Актуальные вопросы получения и применения ЭЦП в электронной торговле
НКО «Ассоциация Электронных Торговых Площадок» (АЭТП)
Благодарю организаторов и гостей форума за предоставленную возможность поделиться опытом работы Ассоциации на электронном рынке за последние годы и обсудить совместно с собравшимся экспертным сообществом наиболее актуальные вопросыэлектронной торговли. Тема моего выступления - Электронная цифровая подпись (ЭЦП). Основная часть моего доклада посвящена проблемным моментам, связанным с оформлением и использованием ЭЦП.
Итак, деятельность Удостоверяющих центров по выдаче ЭЦП на сегодняшний день регламентируется Федеральным законом от 01.01.01 года №1-ФЗ «Об электронной цифровой подписи». Недавно в Госдуме в первом чтении был рассмотрен новый законопроект «Об электронной подписи», принятие которого коренным образом изменяет взаимодействие при использовании ЭЦП. В связи с этим возникают некоторые специфические нюансы, требующие внимания и разрешения.
Во-первых, проблема отсутствия единого реестродержателя всех выданных ЭЦП. Как таковой он отсутствует. При этом по статистике Федерального агентства по информационным технологиям (ФАИТ), на текущий момент в России работает около 600 Удостоверяющих центров (УЦ).
Во-вторых, на современном этапе каждый УЦ имеет собственный технический регламент. При этом, отсутствуют единые требования к процедуре выдачи ЭЦП. Из-за чего возникают юридические коллизии: 600 удостоверяющих центров – 600 различных регламентов.
В третьих, потребность в широкой разъяснительной работе, направленной на обеспечение электронного документооборота сертифицированными криптографическими средствами, для гарантии его юридической значимости. К тому же, с учетом того, что речь идет о государственном заказе, то, в соответствии с требованиями ФСБ, несертифицированные средства использовать просто недопустимо. Тем не менее, такие нарушения все же фиксируются. Ряд площадок – речь идет не о федеральных, а о региональных и муниципальных площадках – вообще не проверяют ЭЦП участников. Что из этого следует? Скажем, человек, получивший ЭЦП средствами Windows, принимает участие в торгах, выигрывает, после этого выясняется, что у него сертификат Windows, который не имеет юридической силы и, соответственно, любая заверенная такой ЭЦП сделка будет оспорена в суде.
В основной состав пакета, который получает большинство поставщиков, входят: изготовление сертификата ключа подписи (это основная услуга удостоверяющих центров), формирование закрытого ключа клиента, регистрация соответствующего ключа, криптографический комплекс; защищенный носитель. Большинство криптографических комплексов (около 90% по стране), – это Крипто-Про. Защищенный носитель – это USB - ключ, Rutoken, eToken или смарт-карта. Есть еще один вариант – дискета (незащищенный носитель).
Перечислю основные риски при использовании ЭЦП:
Во-первых, несоблюдение требований к использованию средств ЭЦП закрытого ключа, доступ посторонних лиц к закрытому ключу. Последствия - отказ от ЭЦП, возможность совершения действия другим лицом со всеми возможными негативными последствиями.
На сегодняшний день судебная практика по ЭЦП в России еще не велика. Однако мы предполагаем, что количество случаев мошенничества и спекуляций с использованием ЭЦП год за годом будет возрастать и, вместе с ней, увеличится число связанных с этим судебных разбирательств. Например, в 2007 году в одном из субъектов РФ бухгалтер при помощи ЭЦП на дискете перевела из «Клиент-банка» деньги («Клиент-банк» – один из серверов, где используется ЭЦП). После чего они исчезли. Отмечу, что дискета является незащищенным носителем, т. е. любой человек может ею воспользоваться. По данному факту было возбуждено уголовное дело. Разрабатывая защиту, адвокат отправил компании-разработчику крипто-средств запрос следующего содержания: «Возможно ли скопировать с дискеты закрытый ключ?». На что был получен официальный ответ: «Да, возможно». Для сравнения на других носителях, таких как Rutoken, eToken, смарт-карты, есть пин-код, который защищает систему от несанкционированного доступа. В суде в защиту женщины адвокат привел следующие аргументы: он утверждал, что пока женщина отсутствовала на рабочем месте в течение нескольких минут, неустановленная личность скопировала с дискеты данные и использовала их для хищения денежных средств. Теоретически это вполне возможно, так как дискета является незащищенным носителем. В итоге подозреваемая была освобождена. Причем, всем было понятно, кто совершил кражу, тем не менее, преступник был оправдан.
Во-вторых – невнимательное отношение к области применения ЭЦП, невыполнение условий равнозначности ЭЦП. Последствия - непринятие электронного документа в качестве доказательства, отказ от факта формирования электронной цифровой подписи.
В регламенте каждого удостоверяющего центра есть очень интересный пункт - список отозванных сертификатов. Это те сертификаты электронной цифровой подписи, которые уже не действуют. Другими словами, если у вас есть паспорт, то в случае его потери вы сообщаете об этом в соответствующие органы, и данный документ с этого момента является недействительным. То же самое и с ЭЦП. В случае ее утраты, в соответствии с нормативными документами, которые сейчас действуют на территории нашей страны, нужно обратиться в УЦ для перевыпуска сертификата. Это позволит избежать неоправданных рисков.
Приведу пример годичной давности связанный с регламентами УЦ. В регламенте удостоверяющего центра одного из крупнейших банков было прописано, что в случае утраты ЭЦП она вносится в список отозванных сертификатов в течение двух суток. Так вот, некий гражданин подал в данный банк заявление об утере ЭЦП. На следующий день с помощью якобы пропавшей ЭЦП он перевел полтора миллиона рублей на другой расчетный счет, и еще через день подал заявление в этот же банк о том, что у него украли указанную сумму. Все суды по данному делу банк проиграл, и требуемые деньги пришлось выдать истцу. Таким образом, злоумышленник умело воспользовался существующей в регламенте лазейкой.
В третьих, нередки случаи, когда Удостоверяющие центры оформляют ЭЦП без запроса у клиента необходимых для этого документов, либо вовсе без них. В случае возникновения в ходе торгов спорной ситуации при судебном разбирательстве оформленная таким образом ЭЦП будет признана недействительной со всеми вытекающими отсюда негативными последствиями.
Перечислю еще ряд актуальных вопросов:
1) Территориальный. В соответствии с законом №94-ФЗ электронная торговая площадка не имеет права отказать поставщику, где бы он ни находился. То есть, если я приехал в Магадан, у меня вполне закономерно должна быть возможность для получения там ЭЦП.
2) Выбор УЦ. У ныне работающих 600 удостоверяющих центров вроде бы единые требования, но с учетом того, что большинство из них сами себе утверждают регламенты, у каждого УЦ фактически собственные правила. Первые запрашивают для оформления ЭЦП одни документы, вторые – вторые, третьи-третьи и т. д. Это приводит к тому, что выбор УЦ и организационная часть также разнятся.
3) Цена вопроса. У одних оформление стоит 1000 руб., у других – 15000 руб.
4) Юридический. Необходимо скорректировать правила составления регламента ЭЦП внутри электронной торговой площадки. То есть, помимо регламента удостоверяющего центра, существует еще ряд нормативных актов, регламентирующих использование ЭЦП на торговой площадке. Один из них – разбор конфликтной ситуации в случае её возникновения.
При поддержке компании-разработчика Крипто-Про и основных торговых площадок в Ассоциации электронных торговых площадок (АЭТП) создана система аккредитации удостоверяющих центров. На данный момент Ассоциация включает в себя более 50 УЦ. Сегодня АЭТП объединяет более 80 электронных торговых площадок - не только федеральные, но и региональные, а также коммерческие – по всей стране. Мы разработали единые требования и единые регламенты для участвующих в АЭТП удостоверяющих центров. Таким образом, для электронных торгов, а также для подачи документов в налоговую и т. д., у всех входящих в Ассоциацию УЦ, требования к оформлению ЭЦП унифицированы.
Приведу пример того, как происходит оформление УЦ в Ассоциации. Прежде всего желающий участвовать в торгах поставщик обращается на электронную торговую площадку и заполняет анкету. Далее анкета уходит в единый call-центр. После этого подбирается ближайший к нему удостоверяющий центр, в который отправляется эта анкета. С клиентом связывается удостоверяющий центр, выдает необходимый список документов, выставляет счет. Поставщик заключает с УЦ договор, оплачивает счет удостоверяющего центра, а сертификат открытого ключа уходит в единый реестр, и торговая площадка получает об этом уведомление. Когда торговая площадка делает запрос, она проверяет, есть ли этот сертификат в едином реестре. Если есть и он валиден, то человек автоматически с этой одной ЭЦП начинает работать на всех площадках. Если его нет по каким-либо причинам – например, он отозван, - то автоматически происходит уведомление и блокирование данной ситуации.
Сегодня Ассоциация разрабатывает систему контроля с целью ужесточения требований к удостоверяющим центрам, для того чтобы защитить поставщиков и заказчиков от случаев мошенничества. У нас действует единая бесплатная федеральная телефонная линия 00. Если у Вас возникают какие-либо вопросы, Вы можете позвонить по этому номеру и наши сотрудники помогут вам в затруднительной ситуации. Наряду с этим на сайте АЭТП (www. *****) есть вся информация о получении ЭЦП и др.
