воскресенье, 18 октября 2015 г.

Арбитражная практика: Программное обеспечение и требования, предъявляемые к средствам криптографической защиты информации (СКЗИ)


Поговорка «Что имеем, не храним, потерявши - плачем» хорошо отражает ситуацию с несанкционированным списанием денежных средств со счетов организаций при использовании систем дистанционного банковского обслуживания. Часто только после кражи денег организации задаются вопросом о том, насколько надежно было защищено их электронное взаимодействие с банком.

Поскольку, как правило, средства криптографической защиты информации (СКЗИ) предоставляются кредитными организациями, именно к ним и предъявляются претензии.

Арбитражный суд Калининградской области рассмотрел в июне 2014 года дело № А21-1000/2014, в котором два общества пытались доказать, что предоставленное банком программное обеспечение не соответствовало требованиям, предъявляемым к средствам криптографической защиты информации.

Суть спора

В ОАО «Банк ВТБ» по каналам системы «Клиент-Банк» 25 марта 2013 года в 13 час. 30 мин. по московскому времени поступило два платежных поручения:
  • от ООО «Капитан Немо» на 650,6 тысяч рублей, получателем платежа по которому являлось ООО «Балт Авто».  Платежное поручение было исполнено в 16 часов 36 минут;

  • от ООО «КАПИТАН» на сумму 200,5 тысяч рублей, получателем платежа по которому являлось ООО «Балт Авто». Поручение было исполнено в 16 часов 35 минут.
Общества в обоснование исковых требований указали, что волеизъявление обществ на перечисление денежных средств третьему лицу отсутствовало, договорных отношений с ним у них не было, никаких платежных поручений для перечисления денежных средств в банк они не направляли; действия неустановленных лиц по списанию денежных средств с расчетных счетов обществ стали возможны в результате недостатков в системе защиты предоставленной банком услуги «дистанционное банковское обслуживание» и нарушения банком договорных обязательств.

Позиция ООО «Капитан Немо» и ООО «КАПИТАН»

Согласно представленным экспертным заключениям, с помощью вредоносного ПО, установленного третьим неизвестным лицом, производился перехват информации (логин и пароль для входа в клиент-банк), вводимой сотрудниками обществ в помощью клавиатуры, затем с помощью программы удаленного доступа, установленной третьим неизвестным лицом, производилось удаленное подключение к ОС компьютеров обществ; получив доступ к ОС ПК и информации о возможном отсутствии пользователя возле ПК, третье неизвестное лицо отправило в банк подписанные электронные платежные поручения и инициализировало процесс удаления хранящихся данных, что привело к неработоспособности ОС.

Также эксперты сделали выводы, что услуги банка по предоставлению доступа к системе Дистанционного банковского обслуживания (ДБО) являются некачественными, так как для повышения безопасности обрабатываемых данных банком не были предложены дополнительные меры защиты (смс-рассылка; привязка системы «Клиент-банк» к одному конкретному компьютеру; настройка дополнительного запроса пароля; использование системы одноразовых паролей для входа в систему «Клиент-банк»).

По мнению обществ, предоставленное банком обществам программное обеспечение с мая 2012 года не соответствует требованиям, предъявляемым к средствам криптографической защиты информации (СКЗИ), поскольку из представленных в материалы дела сертификатов ключей электронных подписей обществ, выданных банком, следует, что в качестве СКЗИ банком используется программное обеспечение «КриптоПро CSP версия 2», а по официальному сообщению, опубликованному на сайте разработчика программного обеспечения ООО «КРИПТО-ПРО» 24.10.2011 года, срок действия выданных ФСБ России сертификатов соответствия на СКЗИ «КриптоПро CSP» версий 2.0, и 3.0 закончился в феврале и мае 2012 года и продлению не подлежал.

Позиция ОАО «Банк ВТБ»

Поступившие в автоматизированном режиме в банк платежные поручения обществ были проверены системой банка, ЭЦП клиентов в платежных документах были признаны корректными, что подтверждается протоколами проверки подписи документов.

Доводы обществ об эксплуатации банком не имеющего сертификата ФСБ России СКЗИ «КриптоПро CSP» версия 2.0 являются ошибочными, поскольку базируются на информации, содержащейся в поле «идентификатор закрытого ключа» (OID 1.3.6.1.4.1.10244.4.3). Данное расширение содержит информацию об интерфейсе обмена информацией между модулями программы и не содержит информации о версии используемого СКЗИ.

Выводы экспертных заключений о неиспользовании банком дополнительных мер защиты являются необоснованным, поскольку в настоящее время не существует обязательных требований и/или стандартов, регламентирующих минимально необходимые требования для защиты информации при работе в системе дистанционного банковского обслуживания. Исходя из результатов экспертизы, факта копирования/экспорта ключа ЭП не выявлено, все операции были проведены на компьютере истцов с использование ключевых носителей пользователей ЭП.

Несанкционированное списание денежных средств обществ произошло в результате действий третьих лиц, внедривших на персональный компьютер вредоносное программное обеспечение, позволяющее удаленно получить полный доступ к управлению персональным компьютером.

Позиция Арбитражного суда Калининградской области

Суд отметил, что для обеспечения конфиденциальности электронного документа при его передаче по открытым каналам связи, а также обеспечения его авторства и целостности в системе дистанционного банковского обслуживания используются средства криптографической защиты информации (пункты 2.2. договоров о предоставлении услуги «дистанционное банковское обслуживание).

В соответствии с пунктами 2.3 указанных договоров электронный документ порождает обязательства сторон, если он оформлен передающей стороной надлежащим образом, заверен электронной цифровой подписью и передан, а принимающей стороной получен, проверен и принят. Свидетельством того, что он получен, проверен и принят, является надлежащим образом оформленный, заверенный электронной цифровой подписью электронный служебно-информационный документ, содержащий положительные результаты проверки электронной цифровой подписи передающей стороны.

Протоколы проверки подписи документов представлены в материалы дела.

В соответствии с пунктами 1.5.1 Условий предоставления услуги «дистанционное банковское обслуживание» для подключения сервиса «Банк-клиент» обществам банком было представлено специализированное программное обеспечение, в том числе программное средство криптографической защиты информации ««КриптоПро CSР» ООО «КРОПТО-ПРО» версии 3,0 и выше, реализующее электронную цифровую подпись в соответствии с требованиями ГОСТ, а также шифрование в соответствии с требованиями ГОСТ.

В материалы дела представлен акт приема-передачи ООО «КРИПТО-ПРО» банку дистрибутива программного обеспечения СКЗИ «Крипто Про CSР» версии 3.6. Указанное СКРЗ сертифицировано ФСБ России до 1 июля 2015 года.

Доказательств того, что по состоянию на 25 марта 2013 года у обществ была установлена иная версия СКЗИ «КриптоПро CSР» суду не было предоставлено. Ссылку представителя истцов на информацию, содержащуюся в поле «идентификатор закрытого ключа», суд не принял, поскольку в указанном поле содержится информация об идентификаторе интерфейса используемого СКЗИ, а не информация о версии СКЗИ «КриптоПро CSР».

Суд установил, что электронные платежные документы, подписанные электронными цифровыми подписями, прошли процедуру проверки с положительным результатом, в связи с чем у банка отсутствовали основания для отказа в исполнении спорных платежных поручений.

Суд отметил, что на банк не может быть возложена ответственность за факты использования электронной подписи истца неуполномоченными лицами.

На этих основаниях суд отказал в удовлетворении требований обществ.

Позиция Тринадцатого арбитражного апелляционного суда

Тринадцатый арбитражный апелляционный суд в ноябре 2014 года отметил, что платежные поручения, поступившие в банк от обществ в электронном виде, содержали все необходимые реквизиты, были подписаны электронной подписью от имени уполномоченных лиц обществ. Банком была подтверждена корректность электронной подписи под данными поручениями (протоколы проверки подписи документов представлены в материалы дела), в связи с чем банк был обязан был исполнить распоряжения о перечислении денежных средств, поскольку договоры о предоставлении услуги «Дистанционное банковское обслуживание» не предусматривают обязанности банка по совершению иных действий, кроме проверки корректности ЭП в автоматическом режиме.

Согласно пунктам 5.4 Договоров Банк не несет ответственность за невозможность выполнения функциональных задач на автоматизированном рабочем месте клиента, вызванную неисполнением, в частности, пункта 3.5.10 Договоров, предусматривающего исполнение клиентом требований и рекомендаций по обеспечению информационной безопасности автоматизированного рабочего места клиента, установленных в приложении № 3 к Условиям заключенных с Истцами Договоров, в части запрещения клиентам передавать носители ключевой информации другим лицам, оставлять носители ключевой информации без присмотра, об обязанности клиентов принимать необходимые меры, позволяющие исключить перехват паролей, закрытых ключей ЭЦП.

Суд также отметил, что пунктом 3.1.4 договоров предусмотрено, что ООО «Капитан Немо» и ООО «КАПИТАН» обязуются самостоятельно обеспечивать безопасность функционирования своих автоматизированных рабочих мест, контролировать сохранность ключей электронной цифровой подписи и не допускать к ним посторонних лиц.

Экспертными заключениями подтверждается, что с помощью вредоносного ПО, установленного третьим неизвестным лицом, производился перехват информации. Вместе с тем, обществами не были представлены доказательства того, что у банка не имелось правовых оснований для списания денежных средств со счетов клиентов во исполнение поступивших от них поручений.

По мнению суда, имеющиеся доказательства позволяют сделать вывод о том, что общества не обеспечили надлежащей защиты своего оборудования, что привело к проникновению вирусов на их персональные компьютеры, что, в свою очередь, явилось причиной несанкционированного списания денежных средств.

Апелляционный суд также принял во внимание позицию банка, согласно которой данный вывод обществ об эксплуатации банком не имеющего сертификата ФСБ СКЗИ «КриптоПроСБР» (версия 2.0) базируется на информации, содержащейся в поле «Идентификатор Закрытого ключа» (OID 1.3.6.1.4.1.10244.4.3) сертификата ключа электронной подписи, являющегося дополнительным расширением сертификата.

Суд отметил, что ни Федеральный закон «Об электронной цифровой подписи» № 1-ФЗ, утративший силу с 01.07.2013, ни Федеральный закон «Об электронной подписи» № 63-ФЗ, действующий с 08.04.2011, не предусматривают обязательное наличие указанного поля в сертификате ключа электронной подписи, оформленного на бумажном носителе, который представлен в материалы дела.

Данное поле используется исключительно в программном обеспечении ООО «Валидата», программный комплекс системы управления сертификатами которого установлен для подключения сервиса «Банк-Клиент» согласно пункту 1.5.1 Условий предоставления ОАО Банк ВТБ услуги «Дистанционное банковское обслуживание».

Указанный комплекс имеет сертификат соответствия ФСБ СФ/128-1790 от 08.02.2012, в котором указан интерфейс СКЗИ КриптоПро CSP версия 2, который используется во всех версиях СКЗИ «КриптоПро CSP» 2.0, 3.0 и 3.6. для оптимизации процедуры выбора средств криптографической защиты информации для загрузки закрытого ключа, что отражено в заключении, представленном ООО «Валидата».

Суд не принял во внимание доводы обществ о том, что поступление платежных поручений с одного IP-адреса свидетельствует о подозрительности платежных поручений, что нарушает требования положения ЦБ РФ № 382-П. Нормативные акты Центрального Банка РФ, на которые ссылаются обществ, не содержат требования к контролю используемых IP-адресов при переводе денежных средств.

Заключенные между Банком и обществ договоры о предоставлении услуги «Дистанционное банковское обслуживание» не предусматривают строго ограниченный перечень IP-адресов, с использованием которых клиент может входить в систему дистанционного банковского обслуживания. Суд апелляционной инстанции принимает во внимание то обстоятельство, что, согласно сведениям Банка, не оспоренным истцами, спорные платежные поручения поступили с IP-адреса (89.190.253.66), и именно с этого же IP-адреса оба общества осуществляли свою работу в системе дистанционного банковского обслуживания по оформлению и отправки в банк платежных документов, поступивших в банк в иные даты.

Тринадцатый арбитражный апелляционный суд оставил без изменения решение Арбитражного суда Калининградской области, а апелляционную жалобу без удовлетворения.

В кассационной инстанции дело не рассматривалось.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

1 комментарий:

  1. И не стоило, наверно, защищённый носитель с контейнером закрытого ключа оставлять навсегда в порту USB...

    ОтветитьУдалить