Брачные узы посредством ЭЦП, или без меня меня женили

По данным Национального удостоверяющего центра (НУЦ РК), с 2008 года казахстанцам выдано 4,7 млн электронных цифровых подписей (ЭЦП), общее количество действующих ЭЦП составило 2,35 млн, причем 90% пользователей — физические лица. В общем и целом, проект электронного правительства РК можно считать успешным: сегодня ЭЦП используется более чем в 30 информационных системах. А ведь всего 10 лет назад Президентом РК была озвучена идея создания электронного правительства, спустя 2 года был запущен портал egov.kz, еще через 2 года был создан НУЦ РК, который и предоставляет ключи и сертификаты ЭЦП.

Тем не менее, то здесь, то там происходят истории, вскрывающие несовершенство работы портала электронного правительства или электронной цифровой подписи. Бывает так, что за кажущимся на первый взгляд тривиальным частным случаем кроется серьезная системная проблема. О таком «небольшом» инциденте с далеко идущими выводами мы и хотим рассказать.

Вкратце история выглядит так.

Задумал гражданин РК жениться, в связи с чем со своей невестой отправился в центр РАГС (кто не в курсе, так теперь именуется старый добрый ЗАГС), несмотря на то, что заявление на регистрацию брака можно подать через портал egov.kz. Каким образом подавать заявление — по старинке бумажным или продвинутым онлайн — дело сугубо индивидуальное, закон предусматривает оба способа.

Однако на практике поход в РАГС оказался не столь безоблачным, как это представлялось в теории. Сотрудница центра отказалась принимать заявление в бумажном виде и настояла на выпуске ЭЦП. Кроме того, специалист РАГС попыталась от имени гражданина зарегистрироваться на портале электронного правительства для выпуска злосчастной ЭЦП, которая у гражданина, как ни странно, уже была. Во время разговора между гражданами, подающими заявление на вступление в брак, со специалистом также выяснилось, что у сотрудницы РАГС на компьютере хранится огромное количество папок с ключами ЭЦП самых разных людей, обращавшихся в РАГС.

Промаявшись в кабинете сотрудницы центра с доступом в личный кабинет портала электронного правительства, паре в итоге пришлось уйти несолоно хлебавши и подавать заявление из дома, предварительно скопировав подписи жениха и невесты на телефон одного из них. И только после этого специалист удалила папки с ключами заявителей из своего компьютера. Подробное изложение истории можно прочитать на странице нашего героя в Фейсбуке.

История, возможно, никогда бы не стала достоянием широкой общественности, если бы жертвой неправомерных действий РАГС не оказался технический специалист, прекрасно осведомленный о специфике функционирования ЭЦП и работе портала электронного правительства. Более того, в заключение своего рассказа он составил список нарушений, усмотренных им в сложившейся ситуации. Таких нарушений оказалось ни много ни мало, двенадцать.

Мы не станем перечислять все пункты и ограничимся лишь наиболее существенными:

1. Гражданам было отказано в оформлении письменного заявления.

2. Сотрудник центра РАГС пыталась за другого человека оформить выпуск ЭЦП и зарегистрироваться на портале e-gov.

3. Специалист РАГС на своем рабочем незащищенном компьютере хранит множество электронных подписей разных людей.

4. Сотрудник центра позволил подключить к своему компьютеру чужой флеш-накопитель.

5. Сотрудник РАГС отдал в третьи руки ЭЦП постороннего человека.

Казалось бы, случай совершенно обыденный. Я уверен, что с чем-то подобным сталкивался не один десяток, а то и сотня-тысяча человек. Из чего можно сделать вывод, что львиная доля граждан, пользующихся ЭЦП, слабо представляют, что это такое и какие угрозы таит безалаберное отношение к собственным учетным данным. Ведь ЭЦП — это аналог вашей подписи! Если копия ключей вашей электронной подписи попадет в чужие нечистые руки, то последствия могут быть весьма плачевными.

Пообщавшись с нашим героем и его коллегами, мы также выяснили и некоторые другие недоработки в процедуре регистрации и выдачи ЭЦП, которые, по мнению технических специалистов, следовало бы устранить.

Так, основная проблема кроется в отсутствии четкого регламента выдачи ЭЦП: создается впечатление отсутствия должного контроля при выдаче подписи; на всех новых ЭЦП установлен стандартный пароль (я думаю, вы сами догадались, какой), причем процедура смены необязательна (так как большинство пользователей ленивы и забывчивы, то возникают сомнения, что люди находят время сменить пароль). В идеале пароль можно генерировать наподобие пин-кодов к банковской карте и выдавать в закрытом конверте, что, по словам технарей, достаточно не сложно.

Как бы то ни было, мы решили обратиться в органы, отвечающие за выпуск ключей электронной цифровой подписи и за обучение сотрудников различных государственных центров, в которых используются ЭЦП, и спросить, что они думают об инциденте.

Мы задали несколько вопросов, чтобы понять как строится работа цент ров обслуживания населения по части ЭЦП. Нас интересовало как проводится обучение сотрудников, каким образом оснащаются их рабочие компьютеры для защиты данных и осознает ли персонал вообще, с какой информацией работает.

Начнем с того, как проходит обучение сотрудников РГП ЦОН, которые и занимаются регистрацией и выдачей ключей ЭЦП. Руководство ЦОН прислало письмо со следующим описанием процедуры:

1. Существует стандарт государственной услуги «Выдача и отзыв регистрационного свидетельства Национального удостоверяющего центра Республики Казахстан», согласно которому оказывается данная услуга. Обучение работников ЦОН стандартам предоставления государственных услуг, в том числе и электронной цифровой подписи, проводят менторы и руководители оперзала. Еженедельно сотрудников обучают навыкам предоставления услуг, правилам приема и выдачи документов, разъясняют порядок поведения работника ЦОН в конфликтных ситуациях и т. д.

2. Инспекторам ЦОН разъясняют важность обеспечения сохранности информации и критичности утери конфиденциальной информации. Кроме того, при приеме на работу работник ЦОН подписывает предупреждение о персональной ответственности за неправомерное использование электронной цифровой подписи и разглашение служебной информации при исполнении должностных обязанностей, в котором строго прописана ответственность работника, непосредственно работающего с ЭЦП.

Как мы видим, формально разъяснительная работа среди персонала происходит, и в связи с описанным нами случаем было проведено служебное расследование, в результате которого сотруднице центра РАГС был вынесен строгий выговор за нарушения в процедуре предоставления услуги. Однако в ходе этой проверки какие-либо ЭЦП на персональном компьютере сотрудницы РАГС обнаружены не были. Полагаем, что персонал центра все-таки осознал, что нельзя хранить чужие ключи ЭЦП на рабочем компьютере.

И все же у нас есть подозрения, что данный инцидент является отнюдь не единственным, и результатом разбирательств должны быть не выговоры и прочие взыскания с сотрудников, а безукоризненная работа ЦОН.

В НУЦ РК также подтвердили, что при обращении в РАГС для подачи заявления на регистрацию брака сотрудники РАГС должны уточнить, каким образом граждане желают подать заявление... Если заявители желают подать заявление через портал электронного правительства, сотрудник ЦОН может оказать им помощь в оформлении заявки, либо они могут сделать это самостоятельно. Если заявление подают на бумажном носителе, то услугу оказывают сотрудники РАГС. В описанном выше случае правила оказания услуги были нарушены обоими сотрудниками, так как не был предложен альтернативный вариант получения услуги.

Более того, сотрудники РАГС, да и других учреждений, не имеют права самостоятельно от чужого имени регистрировать электронную цифровую подпись. Это является прямым нарушением стандарта оказания услуги «Выдача и отзыв регистрационного свидетельства НУЦ РК».

А вот вопрос о стандартном пароле к ключам ЭЦП так и остался без ответа. В НУЦ лишь уточнили, что пароль устанавливается системой по умолчанию. Если человек хочет изменить пароль, он может сделать это самостоятельно на сайте www.pki.kz, зайдя в личный кабинет и произведя соответствующие операции. Хотелось бы получить данные о числе пользователей, изменивших пароль со стандартного на пользовательский. Отсюда уже можно делать выводы, насколько оправдана процедура установки стандартного пароля на ключи ЭЦП.

В связи со всем вышеизложенным, просим обратить внимание наших граждан на всю серьезность отношения к электронной цифровой подписи. Будьте бдительны и принципиальны, если столкнулись с некачественным или неправомерным предоставлением услуг, где используется ваша ЭЦП.