Проблемы облачной подписи в банковской сфере

Генеральный директор НПО «Спецремонт» и преподаватель МГТУ им. Н. Э. Баумана Дмитрий Левиев в ходе своего выступления на конференции РусКрипто-2020 рассказал об облачной подписи в банковском секторе и пояснил с какими рисками мы столкнёмся при интеграции систем Удостоверяющего центра (УЦ) и систем дистанционного банковского обслуживания (ДБО), а также достаточно подробно затронул вопрос формирования требований к указанным системам и проблемы их реализации в текущем законодательстве РФ.

Электронная подпись в виде облака на сегодняшний день может существовать для банка в трёх вариантах. Первое — это на серверах банка; второе — если мы взаимодействуем bank to bank, это будет УЦ Банка России; и третье — на серверах ФНС России.
  
Первое, что рассматривал Дмитрий Левиев, стандартная система ДБО. При переводе её на облачную подпись, берётся стандартный HSM модуль, добавляется в него поддержка облачной подписи. При этом у нас возникают стандартные затраты на модификацию, стандартные затраты на СКЗИ для клиента. Но мы имеем большой плюс — это собственная система антифрод, которую надо не забыть провести по ОУД 4. К тому же у нас появляется возможность забыть про 63-ФЗ и назначать любые ограничения, которые нам нужны. Это тот классический вид системы ДБО, который видит Центральный Банки и к которому мы привыкли.
  
«Теперь давайте посмотрим, что же сделал нам законодатель», — обращается к залу Дмитрий Левиев.— «Во-первых, возникает удостоверяющий центр, который может предлагать облачную подпись, в данном случае для кредитно-финансовых организаций это Банк России. Для облачной подписи нужно сдать открытый интерфейс. А надо понимать, что у Банка России это не только кредитно-финансовые организации, но и клиенты Банка России, которым тоже нужно открыть общедоступный интерфейс, что понижает, с точки зрения некоторых коллег, его защищённость».
  
Второй проблемой он видит то, что теперь Банку России придётся заниматься полноценной идентификацией при выдаче ключей. При этом по законодательству это можно делать исключительно для первых лиц. А те, кто реально будет отправлять платежки, будут пользоваться уже ключами, полученными в МФЦ, и представлять некую электронную доверенность. С электронной доверенностью, по словам Дмитрия Левиева, тоже не всё так просто. «Я сегодня пытался у коллег понять, что же это такое, но, к сожалению, юридически и технически, что это собой представляет пока не очень понятно. Но главный вопрос, который возникает, а что будет со сменой юридических лиц?» — сказал он.
  
Однако ещё интереснее ситуация становится, когда речь идёт об обычном юридическом лице. Во-первых, задача идентификации с банка снимается вообще и переносится на ФНС. Во-вторых, идентификации подлежит опять только первое лицо. «И самое весёлое, что если у меня несколько людей имеет право отправлять платежки, они их будут отправлять уже под собственной подписью с электронной доверенность. То есть мы имеем предыдущий вариант вопросов», — добавил Дмитрий Левиев.
  
С какими проблемами ещё придётся тут столкнуться? Помимо смены руководителей, существуют цепочки руководителей. Как правило, это связанные с юридическими лицами индивидуальные предприниматели. И самый главный момент, если мы всё делаем, подписываем на серверах удостоверяющих центров ФНС, то мы получаем просто файл. Как это может выглядеть? Мы формируем учётную систему клиенту, платежку, подписываем облачной подписью на тех же УЦ ФНС, шифруем на сертификате обезличенном, который выдан для системы ДБО банка, и стандартной схемой, например, по электронной почте, отправляем в банк. Юридический смысл в том, что нам не нужен для этого договор, потому что есть официальный ящик, который опубликован банком на официальном портале. И электронный документ сформирован, с облачной подписью отправлен на этот портал, а через два дня всё приведёт к тому, что платёж пройдёт.

«Мы с вами имеем некий новый, с одной стороны, сервис, с другой стороны, мы имеем очень грустную историю. О чём я? Как только у нас происходит мошенничество, клиент прибежит в полицию и наша правоохранительная система будет работать по-старому. Она не знает, что такое облачная подпись», — пояснил Дмитрий Левиев.
  
По его словам, правоохранители просто придут в суд и выпишут по 138 УПК решение об изъятии технических средств и приедут за ними, где увидят ещё человек 20, которые хотят сделать то же самое. А обеспечить доступность сервисов 24/7 нет возможности. Даже если говорить о копировании носителя, нужно иметь резервные HSM, резервные сервера, но и тогда будет перерыв в работе на время копирования материалов.
  
«Что мы ещё потеряем? Мы потеряем воздействие на клиента. Сейчас по документам Центрального Банка в случае, если мне не нравится клиент, я ему отключаю ДБО. В случае облачной подписи, отключить мы этот канал не можем», — сказал Дмитрий Левиев.

К тому же, по его словам, возникает сильная зависимость от Удостоверяющего центра. Пока ФНС в этом вопросе ведёт себя тихо. Кроме того, наличие параллельных каналов ДБО создаёт ещё больше возможностей для мошенничеств, а в том числе для  e-mail, web-порталов, которые использует банк для взаимодействия со своими клиентами. «Естественно, эти атаки будут использоваться мошенниками, Центральный Банк будет пытаться это как-то латать. Надо понимать, что в эту структуру входить неподконтрольная Центральному Банку организация. Здесь нельзя будет просто закрыть что-то. Тут надо будет договариваться с Минкомсвязи, надо договариваться с Минпромторгом. А любая договорённость — это время. А время здесь играет против нас», — подытожил Дмитрий Левиев.

20 марта, 2020