ЭЦП подозрительного действия: в каких "темных" делах используют цифровую подпись казахстанцев

14 лет назад в Казахстане внедрили электронную цифровую подпись. Создали ее в числе всего прочего для того, чтобы облегчить казахстанцам процесс получения госуслуг. Согласитесь, очень удобно получать необходимые справки не выходя из дома. Но вот незадача. В руках мошенников, и не только, ЭЦП превратилась в еще один способ обмана людей. Более подробно о том, как “разводят” жителей нашей страны, кто в этом виноват и можно ли обезопасить цифровые подписи, – в материале Liter.kz.

Не первый год вопрос, связанный с использованием электронной цифровой подписи, подвергается критике. Вспомним, к примеру, истории четырехлетней давности. Тогда только в декабре  сотрудники правоохранительных органов выявили 586 адресов, где зарегистрировано от 50 и более человек. Но случай, который произошел в январе 2022 года, кажется, бьет все рекорды. 27-летний житель города Текели Алматинской области вдруг выясняет, что кто-то открывает на него ЭЦП и оформляет ТОО. Товарищество регистрируют по одному из адресов Алматы. Самое интересное впереди: через созданную компанию неизвестные переводят более 89 миллионов тенге.

14 февраля к нам, юристам, обратился молодой человек. По его словам, он планировал жениться, пошел в ЦОН для получения электронной цифровой подписи, но там узнал, что она у него уже якобы есть. Более того, по ней открыли ТОО. Подумали, что это сделали мошенники, но когда стали проводить собственное расследование, то вышли на сотрудницу ЦОНа, которая оформляла ЭЦП сторонним людям. Потом нам стали звонить представители центра и просить не придавать случившееся огласке. В моей практике было множество случаев, но вот с такой неприкрытой наглостью столкнулся впервые. Получается, ЭЦП раздают направо и налево, – рассказывает корреспонденту Liter.kz юрист Магжан Беимбетов.

По словам юриста, они написали заявления в профильные ведомства и теперь ждут ответов от государственных органов.

В НАО “Правительство для граждан” журналисту Liter.kz сообщили, что по вышеупомянутому факту ведется проверка. От себя скажем, что без детального расследования здесь не обойтись, поскольку произошедшее бросает тень сомнения на необходимость и безопасность использования цифровой подписи. Хотя, как говорит программист Аскар Бакиров, чисто технически к ЭЦП не может быть никаких претензий.

Сотрудник ЦОНа, если у него есть какие-то злостные намерения, может получить ЭЦП любого гражданина. Пароль к подписи вводит обычно тот же сотрудник, который выдает ее. Проблема связана не с ЭЦП и не техническая, а процедурная. И здесь возникает вопрос, а доверять ли сотрудникам ЦОНов. Если вы хоть раз получали электронную подпись, то знаете, как правило, пароли к ним ставят одинаковые. Раньше, например, он был такой – Aa1234. С точки зрения компьютерной безопасности это полный кошмар, но здесь, как я уже говорил, проблема не с самими ЭЦП, а с теми, как и кто их выдает, – отмечает Аскар Бакиров.

О том, что электронно-цифровая подпись с технической стороны не может иметь нареканий, говорят и в АО “Национальные информационные технологии”. Там отмечают, что подделать саму ЭЦП нельзя.

В основе электронно-цифровой подписи лежат криптографические технологии, риски взлома которых минимальны. Взлом ЭЦП фактически сводится к взлому алгоритма шифрования, для которого необходимы большие ресурсы и длительное время. Речь идет о том, что если даже единовременно направить все вычислительные ресурсы мира для подбора закрытого ключа, то потребуется не один десяток лет. Тем самым криптографические методы обеспечивают доказательную базу для защиты информации в сфере использования ЭЦП, – поясняет ведущий инженер департамента инфраструктуры открытых ключей АО «Национальные информационные технологии» Нурбек Гапу.

При этом эксперт подчеркивает, что в 2022 году НУЦ РК планирует осуществить переход на новый криптографический стандарт ГОСТ Р 34.10-2015, а это значит, что длина ключей будет увеличена в два раза, за счет чего будет достигнута еще более высокая защита. Это, если говорить о самой технической составляющей ключа, но вот что касается персональных компьютеров, которые используют казахстанцы, то там ситуация другая.

Персональный компьютер не является защищенным носителем ключевой информации, и в случае наличия доступа к нему третьим лицом либо наличия на персональном компьютере вредоносного программного обеспечения, пользователь не застрахован от хищения ключей ЭЦП. Поэтому мы рекомендуем использовать защищенные носители ключевой информации. Это: Kaztoken, E-token, Akey и JACard, также для ЭЦП физических лиц – удостоверение личности. Их преимущества в том, что позволяют генерировать на них закрытый ключ ЭЦП и использовать его при подписании. Закрытый ключ недоступен для копирования и извлечения из защищенного носителя, а криптографические операции происходят на самом чипе защищенного носителя, – добавляет Нурбек Гапу.

Что получается? В АО «НИТ», говоря об использовании цифровой подписи, призывают обратить внимание на то, на каком носителе она хранится и защищен ли персональный компьютер от вредоносных программ. Программист Аскар Бакиров уверен, что помимо этого пристальное внимание следует уделить тому, как и кем выдается ЭЦП.

По идее, в ЦОНах должна быть система, не позволяющая выдавать ЭЦП посторонним людям или хотя бы фиксирующая фото того, кому она выдается и кем, – считает IT-специалист.

Напомним, что ЭЦП состоит из двух основных частей: закрытый и открытый ключи. Первый представляет собой набор данных, который указывает на принадлежность определенному закрытому ключу и подтверждает его владельца, поэтому используется для проверки. Он также содержится в сертификате. Закрытый же ключ доступен только его владельцу и используется для создания самой электронной подписи.

Правила безопасности по недопущению использования цифровой подписи в мошеннических целях:

1. Нельзя передавать ЭП другим людям. Другие лица не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.
2. Если сотрудник, у которого есть ЭЦП, увольняется, то сертификат подписи надо сразу отозвать через ЦОН либо онлайн в личном кабинете НУЦ РК. Иначе экс-работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭЦП.
3. Kaztoken (защищенный носитель) с подписью и компьютер, где она используется, должны быть защищены сложным паролем. Иначе злоумышленник сможет воспользоваться чужой ЭЦП, если украдет токен или получит доступ к компьютеру.
4. Если ЭЦП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.