Знали ли вы, что простая электронная подпись (ПЭП) может быть разной и, более того, по уровню безопасности она может быть ничуть не ниже и даже выше, чем усиленная неквалифицированная электронная подпись (УНЭП)? А в вопросе юридической значимости простая ЭП и УНЭП также могут быть эквиваленты? Миф это или реальность?
На сегодняшний день довольно прочно устоялась парадигма, что простая ЭП– это исключительно OTP-коды, передаваемые на мобильные устройства через SMS и PUSH-каналы, либо постоянные пароли. Действительно, когда только появилось деление на виды электронной подписи, простая ЭП разрабатывалась по принципу простоты и удобства: человек получает код себе на устройство, вводит его и что-то подписывает. А в итоге этот метод подписания создал пространство для бессчётного количества атак на физических и юридических лиц в банковском сегменте.
О технической стороне «безопасности» (именно в кавычках) OTP-кодов сказано уже много – они подвержены фишингу; не обеспечивают целостность и авторство транзакции; если речь идёт о SMSи PUSH-уведомлениях – элементарно перехватываются почти на всех этапах передачи и непосредственно в устройстве.
Юридическая значимость «кодиков» тоже весьма сомнительна. Хороший юрист вместе с техническим специалистом легко докажут, что отправленный по SMSили PUSHкод не является персонифицированной информацией и доступен неограниченному кругу лиц ещё до получения его адресатом. Судебные прецеденты таких решений общеизвестны.
Отдельной головной болью является уязвимость OTP-кодов социальной инженерии.
Сегодня мошенники без труда получают всю информацию о клиентах банков – Ф. И. О., номер телефона, данные банковских карт, остатки по счетам, историю операций. И для монетизации всего этого объёма информации им недостаточно только одной составляющей – одноразового кода из SMSили PUSH-уведомления. И, если это нетехническая атака, в ход идёт социальная инженерия.
Мошенники, стоит признать, отличные психологи: они разработали большое количество методик, как заставить человека продиктовать нужные цифры. Но все эти методики основаны на простейшей механике – ввести человека в стресс, пообещать помочь избежать губительных последствий и, в качестве промежуточного шага, попросить сообщить код. И человек делает это на автомате, диктуя код прямо из шторки уведомлений смартфона, не вникая в содержимое сообщения.
То есть для того, чтобы кардинально снизить уровень успешности социальной инженерии, этот шаблон необходимо сломать. И для начала необходимо избавиться от одноразовых кодов, чтобы у пользователя не было возможности что-то кому-то продиктовать. Вроде бы выход вполне очевиден: отказаться от простой ЭП и перейти на использование УНЭП или КЭП. Но и здесь возникает сложность: КЭП очень строго регулируется законодательством, и выдать её всем физическим лицам, мягко говоря, непросто (читай: дорого). Остаётся УНЭП.
УСИЛЕННАЯ НЕКВАЛИФИЦИРОВАННАЯ ПОДПИСЬ В НАШИХ РЕАЛИЯХ
Прежде всего предлагаем детально разобраться, что говорит законодательство. Согласно п. 3 ст. 5 Федерального закона 63-ФЗ, УНЭП «получена путем криптографического преобразования…» и «создается с использованием средств электронной подписи…»
В Постановлении Правительства РФ от 16 апреля 2012 г. № 313 разработка, а также внедрение шифровальных и криптографических средств обозначены как работы, которые подлежат лицензированию.
Если компания-разработчик получает лицензию, то она обязана выполнять требования к лицензиатам, в том числе по разработке тех самых криптографических средств. Одним из руководящих документов в этой области является ПКЗ-2005,где прописана рекомендация использования национальных стандартов при разработке криптографических средств.
Более того, если работа предполагается в банковской сфере, то есть Положение Банка России 683-П, которое говорит следующее: «в случае если кредитная организация применяет СКЗИ российского производства, то СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности».
Путём несложных умозаключений получаем следующее: если кредитная организация использует средства ЭП для УНЭП российского производства, то это должны быть сертифицированные средства, работающие с ГОСТ-алгоритмами. А это, в свою очередь, мало чем отличается от «зарегулированной» КЭП, что «убивает» идею простоты использования ЭП.
Если использовать УНЭП и следовать букве закона, то её применение в ряде цифровых платёжных каналов становится сложным, дорогим и просто неудобным для клиентов.
Что интересно, при использовании СКЗИ (средства ЭП) нероссийского производства такого требования нет.
СЛЕДУЕМ ЗАКОНУ И ТРЕБОВАНИЯМ БИЗНЕСА
Главные требования бизнеса к подписанию и подтверждению действий в цифровых каналах можно обозначить тремя пунктами.
Во-первых, это должно быть удобно и мобильно: все устали от ввода «кодиков», дополнительных устройств и привязки к рабочему месту.
Во-вторых, должен обеспечиваться высокий уровень безопасности, как минимум на уровне УНЭП.
В-третьих, это должно быть экономически эффективно (даже средний банк тратит на рассылку SMS-кодов десятки миллионов рублей в год).
И здесь сам собой напрашивается вопрос: а что если реализовать все функции безопасности по принципу УНЭП, но назвать получившееся решение простой ЭП?
И снова обратимся к 63-ФЗ. Статья 9 описывает использование простой электронной подписи и говорит о том, что простая ЭП также имеет ключ, который применяется в соответствии с правилами, предусматривающими определение лица, подписавшего документ, и обязывающими соблюдать конфиденциальность этого ключа. Очень похоже на «закрытый» ключ при использовании криптографии, не так ли?
Статья 6 говорит о том, что условия признания электронных документов должны быть описаны в соглашении между пользователем и оператором, например, информационной системы, то есть между двумя участниками. Опять же такое соглашение должно быть подписано и при использовании УНЭП.
Резюмируем: получается, что по законодательству простая ЭП и УНЭП равны — у них есть ключ ЭП и двустороннее соглашение, определяющее порядок проверки подписи и разрешение конфликтных ситуаций.
Следовательно, мы можем использовать простую ЭП со всеми признаками УНЭП, кроме использования сертифицированных криптосредств, но не называть её УНЭП. Тем самым мы получим удобное, безопасное и экономически эффективное средство электронной подписи.
КАК РЕАЛИЗОВАТЬ «ПРАВИЛЬНУЮ» ПРОСТУЮ ЭП?
Реализация «правильной» простой ЭП требует следующего порядка действий:
Первое. Берём устраивающее нас решение для формирования электронной подписи – безопасное и удобное, которое реализует контроль авторства и целостности, а также неотказуемость. Оно должно удовлетворять как минимум следующему списку требований:
В случае использования простой ЭП также отсутствует необходимость соблюдения требований регулятора в области криптографии. Алгоритмы вполне могут быть западные (например, ECDSA, SHA-256, AES-256), устройства тоже западные (iPhoneи Android), и приложения распространяются через западные цифровые магазины (AppStoreи GooglePlay). Главное здесь – уровень защиты от злоумышленника и удобство наших пользователей.
К тому же исключение, описанное в пп. «В» п. 3 Постановления Правительства 313, говорит нам о том, что оно не распространяется на деятельность с использованием товаров, содержащих шифровальные (криптографические) средства, имеющих функцию либо аутентификации, либо электронной подписи. Другими словами, лицензия на распространение в этом случае не требуется.
Второе. Составляем для этого решения «юридическую обвязку» для наших конкретных целей и нашей системы. То есть прописываем соглашение, в котором фиксируется порядок выработки и проверки ЭП, включая описание работы с ключами и процедуры разбора конфликтных ситуаций.
Третье. Реализуем техническую интеграцию.
Четвёртое — радуемся жизни.
Следуя данному алгоритму действий или изучая опыт других коллег по цеху, вы непременно столкнётесь с платформой мобильной аутентификации и электронной подписи PayControl. Безопасность работы решения основана на использовании встроенных криптографических механизмов мобильных и серверных операционных систем (ECDSA, HMAC-SHA-256, AES), асимметричных ключах для контроля целостности и авторства, визуализации данных транзакции, анализе уязвимости мобильного устройства и многом другом.
ЮРИДИЧЕСКИЙ АСПЕКТ
Когда мы начинаем работу с заказчиком, то, кроме технической интеграции, всегда помогаем реализовать и юридическую обвязку всех бизнес-сценариев. У нас довольно большой опыт в составлении юридических конструкций использования ЭП: от очень простых до «железобетонных», которые оспорить нет никакой возможности, с примерами различных вариантов процедур формирования подписи и разбора конфликтов.
С технической точки зрения, PayControl — богатая возможностями платформа, которая очень просто встраивается в процессы заказчика. В качестве примера: один из наших самых крупных проектов был реализован за полтора месяца под ключ, а рекорд по технической интеграции составляет всего 4 часа.
ПРО РАДОСТИ ЖИЗНИ
И конечно, про радости жизни: по данным наших клиентов, время подтверждения транзакций пользователем сокращается в несколько раз. Это следует из того, что уменьшается количество действий: не надо переколачивать OTP-коды, не надо ждать, пока придёт SMS. И не менее важно для бизнеса – сокращение расходов составляет до пяти раз в сравнении с SMS.
В качестве итога, простая электронная подпись – это не только OTP-коды из SMS или пароли. Если сделать простую ЭП правильно, то она может обеспечивать очень высокий уровень безопасности, быть удобной для пользователя и экономически выгодной для бизнеса.
Если сравнивать простую ЭП с УНЭП, то с точки зрения юридической конструкции и нюансов, связанных со встраиванием и распространением, простая ЭП – проще (простите за тавтологию). С точки зрения безопасности при правильной реализации простая ЭП не отличается от УНЭП. С юридической точки зрения – они эквивалентны.
На сегодняшний день правильная реализация ЭП – это одно из наиболее эффективных средств противодействия техническим атакам и социальной инженерии. Использование платформы аутентификации и мобильной электронной подписи PayControl позволит сделать работу конечных пользователей максимально удобной, значительно повысить уровень безопасности в цифровых каналах, обеспечить соответствие требованиям регулятора, а также повысить экономическую эффективность цифровых каналов банка.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных