Химич Роман (totaltelecom) wrote,
Химич Роман
totaltelecom

Чи переможе рейдерів ЕЦП?

В ситуації навколо електронних довірчих послуг як у краплі води відбиваються і ті проблеми, що обумовили розквіт рейдерства в Україні, і ті чинники, які змушують сумніватися у дієвості нещодавнього президентського указу, спрямованого на боротьбу із рейдерами. Фактично, в тексті указу має місце замкнуте коло, коли дефекти одних процедур та інструментів довіри пропонується усунути за допомогою інших, не менш дефектних.  


В серпні 2016 року сталася подія, усвідомлення змісту та сенсу якої конче важливо для змістовного обговорення запропонованих підходів до протидії рейдерству. Три роки тому група зловмисників, які досі залишаються невідомими та непокараними, отримала в своє розпорядження особистий та відкритий ключі, оформлені на ім'я члена НАЗК Руслана Рябошапки, нині заступника голови Офісу президента. Оскільки номінальний власник ключів не звертався із відповідним проханням і не отримував ключі в передбаченому порядку, можна стверджувати, що мала місце саме фальсифікація, а не втрата чи крадіжка ключів до т.зв. кваліфікованого цифрового електронного підпису (ЕЦП). 


Нагадаємо, що відповідно до законодавства кваліфікований ЕЦП вважається функціональним аналогом власноручного, тобто дозволяє вчиняти будь-які правочини. Далі у тексті під ЕЦП пропонується розуміти саме кваліфікований ЕЦП.


Маючи можливість вчиняти від чужого імені юридично значущі дії, зловмисники внесли до системи електронного декларування завідомо нікчемні відомості. Цей факт був використаний деякими політиками як свідчення недосконалості системи декларування та недоцільності введення її в експлуатацію. Переслідуючи свої приватні короткострокові інтереси, замовники цього скандалу спровокували набагато більш масштабну довгострокову кризу. Попри спроби зацікавлених осіб напустити туману, заявляючи про використання “тестових ключів”, загальновідомі властивості електронних довірчих послуг, заради яких вони, власне, були створені, не залишили жодних шансів приховати фактичні обставини справи. 


Сфальшовані ключі були підписані за допомогою ЕЦП, що належить державному підприємству "Українські спеціальні системи" (ДП УСС) Державної служби спеціального зв’язку та захисту інформації (ДССЗЗІ). 


Фактично, було дискредитовано всю одразу державну систему гарантування достовірності та недоторканності критично важливої інформації. Ті самі люди, які відповідають за її безпеку та недоторканність, чи то дозволили втягнути себе в злочинну діяльність, чи то свідомо прийняли в ній участь, чи то  банально прогавили кричущі зловживання у себе під носом. 


Подальша реакція керівництва ДССЗЗІ змушує зробити висновок, що ці люди або надзвичайно зухвалі, або фантастично некомпетентні. На сьогоднішній день така непересічна подія, як випуск центром сертифікації ключів провідного державного органу в царині захисту інформації підробленого ЕЦП не мала жодних наслідків для причетних до цього осіб. Ці особи не тільки не притягнуті до відповідальності, вони навіть не виявлені, не названі по іменах. 


Вся одразу система довірчих послуг, яку забезпечує українська держава, скомпрометована і не може вважатися такою, що заслуговує на безумовну, абсолютну довіру. 


Через призму цього фундаментального факту варто подивитися на всі ті ідеї, що їх містить обговорюваний Указ. 


В ідеї посилити за допомогою ЕЦП захист майнових та інших прав, підвищити довіру до правочинів, що їх вчиняють посадові та довірені особи української держави, є певні межі доцільності. ЕЦП може бути у нагоді, коли мова йде про ситуації, де зараз взагалі не використовуються ефективні механізми підтримки довіри, як от “проведення реєстраційної дії (...) на підставі судових рішень, відомості про які відсутні в Єдиному державному реєстрі судових рішень”. Якщо держава неспроможна забезпечити своєчасне внесення відомостей про судові рішення у відповідні реєстри, тоді, дійсно, можна хоча б унеможливити фальшування таких рішень, вимагаючи наявність ЕЦП відповідного судді.

Але і в цьому випадку залишається простір для маніпуляцій, заснованих на ще одному принциповому факті - чинна модель довірчих електронних послуг не враховує можливість різноманітних форм компрометації ЕЦП. Хоча уявлення про компрометацію як теоретично можливу ситуацію в законодавстві зафіксоване, але що саме робити у таких випадках - не відомо.

Що робити, якщо особистий ключ був вкрадений та використаний для вчинення юридично значущих дій до того, як власник викрив факт втрати? Якщо ключ був непомітно вилучений у власника, використаний у злочинний спосіб, а потім повернутий на місце? На сьогоднішній день правозастосування у подібних випадках не є одноманітним та передбачуваним.

Що, врешті-решт, робити із можливістю вчинення юридично значущих дій за допомогою ключів, що були у протиправний спосіб оформлені на людину, яка взагалі не знає про цей факт?

Запропоновані в Указі кроки зменшують ймовірність деяких поширених зловживань, але не унеможливлюють їх повністю.

Наприклад, пропонується обов’язковість нотаріального посвідчення договорів , предметом яких є відчуження частки у статутному (складеному) капіталі юридичної особи, крім договорів, створених на порталі електронних сервісів юридичних осіб, фізичних осіб — підприємців та громадських формувань і підписаних з використанням кваліфікованого електронного підпису”. Себто Указ визнає ЕЦП як такі, що заслуговують довіру не меншу, ніж нотаріат.

Водночас Указ пропонує ЕЦП для підсилення довіри до правочинів тих самих нотаріусів та реєстраторів: посилення захисту відомостей (...) у тому числі шляхом запровадження додаткового підтвердження вчинення реєстраційної дії, зокрема з використанням мобільного електронного підпису (Mobile ID) та інших схем електронної ідентифікації


Це слушна пропозиція, оскільки ймовірність одночасної фальсифікації і нотаріальних дій, і ЕЦП є добутком складових ймовірностей, тобто є набагато меншим за кожну з них. У зв'язку із цим заслуговує увагу згадка про MobileID. Як відомо, MobileID є одним із різновидів ЕЦП. Оскільки цю послугу (випуску та подальшої технічної підтримки MobileID) надають одразу дві юридичні особи - оператор стільникового зв'язку та акредитований центр сертифікації ключів (АЦСК), - ймовірність фальсифікації MobileID по схемі УСС ДСЗЗІ (див. вище випадок Рябошапки) так само є суттєво меншою, ніж у випадку звичайного ЕЦП. 


Все це не відміняє того, що на сьогоднішній день власники ЕЦП не мають інструментів мінімізації поширених ризиків. В першу чергу мова йде про а) публічний реєстр ЕЦП та б) публічний реєстр юридично значущих дій, вчинених за допомогою ЕЦП. Їх наявність дозволила б реалізувати нескладні ефективні механізми мінімізації деяких ризиків. Особливо якщо додати до них часові обмеження для вчинення юридично значущих дій за допомогою ЕЦП. 

Нові ключі ЕЦП мають набувати юридичної сили через певний проміжок часу після випуску. За цей час відомості про них мають з'являтися в публічному реєстрі. Це давало б певну фору, час для реагування на появу підроблених ключів, оформлених на сторонніх осіб. Кожен громадянин або уповноважена ним особа мали б можливість підписатися на послуги з моніторингу такого реєстру, запобігаючи неприємних несподіванок.

Так само юридично значущі дії, завірені ЕЦП, мають набувати сили через певний час (добу, тиждень, та хоч і місяць у найбільш значущих випадках) після появи відомостей про них у відповідному реєстрі. 


Ці принципи - розміщення відомостей щодо правочинів у публічних реєстрах, наявність проміжку часу для набуття цими правочинами сили з моменту оприлюднення відомостей про них, - мають стати підвалинами посилення гарантій захисту прав, необхідність яких наголошує Наказ. В даному випадку доречно використовувати рішення, орієнтовані на використання в середовищі, де відсутня довіра, як-от блокчейн. 


Нарешті, треба згадати про головний чинник рейдерства - практику безкарності посадових та довірених осіб української держави. Рейдерство в його нинішньому вигляді неможливе без чиновників, нотаріусів та реєстраторів, які раз у раз відкрито та зухвало порушують норми закону та свої безпосередні обов'язки. 


Неможливо забезпечити належне функціонування системи довірдовірчих послуг, якщо їх надають люди, котрі цілеспрямовано зловживають довірою. Технічні системи, що використовуються для забезпечення правочинів, не в змозі вирішити проблему, яка має нетехнічний характер. Між тим проблема рейдерства не є технічною, вона має саме інституційний характер 


Доти, доки українська держава не може, або не хоче своєчасно, оперативно, прозоро і рішуче реагувати на зловживання її довірених осіб, адекватна державна політика в царині захисту прав фізичних та юридичних осіб мусить враховувати цей факт. 


Тому найпершим кроком, про який, на жаль, нічого не сказано в обговорюваному Указі, має стати оперативне і прозоре розслідування випадку із компрометацією АЦСК УСС. 


Олексюк Лілія, експерт з питань  електронного урядування

Хіміч Роман, експерт ринку телекомунікацій
Робоча група з питань безпеки та довіри в цифровому середовищі

 

Tags: digital identity, деньги 2.0, публикации, экономическая правда, экспертная деятельность
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments