Несколько недель назад на Хабре публиковалась новость о том, как ни о чем не подозревающий владелец квартиры, оплачивая коммунальные платежи, увидел на счете чужую фамилию. Как оказалось, его недвижимость переоформили на другого человека, воспользовавшись уязвимостью в процедуре выдачи электронной подписи. Лишь в октябре ему удалось вернуть собственную квартиру.
После этого случая последовал ряд разбирательств, в ходе которых выяснилось, что с выдачей электронной подписи не все в порядке — во многих случаях вместо владельца ее могут получить мошенники.
Было зарегистрировано несколько способов мошенничества:
- Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
- Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.
Сейчас Госдума приняла в первом чтении законопроект об ужесточении требований к удостоверяющим центрам электронной подписи.
Выдавать такие подписи юридическим лицам теперь могут лишь ФНС и Центробанк, а государственным структурам — Федеральное казначейство. Документ разработали сенаторы и депутаты, в нем, кроме прочих предложений, есть план проведения реформы удостоверяющих центров электронной подписи.
Что касается последней, то она не является новинкой, закон «Об электронной подписи» вступил в силу еще в 2011 году. Тогда было введено три вида подписей — простая, усиленная и квалифицированная. Простая подпись — любая технология, об использовании которой договорились стороны. Усиленная подпись — та, что выдана удостоверяющим центром. Ну а квалифицированная подпись — та, что выдана аккредитованным удостоверяющим центром. Аккредитацией при этом занимается Минкомсвязи. Эта подпись признается аналогом собственноручной.
В законопроекте увеличивается минимальный размер чистых активов аккредитованного удостоверяющего центра. Увеличение очень серьезное — с 7 млн руб. сумма поднята до 1 млрд. Минимальный размер финансового обеспечения поднят с 30 млн рублей до 200 млн рублей. Ну и если у удостоверяющего центра есть филиалы в минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн рублей.
Срок аккредитации удостоверяющих центров сокращен с 5 до 3 лет. За нарушения в работе таких центров предусмотрена административная ответственность. За умышленные действия сотрудников удостоверяющих центров, кроме административной, вводится еще и уголовная ответственность. Но на этом новые требования не заканчиваются. Так, юридические лица могут использовать лишь квалифицированные электронные подписи, которые выданы удостоверяющим центром Федеральной налоговой службы. Дополнительно планируется использовать квалифицированные электронные подписи лиц, которые уполномочены действовать от лица соответствующих юридических лиц. Такой механизм будет задействован при заключении сделок.
Что касается кредитных организаций, некредитных финансовых организаий и платежных систем, то в их случае планируется использовать квалифицированные электронные подписи, которые выдаются удостоверяющим центром Центробанка. Государственные организации смогут использовать лишь квалифицированные электронные подписи, которые выданы удостоверяющим центром Федерального казначейства.
Получается, что государство ввело собственную монополию на выдачу электронных подписей юридическим лицам. В том случае, если законопроект будет принят, то он вступит в силу через два года. Правительство заявило о поддержке законопроекта.
Вместе с ним в Государственную думу был внесен еще один законопроект об электронной подписи — автором его стала сенатор Людмила Бокова. Во втором документе многое повторялось, но вот требований для юридических лиц и кредитных организаций относительно получения электронных подписей лишь в удостоверяющих центрах ФНС и Центробанка в нем не было.
Второй документ был более либеральным, поскольку в нем говорилось, что ФНС имеет право отзывать сертификаты электронных подписей юридических лиц, а Центробанк — отзывать сертификаты электронных подписей кредитных организаций. Но вот Комитет Госдумы по финансовым рынкам подсчитал, что он не соответствует требованиям Конституции, так что документ вернули разработчикам.
В принятом законопроекте предлагается использовать облачную электронную подпись. С этой целью удостоверяющие центры получают возможность хранить ключи проверки электронных подписей, по поручению владельцев с их помощью будут создавать электронные подписи.
Плюс ко всему, вводится понятие доверенной стороны, которая получит право проверять подлинность электронной подписи в электронных документах в конкретный момент и проверять подлинность электронных подписей, которые были выданы за границей. Доверенные третьи лица должны будут проходить аккредитацию в Минкомсвязи.
Комментарии (23)
Aquahawk
12.11.2019 09:47ААААА-А-А-А-А! Только облачной электронной подписи нам и не хватает.
Tufed
12.11.2019 11:53Мало нам утечек перс данных из банков, утечки подписей из облачного хранилища будут намного веселее.
AlexanderS
12.11.2019 12:37Ещё она обязательно должна быть как-нибудь на блокчейне.
amarao
12.11.2019 13:23Внезапно, блокчейн в этом месте адски уместен. Не обязательно делать его распределённым, просто все транзакции по добавлению подписей публичны и ссылаются на предыдущие транзакции (как в гите), так, что подделать подпись "в середине" невозможно.
AlexanderS
12.11.2019 21:21Да зачем это всё? Клиент должен сам сгенерить пару ключей и внести публичный в реестр. А то мало того, что приватный ключ хранится не у тебя, так придумали его ещё и в облаке хранить! А в свете последних сообщениях о банковских сливах — так вообще за эти подписи страшно становится.
Andrey_Rogovsky
12.11.2019 11:10+1Как всегда — через афедрон
Вместо того, чтоб сделать простую верификацию CSR через те-же Госуслуги — делают очередную дуристику
leocar
12.11.2019 12:10Т.е. никакого единого реестра выданных/отозванных ЭП не будет, оповещения (допустим через госуслуги) о выпуске ЭП не будет и оперативно отследить, что на тебя выпустили 100500 ЭП опять будет невозможно?
Sergey_Cheban
12.11.2019 14:08Это, возможно, будет в подзаконных актах, определяющих порядок аккредитации УЦ. В законопроекте есть вот такое: «Аккредитованный удостоверяющий центр обязан осуществить присоединение информационной системы, обеспечивающей реализацию функций аккредитованного удостоверяющего центра (далее — присоединение аккредитованного удостоверяющего центра), к информационно-технологической и коммуникационной инфраструктуре в порядке, установленном в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и
муниципальных услуг» (далее — инфраструктура)».
DanilVBK
12.11.2019 12:11+1В законопроекте увеличивается минимальный размер чистых активов аккредитованного удостоверяющего центра. Увеличение очень серьезное — с 7 млн руб. сумма поднята до 1 млрд. Минимальный размер финансового обеспечения поднят с 30 млн рублей до 200 млн рублей. Ну и если у удостоверяющего центра есть филиалы в минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн рублей.
Это же приведёт к закрытию небольших УЦ в регионах и увеличению стоимости услуг.
Как на это смотрит ФАС?Aquahawk
12.11.2019 12:38+2А что фас. Есть государственные функции которые нельзя возлагать на палатки с Ашотами с рынка.
paratrooper5730
12.11.2019 12:21+1потому что подход кривой изначально. Правильно в идеале — когда ты сам генеришь пару ключей, и публичный, и только его, сдаешь в реестр. А когда твой приватный ключ хранится у дяди в облаке, это не твой ключ
Sergey_Cheban
12.11.2019 13:54Это другая проблема (и если приложить некоторые усилия, то и сейчас можно получить сертификат для самостоятельно сгенерированного приватного ключа, и эту возможность никто не отбирает).
Этот законопроект направлен на то, чтобы закрыть лазейку с безответственными УЦ, позволяющими мошеннику получить сертификат на чужое имя (и при этом не важно, кто будет генерировать приватный ключ, мошенник или УЦ).
Methos
12.11.2019 17:30В 2012 году именно писал об этом, тогда это только только начиналось.
AlexanderS
12.11.2019 21:27С точки зрения безопасности в периодической смене ключа смысл есть. Так же как нет смысла в хранении приватного ключа где-либо кроме себя)
Sergey_Cheban
Я, пожалуй, дам ссылку на законопроект: sozd.duma.gov.ru/bill/747528-7