Даулет Алтаев

Внедрение удобной и безопасной облачной ЭЦП (электронно-цифровой подписи), по словам чиновников, в Казахстане находится на завершающей стадии. Между тем у независимых экспертов возникают вопросы относительно реальной безопасности использования ЭЦП без дополнительного программного обеспечения по видеоидентификации пользователя

Скепсис наблюдается по основным двум направлениям. Это безопасность ключа, который находится в неподконтрольном пользователю пространстве. И сложности использования ЭЦП, предположим, аутсорсинговыми компаниями, которые предоставляют массу специфичных услуг. Так, согласно мнению экспертов, процедура видеоидентификации будет требовать постоянного участия руководителей компаний, которые заказывают, например, бухгалтерские услуги. Что совершенно неудобно.
Предположим, что на обозначенные вопросы у чиновников уже есть развернутые ответы. Однако пока их общественности не представили - мы знаем лишь о планах “упростить и модернизировать” процедуру электронной подписи документов. Но в связи со спецификой IT-отрасли многое интуитивно непонятно. Поэтому мы считаем, что нелишне обозначить те вопросы, которые беспокоят общество сегодня.
Начнем с того, что в первой половине июня Аскар Жумагалиев, Министр цифрового развития, инноваций и аэрокосмической промышленности, на отчетной встрече рассказывал об итогах деятельности отрасли и министерства. Среди прочих важных моментов министр обратил внимание на проект облегчения использования ЭЦП. “К ЭЦП у граждан всегда было много вопросов. Во-первых, усложняло то, что за ней нужно было идти в ЦОН. Во-вторых, некоторые сталкивались со сложностями при ее использовании из-за необходимости устанавливать дополнительные программы. Несколько месяцев назад мы перевели процесс получения ЭЦП в дистанционный формат, а сейчас мы занимаемся разработкой упрощенной электронной цифровой подписи, для которой не нужно будет устанавливать NCALayer (дополнительное программное обеспечение для использования сертификатов безопасности - условно, самой подписи, - “НП”). Без прохождения видеоидентификации и пароля к ЭЦП никто не сможет получить доступ к вашей ЭЦП.
Сейчас АО “НИТ”, Комитет информационной безопасности и Государственная техническая служба как раз работают над вопросами безопасности”, - отметил Жумагалиев. То есть цитата дает основание полагать, что ЭЦП будет находиться на сервере, а система видеоидентификации при обращении пользователя и подтверждении идентичности сама найдет нужный ключ и вставит его куда необходимо. Все это, конечно, выглядит очень удобно - действительно, порой установка и использование пакета NCALayer требует довольно продвинутых способностей в области общения с компьютером. И это, на первый взгляд, действительно просто - по требованию системы отсканировать лицо, подтвердить паролем и совершить необходимую операцию.
Между тем облачное, то есть удаленное хранение электронного ключа, который на портале электронного правительства позволяет получать не только справки, но и подписывать госуслуги (вплоть до изменения собственника имущества и регистрации коммерческой структуры), вызывает недоверие и опасения. В первую очередь ввиду низкой защищенности государственных баз данных. К слову, в соседней России мошенничество с применением ЭЦП является одним из наиболее популярных в последнее время - с ее помощью переписывают недвижимость, автомобили, регистрируют для противоправных действий фирмы-однодневки. И это реальные истории, которые являются обратной стороной медали удобной, необходимой и необратимой цифровизации общества.
Опасения относительно не самой совершенной защиты государственных баз данных не напрасны. Независимые эксперты договариваются до того, что нынешний порядок, а он считается устаревшим, когда каждый персонально отвечает за свой электронный ключ, гораздо безопаснее, чем когда существует некий массив, в котором сконцентрированы все ключи всех граждан государства. Кстати, такой подход позволит увеличить привлекательность упомянутой информации на черном рынке, что может привлечь внимание и интерес, как их называют, “независимых экспертов по компьютерной безопасности”, которые живут добычей и продажей данных.
С точки зрения неспециалиста, эти опасения совершенно оправданны. Поэтому необходим четкий и грамотный комментарий представителя профильного ведомства, который разъяснит все тонкости нового порядка. А до этого многие из нас, пользователей, при каждом удобном случае продолжат вспоминать истории последних крупнейших утечек из государственных баз данных. И ведь они действительно очень яркие. Почти год назад стало известно, что данные 11 миллионов казахстанцев попали в сеть. Как утверждали специалисты из Центра анализа и расследования кибератак, утекли “фамилия, имя, отчество, ИИН, адрес проживания, номер удостоверения личности и дата выдачи документа”. Тогда подозрения пали на Центральную избирательную комиссию. Виной всему стал человеческий фактор. “В ходе работы по совершенствованию функционала информационно-аналитической системы подрядной организацией РГП “Инженерно-технический центр Центральной избирательной комиссии” использовался сервер разработки, который мог послужить источником компрометации данных”.
Вроде бы ничего серьезного не случилось. Но факт остается фактом - персональные данные оказались в открытом доступе. Еще из недавнего - в ноябре прошлого года обнаружили “подтекающие” каналы в сфере госзакупок, по которым могла утекать в сеть закрытая информация о ценовом предложении. Все мы также помним о том, как была обозначена утечка медицинских данных из базы Damumed. Общественности поспешили сказать о том, что она не критична и в целом опасаться использования третьими лицами со злым умыслом не стоит.
Ну и, наконец, недавняя утечка данных из баз Генеральной прокуратуры. Как отмечали специалисты, “утечка раскрывает данные о гражданах Казахстана и иностранцах, в отношении которых когда-либо велось административное делопроизводство”.
Мы приводим лишь немногие и наиболее значимые случаи. О других, менее масштабных, не исключено, общественность и не догадывается. Естественно, все это создает облако недоверия вокруг инновационных технологий, внедряемых в стране.    Наконец, мы подошли к моменту с удобством использования ЭЦП, так скажем, нового формата компаниями, которые предоставляют определенного рода услуги: бухгалтерские или по сдаче налоговых отчетностей. У подобных организаций могут быть сотни клиентов из разряда малого и среднего бизнеса. А теперь представьте ту ситуацию, когда, предположим, тысяче клиентов аутсорсинговой компании надо подписать, предположим, налоговую отчетность своей “личностью”? И сделать это надо в офисе организации. Как быть в этом случае? Выдать разрешение на использование подписи третьим лицом? Тогда о какой защищенности мы можем говорить? Или же необходимо будет получать специальную подпись под конкретную услугу?
В общем, масса возникающих вопросов пока никак не вяжется с, казалось бы, безоблачным будущим ЭЦП нового формата в Казахстане. Пока нам не расскажут обратное.