Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Злоупотребления с электронными
подписями: Дыра в заборе или
отсутствие забора?
Храмцовская Наталья Александровна
к.и.н., в...
Особенности текущего момента
 УКЭП в России используется уже давно
– Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронн...
Возможные сценарии использования
УКЭП без ведома владельца (1)
 Владелец сам передает средства создания УКЭП другому
лицу...
Возможные сценарии использования
УКЭП без ведома владельца (2)
 Если пара ключей создается УЦ – утечка ключа
подписания и...
Проблемы усиленных электронных
подписей
 Созданы сотни УЦ, выпускающие квалифицированные
подписи (УКЭП), в т.ч. мелкие
 ...
России – мировой рекордсмен по числу
аккредитованных удостоверяющих центров
 В «Перечень
аккредитованных
удостоверяющих ц...
Электронная подпись
юридического лица
 Зачем она нужна? Аналог печати?
 Не урегулирован вопрос о том, в каких случаях он...
Возможность передачи ключа подписи
другому лицу
 В законе неявно предусмотрена возможность передачи
ключа подписи от влад...
Расплата за передачу в другие руки
своего средства создания ЭП
 В период с 2000 по 2013 год гражданин являлся
гендиректор...
На что следует обратить внимание:
 Бесконтрольное использование УКЭП опасно для
всех участников электронного документообо...
Процедура установления личности
заявителя, обратившегося в УЦ
Ст. 18. Выдача квалифицированного сертификата
1. При выдаче ...
Использование ЭП юридического лица
без ведома владельца
 При регистрации юридического лица
 При проведении электронных з...
Кража подписи юридического лица
 В марте-мае 2015 года от имени медицинского центра было
опубликовано 30 извещений о заку...
«Левая» отчетность по НДС
 После успешной сдачи квартальной отчетности в налоговую
приходит корректировка, в которой пока...
Использование без ведома владельца
электронной подписи физического лица:
 При переоформлении прав собственности на
недвиж...
Пожарные меры
 Федеральный закон от 02.08.2019 № 286-ФЗ «О внесении
изменений в Федеральный закон «О государственной
реги...
Использование УКЭП
при подаче заявлений в ПФ
 Коллегия Счетной палаты в июне 2017 года рассмотрела
результаты контрольног...
Совершенствование законодательства
об электронной подписи
 Законопроект № 747528-7 «О внесении изменений в
некоторые зако...
Выводы (1)
 Сегодня УКЭП стала «ключом от квартиры, где деньги
лежат» - соответственно, ко всем процессам, связанным
с вы...
Выводы (2)
 На данный момент главной дырой в системе безопасности с
является огромное число аккредитованных удостоверяющи...
Приглашаю Вас на мой блог:
http://rusrim.blogspot.com/
а также на мои каналы на Slideshare и YouTube
6 ноября 2019 г. Межд...
Upcoming SlideShare
Loading in …5
×
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

0

Share

Download to read offline

Злоупотребления с электронными подписями: Дыра в заборе или отсутствие забора?

Download to read offline

Выступление Натальи Александровны Храмцовской, ведущего эксперта по управлению документацией ООО «Электронные офисные системы», к.и.н., с докладом на II научно-практической конференции «Управление документами в цифровой экономике» 6 ноября 2019 года.

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Злоупотребления с электронными подписями: Дыра в заборе или отсутствие забора?

  1. 1. Злоупотребления с электронными подписями: Дыра в заборе или отсутствие забора? Храмцовская Наталья Александровна к.и.н., ведущий эксперт по управлению документацией компании «Электронные Офисные Системы», эксперт ИСО и МСЭ, член Международного совета архивов и ARMA International
  2. 2. Особенности текущего момента  УКЭП в России используется уже давно – Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» – Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»  Проблемы появились сравнительно недавно – Долгое время УКЭП использовалась в нишах, где ее нельзя было «монетизировать» – Расширение сферы использования, особенно в части госуслуг и деловой деятельности 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  3. 3. Возможные сценарии использования УКЭП без ведома владельца (1)  Владелец сам передает средства создания УКЭП другому лицу, которое злоупотребляет доверием  Похищение ключа подписания у владельца  Взлом используемой подписантом системы с целью использования её для подписания «левых» документов без похищения ключа подписания 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  4. 4. Возможные сценарии использования УКЭП без ведома владельца (2)  Если пара ключей создается УЦ – утечка ключа подписания из УЦ  Несанкционированный выпуск сертификата УКЭП посредством обмана честного УЦ  Несанкционированный выпуск сертификата УКЭП специально созданным мошенниками УЦ 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  5. 5. Проблемы усиленных электронных подписей  Созданы сотни УЦ, выпускающие квалифицированные подписи (УКЭП), в т.ч. мелкие  Во многих случаях государственные органы обязаны принимать документы, подписанные УКЭП на сертификатах от любых аккредитованных УЦ  Есть проблемы с организацией проверки УКЭП (например, могут быть проблемы с доступом к спискам отозванных сертификатов)  Есть проблема доверия к аккредитованным УЦ 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  6. 6. России – мировой рекордсмен по числу аккредитованных удостоверяющих центров  В «Перечень аккредитованных удостоверяющих центров», размещенный на сайте Минкомсвязи, на 29 октября 2019 года внесено 496 удостоверяющих центров – больше, чем во всем остальном мире  6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  7. 7. Электронная подпись юридического лица  Зачем она нужна? Аналог печати?  Не урегулирован вопрос о том, в каких случаях она может применяться Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», статья 14 – 3. В случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности.  6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  8. 8. Возможность передачи ключа подписи другому лицу  В законе неявно предусмотрена возможность передачи ключа подписи от владельца уполномоченному лицу  Соответствующая процедура до сих пор не урегулирована законодательством Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи», Статья 10 – При использовании усиленных электронных подписей участники электронного взаимодействия обязаны: – 1) … не допускать использование принадлежащих им ключей электронных подписей без их согласия; 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  9. 9. Расплата за передачу в другие руки своего средства создания ЭП  В период с 2000 по 2013 год гражданин являлся гендиректором ЗАО «Балтийский берег» (дело № А56- 35890/2015)  С января 2011 года по декабрь 2012 года работники общества с использованием его ЭЦП осуществляли перечисление денежных средств на расчетные счета юридических лиц, не являющихся контрагентами общества  Тринадцатый арбитражный апелляционный суд в июне 2016 года взыскал с бывшего директора более 254 млн. руб.  Арбитражный суд Северо-Западного округа в сентябре 2016 года оставил без изменения 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  10. 10. На что следует обратить внимание:  Бесконтрольное использование УКЭП опасно для всех участников электронного документооборота  Передача ключевого носителя другому лицу не является незаконной, но влечет за собой риски. Необходимо тщательное документирование!  Порядок уничтожения ключей на ключевых носителях при прекращении полномочий владельца 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  11. 11. Процедура установления личности заявителя, обратившегося в УЦ Ст. 18. Выдача квалифицированного сертификата 1. При выдаче квалифицированного сертификата аккредитованный УЦ обязан: 1) установить личность заявителя - физического лица, обратившегося к нему за получением квалифицированного сертификата 2) получить от лица, выступающего от имени заявителя - юридического лица, подтверждение правомочия обращаться за получением квалифицированного сертификата 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  12. 12. Использование ЭП юридического лица без ведома владельца  При регистрации юридического лица  При проведении электронных закупок  При предоставлении уточненной декларации по НДС 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  13. 13. Кража подписи юридического лица  В марте-мае 2015 года от имени медицинского центра было опубликовано 30 извещений о закупке разного рода товаров. Во всех извещениях в качестве контактного лица был указан гражданин, который не являлся сотрудником центра  Некоторые из организаций обратились в арбитражный суд с исками к центру о взыскании задолженности за поставленный товар (дела №№А60-49982/2015, А60- 42188/2015, А60-35780/2015) и проиграли  Ряд организаций одновременно заявили требования о взыскании убытков к удостоверяющему центру ОАО «ИнфоТеКС Интернет Траст», и также проиграли 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  14. 14. «Левая» отчетность по НДС  После успешной сдачи квартальной отчетности в налоговую приходит корректировка, в которой показаны большие обороты (десятки-сотни миллионов рублей) и большой НДС к уплате  Уточненный расчёт отправляется через другого спецоператора и подписан ЭП руководителя, средства создания которой, были получены на его паспорт с вклеенной туда фотографией другого человека  Подпись на доверенности на получение ЭП также поддельная 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  15. 15. Использование без ведома владельца электронной подписи физического лица:  При переоформлении прав собственности на недвижимое имущество  При переводе пенсионных накоплений из одного пенсионного фонда в другой  При создании ООО с единственным учредителем физическим лицом 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия» В ближайшее время мы, несомненно, увидим и новые варианты. Чем больше с помощью УКЭП можно получить услуг, связанныХ с собственностью, деньгами и иными активами, тем изобретательнее будут мошенники
  16. 16. Пожарные меры  Федеральный закон от 02.08.2019 № 286-ФЗ «О внесении изменений в Федеральный закон «О государственной регистрации недвижимости»» вступил в силу 13 августа 2019 года  Закон дополнен новой статьей 36.2 «Правила внесения в Единый государственный реестр недвижимости записи о возможности представления заявления о государственной регистрации перехода, прекращения права собственности на объект недвижимости, принадлежащий физическому лицу, и прилагаемых к нему документов в форме электронных документов и (или) электронных образов документов, подписанных усиленной квалифицированной электронной подписью» 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  17. 17. Использование УКЭП при подаче заявлений в ПФ  Коллегия Счетной палаты в июне 2017 года рассмотрела результаты контрольного мероприятия «Проверка процедур подачи заявлений застрахованного лица о переходе … в электронной форме … за период 2012 – 2016 годов»  С января 2019 года электронный документ, том числе и заявление о переводе пенсионных накоплений, формируется с использованием Единого портала государственных и муниципальных услуг и направляется в Пенсионный фонд РФ посредством единой системы межведомственного информационного взаимодействия (СМЭВ) 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  18. 18. Совершенствование законодательства об электронной подписи  Законопроект № 747528-7 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с совершенствованием регулирования в сфере электронной подписи»  Внесен в Государственную Думу 5 июля 2019 года  Предлагаемая дата рассмотрения Государственной Думой в первом чтении - 7 ноября 2019  Планируется уточнить порядок использовании ЭП физических и юридических лиц 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  19. 19. Выводы (1)  Сегодня УКЭП стала «ключом от квартиры, где деньги лежат» - соответственно, ко всем процессам, связанным с выпуском сертификатов и выдачей средств создания подписей, теперь нужно относиться куда более серьёзно  Дыры в безопасности будут выявляться постоянно, поэтому важно их как можно быстрее закрывать с использованием юридических, организационных, технических и иных мер. 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  20. 20. Выводы (2)  На данный момент главной дырой в системе безопасности с является огромное число аккредитованных удостоверяющих центров и слабый контроль со стороны регулятора над их деятельностью Мировая практика: доверенных УЦ, имеющих право на выпуск квалифицированных сертификатов, в одной стране может быть 4-5 (но не ~500, как в России)  Ещё одна проблема, требующая срочного решения – создание, в качестве предохранительной меры, системы информирования граждан и организаций о выдаче им сертификатов и средств создания УЭП 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»
  21. 21. Приглашаю Вас на мой блог: http://rusrim.blogspot.com/ а также на мои каналы на Slideshare и YouTube 6 ноября 2019 г. Международная научно-практическая конференция «Управление документами в цифровой экономике: проблемы взаимодействия»

Выступление Натальи Александровны Храмцовской, ведущего эксперта по управлению документацией ООО «Электронные офисные системы», к.и.н., с докладом на II научно-практической конференции «Управление документами в цифровой экономике» 6 ноября 2019 года.

Views

Total views

72

On Slideshare

0

From embeds

0

Number of embeds

0

Actions

Downloads

1

Shares

0

Comments

0

Likes

0

×