15–17 сентября 2015 года в Санкт-Петербурге проходит XIII международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи — «PKI-Форум Россия 2015». Среди прочих тем традиционно будет обсуждаться безопасность информационной инфраструктуры кредитно-финансовой сферы. Предлагаем подборку публикаций экспертов информационной безопасности — участников форума, посвящённую анализу проблематики выполнения банком функций удостоверяющего центра.
В качестве отправной точки для обсуждения была сформулирована следующая ситуация. Классический удостоверяющий центр (УЦ) — доверенная третья сторона, которая не является заинтересованной, поскольку не участвует в прикладных бизнес-процессах, а лишь обеспечивает для них инфраструктуру открытых ключей. Участники обмена данными доверяют УЦ выполнение задачи обеспечения безопасности — раздачу им доверенным образом открытых ключей. Таким образом, в конфликтных ситуациях УЦ выступает арбитром. Однако в системах «банк — клиент», как правило, функции УЦ для клиентов выполняет сам банк, который при инцидентах является заинтересованной стороной.
Возникают следующие вопросы, на которые редакция журнала «BIS Journal — Информационная безопасность банков» при содействии Программного комитета PKI-форума 2015 попросила ответить экспертов:
Насколько корректна ситуация, когда банк сам выполняет функции УЦ?
Являются ли клиенты «заложниками» банка в случае возникновения конфликта?
Как может быть разрешена эта коллизия?
Есть ли информация о прецедентах разбора конфликтных ситуаций с электронной подписью в системах «банк — клиент»?
Можно ли на основании имеющегося опыта признать обоснованной выполнение функций УЦ самим банком?
Сергей КИРЮШКИН,
советник генерального директора ООО «Газинформсервис», председатель Комитета МОО «АЗИ» по развитию инфраструктуры открытых ключей, кандидат технических наук:
− Сформулированная ситуация не корректна: предоставление услуги УЦ самим банком «по факту», без возможности использовать сервис стороннего УЦ, нарушает один из базовых принципов услуг доверенной третьей стороны (ДТС). Он изложен в Рекомендациях ITU T X.842 (раздел 4): «У объектов должна быть возможность выбирать, какой ДТС воспользоваться для получения требуемых сервисов». Иначе говоря, сервис ДТС как «навязанная услуга» изначально существенно снижает доверие к качеству такой услуги.
В случае, если организация, получающая услугу удостоверяющего центра из банка бездумно подписывает соглашение, в котором все риски использования сервисов безопасности возложены на клиента — она, несомненно, в вопросах безопасности информационного взаимодействия становится заложником банка.
Идеальный вариант — получение услуг от настоящей доверенной третьей стороны. Выбор велик: в России более 300 аккредитованных удостоверяющих центров, многие из них функционируют на базе очень уважаемых и компетентных в этой области организаций. Деятельность аккредитованных УЦ контролируется Федеральными органами исполнительной власти — Минкомсвязи РФ и ФСБ России. Что также делает их сервисы более надежными, чем корпоративных банковских УЦ.
Другой подход, на случай если от «навязанной» банком услуги УЦ все-таки отказаться не получается, основан на том, что соглашение — продукт непротивления сторон, двусторонний акт. Если в соглашении грамотные юристы организации изложат интересы клиента и определят порядок разбора конфликтных ситуаций с предоставлением доказательной базы, собираемой как на стороне клиента так и на стороне банка — положение может быть в значительной степени улучшено. Но все равно это менее предпочтительный вариант, чем получение услуг УЦ от независимого от бизнес-процесса настоящего оператора услуг доверия.
Объёмы мошеннических списаний с банковских счетов граждан и компаний, как утверждают эксперты, опираясь на представленные недавно Банком России данные за 2014 год, составляют около 3,5 млрд рублей. При этом значительная часть всех потерь, более 1 млрд рублей, связана с использованием банковских интернет-сервисов и мобильных приложений. В большинстве случаев такие сервисы сейчас защищаются криптографическими средствами. Эти объемы, а также анализ арбитражной практики, свидетельствуют: в подавляющем большинстве случаев при разборе конфликтной ситуации, связанной с применением электронной подписи, победу в споре одерживает банк.
Не только потому, что пользователи, несомненно, менее подготовлены к грамотному использованию технологий «банк — клиент». Но также по той причине, что вся доказательная база применения электронной подписи сосредоточена, как правило, на стороне банка. Имеются в виду списки отозванных сертификатов, результаты проверки электронной подписи, сведения о времени подписания платежных документов и времени проверки подписей и другие.
Если рассматривать данную практику с точки зрения интересов банков — она им выгодна и потому оправдана. Все риски возложены на клиентов, которые, как правило, малосведущи в вопросах безопасности, и в итоге оказываются «сами виноваты». Обратите внимание, именно для таких случаев и предназначена технология ДТС: если оба или один из участников системы не способен по тем или иным причинам обеспечить безопасность своей системы, то эта функция возлагается на специального стороннего оператора.
Сторонний, независимый УЦ профессионально обеспечивает сервисы безопасности участникам взаимодействия, притом не являясь представителем интересов ни одной из взаимодействующих сторон. Он нейтрален и выступает при конфликте в качестве арбитра, предоставляя собственную доказательную базу, формируемую им в процессе его деятельности, направленной на обеспечение надежности и безопасности взаимодействия банка и клиентов.
Алла КРЫЖАНОВСКАЯ,
заместитель начальника отдела правового сопровождения слияний и поглощений Юридического департамента ОАО «Газпром», кандидат юридических наук:
− С правовой точки зрения корректность той или иной ситуации определяется, во-первых, ее законностью, а во-вторых, равной защищенностью интересов всех сторон правоотношений. Описанная ситуация, в которой все сервисы и по созданию ключей проверки электронной подписи (ЭП), и по подтверждению её действительности находятся на стороне банка, формально не противоречит действующему законодательству. Но зато создаёт определенное правовое «неравенство» сторон информационного взаимодействия в системах банковского обслуживания. Такое положение дел, безусловно, соответствует интересам банковского бизнеса. Однако, интересы клиентов, конечно, при таком положении дел могут быть ущемлены.
Я бы не преувеличивала ущемление интересов клиентов до формулировки «заложники», то есть субъектов, не способных защитить свои права в случае их нарушения. Другое дело, что подбор доказательной базы для клиентов в случае возникновения судебного спора с банками в конфликтной ситуации будет сложным. А значит, это повлечет дополнительные расходы на оплату технических экспертиз и услуги юридических консультантов, а также увеличит процессуальные сроки рассмотрения дела.
Если технически все инструменты по созданию и проверке ЭП находятся в руках банка, на его стороне должны быть и все риски оспаривания действительности и подлинности ЭД. Юридически такие риски клиент может возложить на банк с помощью грамотной подготовки договора. Либо сложившуюся ситуацию нужно уравновешивать комплексом организационных, технических и правовых решений. Это может быть создание зеркальных сервисов проверки ЭП каждой стороной отношений или же привлечение сторонней организации, сервисам проверки ЭП которой доверяют все участники отношений.
Насколько мне известно, судебная практика по такого рода спорам складывается в пользу банков, что не удивительно. Защищать свои интересы и договариваться всегда лучше «на берегу», то есть до начала конфликта. Сейчас клиент в случае возникновения спора защищен слабо. Исходя из сказанного, оправдывать действующую схему отношений в PKI систем «банк — клиент» можно только со стороны банка.
Нина СОЛОВЯНЕНКО,
старший научный сотрудник Института государства и права РАН, член экспертного совета Комитета Государственной Думы по безопасности и противодействию коррупции, кандидат юридических наук:
− В юридическом смысле при описании ситуации целесообразно обратить внимание вот на что. Удостоверяющий центр не является арбитром при возникновении спора между банком и его клиентом, в том числе при осуществлении банковской операции с использованием электронной подписи. По обращению участника информационного взаимодействия, владельца сертификата, УЦ предоставляет заключение, которое может использоваться в качестве доказательства, в том числе в суде. Такое заключение подлежит оценке наряду с другими доказательствами и не имеет для суда заранее установленной силы, даже если речь идет о независимом УЦ — доверенной третьей стороне.
Конфликт между банком и клиентом может быть связан с качеством оказания какой-либо банковской услуги в целом, а не просто услуги удостоверяющего центра. Банк несет юридическую ответственность и за собственно банковскую операцию, и за особенности и риски электронного способа её осуществления, включая электронную подпись и функции УЦ. Такие взаимоотношения регулируются стандартным договором, разрабатываемым банком, к которому клиент только присоединяется.
Клиент может стать заложником невыгодных для него договорных условий, связанных с работой системы «банк — клиент», или недостаточной проработки таких условий в договоре. Однако подобная ситуация не является специфической для электронного взаимодействия. Она может возникнуть всегда при взаимодействии «сильной» стороны — банка и «слабой» стороны-клиента, в случаях, когда законодательство не содержит норм, специально защищающих интересы слабой стороны. Нужно внимательно читать и оценивать договор с конкретным банком, прежде чем присоединяться системе «банк — клиент».
Судебных разбирательств конфликтных ситуаций с электронной подписью в системах «банк — клиент» довольно много, в том числе несколько в моей практике. Например, доводилось готовить заключение для суда по правовым вопросам применения ЭП при осуществлении банковских расчетов. Суть вопроса: надлежащим ли образом банк исполнил свои обязательства по договору дистанционного банковского обслуживания по системе «банк — клиент», вытекающие из электронного документооборота. Исковое заявление было о взыскании с коммерческого банка убытков, понесенных клиентом вследствие списания денежных средств, произведенного с его счета на основании платёжного документа, который им не формировался и не подписывался.
Решение задачи безопасности банковской деятельности не сводится к раздаче доверенным образом участникам информационного взаимодействия открытых ключей. Необходимы ещё гарантии безопасного осуществления банковской операции для клиента, отсутствие убытков от несанкционированного списания средств, возможности их возмещения. Для этого третья доверенная сторона должна быть экономически «соразмерна» гарантируемым отношениям. В отношении финансовых операций банк в сравнении со сторонним УЦ представляется предпочтительным контрагентом, поскольку обладает значительный капиталом и его деятельность жестко регулируется государством.
Кроме того, по закону УЦ несёт ответственность за вред, причиненный третьим лицам в результате неисполнения или ненадлежащего исполнения обязательств по договору оказания услуг или обязанностей, предусмотренных Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». В такой ситуации по отношению к клиенту и УЦ третьим лицом оказывается банк. Большой вопрос, в состоянии ли окажется УЦ нести предусмотренную законом ответственность и не разориться.
Юрий МАСЛОВ,
коммерческий директор ООО «КРИПТО-ПРО»:
− Мне кажется, в описанной ситуации само противопоставление клиента и банка, банка и УЦ не является корректным. Если клиент пришёл обслуживаться в банк, то это означает, что клиент доверяет банку хранить деньги и осуществлять операции с ними. Для обеспечения аутентификации клиента в ходе обслуживания банк предлагает разные методы, а клиент соглашается с ними, ибо доверяет банку.
Например, банк выдал клиенту дебетовую карту, с которой списали деньги. На вопрос клиента, где они, банк сообщает: были потрачены в таком-то магазине тогда-то и на то-то, был введён корректный PIN-код. И клиент банка соглашается, не может опротестовать, поскольку доверился банку и предложенной им технологии аутентификации. Так и УЦ, с точки зрения обеспечения взаимодействия клиента и банка, тоже является одной из составляющей одной технологии аутентификации, основанной на использовании технологии PKI.
Важным моментом взаимодействия является то, что электронная подпись (ЭП) и сертификаты ключей проверки электронных подписей (СКПЭП) используются для отношений клиента только с банком, а не с кем-то ещё или неопределённым кругом лиц. Таким образом, если клиент, доверяя банку, принёс туда свои деньги, а отношения банка с клиентом двусторонние, то вводить УЦ как их третью сторону явно избыточно. Функции УЦ банк берет на себя, это логично! Банк определил владельца СКПЭП, банковской карты, OTP-токена и т. д. Мы же не предлагаем выделить серверные программные компоненты OTP-токенов в управление отдельному третьему лицу?
Считаю некорректным и тезис «в случае возникновения конфликтной ситуации УЦ, таким образом, выступает арбитром». УЦ не может быть арбитром в споре между клиентом и банком в вопросе признания или непризнания того, санкционирована или нет та или иная операция с денежными средствами, платёжный или иной электронный документ.
УЦ подтверждает или не подтверждает факт только владения лицом соответствующего СКПЭП. Также УЦ может участвовать в проведении технических экспертиз, так как в составе его персонала заведомо есть специалисты в PKI-технологиях. И всё, на этом компетенции УЦ заканчивается. Грубо говоря, УЦ «отвечает» только за один реквизит в документе, а именно за электронную подпись.
Наталья ХРАМЦОВСКАЯ,
ведущий эксперт по управлению документацией компании ООО «Электронные офисные системы (СОФТ)», кандидат исторических наук:
− Начну с того, что, во-первых, банк банку рознь, и очень редко бывает так, что одно и то же решение было оптимально для всех. Во-вторых, мы живем в эпоху быстрых перемен как в технологиях, так и в законодательстве, и то, что сегодня считается нормой, завтра может стать непопулярным и даже запрещённым. Поэтому мы должны стремиться к тому, чтобы объективно оценивать достоинства и недостатки разных подходов к использованию инфраструктуры открытых ключей в банковской сфере, не пытаясь найти «единственно правильный» путь.
Хорошим примером является ненормальная ситуация с наличием в стране более 300 аккредитованных УЦ, имеющих право выпускать квалифицированные сертификаты. В результате в целом доверие к квалифицированным — по идее, самым надёжным — подписям резко упало. Стало часто безопаснее, по возможности, использовать неквалифицированную подпись, выдаваемую единственным удостоверяющим центром — зато таким, которому действительно можно верить.
Если не нарушены требования законов и нормативных актов, в правовом плане такая ситуация, когда услуги УЦ оказывает клиенту сам банк, абсолютно корректна. Но в таком случае при возникновения конфликтной ситуации проблемы возникают как у клиентов, так и у банка. Суд в этом случае учитывает полный контроль банка над УЦ и намного меньше доверяет его документации, результатам экспертиз и т. д. Суд априори будет доверять представленным УЦ материалам в основном с тех случаях, когда они будут свидетельствовать против банка, а в остальных — тщательнейшим образом всё проверять.
При наличии ловких юристов у клиента такая ситуация для него может даже оказаться более выгодной. Не случайно, например, Федеральная налоговая служба России предпочитает действовать через доверенные третьи стороны — да, они нередко помогают налогоплательщикам отстаивать свои права, но ещё чаще они облегчают жизнь самой налоговой службе. Отмечу, что в течение длительного времени основной моделью было именно использование банками собственного УЦ, и ничего страшного не происходило.
Существует обширная, уже сложившаяся судебная практика, поскольку деньги через системы «клиент-банк» и «интернет-банк» воруют сейчас много и часто. Банки крайне редко проигрывают споры — как правило, лишь тогда, когда они грубо нарушают зафиксированные в договорах обязательства и не соблюдают собственные регламенты.
Предупредить возможные коллизии можно при взаимной заинтересованности и банка, и его клиентов в максимальной безопасности и защищённости банковских операций. При выборе модели следует исходить из конкретных обстоятельств — материально-технические возможности банка, риски, наличие в зоне обслуживания банка надёжного УЦ и его расценки и т. п.
Выбор оптимальной схемы зависит от очень многих факторов. Собственный УЦ дает больше возможностей для обеспечения безопасности так, как это считает нужным делать банк. Использование услуг доверенной третьей стороны позволяет банку не заниматься непрофильной деятельностью по содержанию УЦ и упрощает разрешение спорных ситуаций в суде. Оправдана любая законная модель или схема, которая в данном конкретном банке успешно работает.
- Стоимость медиауслуг (открыть PDF) -
.png)