В последние дни в российской прессе активно обсуждается новость, вышедшая под громкими заголовками. Вот только некоторые из них:
- «Новый вид мошенничества: Как москвич «подарил» квартиру уфимцу», https://gtrk.tv/novosti/133909-novyy-vid-moshennichestva-kak-moskvich-podaril-kvartiru-ufimcu
- «Мошенники украли квартиру в Москве при помощи электронной подписи», https://news.ru/obshestvo/moshenniki-ukraili-kvartiru-v-moskve-pri-pomoshi-elektronnoj-podpisi/
- «В России впервые украли квартиру с помощью электронной подписи», http://www.cnews.ru/news/top/2019-05-17_v_rossii_vpervye_ukrali_kvartiru_s_pomoshchyu_elektronnoj
- «Лишиться квартиры и даже не сразу узнать об этом: афера с электронной подписью или сбой в системе», https://www.1tv.ru/news/2019-05-16/365234-lishitsya_kvartiry_i_dazhe_ne_srazu_uznat_ob_etom_afera_s_elektronnoy_podpisyu_ili_sboy_v_sisteme
- «Квартиру в центре Москвы украли с помощью электронной подписи. Как это?», https://www.anews.com/p/110591140-kvartiru-v-centre-moskvy-ukrali-s-pomoshhyu-ehlektronnoj-podpisi-kak-ehto/
- Был оформлен договор дарения московской квартиры в простой письменной форме;
- Комплект документов для перерегистрации права собственности был подан в Росреестр в электронном виде и подписан сторонами сделки своими усиленными электронными подписями;
- Участники сделки в настоящее время заявляют, что договор дарения не заключали;
- Участники сделки заявили также, что никаких усиленных электронных подписей у удостоверяющем центре не получали и для подписания документа для подачи в Росреестр не использовали.
К сожалению, до сих пор процедура взаимодействия с удостоверяющими центрами при оформлении усиленных электронных подписей предоставляет возможность получить ключевой носитель не лично гражданину, а любому уполномоченному им лицу, который может предъявить простую письменную доверенность. И эту брешь в срочном порядке нужно закрывать, поскольку это не далеко первый и вряд ли последний случай неправомерного использования УКЭП.
За эти дни три телекомпании связались со мной и попросили меня прокомментировать ситуацию. Соответствующие видеофрагменты (в среднем из 20 минут беседы в эфир пошла дай бог одна :)) можно посмотреть в сети:
- «РЕН ТВ выяснил, кому аферисты «передали» квартиру в Москве с помощью электронной подписи», http://ren.tv/novosti/2019-05-16/ren-tv-vyyasnil-komu-aferisty-peredali-kvartiru-v-moskve-s-pomoshchyu-elektronnoy
- «Цифровые мошенники отнимают квартиру у москвича», https://www.ntv.ru/novosti/2192301/
- «Появилась новая схема мошенничества с квартирами москвичей», https://www.m24.ru/videos/video/20052019/205846
вероятно, получить подпись за другого можно довольно легко почти в любом УЦ - вот здесь журналисты сделали "контрольную закупку", удалось в одном из самых известных УЦ, в СКБ Контур - http://47news.ru/articles/156549/ о_О
ОтветитьУдалитьНаталья, может, дело в том, что в ФЗ об ЭП №63 нет чётких требований по проверке документов, как итог наверняка нельзя такому пользователю привлечь УЦ в суде с возмещением ущерба (вы знаете о таких случаях?)? Если бы была законодательная база нормальна, тогда была бы и возможность реальной ответственности УЦ перед заявителями, тогда УЦ бы боясь понести убытки сами следили но-нормальному за своей технологией идентификации (а лучше, если бы за УЦ следила страховая компании , так же боясь понести убытки).
в проекте редакции ФЗ об ЭЦП ничего принципиально в этом плане не изменилось увы
https://regulation.gov.ru/projects#npa=79636. В попытке ограничить количество УЦ почему-то не подумали, что при отсутствии правил работы, нарушать будут хоть 5, хоть 10, хоть 100 УЦ.
что думаете?
На мой взгляд, эта проблема многоплановая. Для её решения нужен целый комплекс мер: сокращение числа УЦ до разумного минимума, ужесточение правил получения сертификатов на уровне законодательства, увеличение пределов материальной ответственности УЦ, создание централизованного реестра сертификатов и системы оповещения граждан о выдачи сертификатов на их имя, ужесточение наказаний для мошенников и разгильдяев, распространение среди масс минимальных знаний о технологии ЭЦП и о мерах предосторожности и т.д. – но нужно понимать, что 100% безопасности никогда не будет, как её никогда не было и в бумажной среде.
УдалитьПервостепенная задача, с моей точки зрения, – сделать атаки настолько дорогостоящими, а последствия поимки настолько болезненными, чтобы пропала всякая охота атаковать даже представителей среднего класса. Ну а миллиардеры, думаю, как-нибудь сумеют за себя постоять :)
Обязательно будут выявляться новые технические, правовые и организационные уязвимости, и здесь важно наладить систему быстрого реагирования на них. Закрывать дыры в законодательстве нужно столь же быстро, как Windows патчит свою операционную систему.
Нужно также заставить энтузиастов ИТ-технологий поумерить свою прыть во внедрении потенциально опасных технологий, таких, как очень модная идея удалённого подписания документов усиленными подписями на сервере.