Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи - со статьи под этим заголовком неделю назад начала поступать информация о набирающем обороты мошенничестве с помощью ЭЦП.
Как многие знают электронная цифровая подпись (ЭЦП) сейчас приравнена к обычной подписи и с помощью её можно совершать разные операции: подавать отчётность в налоговую, продавать и покупать квартиры, менять руководителя фирмы а таже выполнять другие операции - о которых владелец подписи даже не будет догадываться.
Так вот за последнюю неделю стало поступать много информации сначала статья на Отъем квартиры на Тверской с помощью поддельной цифровой подписи. Возможно ли это?, где владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.
Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Электронная подпись
Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись является аналогом собственноручной подписи в случаях, предусмотренных законом.
По статье 434 ГК РФ, договор может быть заключён в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определённая форма. Алгоритмы формирования и проверки электронной цифровой подписи описывает российский стандарт «ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», вступивший в действие в 2012 году.
Сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Он определяет три вида электронных подписей: простая, усиленная неквалифицированная и усиленная квалифицированная.
С 1 января 2013 года гражданам выдавалась универсальная электронная карта, в которую была встроена усиленная квалифицированная электронная подпись, но выпуск таких карт прекращён с 1 января 2017 года.
Схема с квартирой
Москвич Роман говорит, что сам недавно оформил квартиру в свою собственность по дарственной от отца, который там и проживает. Но он никогда не оформлял электронную подпись и не получал физический носитель (флэшка с пин-кодом).
Однако это не помешало мошеннику каким-то образом официально зарегистрировать сделку: «Он может теперь (он или кто-то другой), как мне сказали, сейчас опять продавать мою квартиру через интернет. Заказал справки, вот эта выписка из ЕГРН, в которой указано, что 22 октября 2018 года я подарил квартиру этому господину», — говорит Роман.
В Росреестре официально подтвердили: квартиру действительно подарили в октябре прошлого года. Документы подавались в электронном виде с цифровой подписью. Это полностью законно.
Более подробно схему с мошенничеством описала коллега пострадавшего, журналист Светлана Колосова в сообществе «Соседи. Белорусская-Новослободская-Маяковская» на Facebook.
Она пишет, что электронная подпись «была получена через личный кабинет» на портале «Госуслуги». Роман помнит, что осенью его личный кабинет пытались взломать, он написал в техподдержку, и ему ответили, что у них не зафиксировано никаких «аномальных действий».
Переход собственности осуществлён не как купля-продажа, а как «дар» без участия нотариуса. Договор дарения подписан с двух сторон электронными подписями. Что интересно, участник сделки из Уфы утверждает, что тоже не получал ЭЦП и ничего не знает о «подаренной» ему московской квартире.
В полицию подано заявление о мошенничестве. Делом занимается отдел по квартирным мошенничествам московской полиции.
Чтобы не попасть в такую ситуацию, Светлана советует всем сходить в МФЦ и написать заявление, что они запрещают любые действия с их недвижимостью без личного присутствия.
Манипуляции с электронными подписями
За те годы, что в России действует законодательство по электронной цифровой подписи, зарегистрировано несколько способов мошенничества:
- Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
- Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.
Возможно, в истории с московской квартирой как раз имел место дистанционный выпуск квалифицированного сертификата, хотя юристы «Гаранта» подчёркивают незаконность такой процедуры. Они пишут, что согласно Закону № 63-ФЗ при выдаче квалифицированного сертификата УЦ обязан (ст. 18 Закона № 63-ФЗ):
- Установить личность заявителя — физического лица, обратившегося за получением квалифицированного сертификата.
- Получить от заявителя, обратившегося в УЦ от имени другого лица, подтверждение права действовать от его имени.
Для этого заявитель представляет основной документ, удостоверяющий его личность — паспорт гражданина РФ (надлежащим образом заверенную копию), а также доверенность (иной документ), если он действует от имени других физических или юридических лиц.
Поскольку ЭЦП можно получить по доверенности, то мошенник мог использовать и такой вариант.
«Теоретически можно допустить, что там произошёл какой-то сговор с сотрудниками какого-то удостоверяющего центра, их достаточно много, их сотни по России, и что они мошенническим путем как-то завладели копией паспорта на его имя, выдали документы, то тогда эта сделка могла бы произойти», — считает Максим Эмм, эксперт в области информационной безопасности и технологий.
Но если ЭЦП получена, то провести сделку уже не составляет труда: «При электронной регистрации в Росреестр сдаются документы в отсканированном виде, причём скан не содержит фотографии синей подписи, которая ставится рукой. Сканированный файл выглядит как вордовский файл, просто в PDF. То есть подписи там не видно. При этом в Росреестр отправляется ещё электронная цифровая подпись», — прокомментировала ситуацию Мариана Чилиндришвили, руководитель юридического департамента компании «Метриум».
Поскольку сейчас квартира официально принадлежит другому лицу, тот может её легально продать. Судя по всему, в случае рассмотрения в суде такая сделка может быть признана «добросовестной покупкой», то есть к покупателю нельзя будет предъявить претензий, потому что он не знал о мошенничестве. Впрочем, старший партнёр московской коллегии адвокатов «Легис Групп» Сергей Никитенков считает, что шансы вернуть квартиру велики: «Сроки не прошли, обнаружено это практически сразу. Если мы говорим о том, что он не выдавал никаких доверенностей, не совершал действий при покупке, то есть нарушена была воля, квартира будет возвращена. Да, может быть, перепродадут, может быть, будут оспорены последующие сделки, но это просто судебная деятельность. Что касается уголовного дела, это будет ускорять судебный процесс, поскольку там схожие предметы доказывания будут, экспертизы».
На сегодняшний день в России работает около 500 удостоверяющих центров. Некоторые из них действительно готовы за определённую плату оформить электронную подпись через интернет, без личного присутствия, на что ранее обращали внимание специалисты правовой системы «Гарант». Например, в своей рекламе удостоверяющие центры обещают оформить квалифицированную цифровую подпись за 30 минут.
Мы обратились в один из таких УЦ с вопросом, как можно оформить цифровую подпись за 30 минут: «На самом деле, выпустить электронную подпись можно не за 30, а за 5 минут, если вы зарегистрированы в нашей системе, — ответил представитель компании. — В среднем, для новичка, регистрация занимает около 30 минут, поэтому и указана данная временная шкала. Это первый этап получения подписи. Вторым этапом является удостоверение личности гражданина или полномочий для юридического лица. Третьим — оплата, четвёртой ступенькой — непосредственно выпуск сертификата электронной подписи. Никто не может получить электронную подпись, не пройдя этих шагов».
Удостоверяющие центры пользуются лазейкой в законодательстве. Хотя в 63-ФЗ указано, что для оформления ЭЦП гражданин обязан предъявить паспорт, но там не указан способ представления заявителем в УЦ документов: «Возникает неясность, которую можно толковать как отсутствие законодательного запрета на выпуск и выдачу квалифицированного сертификата дистанционно, — пишет «Гарант». — Электронная подпись может попасть к лицу, которое на самом деле заявителем не является, что повлечет для заявителя – номинального владельца юридические, финансовые, налоговые риски и другие негативные последствия… К сожалению, зачастую люди сами небрежно относятся к своим персональным данным. Ну и конечно никто не отменяет вину УЦ, выдавшего данную подпись. Проверить сертификат (кем и когда выдан) герой репортажа может, обратившись в полицию».
Что самое печальное для Романа, «использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования» (постановление Пятого арбитражного апелляционного суда от 14 марта 2016 г. № 05АП-1119/16; постановление Пятнадцатого арбитражного апелляционного суда от 1 марта 2016 г. № 15АП-1132/16; постановление Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).
Сегодня попалась новая статья от том, что на автора и его жену открыли несколько фирм и взяли на них микрокредиты. Как им сообщали в МВД, таких дел у них «только на этой неделе 17 шт».
Недавно общественность облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Когда я раньше читал подобные новости, всегда воспринимал отстранённо, как будто со мной этого не может произойти, но я ошибался. И теперь могу заявить, в зоне риска мошенников — каждый, увы, даже хабровчане.
Хотя в моём случае ситуация попроще, квартиру у меня не переписывали, зато куда более распространённее — я и моя супруга без нашего ведома стали директорами нескольких ООО. Как нам сообщали в МВД, таких дел у них «только на этой неделе 17 шт». Напоминаю, что подписание документов с помощью ЭЦП равносильно подписанию собственноручной подписью юр. или физ. лица, поэтому, казалось бы, вопрос выпуска таких ЭЦП должен быть максимально безопасен, но к сожалению сейчас в России такие подписи выдают обычные коммерческие организации, действие которых контролируется только путём выдачи лицензий МинКомСвязи. И как показала практика, часто для этого нужна только картинка паспорта и номер СНИЛС, что есть у любого работодателя, банка, и других организаций, куда вынуждено даются такие документы.
Итак, как дело было. Была у меня ипотека в одном зелёном банке. По случаю рождения второго ребёнка, я решил воспользоваться новой субсидией на ипотечную ставку в 6%, тем более что давно уже хотел рефинансироваться с 12% под более низкий процент. К слову, изначально ипотека была оформлена на меня как основного заёмщика, и на супругу как созаёмщика, то есть весь пакет документов был у банка. В новом банке супруга уже не фигурирует, и документы она не предоставляла. Собственно, 2 месяца это примерно длилось, и вот я довольный сижу на работе, пушу коммиты в репу, и тут звонок. «Здравствуйте, вы директор такой-то фирмы? Хотим предложить вам открыть расчётный счёт у нас» Я сразу заподозорил неладное, и полез в ЕГРЮЛ, и, к сожалению, тут понеслось. Как оказалось, на мне висят две ОООшки 2-недельной и 3-дневной свежести, а я их гендиректор и учредитель. Я поехал разбираться, написал заявление в ОМВД, написал заявления в налоговую, откуда потом узнал, что фирмы зарегистрированы с помощью ЭЦП.
Сначала я очень испугался, что мне где-нибудь, да в процессе переоформления подсунули какие-нибудь бумаги, и я возможно что-то по невнимательности подписал. Но когда ситуация повторилась с моей женой, которая нигде ничего не подписывает, а сидит с ребёнком дома, стало понятно, что тут дело в утечке персональных данных, и незаконном изготовлении ЭЦП. А дальше началась чреда отбивания порогов различных инстанций — МВД, Прокуратура, ОБЭП, Налоговая, Роскомнадзор, Администрация Президента, суд:
1) По линии полиции — многочисленные отказы в возбуждении уголовного дела, из-за отсутствия события преступления. Т. е. если кратно, то «когда вас убьют, тогда и приходите». Так как пока ко мне никто не выдвинул финансовых требований, события преступления нет.
2) По линии налоговой — они сделали всё согласно регламенту, вот есть заявление, вот оно подписано подписью «у нас нет оснований для отказа в регистрации ООО». Они внесли лишь пометку, что «По данным ФНС сведения недостоверны», но фирмы по-прежнему действуют. Также по запросу нам дали информацию об удостоверяющем центре — и у меня, и у супруги это был один и тот же УЦ находящийся в Томске (естественно мы там даже близко не были никогда).
3) По линии Роскомнадзора — они запросили информацию от удостоверяющего центра, они им предоставили ответ, что вот есть якобы документы от меня, а так как подлинность документов они не выявляют — обращайтесь в суд.
Документы
Собственно, сейчас суд, и тут тоже не всё так просто. Но беда, как говорится, не приходит одна, на свой старый адрес мне пришло два письма, от коллекторского агентства, с требованием вернуть деньги, которые были взяты в двух микрофинансовых организациях. Тут пришлось тоже писать заявление в полицию, пока по ним тишина.
Немного сухих фактов:
1) Утекли старые сканы паспортов — везде фигурируют старые адреса прописки.
2) Скан паспорта жены в процессе переоформления хранился только в зелёном банке, и больше нигде не предоставлялся, а это значит, что утечка была либо через сотрудника этого банка, либо через человека снимавшего обременение в росреестре, либо через человека принимавшего документы в МФЦ.
3) Госпошлину за регистрацию ОООшек заплатил некий господин с нерусской фамилией.
Как от этого защититься?
Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно. Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия. Правда заполнять и везти её придётся лично в регистрирующий орган (в Москве это 46 налоговая), и как я понимаю, она ограничивает это только в данном регионе, хотя могу ошибаться.
К сожалению, на лицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.
Что примечательно автор статьи считает, что утечка произошла через всем известный зеленый банк.
Как начал писать статью, поискал по сети - ещё нашел несколько статей - Продаём под электронный ключ правительство, коммерсантов, квартиры. Быстро, легко, дешево где журналисты сделали ЭЦП на другого человека.
Также статья Фрицморгена - Мошенничество с ЭЦП: проблема глубже и серьёзнее, чем кажется
Попасть под этот вид мошенничества может каждый, в большей степени обеспеченные.
Из защиты от данного вида мошенничества полка есть только так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия.
Сам по роду занятий, сопровождение бухгалтерии, имею доступ ко многим ЭЦП директоров и глав поселений. И сейчас через ЭЦП проходит 90% сделок фирм, и подписывают документы в основном сотрудники, и заполучить ЭЦП очень легко.
Комментарии
Если запретить копировать паспорт, не устроишься на работу, не откроешь счёт в банке, не поменяешь валюту.
Квалифицированная ЭП может использоваться в любых документах, где может использоваться обычная подпись. Вот ещё пример: https://vc.ru/claim/54130-moshenniki-pytalis-smenit-generalnogo-direktora-i-ukrast-dengi-kompanii
Это у математиков так. А у людей то, что формально описывается как «мошеннические действия, позволяющие получить ЭЦП от имени другого человека» является «взломом ЭЦП». Также как «действия, позволяющие получить доступ к данным на компьютере» будут «взломом компьютера». Даже если этот «взлом» свёлся к выниманию из компьютера жёсткого диска или сообщению пользователю «я сисадмин, мне надо компьютер проверить».
да, проблема существует, но я обратил внимание именно на то, почему оператор не потребовал присутствия (эта ситуация в статье не раскрывается)
на том же сайте АБ "Россия" описано некоторое количество готовых вариантов использования ЭП, а также возможность формирования определенного пакета. Может в ка ких-то системах квалифицированная ЭП и заменяет полностью подпись, но точно не во всех. Надо рассматривать конкретно.
взлом ЭЦП - он и в Африке взлом ЭЦП. То, о чем вы пишите подпадает под " Неправомерный доступ к компьютерной информации " (ст. 272 УК РФ), что необязательно достигается путем взлома
Потому что «так принято». Для удобства. Также как при передаче товара или документов часто не требуют доверенности у сотрудника, получающего товар/документы. Или при покупке продуктов в магазине не спрашивают сертификат соответствия.
Квалифицированная ЭП заменяет подпись всегда по закону:
То есть, человек вправе любой документ подать в электронной форме (вместо бумажной) и получатель обязан его принять также как бумажный.
В Африке он breek EDS или break EDS, мы же про языковое понятие, а не про юридически-математическое. Также как «кликнуть мышку» обычно обозначает не «позвать мелкое млекопитающее», а «нажать кнопку на компьютерном устройстве ввода», хотя толковый словарь будет против.
Взлом ЭЦП в широком смысле (как в этой теме) под 272 не попадает. У пострадавшего не произошло уничтожения, блокирования, модификации или копирования информации. Злоумышленник лишь создал новую информацию (ЭП от имени пострадавшего), которая повлекла за собой юридические последствия.
Про нотариуса есть отдельная статья, по которой он несёт полную имущественную ответственность
Работник госконторы вдоль и поперёк контролируется в отличие от частников (борьба с коррупцией, однако).
вряд ли оператору и мошеннику удастся провернуть поддельную сделку так, чтобы органы не обнаружили их сговор. Либо, это должна быть ну очень выгодная сделка, после которой оператор бесследно исчезнет. Но это мало чем отличается от обычной мошеннической схемы.
оператор, как лицензиат ФСБ, тоже неплохо контролируется (борьба с киберпреступностью, однако
)
Да это проблема вчерашнего дня, по-сути, хотя и очень обидная для пострадавших. В завтрашнем не будет никакой собственности, и все мошенники вернутся к старым добрым наперсткам...
Неа. Даже у обезьян кражи и проституция возникают только после раздачи жёлтых кружочков. Нет собственности, нет и лохотрона.
Время от времени происходит слив личных данных из различных БД, наверное стоит ожидать и слив ключей.
Закрытый ключ находится только на вашем носителе. База всех открытых ключей по умолчанию доступна всем, кто подключен к системе шифрования. Без этого асимметричное шифрование, которое используется для ЭЦП, не работает.
Зачастую у нас в России используется технология "облачный УЦ", когда контейнер закрытого ключа хранится в HSM УЦ (на физическом сервере в дата центре), у пользователя только логин пароль от учетной записи. Подписание документов происходит через веб интерфейс. По данной технологии работает УЦ упомянутого здесь не раз Криптопро. Криво? не то слово, но работает же, ФСБ в курсе но делает вид что, все нормально. Очень редко ключ отчуждается на носитель.
что именно криво или ненормально? я близко с Криптопро не знаком, но краткое знакомство показывает, что вход в хранилище осуществляется с помощью клиента по защищенному протоколу (VPN с TLS. тлс, как пишут российского стандарта, стало быть, сертифицированный).
Ну, допустим, логин и пароль узнать можно с помощью социальной инженерии. Не сложнее, чем данные кредитной карты.
это не техническая проблема. она одинаково подходит к любому механизму технической защиты. Если учитывать такой подход, то безопасных систем вообще не существует
Странный у Вас подход к ТЗКИ, как раз сохранность логина и пароля и есть техническая защита, для этого всякие биометрические штуки и придумывают, а еще одноразовые пароли, системы свой чужой, разделенные секреты и прочие мудреные штуки.
каким бы способом пароль ни бы разглашен (через социальную инженерию, или через асоциальную (по пьяни, например
) ) это не будет относится к технической защите, это организационные меры. А всякие штуки направлены, как правило, на усиление, а не на замещение такой защиты.
Интересно как разошлись дороги бывших республик СССР в области защиты.
В России разглашение может относиться как к организационным (не предупредили что информация ограниченного доступа) так и техническим мерам (глушилку не поставили, а злоумышленник побочку снимал).
в данном случае, я не сильно вдавался в подробности трактования термина. Если и так, и так, то это, очевидно, более общее понятие - компрометация, а под разглашением я имел ввиду именно передачу (преднамеренную или непреднамеренную) пароля третьему лицу
Компрометация термин относящийся к сертификату ЭП.
Разглашение термин относящийся к информации.
если не сложно, можно указать источник отнесения компрометации к сертификату, а не к ключу?
в данном случае под сертификатом понимается полный набор (открытый, закрытый ключи и сам сертификат подписи), и компрометация может быть как ключей так и сертификата, так и всего в комплексе.
открытый ключ и сведения сертификата являются общедоступными, и поэтому не могут быть скомпрометированы. Стало быть, компрометации подвержен только закрытый ключ. Я поэтому и спросил, где и кто связал компрометацию с сертификатом.
компрометация это не только раскрытие информации, это искажение, незаконное использование и прочие вещи. Так что компрометации подвержен и сам сертификат и открытый ключ.
Вы бы согласились хранить свой закрытый ключ неизвестно где? То есть контейнер ключа не у вас в кармане на защищенном носителе, не в сейфе, а за тысячи километров от Вас в неизвестном датацентре. то есть выкрав, скопировав сервер злоумышленник получает доступ ко всем! закрытым ключам выданным УЦ. Компрометация в чистом виде. И да, сертификации именно такой схемы нет, сертифицирована схема раздельного включения сервера приложения и сервера хранения ключей. То есть админ должен ручками перенести контейнер закрытого ключа в HSM, но кому оно надо, так заморачиваться, гораздо проще кинуть между ними кабелек.
если говорить конкретно о Криптопро, то датацентры очень даже известны. Сертификата именно на облачный УЦ, вроде нет, но не факт, что он требуется, если схема выполнена из уже сертифицированных компонентов, а оператор имеет соответствующую лицензию. Так что вероятность того, что злоумышленник выкрадет все ключи (с которых к слову толку нет, т.к. они все-равно хранятся в зашифрованном виде) равна вероятности, скажем, ограбления центрального хранилища какого-нибудь крупного банка.
Я сам начальник подобного УЦ средней руки
Все там возможно, владелец бизнеса кроит на всем. Включая нормальную зар плату. Мне то нормально, для меня это подработка, а вот те кто сидят на одной зар плате грустно совсем. Вероятность кражи, очень высока. Да и дисциплины по отрасли нет от слова совсем. Маленький пример, недавно у одного крупного (из тройки) УЦ закончился корневой сертификат, так они не точно не поменяли вовремя, так еще и у клиентов не отозвали сертификаты выработанные на закончившемся сертификате.
это, конечно, плохо, но разве такакая ситуация не повод пользователям, которые в один прекрасный момент не смогут воспользоваться своей подписью, подать к УЦ иск? А тут уже далеко не дисциплинарное взыскание может получиться.
Наверное когда нибудь так и будет. Пока 99% людей толком не понимает какие риски таятся при использовании цифровых вещей. А пока что имеем то и имеем.
зато большинство видит огромные преимущества в их использовании. и это значительно перевешивает риски, т.е. является эффективным инструментом (как, собственно в любой сфере)
Это Крипто Про DSS.
Физически ваш закрытый ключ формируется, хранится в специальном программно-аппаратном комплексе и не может быть извлечен.
Для создания подписи используется двухфакторная аутентификация.
На самом деле очень хорошая технология.
Качественное отечественное ПО
Радует что квалифицированных подписей мега мало.
Я бы на месте сберыча автоматом всем делал квалифицированную подпись. Крысота да и только. Даешь каждому предпенсионеру и пенсионеру по квалифицированной подписи. Вот тогда проблемы будут не единичны, а сотни тысяч
У нас в Казахстане :
- ЭЦП выдается бесплатно, срок действия год.
- ЭЦП выдается в ЦОН, центры обслуживания населения, гос.учреждения.
- ЭЦП выдается лично, при этом делается фото личика сотрудником, который все это оформляет.
- ЭЦП можно частично оформить через егов, т.е. электронное правительство, но получить все равно придется лично через документы и фото.
И теперь я не буду больше возмущаться этой бюрократией, когда берешь бланк в одном окошке, где работник ставит свою подпись, потом идешь ко второму работнику, который под свою подпись помогает тебе в компе набрать заявление, потом идешь в третье окошко, где тебя фотают и дают номер, и с этим номером ты возвращаешься ко второму, который и закачивает тебе ЭЦП. У меня в этом году ушло на это целых тридцать минут, и как я возмущался, что типа нельзя что ли все в одном окне и быстрее? Кстати, я помню, что раньше все в одном окне и делали, видимо, решили, что войти в сговор с тремя-четырьмя работниками сложнее, чем с одним.
И да, на мое возмущение , почему нарушается закон - один документ один раз ( Это когда ты уже даешь в каком нибудь водоконале свои документы в одно окошко, то в соседнее через месяц опять такие же документы собирать не нужно, они уже там должны быть), мне ответили, что по ЭЦП каждый раз документы сканируются по новой, и прокуратура каждые полгода проверяет ЦОН на предмет правомочности выдачи ЭЦП данному лицу.
Я написал все со стороны потребителя, как там внутри все - не знаю.
Вот если по уму, то и у нас так будет. Может для этого и хайп поднимают.
да сам сертифкат, вроде, и в России бесплатный, а вот, за носитель надо заплатить и в Казахстане.
по поводу выдачи ключей... я нашел данные, что в Казахстане на текущий около 4 млн сертификатов (и ключей, соостветсвенно), а в России на 2015 год более 16 млн. (к сожалению точных актуальных данных не нашел). Но, в России как раз в 2015 году отменили обязательную "круглую печать", поэтому подозреваю, что сейчас в России ключей раза в 1,5 больше (если все субъекты обзавелись). Это я к тому, что централизованно распространять ключи строго через госорганы при таком количестве не всегда будет целесообразно.
Представляю,что начнется после введения единого цифрового профиля на каждого жителя России.
Этои будет настоящее рабство.
А народ как всегда молчит.
будут всех с цифровым профилем заставлять повторять таблицу умножения?
Граждан будут страшно избивать ногами по лицу чтобы обучить нейросеть идентификации клиента при любом состоянии лица.
Вообще говоря, полной защиты от дурака вообще быть НЕ МОЖЕТ. На то он и дурак. Он победит любого разработчика своей феерической дурацкой непредсказуемостью. Ибо знания всегда конечны, а дурь безгранична. Это философское "за здравие". Теперь "за упокой".
1. Считается, что ГОСТовский алгоритм шифрования до настоящего времени НЕ взломан. Саму квалифицированную ЭЦП подделать (взломать) НЕВОЗМОЖНО. Технология, процедура получения и функционирования ЭЦП отработаны хорошо.
2. Есть знаменитое соотношение 20 : 80 для разных областей жизни. Так вот, касательно ИТ, только 20% инцидентов по ИБ имеют техническую природу (дыры в ИТ и головах админов, крутые прыщавые кулхацкеры, на коленке взламывающие военные спутники... и всё такое). Остальные 80% проблем имеют организационные и субъективные причины, например, нарушение различных инструкций, бюрократических (в хорошем смысле
) процедур и элементарного здравого смысла, попросту говоря, рас3,14здяйство и бардак в организациях и голове субъекта.
3. Касательно сабжа - это обыкновенное воровство и подлог. Преступным путём кем - то получен "ключ от квартиры, где деньги лежат". Это к п. 1 и законодательству по ИТ никакого касательства не имеет. Получение кредитов на подставной паспорт было уже не раз. А еще у нас авто угоняют разными способами... и чо?
4. Во многих инцидентах с ИБ виноваты и сами эндовые узеры. От утери персональных данных (паспорта, например) до паролей типа qwerty и передачи всего этого по открытым каналам кому ни попадя. Меня также бесит привычка многих организаций и фирм требовать паспортные данные и чуть что, совать твой паспорт в копир (незамедлительно посылаю таких в эротический пешеходный тур). Обработка ПД четко определена в 152-ФЗ. Или сколько раз наблюдал, открытый, вытянутой рукой, набор пин-кода при оплате картой с последующим засовыванием карты в задний карман штанов. И никакие кулхацкеры здесь не при делах, я вас умоляю, всё проще пареной репы. Чёйта анекдот про неуловимого Джо вспомнился...
5. Многим эндовым узерам психологически трудно принять то, что утеря ПД, флешки или карты, равноценны утере ключей от квартиры и кошелька. Отсюда и проблемы. Хочу подчеркнуть, что касательно, собственно, классических ключей и кошелька, а в случае (не дай вам Бог) утери их, действия 99,999 % эндовых узеров весьма логичны, оперативны и часто весьма эффективны.
Выводы.
1. От этих технологий, а совершенных технологий не бывает, мы никуда не денемся (ведь действительно быстро и удобно), а воры были, есть и будут. Просто надо понимать, что виртуальные нолики/единички в ИТ сейчас могут превратиться в весьма реальные тугрики и надо выполнять требования "дурацких" инструкций и законов, а также иногда включать мозги. Не поверите, на моем бытовом ноуте пароль состоит из 10 (десяти) цифр, спец.символов и букаф в разных регистрах. Профпривычка. Паранойя? Мобыть, но другой анекдот есть, если у вас паранойя - то это не значит, что за вами не следят.
2. Сочувствую человеку поимевшему проблему, он таки попал в неприятность и судов ему не избежать. Чем быстрее потерпевший дойдет до суда, тем быстрее решится проблема. Увы, но мой опыт говорит об этом. Грамотный юрист челу в помощь. Его дело правое, враг будет разбит, победа будет.
Комментарий автора:
Сам по роду занятий, сопровождение бухгалтерии, имею доступ ко многим ЭЦП директоров и глав поселений. И сейчас через ЭЦП проходит 90% сделок фирм, и подписывают документы в основном сотрудники, и заполучить ЭЦП очень легко. (цэ)
Вопрос к аффтару: это каким образом можно поиметь доступ к ЭЦП при сопровождении бухгалтерии? Это я как имевший по роду занятий доступ к организации обращения ЭЦП на предприятии.
Про массовую подделку ЭЦП - бред сивой кобылы, вернее сивого РБК.
Это уже давно происходит. И началось это с передачи пенсионных накоплений государством в НПФы. Ещё несколько лет назад мне пришло извещение от отделения росгосстраха, находящемся на другом от меня конце России, что с моих пенсионных начислений купоны стрижёт теперь не ПФР, а НПФ (росгосстрах). После ряда письменных запросов в ПФР и росгосстрах выяснил, что соглашение со мной подделано какой-то шестёркой из росгосстраха и по цифровым канала связи акцептовано росгосстрахом и ПФР. Никто претензии не принимает. Срок исковой давности давно прошёл. Ситуация абсолютно массовая. По сути произошло глобальное отчуждение средств от ПФР, что привело к дестабилизации пенсионной системы и обогащению частных страховых компаний. Средства для развития государственного пенсионной системы были добровольно отданы государством бизнесу. По сути произошла передача государством в концессию бизнесу ещё одной государственной социальной функции, наряду с пассажирскими перевозками, транспортной инфраструктурой, жкх, медициной, образованием, удостоверяющими центрами и представлением налоговой отчётности в государственные органы и прочим. Поэтому, когда произошла пенсионная реформа, это был абсолютно ожидаемый шаг. Эту реформу готовили уже давно. И дело здесь не в возрасте, а в потребностях бизнеса, без которого государство сейчас не в состоянии функционировать от слова совсем.
Из происходящего хорошо видно, что в государстве происходит активный процесс сдачи государственных функций на сторону. К чему это приведёт, говорить излишне, ибо понятно, что бизнес ненасытен и ненаказуем в наших реалиях. Штрафы и отзывы лицензий ничто по сравнению с прибылями, гарантирующими неприкосновенность. Ни одного случая посадки в России собственников бизнеса мне неизвестно. Сажают только шестёрок-чиновников. А если когда-нибудь и займутся посадками хозяев бизнеса, то сидеть будут не бендеры, а зиц-председатели. Наступает чудное время. И закончится это чудное время войной в государстве.
Когда я работал в одном французском банке, там совершенные за период(сутки вроде, потом на 6 часов перешли) операции выгружались из АБС в виде простого текста, передавались по незащищенной общей сети на компьютер, там руками операторов шифровались и выкладывались в папку для обмена с ЦБ. Причем из 10 операторов этого отдела ни один не имел даже ИТ образования (про ИБ молчу), а дискета с ключом (выданная главному бухгалтеру), всегда торчала в дисководе используемого для отправки компьютера.
Запись, растолкав других достойных претендентов, ворвалась в лидеры по читаемости. Сим повелеваю - внести запись в реестр самых читаемых за неделю.
Былинный срач! Распечатки обсуждения разосланы по Госдепу США и внимательно изучаются. Сим повелеваю - внести запись в реестр самых обсуждаемых за неделю.
Ломать будут смарт клиента госулуг или его комп. Это проще.
Страницы