image

Несколько недель назад на Хабре публиковалась новость о том, как ни о чем не подозревающий владелец квартиры, оплачивая коммунальные платежи, увидел на счете чужую фамилию. Как оказалось, его недвижимость переоформили на другого человека, воспользовавшись уязвимостью в процедуре выдачи электронной подписи. Лишь в октябре ему удалось вернуть собственную квартиру.

После этого случая последовал ряд разбирательств, в ходе которых выяснилось, что с выдачей электронной подписи не все в порядке — во многих случаях вместо владельца ее могут получить мошенники.

Было зарегистрировано несколько способов мошенничества:

  • Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
  • Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.

Сейчас Госдума приняла в первом чтении законопроект об ужесточении требований к удостоверяющим центрам электронной подписи.

Выдавать такие подписи юридическим лицам теперь могут лишь ФНС и Центробанк, а государственным структурам — Федеральное казначейство. Документ разработали сенаторы и депутаты, в нем, кроме прочих предложений, есть план проведения реформы удостоверяющих центров электронной подписи.

Что касается последней, то она не является новинкой, закон «Об электронной подписи» вступил в силу еще в 2011 году. Тогда было введено три вида подписей — простая, усиленная и квалифицированная. Простая подпись — любая технология, об использовании которой договорились стороны. Усиленная подпись — та, что выдана удостоверяющим центром. Ну а квалифицированная подпись — та, что выдана аккредитованным удостоверяющим центром. Аккредитацией при этом занимается Минкомсвязи. Эта подпись признается аналогом собственноручной.

В законопроекте увеличивается минимальный размер чистых активов аккредитованного удостоверяющего центра. Увеличение очень серьезное — с 7 млн руб. сумма поднята до 1 млрд. Минимальный размер финансового обеспечения поднят с 30 млн рублей до 200 млн рублей. Ну и если у удостоверяющего центра есть филиалы в минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн рублей.

Срок аккредитации удостоверяющих центров сокращен с 5 до 3 лет. За нарушения в работе таких центров предусмотрена административная ответственность. За умышленные действия сотрудников удостоверяющих центров, кроме административной, вводится еще и уголовная ответственность. Но на этом новые требования не заканчиваются. Так, юридические лица могут использовать лишь квалифицированные электронные подписи, которые выданы удостоверяющим центром Федеральной налоговой службы. Дополнительно планируется использовать квалифицированные электронные подписи лиц, которые уполномочены действовать от лица соответствующих юридических лиц. Такой механизм будет задействован при заключении сделок.

Что касается кредитных организаций, некредитных финансовых организаий и платежных систем, то в их случае планируется использовать квалифицированные электронные подписи, которые выдаются удостоверяющим центром Центробанка. Государственные организации смогут использовать лишь квалифицированные электронные подписи, которые выданы удостоверяющим центром Федерального казначейства.

Получается, что государство ввело собственную монополию на выдачу электронных подписей юридическим лицам. В том случае, если законопроект будет принят, то он вступит в силу через два года. Правительство заявило о поддержке законопроекта.

Вместе с ним в Государственную думу был внесен еще один законопроект об электронной подписи — автором его стала сенатор Людмила Бокова. Во втором документе многое повторялось, но вот требований для юридических лиц и кредитных организаций относительно получения электронных подписей лишь в удостоверяющих центрах ФНС и Центробанка в нем не было.

Второй документ был более либеральным, поскольку в нем говорилось, что ФНС имеет право отзывать сертификаты электронных подписей юридических лиц, а Центробанк — отзывать сертификаты электронных подписей кредитных организаций. Но вот Комитет Госдумы по финансовым рынкам подсчитал, что он не соответствует требованиям Конституции, так что документ вернули разработчикам.

В принятом законопроекте предлагается использовать облачную электронную подпись. С этой целью удостоверяющие центры получают возможность хранить ключи проверки электронных подписей, по поручению владельцев с их помощью будут создавать электронные подписи.

Плюс ко всему, вводится понятие доверенной стороны, которая получит право проверять подлинность электронной подписи в электронных документах в конкретный момент и проверять подлинность электронных подписей, которые были выданы за границей. Доверенные третьи лица должны будут проходить аккредитацию в Минкомсвязи.

Комментарии (23)


  1. Sergey_Cheban
    12.11.2019 03:56

    Я, пожалуй, дам ссылку на законопроект: sozd.duma.gov.ru/bill/747528-7


  1. Aquahawk
    12.11.2019 09:47

    ААААА-А-А-А-А! Только облачной электронной подписи нам и не хватает.


    1. Tufed
      12.11.2019 11:53

      Мало нам утечек перс данных из банков, утечки подписей из облачного хранилища будут намного веселее.


    1. MCARROWD
      12.11.2019 12:10

      На портале nalog.ru уже есть возможность физ. лицу получить облачную подпись


      1. amarao
        12.11.2019 13:22

        На портале nalog.ru уже есть возможность физ. лицу получить облачную подпись любого другого физ. лица.


        /страшилка.


    1. AlexanderS
      12.11.2019 12:37

      Ещё она обязательно должна быть как-нибудь на блокчейне.


      1. Aquahawk
        12.11.2019 12:40

        Облачный нано блокчейн в массы.


      1. amarao
        12.11.2019 13:23

        Внезапно, блокчейн в этом месте адски уместен. Не обязательно делать его распределённым, просто все транзакции по добавлению подписей публичны и ссылаются на предыдущие транзакции (как в гите), так, что подделать подпись "в середине" невозможно.


        1. AlexanderS
          12.11.2019 21:21

          Да зачем это всё? Клиент должен сам сгенерить пару ключей и внести публичный в реестр. А то мало того, что приватный ключ хранится не у тебя, так придумали его ещё и в облаке хранить! А в свете последних сообщениях о банковских сливах — так вообще за эти подписи страшно становится.


  1. nvv
    12.11.2019 10:56

    Почти все существующие УЦ не пройдут через такой отсев, клиентов у них резко убавится. Юр.лица пойдут в ФНС и ЦБ.
    Что физикам остаётся, где получить ЭП если она нужна для гос.услуг и др.?


    1. loki82
      12.11.2019 12:54

      Когда то было в Ростелекоме.


    1. Sarymian
      13.11.2019 06:56

      МФЦ?


  1. Andrey_Rogovsky
    12.11.2019 11:10
    +1

    Как всегда — через афедрон
    Вместо того, чтоб сделать простую верификацию CSR через те-же Госуслуги — делают очередную дуристику


  1. leocar
    12.11.2019 12:10

    Т.е. никакого единого реестра выданных/отозванных ЭП не будет, оповещения (допустим через госуслуги) о выпуске ЭП не будет и оперативно отследить, что на тебя выпустили 100500 ЭП опять будет невозможно?


    1. Sergey_Cheban
      12.11.2019 14:08

      Это, возможно, будет в подзаконных актах, определяющих порядок аккредитации УЦ. В законопроекте есть вот такое: «Аккредитованный удостоверяющий центр обязан осуществить присоединение информационной системы, обеспечивающей реализацию функций аккредитованного удостоверяющего центра (далее — присоединение аккредитованного удостоверяющего центра), к информационно-технологической и коммуникационной инфраструктуре в порядке, установленном в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и
      муниципальных услуг» (далее — инфраструктура)».


  1. DanilVBK
    12.11.2019 12:11
    +1

    В законопроекте увеличивается минимальный размер чистых активов аккредитованного удостоверяющего центра. Увеличение очень серьезное — с 7 млн руб. сумма поднята до 1 млрд. Минимальный размер финансового обеспечения поднят с 30 млн рублей до 200 млн рублей. Ну и если у удостоверяющего центра есть филиалы в минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн рублей.

    Это же приведёт к закрытию небольших УЦ в регионах и увеличению стоимости услуг.
    Как на это смотрит ФАС?


    1. Aquahawk
      12.11.2019 12:38
      +2

      А что фас. Есть государственные функции которые нельзя возлагать на палатки с Ашотами с рынка.


  1. paratrooper5730
    12.11.2019 12:21
    +1

    потому что подход кривой изначально. Правильно в идеале — когда ты сам генеришь пару ключей, и публичный, и только его, сдаешь в реестр. А когда твой приватный ключ хранится у дяди в облаке, это не твой ключ


    1. Sergey_Cheban
      12.11.2019 13:54

      Это другая проблема (и если приложить некоторые усилия, то и сейчас можно получить сертификат для самостоятельно сгенерированного приватного ключа, и эту возможность никто не отбирает).
      Этот законопроект направлен на то, чтобы закрыть лазейку с безответственными УЦ, позволяющими мошеннику получить сертификат на чужое имя (и при этом не важно, кто будет генерировать приватный ключ, мошенник или УЦ).


    1. Methos
      12.11.2019 17:30

      В 2012 году именно писал об этом, тогда это только только начиналось.


      1. AlexanderS
        12.11.2019 21:27

        С точки зрения безопасности в периодической смене ключа смысл есть. Так же как нет смысла в хранении приватного ключа где-либо кроме себя)


  1. ZetaTetra
    12.11.2019 12:47

    Как я понимаю, эта времянка будет использоваться до массового ввода электронных паспортов. Ибо дальнейшее развитие отдельных ЭЦП выглядит сомнительно.


    1. ZetaTetra
      12.11.2019 12:49

      Это моё предположение