пятница, 14 июля 2017 г.

Риски при использовании простой электронной подписи в системах ДБО для юридических лиц


Тенденции по использованию простой ЭП в ДБО для юридических лиц

В наше время избытка информации, клипового мышления и битвы за  потребителя многие коммерческие банки в угоду своим клиентам все более упрощают механизмы  обслуживания клиентов, в том числе механизмы защиты и обеспечения юридической значимости. Не обошла эта тенденция и системы дистанционного банковского обслуживания (ДБО).
Традиционно, в системах ДБО для юридических лиц для обеспечения защиты и юридической значимости электронных документов используются механизмы криптографических преобразований. В основном это механизм электронной подписи (усиленной ЭП в терминологии 63-ФЗ "Об электронной подписи").
В недавнем времени несколько коммерческих банков, идя по пути упрощения сервиса  ДБО и связанных с ним бизнес-процессов,  внедрили в системы ДБО для юридических лиц механизмы простой электронной подписи (коды, долговременные и одноразовые пароли и т.п.)
Знают ли банки и клиенты таких банков о том, что применение простой ЭП в ДБО для юридических лиц приводит к правовым и финансовым рискам как для банка, так и для его клиентов? 

Виды ЭП и их использование в ДБО

Применение электронной подписи в России регулируется Федеральным законом № 63-ФЗ «Об электронной подписи» (63-ФЗ).
Согласно статье 2 63-ФЗ:
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Электронная подпись (ЭП) может быть простой и усиленной, которая в свою очередь, может быть неквалифицированной и квалифицированной.
Согласно статье 5 63-ФЗ:
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
В качестве простой ЭП в информационных системах на практике используются долговременный логин и пароль, СНИЛС, одноразовый пароль, полученный в SMS, с OTP-токена, скрэтч-карты и т.п.
Области применения простой ЭП могут быть различными, но в общем случае – это правоотношения, в которых риски, возникающие при компрометации простой ЭП, невысоки.
Например, с использованием простой ЭП осуществляется доступ на портал Госуслуг и отдельных государственных органов, в личный кабинет заемщика АИЖК, доступ в личные кабинеты интернет-магазинов и иных сервисов, обслуживание физических лиц в системах ДБО.
В документообороте юридических лиц, особенно в системах ДБО, традиционно использовалась усиленная ЭП (обычно неквалифицированная).
Одноразовые пароли в SMS в системах ДБО юридических лиц до недавного времени использовались только в качестве дополнительного средства подтверждения при обязательном использовании усиленной электронной подписи, созданной надежными криптографическими средствами.
Какие же риски возникают у банка и особенно у его клиентов при использовании простой ЭП в системе ДБО для юридических лиц?

Риски банка и клиентов при использовании простой ЭП в ДБО для юридических лиц

1. Низкий уровень безопасности при использовании простой ЭП.
Наиболее распространенным видом простой ЭП в системах ДБО является одноразовый пароль, получаемый клиентом в SMS. Такой пароль возможно поставить в зависимость от реквизитов платежа и защитить клиента от атаки, направленной на подмену реквизитов в платежном документе. Но в свете недавних исследований, использование SMS для двухфакторной аутентификации небезопасно и может привести к несанкционированным списаниям средств. В случае ДБО для юридических лиц размер несанкционированных списаний достигает миллионов рублей.
Использование остальных методов подписи электронных документов простой ЭП еще более рискованно, т.к. такие методы не зависят от реквизитов платежа. Одноразовые пароли с OTP-токенов или скретч-карт могут перехватываться на зараженном клиентском компьютере и использоваться злоумышленниками для подтверждения подложных платежей.
Использование в качестве простой ЭП в системах ДБО логина и долговременного пароля без использования многофакторной аутентификации вообще не позволяет заявлять о какой-либо безопасности осуществления переводов.
В обслуживании же физических лиц простая ЭП используется, т.к. риски для физических лиц кардинально ниже, чем риски юридических лиц: суммы переводов физических лиц на 2-3 порядка меньше, чем у юридических лиц. Кроме того, банки часто используют суточные и разовые лимиты для платежей физических лиц, страхование операций и т.п. В качестве простой ЭП физических лиц повсеместно используются одноразовые пароли из SMS или push-сообщений.
Для работы юридических лиц в системах ДБО использование простой ЭП без использования надежных криптографических механизмов создает у клиента иллюзию безопасности. При этом только клиент банка несет все связанные с возможным хищением риски, потому что банк в случае хищения с большой вероятностью выиграет дело в суде, а остановить или вернуть похищенные средства удается крайне редко.

2. Отсутствие юридической значимости простой ЭП в документах юридических лиц
Помимо небезопасности использования любых видов простой ЭП для подтверждения переводов, особенно переводов юридических лиц, существует реальный риск непризнания  электронного документа юридического лица, подписанного простой ЭП,  равнозначным аналогичному бумажному документу с подписью и печатью.
В силу статьи 6 63-ФЗ:
3. Если в соответствии с федеральными законами… или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью.
Электронный документ, подписанный простой ЭП, не может быть признан равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью.
Законодателя здесь можно понять: усиленная ЭП создается с использованием средств электронной подписи, реализующих криптографические преобразования. При этом гарантируются  авторство и целостность электронного документа, о чем при использовании простой ЭП не может быть и речи. В операциях, для которых в бумажном документе требуется только собственноручная подпись, такой вид ЭП подойдет. Но для платежных документов юридических лиц простая ЭП не подходит.
По сути, электронный документ юридического лица, подписанный простой ЭП, не может являться  основанием для перевода денежных средств клиента и не может использоваться в качестве доказательства в суде.
Все платежи юридического лица в системе ДБО, заверенные простой ЭП, могут быть признаны недействительными. С учетом частого отзыва лицензий ЦБ РФ у банков и непрозрачности операций, проводимых банками перед отзывом лицензии, высока вероятность ситуации с отказом конкурсным управляющим (АСВ) в признании законными операций юридического лица по его счетам. Все переводы юридического лица, заверенные только простой ЭП, совершенные с целью вывести средства из проблемного банка перед отзывом лицензии, могут быть оспорены в суде.

Таким образом, использование простой ЭП в системах ДБО для юридических лиц небезопасно, приводит к финансовым и правовым рискам клиентов банка.

Банки, внедряющие в системы ДБО для юридических лиц механизмы простой ЭП (одноразовые пароли из SMS, скрэтч-карты, OTP-токены), подвергают своих клиентов существенным рискам, практически не неся при этом ответственности.

Хорошая статья про то, к чему приводит нарушение баланса между удобством и безопасностью.

Делитесь вопросами, комментариями и собственными соображениями!

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

Комментариев нет:

Отправить комментарий