Новости цифровой осени 2019

Граждане спрашивают меня о том, что я думаю о ряде новшеств, анонсированных недавно по теме оказания государственных услуг в электронном виде. Уж не знаю, цикл Цифровая гигиена их к этому подтолкнул или что-то другое. Так или иначе, ниже озвучиваю своё скромное мнение в специальном выпуске цикла.

Налоги

Первое, о чём я узнал из новинок цифровой осени — это уведомление о предстоящих налоговых платежах на имущество, землю и транспорт через SMS. Что я могу сказать по этому поводу? Отлично! Главное, чтобы в соответствующих базах данных была актуальная информация.

Но ещё более крутая вещь, которую удалось реализовать нашим государственным органам совместно с банками — это проверка и оплата налогов по ИИН. Больше никаких данных не нужно: ни кода налогового органа, ни кода бюджетной классификации, ни кода назначения платежа. Наконец-то! Естественно, немедленно решил проверить, как это работает.

К сожалению, оплатить не удалось, т.к. на момент проверки оплачивать оказалось нечего. Ну, ничего страшного, подожду немного. :-)

eGov mobile

Существенное расширение функционала мобильного приложения для получения государственных услуг напрашивалось давно. Как минимум, в части выпуска, отзыва ключей ЭЦП и упрощение входа по ключам ЭЦП. Однако, в МЦРИАП РК решили выпустить новое приложение, сохранив работоспособность и старого. Тоже нормальный подход. Что сказать по поводу нового приложения? Впечатления неоднозначные.

Малый перечень услуг, но это не критично. Думаю, что расширить их перечень не составит большой сложности. Скорее всего, на это пошли намеренно, пока приложение находится на этапе тестирования.

Вход в личный кабинет egov.kz и получение услуг посредством ЭЦП, наконец-то, упрощены. Причём, без особого ущерба для информбезопасности граждан. Подтвердить подписание электронного документа ЭЦП теперь можно отпечатком пальца или лицом. Разумеется, сделать это можно на мобильных устройствах Apple, поддерживающих Touch ID или Face ID, соответственно. Работает ли что-то подобное на устройствах других производителей, не знаю: не на чем проверять.

ВАЖНО! Электронный документ по-прежнему подписывается ЭЦП. Отпечаток пальца или лицо лишь даёт приложению подтверждение, что это действительно вы, а дальше приложение считывает пароль от ваших ключей ЭЦП из защищённого хранилища устройства и выполняет собственно подписание электронного документа вашей ЭЦП.

Войти в приложение с использованием ЭЦП и Face ID, если срок действия ключа ЭЦП истёк, не получится. Может быть это как-то можно сделать, но у меня быстро найти решение не получилось. Оказалось, что проще переустановить приложение.

К сожалению, не могу разделить восторга по поводу функции выпуска новых ключей ЭЦП. Функция такая есть, но её реализация, мягко говоря, пробуждает желание написать письмо в Генеральную прокуратуру РК о наличии признаков преступной халатности. В очередной раз государство говорит нам об удобстве, умалчивая о рисках, связанных с этим удобством. Но обо всём по порядку.

В анонсе нового приложения говорилось о том, что теперь отправить заявку на выпуск и продление ЭЦП можно прямо из приложения. Хочется верить, что это действительно так, но, посмотрев инструкции, проверять не стал.

Ключи ЭЦП собираются высылать по электронной почте. Вот так просто. Отправить по электронной почте, в том числе, закрытые ключи ЭЦП гражданина. Ключи, которые, по хорошему, не должны покидать устройство, на котором были сгенерированы (подробнее об этом здесь), отправляют по электронной почте, т.е. по всеми признанному небезопасным каналу.

Чаще всего электронная почта передаётся от сервера к серверу в открытом (незашифрованном) виде. И, бывает, чтобы достичь конечного сервера, письмо проходит через несколько промежуточных. Как вы понимаете, на любом из них можно ознакомиться с содержимым письма.

Не секрет, что наши граждане предпочитают пользоваться иностранными сервисами электронной почты, такими как Mail.Ru, Gmail и т.д. Получается, государство готово отправлять критически важную информацию наших граждан за пределы страны и, более того, указывает это в своих инструкциях. Т.е., по мнению уполномоченного государственного органа: всё в порядке, это нормально. Даже раздача ключей ЭЦП на CD-дисках, по моему, была более безопасной, чем вот это вот всё. Очень интересна позиция Комитета информационной безопасности МЦРИАП РК по этому поводу и, вообще, в курсе ли они таких «гениальных» решений своих коллег?

Да, получить доступ к электронной почте гражданина надо ещё постараться, но это не есть что-то невыполнимое как для хакеров, так и для спецслужб страны, где размещён соответствующий сервис электронной почты.

Да, закрытые ключи зашифрованы паролем, который придумал сам гражданин, оформляя заявку на выпуск ключей. Но, имея доступ к файлу с ключами, подобрать несложный пароль даже методом перебора — дело техники. Надеюсь, не нужно отдельно пояснять, что подавляющее большинство наших граждан, несмотря на неоднократные предостережения, устанавливают именно несложные пароли, чтобы не забыть их.

Госуслуги и соцсети

Теперь боты для получения государственных услуг есть не только в Telegram’е, но и в Facebook, и в ВКонтакте.

Удобно ли это для граждан? Безусловно! Но это, как я уже говорил ранее, по моему мнению, незаконно. Да и с трансграничной передачей персональных данных как-то не очень получилось.

На этом месте, во время написания статьи, у меня в голове возникли риторические вопросы: «Вправе ли государство требовать от граждан соблюдать законодательство, если само постоянно его не соблюдает?», «Не является ли хроническое нарушение законодательства государством той самой искрой, из которой что-то может разгореться?».

Отмена адресной справки

Идея отличная. Незачем гос. органам требовать от граждан то, к чему можно получить доступ самостоятельно с согласия самого гражданина.

Какой будет реализация? Не знаю. Весной, когда Аскар Жумагалиев анонсировал в Facebook отмену адресной справки, один из пришедших на ум вопросов я озвучил прямо в комментариях: про требование к гражданину РК предоставить адресную справку со стороны иностранных учреждений.

Пару вопросов возникло вот прямо сейчас, в процессе написания статьи:

1. Как быть, если гражданин не зарегистрировал номер своего мобильного телефона в соответствующей базе данных (предполагалось получать согласие по SMS)?
2. Смогли ли реализовать удобный механизм для адвокатов, юридических консультантов и частных судебных исполнителей? Уверен, им для своей работы очень часто нужно знать адрес постоянной регистрации гражданина.

Наверняка были другие вопросы и спорные моменты. Уверен, все их можно решить, поэтому тут больше вопрос в том, всё ли предусмотрели при реализации отмены адресной справки? Действительно ли предложенный механизм окажется удобнее предоставления гражданином адресной справки? Ответы мы узнаем совсем скоро, 1 ноября на пороге. Да и зима близко. Но это уже совсем другая история.

← Цифровые внутренности документов | Содержание | Цена беспечности →