Рейдери і електронний цифровий підпис: хто кого
Президент підписав указ про боротьбу з рейдерством, та чи враховує цей документ всі українські реалії?
У ситуації навколо електронних довірчих послуг, як у краплі води, відбиваються і проблеми, що обумовили розквіт рейдерства, і чинники, які змушують сумніватися у дієвості президентського указу, спрямованого на боротьбу з рейдерами.
Фактично, дефекти одних процедур та інструментів довіри пропонується усунути за допомогою інших, не менш дефектних.
У серпні 2016 року сталася подія, усвідомлення змісту та сенсу якої конче важливо для змістовного обговорення запропонованих підходів до протидії рейдерству.
Три роки тому група зловмисників, які залишаються невідомими та непокараними, отримала в своє розпорядження особистий та відкритий ключі, оформлені на ім'я члена НАЗК Руслана Рябошапки, нині заступника голови Офісу президента.
Оскільки номінальний власник ключів не звертався з відповідним проханням і не отримував ключі в передбаченому порядку, можна стверджувати, що мала місце саме фальсифікація, а не втрата чи крадіжка ключів до так званого кваліфікованого цифрового електронного підпису — ЕЦП.
Відповідно до законодавства, кваліфікований ЕЦП вважається функціональним аналогом власноручного, тобто дозволяє вчиняти будь-які правочини. Далі у тексті під ЕЦП пропонується розуміти саме кваліфікований ЕЦП.
Маючи можливість вчиняти від чужого імені юридично значущі дії, зловмисники внесли до системи електронного декларування завідомо нікчемні відомості. Цей факт був використаний деякими політиками як свідчення недосконалості системи декларування та недоцільності введення її в експлуатацію.
Переслідуючи приватні інтереси, замовники спровокували набагато масштабнішу кризу. Попри спроби зацікавлених осіб напустити туману, загальновідомі властивості ЕЦП не дозволили приховати фактичні обставини справи.
Сфальшовані ключі були підписані за допомогою ЕЦП, що належить державному підприємству "Українські спеціальні системи" (ДП УСС) Державної служби спеціального зв'язку та захисту інформації (ДССЗЗІ).
Так була дискредитована вся державна система гарантування достовірності та недоторканності критично важливої інформації. Ті самі люди, які відповідають за її безпеку та недоторканність, чи то дозволили втягнути себе в злочинну діяльність, чи то свідомо взяли у ній участь, чи то проґавили кричущі зловживання.
Подальша реакція керівництва ДССЗЗІ змушує зробити висновок, що ці люди або надзвичайно зухвалі, або фантастично некомпетентні. Така непересічна подія як випуск центром сертифікації ключів провідного державного органу в царині захисту інформації підробленого ЕЦП не мала жодних наслідків для причетних осіб.
Уся система довірчих послуг, яку забезпечує держава, скомпрометована і не може вважатися такою, що заслуговує на безумовну довіру. Через призму цього факту варто подивитися на ідеї, які містить згаданий указ президента.
В ідеї посилити за допомогою електронного цифрового підпису захист майнових та інших прав, підвищити довіру до правочинів, що їх вчиняють посадові та довірені особи української держави, є певні межі доцільності.
ЕЦП може стати в пригоді там, де не використовуються ефективні механізми підтримки довіри, як от "проведення реєстраційної дії на підставі судових рішень, відомості про які відсутні в Єдиному державному реєстрі судових рішень".[BANNER1]
Якщо держава не спроможна забезпечити своєчасне внесення відомостей про судові рішення у відповідні реєстри, тоді можна хоча б унеможливити фальшування таких рішень, вимагаючи наявність ЕЦП відповідного судді.
Проте і в цьому випадку залишається простір для маніпуляцій, заснованих на ще одному принциповому факті: чинна модель довірчих електронних послуг не враховує можливість різноманітних форм компрометації ЕЦП. Законодавство дає уявлення про компрометацію, але що робити у таких випадках — не відомо.
Що робити, якщо ключ був вкрадений та використаний для вчинення юридично значущих дій до того, як власник викрив факт втрати? Якщо ключ був непомітно вилучений у власника, використаний у злочинний спосіб, а потім повернутий? Правозастосування у таких випадках не є одноманітним та передбачуваним.
Що робити з можливістю вчинення юридично значущих дій за допомогою ключів, що були у протиправний спосіб оформлені на людину, яка взагалі не знає про цей факт? Запропоновані в указі кроки зменшують ймовірність деяких поширених зловживань, але не унеможливлюють їх повністю.
Наприклад, пропонується "обов'язковість нотаріального посвідченнядоговорів, предметом яких є відчуження частки у статутному (складеному) капіталі юридичної особи, крім договорів, створених на порталі електронних сервісів юридичних осіб, фізичних осіб — підприємців та громадських формувань і підписаних з використанням кваліфікованого електронного підпису".
Себто указ визнає ЕЦП як такі, що заслуговують довіру не меншу, ніж нотаріат.
Водночас указ пропонує використовувати ЕЦП для підсилення довіри до правочинів нотаріусів: "Посилення захисту відомостей… шляхом запровадження додаткового підтвердженнявчинення реєстраційної дії, зокрема з використанням мобільного електронного підпису та інших схем електронної ідентифікації".
Це слушна пропозиція, оскільки ймовірність одночасної фальсифікації і нотаріальних дій, і ЕЦП набагато менша за кожну з них. У зв'язку з цим заслуговує на увагу згадка про MobileID — один з різновидів ЕЦП.
Оскільки послугу випуску і технічної підтримки MobileID надають оператор стільникового зв'язку та АЦСК, імовірність фальсифікації MobileID за схемою УСС — ДСЗЗІ так само суттєво менша, ніж у випадку звичайного ЕЦП.
Усе це не скасовує того, що зараз власники ЕЦП не мають інструментів мінімізації поширених ризиків.У першу чергу, мова йде про публічний реєстр ЕЦП та публічний реєстр юридично значущих дій, вчинених за допомогою ЕЦП.
Наявність таких інструментів дозволила б реалізувати нескладні ефективні механізми мінімізації деяких ризиків. Особливо якщо додати до них часові обмеження для вчинення юридично значущих дій за допомогою ЕЦП.
Нові ключі ЕЦП повинні набувати юридичної сили через певний проміжок часу після випуску. За цей час відомості про них мають з'являтися в публічному реєстрі.
Це давало б певний час для реагування на появу підроблених ключів, оформлених на сторонніх осіб. Кожен громадянин або уповноважена ним особа могли б підписатися на послуги з моніторингу реєстру, щоб уникати несподіванок.
Так само юридично значущі дії, завірені ЕЦП, повинні набувати чинності через певний час після появи відомостей про них у відповідному реєстрі.
Ці принципи повинні стати підвалинами посилення гарантій захисту прав, на чому наголошує указ. У даному випадку доречно використовувати рішення, орієнтовані на використання в середовищі, де відсутня довіра, як от блокчейн.
Треба згадати і про головний чинник рейдерства: безкарність посадових та довірених осіб держави. Рейдерство неможливе без чиновників, нотаріусів та реєстраторів, які зухвало порушують норми закону та свої обов'язки.
Належне функціонування довірчих послуг неможливе, якщо їх надають люди, які зловживають довірою. Проблема рейдерства не технічна, а інституційна.
Доки держава не може або не хоче оперативно, прозоро і рішуче реагувати на зловживання її довірених осіб, адекватна державна політика в царині захисту прав фізичних та юридичних осіб мусить враховувати цей факт.
Найпершим кроком, про який, на жаль, нічого не сказано в указі президента, мусить стати розслідування випадку з компрометацією АЦСК УСС.
Співавтор — Лілія Олексюк, експерт з питань електронного урядування, робоча група з питань безпеки та довіри в цифровому середовищі