Доска почёта ЭЦП — egov.kz

Наш анализ мы начали, разумеется, с Портала Электронного правительства Республики Казахстан — egov.kz. Забегая вперёд, скажу, что было обнаружено два замечания жёлтого уровня [😐].

😐 Ограниченная поддержка носителей ключей ЭЦП

На egov.kz не получается подписывать электронные обращения (Автоматизированная услуга Электронные обращения) в том случае, если используется любой защищенный носитель ЭЦП на котором хранится несколько пар сертификатов. В этом случае пользовательский интерфейс портала просто зависает после выбора носителя вместо отображения окна с выбором сертификата.

При этом, при получении других услуг такой проблемы нет. О данной ситуации я сообщал в МЦРИАП РК ещё в конце мая этого года. Тогда мне порекомендовали выпустить ключи виде файлов на компьютере. Как видим, с тех пор ничего не изменилось.

Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken

Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.

Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.

😐 Проблемы с разграничением доступа на основании полномочий указанных в сертификате ключей ЭЦП для юридических лиц

На портале возможно получать ряд государственных услуг используя сертификат (регистрационное свидетельство) без каких-либо полномочий (без права подписи). Есть подозрение, что подписывать запрос на услугу от имени юридического лица должен иметь возможность только сотрудник с правом подписи.

В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка полномочий лица подписавшего документ (подпункт 7, пункта 6).

При выпуске ключей ЭЦП для сотрудников юридического лица можно указать, какие полномочия имеет владелец выпускаемых ключей (первый руководитель, сотрудник отдела кадров и т.д.).

Соответственно, при выполнении проверки ЭЦП необходимо также проверять и полномочия подписанта согласно данным, записанным в сертификате ключа ЭЦП. Если провести параллель с бумажным миром, вряд ли подпись рядового сотрудника, при отсутствии соответствующей доверенности, будет принята при сдаче отчётности в налоговый орган.

Отсутствие такой проверки хотя бы в одной информационной системе нашей страны ограничивает возможность выпуска организациями сертификатов для таких своих сотрудников, которым не требуется возможность подписывать документы от имени организации, но требуется подписывать документы в качестве сотрудников организации, например, внутренние наряд-задания на производстве.

Как следствие, у компаний пропадает стимул выпускать ключи ЭЦП для сотрудников, кроме как ЭЦП первого руководителя с соответствующими полномочиями и использовать только её. То есть, данная ситуация ограничивает возможности отечественных компаний в использовании ЭЦП для своих бизнес-процессов в рамках программы цифровизации.

Vladimir Turekhanov ・ December 19, 2020

 

вернуться