Мінцифра та сурогати: труднощі лікнепу

Днями на платформі «Дія.Цифрова Освіта» з’явився новий освітній серіал, цього разу про електронні підписи. Такого штибу матеріали корисні та цікаві тим, що відображають офіційну позицію, еталонну картину тих предметів, яким вони присвячені. Оскільки позиція Мінцифри щодо ЕЦП та КЕП місить ряд відомих протирічь, я вирішив уважно  переглянути серіал, аби ще раз спробувати розібратися. Дива не сталося, Мінцифри озвучує взаємовиключні погляди на даний предмет. Позицію Міністерства в серіалі озвучує Олександр Козлов, експерт Мінцифри саме з питань електронних довірчих послуг. Отже, неможливо списати ці протиріччя на недоліки комунікації.

Мушу зауважити, що з точки зору дидактики матеріали серіалу далекі від ідеалу. Складні, часто геть неочевидні речі викладаються у найбільш примітивний спосіб, на словах. Деякі тези дублюються текстом, інфографіка просто відсутня, покрокових інструкцій абсолютно недостатньо.  Натомість забагато зайвого тексту та емоцій від запрошених акторів.

Отже, давайте подивимось все це разом.

1 серія, «FAQ з е-підпису»

На позначці 2:20 п. Козлов каже про  КЕП, що «одна з головних його ознак це те, що він зберігається на захищеному носії інформації». Ще раз — одна з головних ознак. Жодної згадки про сурогатні носії, тобто флешки. Жодної згадки про дивну потвору, створену в секретних лабораторіях Міністерства, тобто «удосконалені електронні підписи та печатки, які базуються на кваліфікованих сертифікатах відкритих ключів», якщо хтось раптом не зрозумів. Показова дискусія щодо цих експериментів мала місце більше ніж півроку тому.

Знов пролунала дивакувата аналогія «це як Оскар для актора», цього разу стосовно кваліфікованих довірчих  послуг. Схоже, хтось в Мінцифрі вигадав її, дуже нею пишається і тепер пхає скрізь, де можна.

Без зрозумілих причин експерт з довірчих послуг заявляє (позначка 1:50) про наявність лише двох різновидів електронного підпису, удосконаленого та кваліфікованого. Іншими словами, він уникає згадки про існування ще однієї форми електронного підпису, а саме простого. Хоча цей термін відсутній в eIDAS та чинному законі «Про довірчі послуги», він широко застосовується в професійній  комунікації. Більше того, поняття «простий електроний підпис» активно використовується в банківській сфері, включно із нормативкою НБУ.

Разюча різницю між простим та кваліфікованим електронним підписом аж ніяк не може вважатися суто теоретичним та вузькоспеціальним питанням. За останні роки цю різницю відчули на собі тисячі українських громадян, які стали жертвами шахраїв, що використовують нюанси KYC-процедур т.зв. мікрофінансових установ. Еталонним прикладом подібних шахрайств є випадок компанії «Манівео швидка фінансовая помощь» (ТМ Moneyveo). Протягом 2018-19 років учасники злочинної групи, які так і залишилися не спійманими, оформили та вкрали кредити на приблизно одну тисячу українських громадян.

Докладніше про цю історію можна прочитати тут, а в контексті питання про різницю між видами ЕП варто згадати одну з ключових родзинок  Moneyveo. Замість використання повноцінних механізмів віддаленої ідентифікації (BankID або КЕП) компанія вважає висловленням згоди на отримання кредиту «електронний підпис одноразовим ідентифікатором»». За цією гучною назвою криється банальне натискання на екранну кнопку в онлайн-анкеті.  Як результат, неможливо перевірити ані хто підписав, ані коли підписав, ані цілістність вже підписаного договору.

Отже, в першій серії категорично та недвозначно заявлено, що КЕП має використовувати захищений носій.

2 серія, «Для чого та в яких життєвих випадках можна використовувати електронний підпис?»

Звертає увагу, що розповідаючи про можливість використовувати КЕП для отримання медичних послуг, п. Козлов наводить один-єдиний приклад, а саме МІС Helsi.me. Ані слова не сказано про  20+ аналогічних рішень, які використовуються в Україні. Неможливо втриматися від запитання що такого особливого в цій МІС?

Але далі наголошуються ще дивніші речі. На позначці 4:55 стверджується, що власникам КЕП доступні запис на прийом до лікаря, перегляд своєї медкартки та інші можливості, що їх пропонує МІС Helsi.me Я є не просто користувачем Helsi.me, а безпосередньо вивчав (та криткував, еге ж) застовані в цій МІС підходи до аутентифікакції користувачів.

Причому критикував успішно, оскільки НСЗУ, МОЗ та провайдери МІС потихеньку-помаленьку еволюціонують в бік більш адекватних практик захисту інформації, яка складає медичну таємницю.

Так от, в Helsi.me від пацієнтів КЕП не вимагається, тільки від медичного персоналу. Аутентифікація пацієнтів відбувається за допомогою номеру мобільного звязку та/або адреси електроної пошти й кодового слова. Це все. Про всяк випадок я зайшов на сайт МІС глянути чи не з’явилася там нова опція — ні, не з’явилася. То при чому тут КЕП? В якому сенсі «електронний підпис ще більше розширює можливості пацієнта»?

На позначці 8:08 лунає суперечлива заява, що «електроні документи із накладеними електронними підписами мають таку ж силу, що і паперові». Ця теза, на загал, доречна у випадку використання цифрового підпису (тобто удосконаленого або кваліфікованого), а не будь-яких електронних  підписів. Та й навіть у випадку використання КЕП електронні документи мають відповідати низці вимог, про що варто хоча б коротко згадати в рамках тематичного лікнепу.

3 серія, «Місія «Отримати КЕП»»

Третю частину серіалу можна вважати його кульмінацією. Перед замовниками, сценаристами та головним виконавцем постало вельми непросте завдання — якось озвучити, ба більше, заявити як нормативні саме ті практики, які суперечать чинному законодавству. Причому зробити це непомітно для недосвідченого спостерігача, максимально акуратно. Мова, звичайно, йде про ганебну й протизаконну практику роздачі КЕП на сурогатних носіях. Точніше, так званих КЕП на носіях, які не відповідають вимогам, передбаченим законом «Про електронні довірчі послуги». На жаль, ця практика нікуди не поділася ані після появи Мінцифри, ані після 9 листопада 2019 року, тобто завершення перехідного періоду, передбаченого  вищезгаданим законом.

Аби розв’язати це завдання міністерство вдалося до кількох нескладних  трюків. Зверніть увагу — серія називається «Отримати КЕП», але в кадрі цей термін майже не згадується. Натомість герої серіалу говорять виключно про «електронний підпис».

Інакше кажучи, відбувається підміна предмету обговорення, термін . Недосвідчені глядачі щиро вважатимуть, що мова йде саме про КЕП. Досвідченим можна буде сміливо сказати «Які такі КЕП, ну до чого тут вони? Ми ж говоримо про електронний підпис, не більше».

Як результат, на позначці 1:25 можна насолодитися аж трьома варіантами надання послуги, включно із «власний незахищений носій типу USB — flash та сертифікат». Експерт Мінцифри бува нагадує, що  «звичайна  флешка не є захищеним носієм», але не пояснює як цей факт узгоджується із змістом першої серії та які наслідки з нього випливають.

Звичайно, приховати парашут та рацію цілком не вдалося, тому вони телепаються за учасниками шоу, пригортаючи зайву увагу. Якого дідька кваліфіковані надавачі мусять займатися чимось окрім КЕП? Як тільки мова заходить про ID-картку, вперше лунають слова «кваліфікований електронний підпис». Вдруге (і востаннє) КЕП згадується разом в контексті розповіді про MobileID.

Серія 4 — Безпека електронного підпису

Обговорюючи проблематику безпеки приватних ключів, герої серіалу з піднесенням наголошують (позначка 2:14), що «КЕП треба зберігати тільки на захищених носіях».

«А чому не варто зберігати на комп’ютері? Зберіг собі і підписуєш, коли потрібно», — задає гостре запитання п. Козлов. Питання було б ще гостріше, якби він згадав і улюблені панством флешки, але так далеко він чомусь не ризикнув запливати. Чому?

Порада «Не світіть даними, коли підключаєтеся до незахищенних мережах в кафе та ресторанах» має небагато сенсу для масової аудиторії. Точніше, вона потребує окремих детальних пояснень, бажано з ілюстраціями та наочною демонстрацією. Але, як було сказано вище, освітній серіал провідного органу виконавчої влади не використовує подібні підходи.

Серія 5 — Як скористатись підписом: різні життєві ситуації

Ця серія цікава тим, що в ній замовники серіалу роблять неабияких розмірів прогин перед операторами MobileID. Цьому рішенню співають мало не осанну, що виглядає дуже дивно, оскільки міністерство, по-перше, так і не спромоглося змусити ДФС забезпечити повноцінну підтримку MobileID. Неможливість підписувати за допомогою цього засобу КЕП звітність робить його маргінальним і позбавленим перспектив різновидом КЕП. По-друге, саме Мінцифри збирається забити останнього цвяха в труну MobileID, запустивши функціонально подібний та безкоштовний аналог SmartID.

Як би там не було, в цій серії докладно описана і навіть продемонстрована (з позначки 5:10) можливість підписувати за допомогою MobileID будь-які документи.

Серія 6 — Які переваги е-підпис дає ВПО та людям, які проживають на непідконтрольній території

Через брак особистого досвіду в цій царині нічого сказати не можу.

Серія 7 — Електронний підпис — що далі?

Прикольно чути про експеримент з визнання транкордонних підписів з Молдовою та Естонією. Зокрема про те, що Україна пройшла незалежну оцінку стану довірчих послуг і навіть отримала найвищу оцінку. Було б цікаво глянути на матеріали цієї незалежної оцінки. Зокрема на те, як в ній висвітлюються загальновідомі особливості та родзинки українського ринку довірчих послуг як-от можливість використовувати повноважні КЕП нотаріусів та державних реєстраторів для безкарного (sic!) вчинення неправомірних дій.

Наприкінці п. Козлов згадує Смарт-Дію і електрону демократію. Кожна з цих тем заслуговує на окремий матеріал, тож не буду на них  зупинятися.

Резюме

Ознайомлення із освітньо-навчальними матеріалами, що їх пропонує Міністерство цифрової трансформації, ще раз засвідчило наявність засадничої проблеми в царині електронних довірчих послуг. Центральний орган виконавчої влади, який опікується цими послугами, ніяк не може визначитися із своїми пріоритетами в цій царині. Чи потурати примітивним забаганкам «маленьких українців», а саме їхній любові до шари, чи ретельно дотримуватися вимог європейських директив та вітчизняного  законодавства.

Хоча, мабуть, вірніше сказати, що МЦТ ніяк не може знайти в собі сил, аби відмовитися від звичного популізму.

Результатом цього популізму стала страшенна плутанина в головах. Глянемо на типову публікацію в провідному тижневику для бухгалтерів «Доля електронних підписів та токенів після 07.11.2020 року: аналіз змін від юриста».  Дуже, дуже характерні тези, залишаю читачеві самостійно знайти, що із ними не так:

Закон скасував таке поняття як ЕЦП та ввів замість нього нове: КЕП – кваліфікований електронний підпис. За задумом, КЕП – це удосконалений аналог ЕЦП (виділення моє — Р.Х.).

Увага: 7 листопада 2020 року платники, які досі користуються ЕЦП замість КЕП, втратять можливість підписувати електронні документи та звітність.

Всі платники, які отримували електронні підписи після 07.11.2018 р., вже мають свій КЕП, оскільки з дня набрання чинності Законом старі ЕЦП не випускали.

Тому, якщо ви отримали електронний підпис після 07.11.2018 р. і він працював, то це КЕП.

КЕП існує в електронній формі. Тому йому потрібен фізичний носій для зберігання та можливості його використання. За нормами Закону, такий фізичний носій називається «засіб кваліфікованого електронного підпису чи печатки» (далі – засіб КЕП). Якщо по-простому, то йдеться про флешку, на яку записують КЕП.

Такі засоби КЕП бувають двох видів:

простий засіб КЕП – пристрій, призначений для створення КЕП та зберігання особистого ключа КЕП (проста флешка) (п. 17 ч. 1 ст. 1 Закону);

захищений носій особистих ключів – засіб КЕП, призначений не лише для зберігання КЕП, але й для захисту записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання (токен) (п. 2 Порядку використання електронних довірчих послуг, затвердженого постановою КМУ від 19.09.2018 р. №749).

Отже, КЕП може зберігатися як на простій флешці, так і на токені – флешці з підвищеним рівнем захисту інформації, що міститься на ній.

Закон не зобов’язує приватних суб’єктів господарювання (як юридичних осіб, так і фізичних осіб-підприємців) використовувати саме токени для зберігання своїх КЕП.

Увага! З 07.11.2020 року правила використання токенів ніяк не змінюються. Тобто для користувачів КЕП і далі не буде вимоги ними користуватися.

З чим і поздоровляю всіх одразу очільників та керманичів Мінцифри. Героям слава.

The post Мінцифра та сурогати: труднощі лікнепу first appeared on Mediasat.