«Удостоверяющие центры — самое слабое звено». Как обезопасить себя от ЭЦП-мошенников?
Минкомсвязи признало, что закон об электронной цифровой подписи требует доработки, а эксперты считают, что корень проблемы — в удостоверяющих центрах, выдающих ЭЦП
Читать на полной версииОбновлено 30 мая в 14:30
Проблема есть — будем реагировать: в Минкомсвязи после запросов Business FM признали, что закон о цифровой подписи требует доработки. Оказалось, министерство уже готовит поправки в закон, причем нигде этого не афиширует. В Минкомсвязи считают, что необходимо ужесточить требования к удостоверяющим центрам.
В эфире Business FM уже звучали две истории, когда люди становились жертвами афер с электронной цифровой подписью. На жителя Подмосковья Павла мошенники оформили несколько фиктивных организаций с долгами. Квартиру же москвича Романа неизвестные подарили жителю Уфы. И то и другое было проделано с помощью флешки с ЭЦП без ведома пострадавших.
Таких электронных подписей каждый год в России выдается до 5 млн штук физлицам и до 3,5 тысячи — юридическим. По всей стране этим занимаются почти 500 удостоверяющих центров. Новые случаи мошенничества заставили регулятора задуматься об ужесточении регламента работы таких организаций.
В Минкомсвязи Business FM сообщили, что готовят поправки в закон об электронной подписи. В частности, в пункт 13 об удостоверяющих центрах. Ситуацию комментирует директор правового департамента Минкомсвязи России Роман Кузнецов.
— Сейчас мы во взаимодействии с депутатским сообществом планируем внести изменения в этот закон. Во-первых, передать полномочия по выдаче сертификата юридическим лицам в ФНС, забрав их у коммерческих удостоверяющих центров, во-вторых, существенно увеличить требования к собственным средствам удостоверяющих центров и к объемам финансового обеспечения ответственности. Мы взаимодействуем с сенаторами — это Турчак, Бокова. Собственно, они в ближайшее время, насколько нам известно, планируют внести законопроект с похожим содержанием.
— А процедуры идентификации каким-то образом регламентированы, прописаны, единообразны?
— Сейчас единообразно не прописаны. В том законопроекте, который я упомянул, мы вводим четыре способа такой идентификации. Один из них при личной явке и три — дистанционной идентификации.
Три дистанционных способа — это использование системы биометрической идентификации, старого квалифицированного сертификата, у которого не истек срок действия, а также удостоверяющих личность документов нового поколения, например загранпаспорта, где требуется отпечаток пальца.
При этом речи о том, чтобы приостановить выдачу ЭЦП хотя бы до принятия поправок, не идет, а возможно, и стоило бы. В цепочке ведомств и организаций, оформляющих цифровую подпись, именно удостоверяющие центры — самые ненадежные, отмечает директор АНО «Цифровые платформы» Арсений Щельцин.
Арсений Щельцин директор АНО «Цифровые платформы» «Краеугольный камень как раз в этих удостоверяющих центрах, что это не государственные структуры, а в основном коммерческие компании. Бывает, что в каких-то определенных массово регистрируются поддельные электронные цифровые подписи. Вот эти удостоверяющие центры — самое слабое звено. Потому что во всех остальных элементах все довольно-таки безопасно. Зарубежные ЭЦП чем отличаются? Там выдачу стараются производить государственные органы».
Сотрудник центра может вступить в сговор с мошенником либо допустить халатность, и вот флешка с подписью оформлена на ваше имя, а вы об этом и не знаете. О том, как легко оформить ЭЦП на кого угодно, Business FM уже рассказывала.
Успешный эксперимент провели журналисты петербургского портала 47news. Им удалось получить цифровую подпись на стороннего человека. Хоть какой-то реакции органов на подобную халатность сотрудников удостоверяющего центра до сих пор не последовало. Объясняется это в том числе и тем, что мошенничество с ЭЦП не прописано в уголовной практике. Отреагировали только в том же Минкомсвязи, там теперь проводят проверку.
Как рассказал замруководителя направления «Удостоверяющий центр» компании СКБ Контур Сергей Казаков, статья портала 47news некорректна. По его словам, компания не допустила мошенничества с цифровой подписью и сразу отозвала оформление сертификата, как только обнаружилось, что документы фальшивые.
В теории потребовать возмещения ущерба можно с самого центра. Такие организации соблюдают два требования: их чистые активы должны составлять не менее 7 млн рублей, а финансовое обеспечение ответственности за убытки — не менее 30 млн. Из этой суммы они и будут погашать ваш ущерб.
Если вы заподозрили неладное, все 500 центров обзванивать не надо. Следует обратиться в Минкомсвязи, назвать имя и номер СНИЛС, и вам сообщат, какие сертификаты на вас оформлены и когда.
Загвоздка в том, что открытого реестра цифровых подписей нет. Это настоящее раздолье для мошенников. Используя своих людей, они в теории могут оформить неограниченное число подписей на одного человека. Поэтому следует создать реестр, говорит президент ассоциации «Разработчики и операторы систем электронных услуг» Юрий Малинин.
Юрий Малинин президент ассоциации «Разработчики и операторы систем электронных услуг» «На текущий момент единого реестра, где бы гражданин мог проверить наличие электронных подписей, квалифицированных, которые оформлены на него, нет. Но все УЦ обязаны и дают информацию о выданных сертификатах, включая электронные подписи, через СМЭВ (систему межведомственного электронного взаимодействия), единую систему идентификации. Это государственная система, и в принципе вопрос с реестром может быть решен, если доработать ЕСИА на функции выдачи информации гражданам в их личном кабинете — какие подписи оформлены на него».
Эксперт добавил, что предложения Минкомсвязи отсылаются постоянно, однако конструктива пока не наблюдается. Известно лишь, что число коммерческих удостоверяющих центров будет сокращаться. В течение пары лет из этого бизнеса выйдут до половины организаций.