Электронная биржа труда — проект АО «Центр развития трудовых ресурсов». Единственным акционером данного акционерного общества является Министерство труда и социальной защиты населения Республики Казахстан.
При анализе обнаружено два замечания жёлтого уровня [😐] и одно красного [🤬] (об уровнях).
Электронная биржа труда поддерживает работу только с ключами ЭЦП, хранящиеся в виде обычных файлов на компьютере. Работа защищённых носителей ключей ЭЦП не поддерживаются.
Ключи ЭЦП можно хранить в разных местах. Например:
- Файлы на компьютере
- Удостоверение личности гражданина РК
- KAZTOKEN
- JaCarta
- Хранилище ключей Java
- AKEY
- eToken5110
- eToken
Из всех вышеперечисленных, наименее защищённым является хранение ключей ЭЦП в файлах на компьютере. О соответствующем риске говорится в личном кабинете Национального удостоверяющего центра Республики Казахстан при выпуске ЭЦП.
Напомню, закрытый ключ, должен храниться в строжайшем секрете. В идеале, никогда, ни при каких обстоятельствах не покидать устройство, где он был создан и хранится. Об этом подробнее можно прочитать в одной из моих статей из цикла «Цифровая гигиена»: ЭЦП, SMS и много других непонятных слов. Я, например, выпускаю свои ключи ЭЦП (как личные, так и служебные) в своём устройстве KAZTOKEN и, соответственно, храню их там же.
При работе с файловыми хранилищами используется нестандартная криптографическая библиотека. Т.е. вместо взаимодействия в части криптографических операций с NCALayer’ом, интернет-ресурс использует сторонние решения средств электронной цифровой подписи.
Если решение NCALayer уже достаточно устоявшееся и проверенное, то как себя поведут сторонние криптографические библиотеки — неизвестно. Может они работают вполне корректно, а может копируют закрытый ключ пользователя куда-то к себе в облако.
Согласно статьи 11 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи» (далее — Закон), средства электронной цифровой подписи подлежат подтверждению соответствия в случаях и порядке, установленных законодательством Республики Казахстан в области технического регулирования.
Из открытых источников не удалось выяснить о наличии либо об отсутствии подтверждения соответствия используемых средств электронной подписи.
Согласно разъяснения МЦРИАП РК о наличии ответственности в случае использования в информационной системе (на интернет-ресурсе) средств электронной цифровой подписи, не прошедших подтверждение соответствия в установленном порядке, приведённого в письме №01–3–4–27/ЗТ-Т–682 от 08.01.2021 в адрес ОЮЛ «Казахстанская ассоциация автоматизации и робототехники», частью 1 статьи 415–1 Кодекса об административных правонарушениях Республики Казахстан предусмотрена ответственность за нарушения законодательства Республики Казахстан об аккредитации в области оценки соответствия при проведении аккредитации, процедур подтверждения и (или) оценки соответствия, поверки средств измерений, установленных техническими регламентами, нормативными правовыми актами и документами по стандартизации.
Исходя из Инструкции для работодателей по заключению электронных трудовых договоров на портале Электронная биржа труда (www.enbek.kz), для подписания необходимо выбирать сертификат аутентификации (стр. 17):
После выйдет сообщение о том, что при подписании с ЭЦП необходимо выбрать ключ AUTH…. Необходимо нажать на кнопку «ОК».
В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка области использования ЭЦП регистрационного свидетельства (подпункт 3, пункта 6).
В частности, сертификаты для аутентификации не подходят для подписания электронных документов. Если электронный документ подписан ключом ЭЦП для аутентификации, то такой документ не имеет юридической силы, т.к. подпись выполнена с нарушением законодательства РК. Возможные последствия, думаю, понятны без дополнительного пояснения.
Vladimir Turekhanov ・ January 25, 2021