Наш адрес:
121099, г. Москва,

Смоленская площадь,

Шубинский пер., 2/3,

3 и 4 этажи
тел./факс: (499) 2414341

тел.: (499) 241-43-71, 

(499) 241-42-45,
(499) 241-40-96,

(499) 241-42-83.
 
http://www.ka-advocat.ru
e-mail:ka-advocat@mail.ru

 
02.10.19.Универсальный и прозрачный реестр ( Эл.подпись ). АГ.

02.10.19.Универсальный и прозрачный реестр ( Эл.подпись ). АГ.

Универсальный и прозрачный реестр

Как усовершенствовать систему использования ЭЦП

Янковский Роман

К.ю.н., советник практики IP/IT юридической фирмы «Томашевская и партнеры», член Комиссии по правовому обеспечению цифровой экономики при Московском отделении Ассоциации юристов России

30 Августа 2019

Материал выпуска № 17 (298) 1-15 сентября 2019 года.

Автор настоящего комментария к статье Артема Магунова, Андрея Тузова «Электронная подпись» (см.: «АГ». 2019. № 17 (298)), перечисляя проблемы, заложенные на нормативном уровне: незащищенные носители электронных подписей, отсутствие единого реестра выданных подписей, механизм выдачи самой УКЭП, считает, что недавно принятый закон, запрещающий операции с недвижимостью по УКЭП без предварительного уведомления Росреестра, – это решение-«заплатка», которое не решает проблему, и видит выход из положения в создании универсального и прозрачного механизма работы системы электронных подписей.

Уважаемые коллеги из АБ «ЕПАМ» написали хорошую и правильную статью про электронные подписи, однако подзаголовок у нее не совсем релевантный: «О новых рисках и угрозах». Как раз-таки риски и угрозы здесь довольно старые: они заложены в законодательно установленном (с начала нулевых годов) механизме работы удостоверяющих центров в России. А когда возможность использования усиленной квалифицированной электронной подписи (УКЭП) стали добавлять практически во все новые государственные сервисы, включая регистрацию юридических лиц, недвижимости, подачу документов в ФНС, – эта система не могла не дать сбой.

Вкратце о проблемах, заложенных на уровне законодательства:

1. Большинство российских стандартов электронных подписей позволяют использовать незащищенные носители. В Европе уже в конце нулевых годов я видел, как студенты пользуются ЭП на защищенных токенах, в которых закрытый ключ подписи хранится в неизвлекаемом виде. У нас же до сих пор токены ЭП из соображений дешевизны фактически представляют собой флешки с хранящимся на них файлом ключа. Закрытый ключ из такого токена копируется на компьютер в ходе работы ПО, что влечет очевидные уязвимости – например, на заре моей юридической карьеры злоумышленники увели несколько сотен тысяч рублей с корпоративного счета, завладев зараженной системой и скопировав ключ из системы банк-клиент. Причем скопировать закрытый ключ может не только хакер, но и сотрудник удостоверяющего центра, и курьер, и уборщица в вашем офисе. Наконец, работа с устройством российского образца требует специального ПО, которое чрезвычайно трудно настроить и которое работает только в специфическом окружении (любой, настраивавший ПО для участия, например, в тендере, меня поймет).

2. Как правильно пишут коллеги из ЕПАМ, у нас нет единого реестра выданных электронных подписей. Чтобы определить, сколько лично у вас электронных подписей, нужно написать в каждый из пятисот удостоверяющих центров запрос. При этом удостоверяющий центр совершенно не обязан отвечать на ваши запросы, и даже если ответит, регламент работы с заявлениями у всех центров различный, и переписка отнимет у вас массу времени. Даже если удалось выяснить, что на ваше имя выпущена УКЭП, для ее отзыва вам придется еще долго доказывать свою аутентичность далекому удостоверяющему центру где-нибудь в Оренбурге.

3. Механизм выдачи самой УКЭП полностью завязан на конкретных сотрудников. Если злоумышленник пришел в удостоверяющий центр с паспортом, похожим на настоящий, и простой доверенностью от юридического лица, сотрудник удостоверяющего центра имеет полное право выдать ему электронную подпись. Причем весьма вероятно, ни сотрудник, ни центр не понесут ответственности, поскольку все условия соответствующего регламента проверки формально были соблюдены. Еще меньше вероятность привлечения к ответственности при утрате ключа УКЭП – в таком случае убытки лягут на владельца подписи, халатно отнесшегося к обеспечению ее безопасности.

По этим причинам недавно принятый закон, запрещающий операции с недвижимостью по УКЭП без предварительного уведомления Росреестра, – это решение-«заплатка», решение-«костыль», которое не решает проблему, а исключает только один потенциально уязвимый сценарий. Он не защищает, например, владельцев юридических лиц от распространенной схемы подачи скорректированной отчетности в ФНС по поддельной электронной подписи. Он не снижает рисков регистрации на ваше имя юридического лица без вашего ведома.

Эти дыры в безопасности, разумеется, также можно закрыть аналогичными «заплатками» (например, запретить удаленно создавать юридические лица без предварительного письменного согласия всех учредителей), но это не выход из сложившейся ситуации. Выход – это создание универсального и прозрачного реестра выданных электронных подписей, переход новых систем на более защищенные носители защищенных криптографических ключей, а в перспективе – внедрение (наконец) универсального электронного удостоверения личности с интегрированной электронной подписью.