Контакты
Подписка 2024

Электронная подпись: от технических проблем к организационно-правовому аспекту

Александр Баранов, 17/01/19

 baranov_mЕсли десять лет назад о том, что такое электронная подпись, знали десятки, максимум сотни человек по всей России, то сегодня с ней знакомы миллионы. За эти годы мы накопили достаточно опыта, чтобы решить все технические вопросы. Решена даже проблема визуализации в разных операционных системах, которая вначале представлялась катастрофичной. И вот, когда все технические аспекты кажутся легко решаемыми, возникли сложности в организации работы с электронной подписью. И эта проблема, на мой взгляд, сложнее, чем техническая.

Мертвые души

Когда велась работа над созданием Федерального закона № 63-ФЗ "Об электронной подписи", мы предупреждали, что нельзя выпускать его в таком виде, в каком он был принят в Европейском союзе. У нас еще нет такой богатой практики использования электронной подписи, в том числе правоприменительной: и население еще не готово, и традиции еще не сложились.

Самая главная ошибка заключалась в том, что к работе над этим законом не были привлечены структуры, имеющие дело с последствиями применения электронной подписи, – ФСБ, МВД, прокуратура, Следственный комитет, оперативные службы. Фактически этот документ составлялся законопослушными гражданами для законопослушных граждан, которые не понимают криминальный ум. В результате брешами в законе № 63-ФЗ начали успешно пользоваться злоумышленники для реализации своих преступных схем.

Оказалось, что электронная сущность может жить независимо от человека. Один из свежайших примеров. Умер человек, директор предприятия, а его электронная подпись действительна в течение года. Предприятие продолжает пользоваться его электронной подписью, сдавая под ней отчетность. А как выяснить, жив ли владелец подписи или нет? Обзванивать все учреждения? Более того, отозвать электронную подпись практически невозможно. Пока суд не признает человека официально пропавшим, удостоверяющий центр не имеет права отозвать подпись. И мошенники этим пользуются. Более того, подставные лица специально оформляют на себя компании, а потом пропадают.

И все это позволяет делать электронная подпись вследствие простоты ее использования. Одним из способов решения этой проблемы могут стать специальные электронные метки, как в загранпаспортах, которые мошенники уже не смогут подделывать. Принципиально важно отчуждить результат подписи от ее владельца. Причем для реализации этого варианта не потребуется дополнительно нагружать госбюджет. Расходы можно переложить на клиентов, предложив им такую метку в качестве опции для выбора: вряд ли владелец многомиллионной квартиры пожалеет 200–300 рублей, чтобы быть уверенным, что в нее не прописался посторонний. Не будешь же каждые 2–3 дня проверять в Росреестре, числится ли квартира за тобой или уже нет. Такая же ситуация с банками и крупными вкладами.

 Подвести фундамент

Электронная подпись неразрывно связана с электронным документом. А электронный документ с юридической точки зрения – ничто. Ни в каком законе четко не закреплено, каковы юридические последствия этого электронного файла. Как его встроить в судебное доказательство? В первую очередь, проблемы электронных документов связаны с тем, что они легко размножаются. Электронную подпись по сравнению с обычной очень просто подделать.

Вторая опасность заключается в том, что недобросовестный владелец электронной подписи всегда может переподписать документ, поменяв в нем, к примеру, реквизиты или другие данные.

Поэтому нужно разработать закон об электронном документе. Как может быть электронное общество без закона об электронном документе в стране, в которой электронный документооборот используется в полном объеме и продолжает развиваться? Не имея закона об электронном документе, мы, по сути, не знаем, с чем работаем. Непонятно, почему до сих пор не организована работа над созданием такого закона, ведь для этого есть все условия: есть необходимые юристы и квалифицированные специалисты в ФСБ и в Минкомсвязи.

 Лучше меньше, да лучше

Электронная подпись, как известно, зиждется на удостоверяющих центрах, которые связывают ее с личностью конкретного человека. За время функционирования удостоверяющих центров к ним назрел целый ряд вопросов. Какова квалификация их сотрудников? А какова процедура идентификации? Она где-нибудь прописана, закреплена? Удостоверяющие центры не имеют возможности проверить действительность паспортов, которые им предъявляют. А уж то, что удостоверяющий центр вынужден выдавать квалифицированную электронную подпись по рукописной доверенности, – вот где успешно реализуемая основа для мошенничества!

Поэтому удостоверяющих центров не может быть 400 штук. Давайте посмотрим, сколько таких центров в других странах, например в Соединенных Штатах. Не больше пяти. Невозможно управлять 400–500 организациями, которые осуществляют деятельность, потенциально интересную для мошенников. Неизвестно, появились ли уже центры-однодневки, но при соответствующем объеме и это явление не заставит себя долго ждать.

Руководит деятельностью 400–500 удостоверяющих центров Министерство связи и массовых коммуникаций Российской Федерации, где работает 200–250 сотрудников. А ФСБ контролирует только техническую сторону: следит, чтобы у центров были сертифицированные средства, чтобы они действовали по соответствующим правилам. Причем в Минкомсвязи нет отдельной службы, которая отвечала бы за удостоверяющие центры, и неизвестно, есть ли специальный отдел. По крайней мере, по всем проблемам приходится общаться с департаментом, который занимается не только удостоверяющими центрами, но и многими другими вопросами. Они просто не могут справиться с проблемой удостоверяющих центров и электронной подписи хотя бы потому, что они гражданские лица, не понимающие криминальную психологию и не представляющие многообразие мошеннических схем.

А какую финансовую ответственность несут удостоверяющие центры за убытки, причиненные третьим лицам? В общей сложности около трех миллионов рублей. А какой регламент работы с запросами на проверку действительности электронной подписи? Сроки, в которые удостоверяющие центры должны предоставить соответствующую информацию, не прописаны. Поэтому количество удостоверяющих центров необходимо сокращать, жестко регламентировать их деятельность и очень тщательно их контролировать.

 Перенос акцента

Все вышеизложенное указывает на то, что с момента внедрения электронной подписи произошло серьезное смещение акцента. Сегодня проблемной представляется не техническая сторона, не математическая, а организационно-правовая. Возможно, организационно-правовые вопросы кажутся сложнее теперь, когда мы за прошедшие десять–шестнадцать лет преодолели технические трудности и теперь лицом к лицу столкнулись с правоприменительной практикой. Несомненно, техническая сторона по-прежнему остается интересной, но уже не первостепенной.

Сейчас первостепенны две вещи: закон об электронной подписи и выдача массовому клиенту фиксирующего документа о том, что он работал с определенными структурами – банками, реестрами и пр.

Материал подготовила
Анастасия Гаврилова

 

Темы:ФНСКриптографияэлектронная подписьГНИВЦ2016

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать