Взгляд: Владимир Туреханов о цифровой осени

Граждане спрашивают меня о том, что я думаю о ряде новшеств, анонсированных недавно по теме оказания государственных услуг в электронном виде. Уж не знаю, цикл Цифровая гигиена их к этому подтолкнул или что-то другое. Так или иначе, ниже озвучиваю свое скромное мнение.

Налоги

Первое, о чем я узнал из новинок цифровой осени — это уведомление о предстоящих налоговых платежах на имущество, землю и транспорт через SMS. Что я могу сказать по этому поводу? Отлично! Главное, чтобы в соответствующих базах данных была актуальная информация.

Но еще более крутая вещь, которую удалось реализовать нашим государственным органам совместно с банками — это проверка и оплата налогов по ИИН. Больше никаких данных не нужно: ни кода налогового органа, ни кода бюджетной классификации, ни кода назначения платежа. Наконец-то! Естественно, немедленно решил проверить, как это работает.

К сожалению, оплатить не удалось, т. к. на момент проверки оплачивать оказалось нечего. Ну, ничего страшного, подожду немного.

eGov mobile

Существенное расширение функционала мобильного приложения для получения государственных услуг напрашивалось давно. Как минимум, в части выпуска, отзыва ключей ЭЦП и упрощения входа по ключам ЭЦП. Однако, в МЦРИАП РК решили выпустить новое приложение, сохранив работоспособность и старого. Тоже нормальный подход. Что сказать по поводу нового приложения? Впечатления неоднозначные.

Малый перечень услуг, но это не критично. Думаю, что расширить его не составит большой сложности. Скорее всего, на это пошли намеренно, пока приложение находится на этапе тестирования.

Вход в личный кабинет eGov и получение услуг посредством ЭЦП, наконец-то, упрощены. Причем, без особого ущерба для информбезопасности граждан. Подтвердить подписание электронного документа ЭЦП теперь можно отпечатком пальца или лицом. Разумеется, сделать это можно на мобильных устройствах Apple, поддерживающих Touch ID или Face ID, соответственно. Работает ли что-то подобное на устройствах других производителей, не знаю: не на чем проверять.

ВАЖНО! Электронный документ по-прежнему подписывается ЭЦП. Отпечаток пальца или лицо лишь дает приложению подтверждение, что это действительно вы, а дальше приложение считывает пароль от ваших ключей ЭЦП из защищенного хранилища устройства и выполняет собственно подписание электронного документа вашей ЭЦП.

Войти в приложение с использованием ЭЦП и Face ID, если срок действия ключа ЭЦП истек, не получится. Может быть, это как-то можно сделать, но у меня быстро найти решение не получилось. Оказалось, что проще переустановить приложение.

К сожалению, не могу разделить восторга по поводу функции выпуска новых ключей ЭЦП. Функция такая есть, но ее реализация, мягко говоря, пробуждает желание написать письмо в Генеральную прокуратуру РК о наличии признаков преступной халатности. В очередной раз государство говорит нам об удобстве, умалчивая о рисках, связанных с этим удобством. Но обо всем по порядку.

В анонсе нового приложения говорилось о том, что теперь отправить заявку на выпуск и продление ЭЦП можно прямо из приложения. Хочется верить, что это действительно так, но, посмотрев инструкции, проверять не стал.

Ключи ЭЦП собираются высылать по электронной почте. Вот так просто. Отправить по электронной почте, в том числе, закрытые ключи ЭЦП гражданина. Ключи, которые, по хорошему, не должны покидать устройство, на котором были сгенерированы (подробнее об этом здесь), отправляют по электронной почте, т. е. по всеми признанному небезопасным каналу.

Чаще всего, электронная почта передается от сервера к серверу в открытом (незашифрованном) виде. И бывает, чтобы достичь конечного сервера, письмо проходит через несколько промежуточных. Как вы понимаете, на любом из них можно ознакомиться с содержимым письма.

Не секрет, что наши граждане предпочитают пользоваться иностранными сервисами электронной почты, такими как Mail.Ru, Gmail и т. д. Получается, государство готово отправлять критически важную информацию наших граждан за пределы страны и, более того, указывает это в своих инструкциях. Т.е., по мнению уполномоченного государственного органа: все в порядке, это нормально. Даже раздача ключей ЭЦП на CD-дисках, по моему, была более безопасной, чем вот это вот все. Очень интересно, куда смотрит Комитет информационной безопасности МЦРИАП РК и, вообще, в курсе ли они таких «гениальных» решений своих коллег?

Да, получить доступ к электронной почте гражданина надо еще постараться, но это не есть что-то невыполнимое как хакеров, так и для спецслужб страны, где размещен соответствующий сервис электронной почты.

Да, закрытые ключи зашифрованы паролем, который придумал сам гражданин, оформляя заявку на выпуск ключей. Но, имея доступ к файлу с ключами, подобрать несложный пароль даже методом перебора — дело техники. Надеюсь, не нужно отдельно пояснять, что подавляющее большинство наших граждан, несмотря на неоднократные предостережения, устанавливают именно несложные пароли, чтобы не забыть их.

Госуслуги и соцсети

Теперь боты для получения государственных услуг есть не только в Telegram’е, но и в Facebook и в ВКонтакте.

Удобно ли это для граждан? Безусловно! Но это, как я уже говорил ранее, по моему мнению, незаконно. Да и с трансграничной передачей персональных данных как-то не очень получилось.

Отмена адресной справки

Идея отличная. Незачем госорганам требовать от граждан то, к чему можно получить доступ самостоятельно с согласия самого гражданина.

Какой будет реализация? Не знаю. Весной, когда Аскар Жумагалиев анонсировал в Facebook отмену адресной справки, один из пришедших на ум вопросов я озвучил прямо в комментариях: про требование к гражданину РК предоставить адресную справку со стороны иностранных учреждений.

Пару вопросов возникло вот прямо сейчас, в процессе написания статьи:

— Как быть, если гражданин не зарегистрировал номер своего мобильного телефона в соответствующей базе данных (предполагалось получать согласие по SMS)?
— Смогли ли реализовать удобный механизм для адвокатов, юридических консультантов и частных судебных исполнителей? Уверен, им для своей работы очень часто нужно знать адрес постоянной регистрации гражданина.

Наверняка были другие вопросы и спорные моменты. Уверен, все их можно решить, поэтому тут больше вопрос в том, все ли предусмотрели при реализации отмены адресной справки? Действительно ли предложенный механизм окажется удобнее предоставления гражданином адресной справки? Ответы мы узнаем совсем скоро, 1 ноября на пороге. Да и зима близко. Но это уже совсем другая история.

Владимир Туреханов — инженер, имеет высшее техническое образование по специальности «Защита и безопасность информации». Президент ОЮЛ «Казахстанская ассоциация автоматизации и робототехники». Член Комитета информационно-коммуникационных технологий и инноваций президиума Национальной палаты предпринимателей Республики Казахстан. Член Национального научного совета Республики Казахстан по направлению «Информационные, телекоммуникационные и космические технологии, научные исследования в области естественных наук». Автор цикла образовательных статей на тему персональной информационной безопасности «Цифровая гигиена».