Под владельцем сертификата я имел ввиду лицо, на которое выпущен сертификат (SubjectName).
По закону ответственность УЦ предусмотрена — это ст. 13.22 КоАП РФ, но по факту система не работает, «левые» подписи выдаются и УЦ оказываются не виноватыми — это бред.
Вероятность вовлеченности УЦ в конфликт интересов («ваш пример с квартирой Дерипаски») сопоставима с аналогичной вероятностью, но в отношении нотариусов. Полностью исключить ее нельзя, но свисти к допустимому минимуму можно.
1. Документ удостоверяющий личность может быть как настоящий (или даже настоящий, просто незаконно выданый).
Такая проблема есть. Полностью защитить УЦ от мошенников нельзя. Тут может применяться принцип регрессии ответственности. УЦ отвечает за «левак» перед владельцем подписи, а сам в свою очередь взыскивает убытки с мошенников, которые его обманули.
УЦ обязательно должен нести ответственность за «левые» подписи, так как он по сути единственный инструмент защиты юридически значимого электронного документооборота. Кроме него просто некому обеспечить правомерность выдачи подписи.
Касательно ответственности УЦ — уже сейчас есть требования по капиталу, пусть не ярд, но то же вполне неплохо. Есть также лицензирование, аккредитация. Запустить УЦ для продажи квалифицированных ЭП сейчас мягко скажем не дешево, да и у государства есть все инструменты контроля.
Тут есть тонкий момент. Сейчас они говорят что Вася Пупкин из глухой сахалинской деревни лично пришел в УЦ Калиниграда и предъявил паспорт и завтра будут тоже самое говорить.
Поэтому в предложениях по исправлению проблемы № 1 есть фраза по фискальный видеорегистратор.
Разница в том, что банк рискует реальным активом, который ему добровольно доверил инвестор (вкладчик, владелец или государство). А УЦ может рисковать активом, который ему ни кто не доверял.
В точку. Сейчас УЦ не рискует ничем. Если же установить ответственность за выпуск «левых» подписей, то рисковать он будет. Активами будут уставной капитал, репутация руководителей, инвестиции в тех. средства.
Перенос ответственности на УЦ будет не страшнее переноса ответственности на банки за кражи денег с карт. В частности, по действующим нормам (п. 12 ст. 9 161-ФЗ), в случае кражи денег с карты банк обязан компенсировать ущерб клиенту.
Вообще очень странно, что дел по подделке КЭП до сих пор так мало.
По моим наблюдениям у преступников тоже есть своя «мода». То что вы сейчас видим, скорее всего является первой волной нового тренда.
Если УЦ будучи подвержен риску денежных компенсаций за выдачу «левых» подписей понимает, что выдача по доверенности слишком опасна, nj jн всегда может отказаться от этой деятельности или выработать дополнительные меры защиты.
Например, писать письма с запросом подтверждения регистрации КЭП (по крайней мере один федеральный гос. УЦ это уже делает), осуществлять выездную проверку, да и многое чего тут можно придумать.
Повторюсь, проблема идентификации личности стара как мир, но она в тоже время решаема, главное желание ее решать.
При всем этом обязательным условием будет обеспечение равноправия всех УЦ.
Т.е. ответственность за проведение почерковедческой экспертизы возложить на УЦ? :)
Именно так.
УЦ обязан отвечать за свои поступки. Выпуск «левой» ЭП должен чувственным образом бить по карману УЦ. Тут можно даже дополнительных требований к УЦ не вводить и оставить все на саморегулирование. Единственное, наделить УЦ правами в отказе выпуска ЭП.
Т.е. специалисты, например (в ПФР, МФЦ и т.д) не могут «распознать» подделку, а специалист в УЦ (с ЗП от 15 до 20 тыр.) обязан?
Я об этом уже писал. Требования идентификации должны быть усилены везде.
специалист в УЦ (с ЗП от 15 до 20 тыр.)
Если УЦ будет нести ответственность за выпуск «левой» подписи, то они согласно риск-ориентированному подходу будут принимать меры по обработке рисков. Среди которых скорее всего будут инвестиции в персонал, оборудование для проверки документов и другие средства обеспечения безопасности. В текущих реалиях им этого делать не нужно и соответственно мы имеет то, что имеем.
Перенос риска на УЦ за выпуск «левых» подписей не является чем-то ужасным. Банки при выдачи кредитов несут схожие риски и нечего, существуют уже тысячи лет.
Интересно, с помощью ваших фильтров можно отчистить воду из Москва-реки до состояния питьевой?
Было бы интересно, если в следующей статье специалист вашей компании, зачерпнул бы ведро воды, скажем рядом с Фрунзенской набережной, а затем с помощью фильтров (ну и возможно еще чего-нибудь) довел бы ее до питьевого состояния.
Так то оно так, но в прямых взаимоотношениях (без посредника), если одна из сторон пропустила «левую» доверенность, то она виновата сама, и в следующий раз контроль за доверенностями будет усилен.
В случае же с УЦ ситуация другая. Государство, через закон об ЭП заставляет доверять действиям УЦ и пострадавший никаким образом не может себя защитить.
В принципе, выпуск квалифицированных сертификатов по доверенности можно и разрешить, но законодательно перенести риск ответственности за выпуск сертификата по левым документам на УЦ, наделив последнего правом установки требованиям к доверенности.
Ситуация при которой УЦ делает невинные глазки и говорит, что мол злодеи дали левые документы, а мы хорошие и пушистые выпустили по ним сертификат, ни в какие ворота не лезет!
Выдача подписи на левых людей была, а УЦ не виноват и издержек не понес. Будь у него хоть 10 т.р., хоть 1 млрд. в текущих реалиях это значение не имеет.
Что касается проверки того, что некоторые УЦ «криво» выдают подписи, то с этим я сталкивался лично. Однажды я получил порядка 10 квалифицированных сертификатов ключей проверки электронной подписи не разу не предъявив оригинал паспорта, ни свой ни владельцев (получение по доверенности).
Подобное уже делали журналисты. Проблема идентификации клиентов УЦ уже известна довольно давно, но каких-либо внятных предложений (без «космоса» в виде «давайте закроем все УЦ») я не видел. Наверное было бы лучше сформулировать хабропредложение по модернизации законодательства, на базе этой статьи или каких-либо других идей, и уже его пропихивать в жизнь.
На мой взгляд чтобы решить проблему №1 с идентификацией гражданина, нужно сначала решить проблему паспортов,
С языка сняли!!! Хотел об этом отдельную тему написать, но статья и так очень большая получилась. В целом вы абсолютно правы. Все что связано с ЭП это просто первые этапы глобальной трансформации общества связанного с идентификацией и удостоверениями личностями. Текущий расклад это «мерседес» на деревянных колесах от телеги.
Опять же — если это принципиально, то можно не отказываться от УЦ, а только убрать у них обязанность опознания клиента, переложив эту функцию на МФЦ/МВД при выдаче паспорта.
Это и есть основная идея предлагаемых мер защиты. Только полностью исключать УЦ из идентификации нельзя, так как это породит свои уязвимости.
Выездные услуги — это запасной вариант, для тех кто не может приехать сам. Основной канал выдачи личная явка.
Для тех кому, подобная безопасность не требуется есть альтернативы — усиленная неквалифицированная электронная подпись. Там можно как угодно, по каким угодно доверенностям.
Представляете, сотрудники казначейства (или ФНС — планируется же ГосУЦ по законопроекту) будут ездить по организациям с журналами учета и выдавать сертификаты и (или) ключи ЭП :)
Это еще один камень в огород тех, кто хочет передать функции УЦ в гос. структуры. Выездные услуги для коммерческих УЦ вполне обыденная практика.
Не путайте пожалуйста подпись (ЭП), ключ ЭП, сертификат ключа проверки ЭП, это разные «сущности».
Тут наверное моя вина. В статье это все это упоминается как одна сущность — электронная подпись. Сделано это для снижения сложности материала. Но как известно добра без худо не бывает. В результате чего появляется подобная «юридическая расплывчатость».
Проблема защищенности «Госуслуг» не столько в авторизации, сколько в идентификации личности при активации учетной записи. Другими словами «Госуслуги» уязвимы к атак создания «левых» учеток на сторонних людей.
вряд-ли министр, депутат или глава лично придет получать сертификат
Как и везде VIP ломают всю систему безопасности :)
Им ехать не обязательно. Выездные услуги никто не отменял. Принципиальный момент именно в запрете выдачи по доверенности.
В целом согласен с вашим мнением. Хочу сделать лишь несколько ремарок
1. Защищенность гос. услуг сильно переоценина… Хотели как-то сделать «Госуслуги» (ЕСИА) резервным каналом для восстановления пролей в Интернет КБ для физ. лиц. Провели несколько натурных экспериментов в части регистрации уч. записей в этом сервисе… пришли к выводу что ну его «в баню». Качество идентификации личности, защищенность от левых авторизаций просто никакая. Грубо — уровень салона сотовой связи. Регистрацию ЭП через ЕСИА пока делать нельзя — слишком дырявая система.
2. Регистрация по нотариальной доверенности в целом допустима. По крайней мере будет значительно безопасней чем сейчас. Но в общем случае практика выдачи удостоверений личности по доверенностям порочна.
3. Требование увеличения уставного капитала УЦ до 1 млрд. к защищенности обладателей подписи не имеет абсолютно ни какого отношения. В текущей схеме и так есть требования к капиталу, однако оно как средство защиты не работает. Кражи квартир с помощью ЭП есть, штрафов к УЦ нет.
По закону ответственность УЦ предусмотрена — это
ст. 13.22 КоАП РФ, но по факту система не работает, «левые» подписи выдаются и УЦ оказываются не виноватыми — это бред.
Такая проблема есть. Полностью защитить УЦ от мошенников нельзя. Тут может применяться принцип регрессии ответственности. УЦ отвечает за «левак» перед владельцем подписи, а сам в свою очередь взыскивает убытки с мошенников, которые его обманули.
УЦ обязательно должен нести ответственность за «левые» подписи, так как он по сути единственный инструмент защиты юридически значимого электронного документооборота. Кроме него просто некому обеспечить правомерность выдачи подписи.
Поэтому в предложениях по исправлению проблемы № 1 есть фраза по фискальный видеорегистратор.
В точку. Сейчас УЦ не рискует ничем. Если же установить ответственность за выпуск «левых» подписей, то рисковать он будет. Активами будут уставной капитал, репутация руководителей, инвестиции в тех. средства.
Перенос ответственности на УЦ будет не страшнее переноса ответственности на банки за кражи денег с карт. В частности, по действующим нормам (п. 12 ст. 9 161-ФЗ), в случае кражи денег с карты банк обязан компенсировать ущерб клиенту.
По моим наблюдениям у преступников тоже есть своя «мода». То что вы сейчас видим, скорее всего является первой волной нового тренда.
Например, писать письма с запросом подтверждения регистрации КЭП (по крайней мере один федеральный гос. УЦ это уже делает), осуществлять выездную проверку, да и многое чего тут можно придумать.
Повторюсь, проблема идентификации личности стара как мир, но она в тоже время решаема, главное желание ее решать.
При всем этом обязательным условием будет обеспечение равноправия всех УЦ.
Именно так.
УЦ обязан отвечать за свои поступки. Выпуск «левой» ЭП должен чувственным образом бить по карману УЦ. Тут можно даже дополнительных требований к УЦ не вводить и оставить все на саморегулирование. Единственное, наделить УЦ правами в отказе выпуска ЭП.
Я об этом уже писал. Требования идентификации должны быть усилены везде.
Если УЦ будет нести ответственность за выпуск «левой» подписи, то они согласно риск-ориентированному подходу будут принимать меры по обработке рисков. Среди которых скорее всего будут инвестиции в персонал, оборудование для проверки документов и другие средства обеспечения безопасности. В текущих реалиях им этого делать не нужно и соответственно мы имеет то, что имеем.
Перенос риска на УЦ за выпуск «левых» подписей не является чем-то ужасным. Банки при выдачи кредитов несут схожие риски и нечего, существуют уже тысячи лет.
Было бы интересно, если в следующей статье специалист вашей компании, зачерпнул бы ведро воды, скажем рядом с Фрунзенской набережной, а затем с помощью фильтров (ну и возможно еще чего-нибудь) довел бы ее до питьевого состояния.
В случае же с УЦ ситуация другая. Государство, через закон об ЭП заставляет доверять действиям УЦ и пострадавший никаким образом не может себя защитить.
В принципе, выпуск квалифицированных сертификатов по доверенности можно и разрешить, но законодательно перенести риск ответственности за выпуск сертификата по левым документам на УЦ, наделив последнего правом установки требованиям к доверенности.
Ситуация при которой УЦ делает невинные глазки и говорит, что мол злодеи дали левые документы, а мы хорошие и пушистые выпустили по ним сертификат, ни в какие ворота не лезет!
С судами все плохо. Посмотрите судебные решения в блоге Натальи Храмцовой.
rusrim.blogspot.com/2019/06/1_1.html
rusrim.blogspot.com/2019/06/2_2.html
Выдача подписи на левых людей была, а УЦ не виноват и издержек не понес. Будь у него хоть 10 т.р., хоть 1 млрд. в текущих реалиях это значение не имеет.
Что касается проверки того, что некоторые УЦ «криво» выдают подписи, то с этим я сталкивался лично. Однажды я получил порядка 10 квалифицированных сертификатов ключей проверки электронной подписи не разу не предъявив оригинал паспорта, ни свой ни владельцев (получение по доверенности).
С языка сняли!!! Хотел об этом отдельную тему написать, но статья и так очень большая получилась. В целом вы абсолютно правы. Все что связано с ЭП это просто первые этапы глобальной трансформации общества связанного с идентификацией и удостоверениями личностями. Текущий расклад это «мерседес» на деревянных колесах от телеги.
Это и есть основная идея предлагаемых мер защиты. Только полностью исключать УЦ из идентификации нельзя, так как это породит свои уязвимости.
Для тех кому, подобная безопасность не требуется есть альтернативы — усиленная неквалифицированная электронная подпись. Там можно как угодно, по каким угодно доверенностям.
Это еще один камень в огород тех, кто хочет передать функции УЦ в гос. структуры. Выездные услуги для коммерческих УЦ вполне обыденная практика.
Тут наверное моя вина. В статье это все это упоминается как одна сущность — электронная подпись. Сделано это для снижения сложности материала. Но как известно добра без худо не бывает. В результате чего появляется подобная «юридическая расплывчатость».
Как и везде VIP ломают всю систему безопасности :)
Им ехать не обязательно. Выездные услуги никто не отменял. Принципиальный момент именно в запрете выдачи по доверенности.
1. Защищенность гос. услуг сильно переоценина… Хотели как-то сделать «Госуслуги» (ЕСИА) резервным каналом для восстановления пролей в Интернет КБ для физ. лиц. Провели несколько натурных экспериментов в части регистрации уч. записей в этом сервисе… пришли к выводу что ну его «в баню». Качество идентификации личности, защищенность от левых авторизаций просто никакая. Грубо — уровень салона сотовой связи. Регистрацию ЭП через ЕСИА пока делать нельзя — слишком дырявая система.
2. Регистрация по нотариальной доверенности в целом допустима. По крайней мере будет значительно безопасней чем сейчас. Но в общем случае практика выдачи удостоверений личности по доверенностям порочна.
3. Требование увеличения уставного капитала УЦ до 1 млрд. к защищенности обладателей подписи не имеет абсолютно ни какого отношения. В текущей схеме и так есть требования к капиталу, однако оно как средство защиты не работает. Кражи квартир с помощью ЭП есть, штрафов к УЦ нет.
Можно. Этот вариант имеет право на жизнь. По сравнению с ограничениями хранящимися в сертификате он более гибкий, но и более дорогой в реализации.