Комментарий по облачной ЭЦП

Этот комментарий я подготовил более месяца назад по запросу одного казахстанского СМИ. Там собирались публиковать статью на тему казахстанской облачной ЭЦП. К сожалению, насколько мне известно, статья так и не увидела свет, поэтому решил опубликовать сам, в авторском варианте.

Для того, чтобы дать комментарий к сложившейся ситуации, попробуем сначала разобраться в различиях между существующей реализацией ЭЦП в нашей стране (с использованием NCALayer), когда закрытые ключи ЭЦП хранятся только у их владельцев и, так называемой, «облачной ЭЦП», предполагающей хранение закрытых ключей ЭЦП в удостоверяющем центре.

В существующей реализации подписание происходит локально, на устройстве лица, подписывающего документ. При этом, для подписания не требуется передавать подписываемый документ куда-либо через интернет или по иным сетям телекоммуникаций. Закрытый ключ также хранится локально (в виде файла или на специальном защищённом устройстве). ВАЖНО! При создании ключей ЭЦП, закрытый ключ не передаётся в удостоверяющий центр. А при использовании специальных защищённых устройств (например, Казтокен), никогда не покидает этого устройства и не передаётся даже на компьютер пользователя.

При использовании «облачной ЭЦП», открытый и закрытый ключи, судя по соответствующим новым нормам законодательства, будут храниться в удостоверяющем центре. Владелец ЭЦП не знает наверняка, что происходит с ключами его ЭЦП, какие документы подписываются ими. Ему вряд ли удастся доказать, что документ был подписан без его ведома, если это произойдёт: в споре гражданина с государством чаще всего побеждает государство. Кроме того, для подписания необходимо будет передать подписываемый документ на сервер удостоверяющего центра. При этом, сам документ может содержать конфиденциальную информацию, коммерческую, банковскую либо иную тайну.

Да, NCALayer раньше не отличался стабильностью и удобством, но за последний год ситуация значительно улучшилась. Так, например, больше не нужно устанавливать дополнительных программ для доступа к кабинету налогоплательщика либо на портал электронных счетов фактур, как это было раньше, достаточно просто активировать соответствующий модуль в настройках NCALayer. Существенно улучшена работа с внешними защищёнными хранилищами ключей ЭЦП (токенами). Было создано новое мобильное приложение, превосходящее по всем параметрам предыдущее.

Будет ли использование «облачной ЭЦП» удобнее существующей? Вполне вероятно, что для пользователя это будет удобнее, но на этот вопрос однозначно сейчас ответить нельзя, т.к. правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре ещё не утверждены. Но, исходя из самих принципов работы «облачной ЭЦП», точно можно сказать, что дополнительные угрозы информационной безопасности это принесёт.

По моему мнению, вместо экспериментов с новыми направлениями, что предсказуемо приведёт к распылению ресурсов (человеческих, денежных, временных), разумней было бы продолжать доведение до ума существующих. И, как я уже говорил ранее, хоть в этом направлении имеются заметные успехи, там ещё есть над чем работать.

Но интересна и другая сторона вопроса. Как поправки, касающиеся «облачной ЭЦП» попали в законопроект «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий»? Изначально их там не было.

Т.е. согласование данного законопроекта с государственными органами и Национальной палатой предпринимателей РК «Атамекен» (НПП РК) проходило без этих поправок. Другими словами, поправки об «облачной ЭЦП» не были согласованы с НПП РК. Более того, насколько мне известно, имеется отрицательное заключение по ним, официально направленное от НПП РК в Мажилис Парламента РК, сразу же, как стало известно об их появлении.

А появились они уже в ходе обсуждения законопроекта в Мажилисе Парламента РК, на заседании соответствующей рабочей группы 16 апреля 2020 года, по инициативе депутата Мажилиса Парламента РК Айсиной Майры Араповны.

Это предложения ввести новые нормы в Закон Республики Казахстан «Об электронном документе и электронной цифровой подписи» следующего содержания:

Статья 5. Компетенция уполномоченных органов
1. Уполномоченный орган в сфере информатизации:
«13–3) утверждает правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре;»

Статья 10. Использование электронной цифровой подписи
2. «Допускается хранение закрытых ключей электронной цифровой подписи в удостоверяющем центре в соответствии с правилами создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре, утвержденными уполномоченным органом в сфере информатизации.»

Статья 21. Функции удостоверяющего центра
«2. Удостоверяющий центр обязан принимать все необходимые меры для предотвращения утери, модификации и подделки находящихся на хранении открытых ключей и (или) закрытых ключей электронной цифровой подписи.»

Статья 21. Функции удостоверяющего центра
«6. Удостоверяющий центр вправе хранить закрытые ключи электронной цифровой подписи в соответствии с правилами создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре, утвержденными уполномоченным органом в сфере информатизации.».

В качестве обоснования, депутатом Айсиной М.А., в частности, приводилось следующее: «В случае хранения закрытого ключа на физическом устройстве на каждом из таких устройств будут хранится ЭЦП владельца, что множит риски утраты и утери».

То, что владелец ЭЦП потеряет свой один, несколько или даже все ключи не идёт ни в какое сравнение с риском утечки закрытых ключей из удостоверяющего центра. Как раз разрешение хранить закрытые ключи в удостоверяющем центре многократно множит риски для граждан, пользующихся таким удостоверяющим центром. С применением каких бы то ни было «защитных механизмов защиты, а также установленного порядка доступа владельца к ключу программных средств аутентификации и идентификации личности владельца, в том числе, с использованием биометрической верификации», не исключается возможность компрометации информационной системы удостоверяющего центра, как внешней (взлом), так и внутренней (злоупотребление служебным положением).

Представим, что в сеть утекут закрытые ключи всех казахстанцев, как это не так давно произошло с персональными данными 11 млн. избирателей. Последствия могут быть просто устрашающими, причём, как для физических, так и для юридических лиц и, как следствие, для государства в целом.

Контраргумент, что взлом либо злоупотребление служебным положением, в данном случае — уголовно наказуемые деяния, мягко говоря, слабый. Вспомним, как МВД РК прекратило производство по уголовному делу о вышеуказанной утечке персональных данных: «в ходе расследования в сети интернет указанные сведения с данными гражданами РК не обнаружены».

Не знаю, как вам, но мне не верится, что депутат Айсина самостоятельно подготовила эти поправки. А кто же стоит за этим, спросите вы? Достоверно мне неизвестно, но, обычно, в таких случаях надо искать того, кому это выгодно. Например, тому, кто сразу же во всеуслышание заявил о новых возможностях и о планах реализовать их уже к концу лета. И, как обычно, в этих заявлениях громко говорится о возможных плюсах, но ничего о минусах. Что это, как не попытка ввести в заблуждение граждан нашей страны? Желание собрать лайки на хайпе?

Судя по тому, как в последнее время в законопроектной работе «внимательно» прислушиваются к мнению профессионалов, с большой долей вероятности «облачную ЭЦП» внедрят. Так вот, когда (не «если», а именно «когда») с ней начнутся серьёзные проблемы, знайте кого благодарить за это: Майру Араповну и «тех, кто стоит за этим».

Ну и напоследок, согласно пункту 1 статьи 21 Закона Республики Казахстан от 6 апреля 2016 года №480-V ЗРК «О правовых актах»:

Если для реализации содержащихся в проекте закона норм права необходимо принятие подзаконных нормативных правовых актов (если такая необходимость отсутствует, то это указывается в сопроводительном письме), к проекту закона прилагаются проекты подзаконных нормативных правовых актов. В случае если разработка проекта подзаконного нормативного правового акта относится к компетенции другого государственного органа, то данный государственный орган представляет соответствующий проект подзаконного нормативного правового акта органу-разработчику.

Как видим, исходя из предложений депутата Айсиной, предполагалось принятие подзаконного нормативного правового акта, а именно: Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре. Насколько мне известно, проект этого документа не был приложен к поправкам депутата. А если так, то, по моему мнению, был нарушен порядок согласования проекта закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий».

Получается, принятие закона было совершено с нарушением законодательства Республики Казахстан?

Vladimir Turekhanov ・ July 20, 2020

 

← вернуться