EN|RU|UK
Блоги Ірина Артишук
Редакция Цензор.НЕТ может не разделять позицию авторов. Ответственность за материалы в разделе "Блоги" несут авторы текстов.
  219  0

Чи можливе шахрайство за допомогою ЕЦП?

Нещодавно в Інтернеті розпочалась бурхлива дискусія щодо безпеки використання кваліфікованого електронного підпису. І не безпідставно. Каталізатором обговорень стала серія шахрайських операцій в Росії з використанням кваліфікованого електронного підпису. Серед них перша крадіжка квартири та перереєстрація керівника юридичної особи.

В більшості виникає логічне питання: в чому причина? Перш за все, в регуляторному полі Російської Федерації. Основною прогалиною законодавства РФ у цій сфері є відсутність чіткої процедури отримання юридично значущого кваліфікованого електронного підпису. Кожен засвідчувальний центр вирішує це питання на свій розсуд, отже існує можливість отримання юридично значущого кваліфікованого електронного підпису дистанційно. Враховуючи масштабні витоки персональних даних, знайти паспортні дані у мережі Інтернет не є складним завданням, відповідно зловмисники без проблем можуть отримати електронний підпис дистанційно, без належної процедури підтвердження особи. 

Окрім цього в Росії повністю відсутній контроль держави над засвідчувальними центрами. Існують певні рекомендації Росреєстру, однак вони не є обов’язковими до виконання. Як показує практика, Росреєстр взагалі відхрещується від будь-яких питань щодо шахрайства в сфері використання кваліфікованого підпису, постраждалим залишається лише звертатись до суду і там захищати свої права. А враховуючи, що такий підпис юридично прирівняний до власноручного, правові наслідки будь-яких порушень з його використанням буде нести саме постраждалий.

Відтак, в частини українців ці новини викликали тривогу щодо безпеки електронного підпису у нас. Поспішаю заспокоїти - не варто турбуватись. Наше законодавство прийнято у відповідності до європейського регламенту, в якому, враховуючи багаторічний досвід використання кваліфікованих підписів в ЄС, усунені більшість законодавчих прогалин. Відтак, ще у 2014 році в ЄС був прийнятий регламент eIDAS Regulation (Regulation (EU) N°910/2014) (вступив в дію 01.07.2016). Він встановлює чіткі правила надання електронних довірчих послуг, в тому числі й електронного підпису. Згідно з регламентом, отримання кваліфікованого електронного підпису (КЕП) можливе лише за особистої присутності підписувача та після його ідентифікації згідно з вимогами законодавства. Окрім цього передбачена відповідальність кваліфікованих надавачів за порушення законодавства у сфері електронних довірчих послуг, кваліфіковані надавачі раз на два роки повинні проходити відповідний аудит.

На виконання вимог Угоди про асоціацію з ЄС, Україна здійснила імплементацію норм eIDAS. Результатом стало прийняття у 2017 році Закону України «Про електронні довірчі послуги» (вступив в силу 07.11.2018).

Основними вимогами Закону, що перешкоджають здійсненню шахрайських дії, є такі: 

- діяльність центрів з видачі ключів здійснюється за умови внесення коштів на поточний рахунок із спеціальним режимом використання у банку або із забезпеченням страхування цивільно-правової відповідальності для забезпечення відшкодування шкоди, яка може бути завдана користувачам таких послуг чи третім особам. Розмір внеску на поточному рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) або страхової суми не може становити менш як 1000 мінімальних розмірів заробітної плати; 

- формування та видача кваліфікованого сертифіката відкритого ключа без ідентифікації особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті відкритого ключа, не допускаються; 

- ідентифікація фізичної особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється за умови її особистої присутності за паспортом громадянина України або за іншими документами, які унеможливлюють виникнення будь-яких сумнівів щодо особи, відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи; 

- під час перевірки цивільної правоздатності та дієздатності юридичної особи кваліфікований надавач електронних довірчих послуг зобов’язаний ознайомитися з інформацією про юридичну особу, що міститься в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань, а також пересвідчитися, що обсяг її цивільної правоздатності та дієздатності є достатнім для формування та видачі кваліфікованого сертифіката відкритого ключа; 

- використання для збереження особистих ключів КЕП виключно захищених носіїв ключової інформації, які унеможливлюють несанкціонований доступ до ключових даних із підтвердженням сертифікатом відповідності або позитивного експертного висновку за результатами державної експертизи у галузі криптографічного захисту інформації.


Таким чином, законодавство України встановлює низку вимог, які одночасно значно убезпечують отримувачів КЕП та посилюють відповідальність центрів із видачі ключів. 

Зокрема, законодавством суворо визначена процедура видачі КЕП із обов’язковим засвідченням особи при особистій присутності. Тому українським громадянам перейматись не варто, можна сміливо використовувати КЕП в своїй діяльності і не боятись, що завтра можна стати жертвою шахрайських схем. 

Комментировать
Сортировать:
в виде дерева
по дате
по имени пользователя
по рейтингу
 
 
 
 
 
 вверх