о том, что в настоящее время есть два законопроекта по изменению закона 63-ФЗ «Об электронной подписи». Одна редакция представлена Минкомсвязи, а другая разработана Советом Федерации. Эксперты отметили существенное отличие законопроектов и важность выбора правильного пути на дальнейшее развитие технологии инфраструктуры квалифицированной электронной подписи.
Эксперт ассоциации электронных торговых площадок АЭТП Савва Белоногов отметил: «Минкомсвязи предлагает каждой организации использовать две электронные подписи: юридического и физического лица. Во-первых, технология не отработана, а во-вторых, что касается рынка электронных торгов, изменение потребует доработки всех информационных систем. Это огромные деньги, которые государство и бизнес потратят на адаптацию. Поэтому проект Совета Федерации, который развивает и совершенствует текущую форму использования электронной подписи, предпочтительнее и именно он находит поддержку у бизнеса и экспертов».
Эксперт некоммерческого партнерства «Эффективный отклик на запросы потребителей» (ECR Rus) Елена Ткаченко: «Сектор розничной торговли поддержал законопроект в редакции Совета Федерации, так как он сохраняет проверенную практикой инфраструктуру коммерческих УЦ, и не требует от бизнеса многомиллиардных инвестиций в доработку своих информационных систем». Кроме того, Елена отметила, что использование личных подписей согласно предложению Минкомсвязи увеличивает риски мошенничества с электронной подписью: «Стоит также обратить внимание на то, что если законопроект Минкомсвязи установит обязанность использовать в B2B сертификаты физлиц и машиночитаемые доверенности – это как раз может стать источником мошеннических схем. Сотрудник организации, утратив свои полномочия, может продолжать действовать от имени юридического лица, используя свой сертификат физического лица и машиночитаемую доверенность, так как юридическое лицо не сможет отозвать сертификат, владельцем которого выступает физическое лицо, и процедура публикации отозванных доверенностей в законопроекте не описана».
Кирилл Романов, ФТС России также отметил: «Технически процесс создания и проверки ЭП предполагает значительные массивы математических вычислений. При этом использование последовательно двух и более электронных подписей на документе кратно увеличивает потребности в мощностях серверного оборудования информационной системы, каналах связи, иных компонентов информационных систем, отвечающих за подписание и проверку подписи на документах».
Другим существенным отличием законопроектов является то, что Минкомсвязи предлагает введение монополии государства на выпуск сертификатов квалифицированной электронной подписи – предполагается, что сертификаты для юридических лиц и индивидуальных предпринимателей будет выпускать удостоверяющий центр Федеральной налоговой службы. Эксперты отметили, что монополия государства не устраняет проблему мошенничества и порождает ряд рисков – риски невозможности оказания услуг под ключ, ухода от режима «одного окна», ухода от квалифицированного разрешения всех вопросов клиентов в режиме 365х24х7 специалистами удостоверяющих центров, угрозы нарушения работы систем ЭДО по всей России из-за сбоев в ФНС, замедления или стагнации развития технологий электронной подписи, а также дополнительного обременения государственного бюджета Российской Федерации на расходы удостоверяющего центра ФНС:
Анастасия Лабуцкая, Удостоверяющий центр СКБ Контур: «Я не считаю, что государственная монополия будет эффективнее конкурентного рынка. В настоящее время есть конкурентный рынок, он развивается, в случае же монополии государства не будет предпосылок для дальнейшего совершенствования технологий электронной подписи, будет иметь место ограничение развития или, как минимум, стагнация в их развитии».
Алексей Пауков, руководитель управления решений в сфере информационной безопасности компании «Гарант»: «Бизнесу точно не надо ходить в несколько разных окон. Весь мир стремится к принципу одного окна для обслуживания бизнеса, а мы начинаем направлять бизнес в разные окна, так как сертификат подписи для физлица надо будет получать в одном месте, а сертификат подписи для юрлица в другом месте.
Закладывать в бюджет расходы на передачу функций по выпуску сертификатов подписей юридических лиц от коммерческих удостоверяющих центров в удостоверяющий центр ФНС экономически нецелесообразно, с учетом того что эти функции сейчас уже саморегулируются и самофинансируются, и особенно с учетом стремления государства вести разумную бюджетную политику».
Сергей Кирюшкин, Советник Генерального директора ООО «Газинформсервис» считает необходимым учитывать наилучшие международные практики: «Мировой опыт использования электронной подписи для обеспечения юридический силы электронных документов в настоящее время очень обширен. Более 50 стран мира, в том числе и Россия, по данным Международного союза электросвязи используют в целом схожее законодательство в этой области, на основе Модельного закона UNCITRAL «Об электронных подписях» 2001 года. При этом наиболее успешный мировой опыт эффективного построения таких сервисов и качественного оказания услуг имеется в сегменте коммерческих удостоверяющих центров. Яркие примеры таких мировых брендов качества услуг удостоверяющих центров в системах аккредитации по требованиям глобальной системы WebTrust и требованиям Регламента 910/2014 «EIdAS» в ЕС».
Законопроект Минкомсвязи прошел всестороннее обсуждение со стороны бизнес-сообщества и указанные риски неоднократно доводились до его авторов, в том числе, со стороны АНО «Цифровая экономика». Кроме того, эксперты сообщили, что на данную редакцию было получено отрицательное заключение Государственно-правового управления Президента Российской Федерации.
Что касается законопроекта Совета Федерации, то он также прошел обсуждение экспертов, в частности, в рамках Рабочей группы «Законодательное обеспечение цифровой экономики Российской Федерации» Совета по развитию цифровой экономики при Совете Федерации, и к нему принципиальных замечаний у экспертов и бизнес-сообщества нет. В ближайшее время законопроект будет внесен в Государственную Думу.
В том числе, Кирилл Романов, ФТС России отметил следующее:
«Мы увидели в законопроекте Совета Федерации, что направленные нами ранее предложения учтены. Законопроект предлагает совершенствование реально работающей технологии, без ее «перезагрузки» с нуля. Например, сохраняется существующая инфраструктура электронной подписи – для участников внешнеэкономической деятельности (при 100 процентном электронном декларировании квалифицированные сертификаты ЭП имеют все участники внешнеэкономической деятельности) открыт рынок удостоверяющих центров, что делает процесс получения квалифицированного сертификата ЭП удобным. Коммерческие удостоверяющие центры профессионально отвечают на возникающие у пользователей вопросы по использованию ЭП и настройке программных средств, которые в противном случае задавались бы на».
Какие новые технологии предусматриваются в новой редакции закона «Об электронной подписи», и почему они важны для Цифровой экономики?
Эксперты сообщили, что важными новыми новеллами закона будут введение института Доверенной третьей стороны, введение понятия и сервисов облачной электронной подписи, а также определение новых дистанционных способов идентификации заявителей при выпуске сертификатов квалифицированной электронной подписи.
Сергей Кирюшкин, Советник Генерального директора ООО «Газинформсервис» рассказал про механизм Доверенной третьей стороны: «Введение института доверенной третьей стороны позволит обеспечить новый сервис – проверку квалифицированной электронной подписи, в том числе – иностранной. Это позволит, в частности, открыть массовый рынок трансграничного ЭДО, что позволит ускорить товарооборот и торговые бизнес-процессы с другими странами. Такие сервисы являются крайне востребованными как в рамках ЕАЭС, так и на мировом рынке в целом. Инструмент ДТС позволяет обеспечивать необходимый уровень доверия к электронным документам иных юрисдикций, и создает базис для отхода от бумаги и понятия «личного присутствия», что является обязательным условием цифровой трансформации экономики».
Иван Янсон, ПАО Сбербанк отметил плюсы технологии облачной подписи: «Применение облачной электронной подписи расширит возможности граждан и бизнеса по использованию квалифицированной электронной подписи, так как облачной подписью владельцы смогут управлять со своих мобильных устройств, при этом она будет дешевле, чем подпись, хранимая на привычных нам защищенных устройствах (например, на токенах). В целях обеспечения безопасности сервисов облачной подписи законопроектом предусмотрена необходимость соответствия требованиям безопасности применяемых средств и вводятся требования в части повышенной ответственности к Удостоверяющим центрам, которые планируют оказывать услуги облачной подписи».
Юрий Маслов, «КРИПТО-ПРО», сообщил, что «технические основы безопасного применения сервисов облачной электронной подписи разработаны и сертифицированы уполномоченным регулятором (примечание – Федеральной службой безопасности). И уже наработан положительный опыт применения средств облачной электронной подписи. Теперь происходит этап регулирования деятельности операторов средств облачной подписи, чтобы обеспечить доверие к такой системе и защитить интересы общества, использующего эту технологию. Ибо сама технология даёт неоспоримое преимущество в части предотвращения возможных традиционных рисков, связанных с утерей контроля над ключами создания электронных подписей».
По мнению экспертов, дистанционные способы идентификации при выпуске сертификатов квалифицированной электронной подписи также будут способствовать повышению доступности электронной подписи. При этом предусмотрено использование только безопасных способов дистанционной идентификации, таких как идентификация на основе предоставления биометрических персональных данных без личного присутствия посредством сети Интернет, идентификация с помощью паспортно-визовых документов нового поколения и идентификация на основе действующей квалифицированной электронной подписи.
В заключение, участники пресс-конференции отметили, что в целом обсуждаемое изменение закона «Об электронной подписи» нацелено на решение задачи формирования единого пространства доверия квалифицированной подписи и на обеспечение массовости применения электронной подписи, и соответственно, на распространение основанных на ее использовании цифровых технологий в России во исполнение Указа Президента РФ от 07.05.2018 г. № 204. При этом редакция Совета Федерации позволяет это сделать, не увеличивая риски, не порождая дополнительные расходы и не нарушая принципы свободной рыночной конкуренции.