Доска почёта ЭЦП — elicense.kz
Вслед за анализом портала egov.kz, разберём ещё один государственный сайт — elicense.kz. Он был создан с целью автоматизации процессов лицензирования и получения разрешительных документов. Как и в случае с порталом электронного правительства РК, обнаружено два замечания. Но, в отличие от предыдущего анализа, тут одно замечание жёлтого уровня [😐], а другое — красного [🤬] (об уровнях).
😐 Проблемы с разграничением доступа на основании полномочий, указанных в сертификате ключей ЭЦП для юридических лиц
На портале электронного лицензирования РК не реализован контроль доступа к данным юридического лица на основании полномочий, указанных в сертификате (регистрационном свидетельстве) использованном для аутентификации. В результате, достаточно иметь сертификат сотрудника юридического лица без каких либо полномочий (в частности, без права подписи документов) для того, чтобы пройти аутентификацию и просмотреть все размещённые на нем материалы данного юридического лица. А там есть не только полученные юридическим лицом лицензии, но и вся документация, необходимая для получения этих лицензий, которая может носить конфиденциальный характер (к примеру, финансовые документы).
В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка полномочий лица подписавшего документ (подпункт 7, пункта 6).
При выпуске ключей ЭЦП для сотрудников юридического лица можно указать, какие полномочия имеет владелец выпускаемых ключей (первый руководитель, сотрудник отдела кадров и т.д.).
Соответственно, при выполнении проверки ЭЦП необходимо также проверять и полномочия подписанта согласно данным, записанным в сертификате ключа ЭЦП. Если провести параллель с бумажным миром, вряд ли подпись рядового сотрудника, при отсутствии соответствующей доверенности, будет принята при сдаче отчётности в налоговый орган.
Отсутствие такой проверки хотя бы в одной информационной системе нашей страны ограничивает возможность выпуска организациями сертификатов для таких своих сотрудников, которым не требуется возможность подписывать документы от имени организации, но требуется подписывать документы в качестве сотрудников организации, например, внутренние наряд-задания на производстве.
Как следствие, у компаний пропадает стимул выпускать ключи ЭЦП для сотрудников, кроме как ЭЦП первого руководителя с соответствующими полномочиями и использовать только её. То есть, данная ситуация ограничивает возможности отечественных компаний в использовании ЭЦП для своих бизнес-процессов в рамках программы цифровизации.
🤬 Не выполняется проверка статуса отзыва сертификата
Портал электронного лицензирования РК позволяет проходить аутентификацию по отозванному сертификату.
В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка регистрационного свидетельства на отозванность (подпункт 2, пункта 6).
Для чего производится отзыв сертификата ключей ЭЦП? Например, если сотрудник юридического лица увольняется из организации. Или если владелец ключей ЭЦП подозревает, что посторонние могли получить доступ к закрытым ключам его ЭЦП.
К чему это может привести? Ключом ЭЦП может воспользоваться лицо, не уполномоченное владельцем ЭЦП на совершение действий от его имени (посторонний).
Кроме того, по моему мнению, если проверка ЭЦП совершена с нарушением законодательства РК, данная подпись не является юридически значимой, разумеется, с соответствующими юридическими последствиями.
В соответствии с пунктом 7 того же приказа, техническая реализация проверки подлинности ЭЦП и регистрационного свидетельства возлагается на информационную систему. Т.е. корректная проверка подлинности ЭЦП — обязанность собственника информационной системы.
Vladimir Turekhanov ・ December 21, 2020