вторник, 21 мая 2019 г.

Сертификат и ключи усиленной электронной подписи можно получить без ведома владельца


В последние дни в российской прессе активно обсуждается новость, вышедшая под громкими заголовками. Вот только некоторые из них:
Суть истории в каждой новости изложена по-своему, но стабильно упоминаются несколько следующих важных моментов:
  • Был оформлен договор дарения московской квартиры в простой письменной форме;

  • Комплект документов для перерегистрации права собственности был подан в Росреестр в электронном виде и подписан сторонами сделки своими усиленными электронными подписями;

  • Участники сделки в настоящее время заявляют, что договор дарения не заключали;

  • Участники сделки заявили также, что никаких усиленных электронных подписей у удостоверяющем центре не получали и для подписания документа для подачи в Росреестр не использовали.
Ключевым в данной истории является вопрос о том, в каком удостоверяющем центре были получены усиленные электронные подписи участников сделки с недвижимостью, и кто вместо них их получил.

К сожалению, до сих пор процедура взаимодействия с удостоверяющими центрами при оформлении усиленных электронных подписей предоставляет возможность получить ключевой носитель не лично гражданину, а любому уполномоченному им лицу, который может предъявить простую письменную доверенность. И эту брешь в срочном порядке нужно закрывать, поскольку это не далеко первый и вряд ли последний случай неправомерного использования УКЭП.

За эти дни три телекомпании связались со мной и попросили меня прокомментировать ситуацию. Соответствующие видеофрагменты (в среднем из 20 минут беседы в эфир пошла дай бог одна :)) можно посмотреть в сети:
Источник: Сайт РЕН ТВ / сайт НТВ / сайт Москва 24

2 комментария:

  1. Анонимный21 мая 2019 г., 16:50

    вероятно, получить подпись за другого можно довольно легко почти в любом УЦ - вот здесь журналисты сделали "контрольную закупку", удалось в одном из самых известных УЦ, в СКБ Контур - http://47news.ru/articles/156549/ о_О

    Наталья, может, дело в том, что в ФЗ об ЭП №63 нет чётких требований по проверке документов, как итог наверняка нельзя такому пользователю привлечь УЦ в суде с возмещением ущерба (вы знаете о таких случаях?)? Если бы была законодательная база нормальна, тогда была бы и возможность реальной ответственности УЦ перед заявителями, тогда УЦ бы боясь понести убытки сами следили но-нормальному за своей технологией идентификации (а лучше, если бы за УЦ следила страховая компании , так же боясь понести убытки).

    в проекте редакции ФЗ об ЭЦП ничего принципиально в этом плане не изменилось увы
    https://regulation.gov.ru/projects#npa=79636. В попытке ограничить количество УЦ почему-то не подумали, что при отсутствии правил работы, нарушать будут хоть 5, хоть 10, хоть 100 УЦ.

    что думаете?

    ОтветитьУдалить
    Ответы
    1. На мой взгляд, эта проблема многоплановая. Для её решения нужен целый комплекс мер: сокращение числа УЦ до разумного минимума, ужесточение правил получения сертификатов на уровне законодательства, увеличение пределов материальной ответственности УЦ, создание централизованного реестра сертификатов и системы оповещения граждан о выдачи сертификатов на их имя, ужесточение наказаний для мошенников и разгильдяев, распространение среди масс минимальных знаний о технологии ЭЦП и о мерах предосторожности и т.д. – но нужно понимать, что 100% безопасности никогда не будет, как её никогда не было и в бумажной среде.

      Первостепенная задача, с моей точки зрения, – сделать атаки настолько дорогостоящими, а последствия поимки настолько болезненными, чтобы пропала всякая охота атаковать даже представителей среднего класса. Ну а миллиардеры, думаю, как-нибудь сумеют за себя постоять :)

      Обязательно будут выявляться новые технические, правовые и организационные уязвимости, и здесь важно наладить систему быстрого реагирования на них. Закрывать дыры в законодательстве нужно столь же быстро, как Windows патчит свою операционную систему.

      Нужно также заставить энтузиастов ИТ-технологий поумерить свою прыть во внедрении потенциально опасных технологий, таких, как очень модная идея удалённого подписания документов усиленными подписями на сервере.

      Удалить