«Безопасность» Госуслуг: пока кто-то развенчивает мифы, вот вам реальность

А вы знаете, что электронная подпись юридического лица дает возможность заходить на «Госуслуги» под видом частного лица и … делать все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, налоги) и т. п.?

image-loader.svg

Как это проверить и как я про это узнал: оформил новую ЭП (кстати, термин ЭЦП давно выведен законодательством из обращения) на руководителя (себя). Решил проверить ее работоспособность. На токене размещена только одна подпись (сертификат), других нет. При заходе на портал «Госуслуги» выбираю «Войти с электронной подписью»:

image-loader.svg

После этого мне отображается перечень всех личных кабинетов, в которые я могу зайти (то есть всех организаций, где я являюсь руководителем, а также ссылка на доступ в личный кабинет физического лица, в терминологии портала — «частное лицо»):

image-loader.svg

Я попробовал: действительно, могу заходить во все организации, в ЛК «частного лица» и видеть всю доступную информацию, а также совершать различные действия. Например, можно видеть всю доступную в профиле информацию (привязанный телефон, личный адрес электронной почты и т. п.):

image-loader.svg

Также можно просмотреть все заявления, ответы на обращения, возможно, заказать какую-нибудь госуслугу (но я не стал пробовать).

Возможно (возможно), при оформлении какой-нибудь из них потребуется подпись физического лица, и тогда сделать по подписи ЮЛ не получится (но это не точно).

Кто-то может сказать: ну и что тут такого, ведь речь об одном и том же человеке, что тут страшного.

Ну, во-первых, считаю, статусы у этих подписей все-таки разные, и нехорошо по ЭП одной организации давать доступ к другой организации и, тем более, к данным физлица.

А во-вторых, и это самое, на мой взгляд, главное: подавляющее большинство организаций, при чем не важно, со штатным бухгалтером или бухгалтерией на аутсорсе, подает всю отчетность (в налоговую, ФСС и т. п.) по подписи руководителя.

Просто потому, что нормального механизма с электронными доверенностями нет (насколько я знаю, поправьте, если не прав). То есть надо оформлять доверенность на сотрудника, как правило, в бумажном виде, отвозить в налоговую и тогда, возможно, получится отправлять электронную отчетность по электронной подписи сотрудника. При чем для каждого из органов, куда сдается отчетность, нужно оформлять свою доверенность.

Помнится, несколько лет назад я просил пойти бухгалтерию по такому пути, но те столкнулись с трудностями: то ли не принимались документы из-за отсутствия доверенности, хотя она была, то ли приходилось оформлять разные виды доверенностей и отвозить во все инстанции, куда подавалась отчетность. То есть все удобство от использования ЭП и электронной отчетности сводилось на нет.

И только со следующего года налоговая вводит механизм электронных доверенностей, но, как выясняется, окончательно утвержденного регламента и сроков пока нет. Вот Вам и цифровизация.

В итоге, приходим к тому, что любая Марь Иванна из бухгалтерии или бухгалтер аутсорсинговой фирмы, которую Вы и в глаза никогда не видели, может спокойно лазать по личным кабинетам ваших остальных организаций (по котороым у Вас нет договора с этой бухгалтерской фирмой) или по личному кабинету Вас, как физического лица, и знать про Вас такое, что Вы бы не хотели показывать посторонним людям (не потому, что это что-то плохое, а потому, что это Ваша личная информация).

А при worst-case scenario (то есть, скажу аккуратно, теоретически) такая Марь Иванна может без Вашего ведома оформить какую-нибудь госуслугу. Случайно, не со зла (хотя… случаи разные бывают).

Естественно, я обратился в чат поддержки с вопросом («почему по ЭП организации предоставляется доступ к ЛК частного лица?») и более, чем через час, получил, как и ожидалось, невразумительный ответ:

image-loader.svg

Вот так, «нет возможности». Примерно, как «любой может войти в вашу электронную почту по дефолтному паролю 12345678, но запретить это нет возможности» (утрирую? Наверное, но сути дела это не сильно меняет).

Поэтому я рекомендую зайти в профиль и заблокировать доступ к порталу для соответствующих электронных подписей:

image-loader.svg

Правда, информация о подписи довольно скудная, есть только номер сертификата, Вы должны сверить его с тем, что хранится на токене и/или используется для подачи электронной отчетности (неудобно: хотя бы писали, что это за подпись — если на организацию, то какую).

А во-вторых, есть здесь еще одно большое «но»: даже заблокировав подпись, я снова смог по ней попасть на портал. Вот Вам скриншот с доказательством:

image-loader.svg

Я, как и положено, вышел из кабинета, затем попоробовал войти вновь по заблокированной подписи и… у меня получилось (!)

Ок, подумал я, возможно, информация еще не успела обновиться, закэшировалась, но и через 45 минут у меня получилось зайти на портал и попасть в ЛК частного лица. Как видно на скриншоте, по заблокированной, якобы, подписи.

Я провел эксперимент на другом компьютере (ноутбуке): и у меня тоже получилось попасть в ЛК частного лица по заблокированной подписи.

Что объединяло эти два компьютера: я и ранее заходил на них в ЛК (до блокировки). Поэтому провел эксперимент на третьей машине, на которой ранее в свой ЛК не заходил. И уже на ней, при попытке входа вылезла надпись «отсутсвует подходящая подпись» (или что-то в этом роде).

Я подумал, что на предыдущих двух машинах сохранились сертификаты заблокированной ЭП (может, поэтому и удавалось попасть на портал), полез в хранилище сертификатов. Но нет, там сертификата заблокированной подписи не нашел.

На этом свои эксперименты прекратил и пришел к выводу, что даже если заблокировать конкретную ЭП на портале, то пресловутая Марь Иванна, которая раньше могла заходить на ЭП по этой подписи, все равно будет иметь доступ к кабинету.

В любом случае, рекомендую заблокировать в настройках профиля доступ к порталу для соотвествующих сертификатов ЭП — это лучше, чем ничего.

Ну и, в заключение, так как давно порывался написать пост про ЭП, но все не доходили руки, то вкратце поделюсь некоторыми мыслями:

Хорошие инициативы с ЭП у нас превратились в «как всегда». Я имею ввиду, в первую очередь, ситуацию с директорскими подписями, которую описал выше: даже те немногие, кто понимают, что так не очень хорошо делать с т. з. безопасности, вынуждены продолжать работу из-за серьезных неудобств, неотлаженных процессов.

Может, и есть нормальный способ, до ввода электронных доверенностей в следующем году, то буду, конечно, рад о нем услышать. Но то, что даже если он и существует, им мало, кто пользуется, это точно.

Во-вторых, безграмотность и безалаберность в вопросах работы с ЭП. Причем, даже среди айтишников. Рассказываю, как обычно выглядит процесс получения ЭП: Вы приходите в УЦ, Вам дают подписать заявление, и некий Вася выходит и выдает Вам «флэшку» (токен) с подписью. Ведь так Вы ее получали?

Можно смоделировать следующую ситуацию: потом этот Вася уволится (а текучка в УЦ, как я заметил, большая), прихватив с собой и все электронные подписи. А потом по стране прокатывается волна страшилок, когда без ведома собственника продавали его недвижимость. А дальше государство начинает ужесточать законодательство в сфере УЦ и ЭП (об этом чуть ниже).

Я же при получении подписи делаю не так: прихожу, и говорю, что закрытый ключ генерировать будут сам. У «манагера» УЦ глаза делаются большими и круглыми («вообще-то, так нельзя, никто так не делает, сейчас уточню»), он зовет Васю из подсобки, который приходит и нехотя подтверждает, что так, оказывается тоже можно. «Манагер» закатывает глаза и тяжко вздыхает, после чего я генеририрую ключевую пару на токене со своего ноута, и записываю сертификат, подписанный УЦ, на токене (это делается элементарно, средствами плагинов через браузер).

И я ничего не придумываю: такая ситация у меня возникает практически каждый раз, когда получаешь новую подпись (вот почему удобнее продлевать до истечения — так можно избежать похода в УЦ).

Так вот, возвращаясь к ситуации с УЦ: государство (вернее, некомпетентные управленцы и исполнители) открыло этот рынок, аккредитовало УЦ, столкнулось, как обычно это бывает, с проблемами администрирования и контроля, и, по классике, пошло по самому простому для себя пути «закручивания гаек»: вначале пошли слухи, что УЦ останется только один государственный, потом чиновники, похоже, спохватились, что сами могут «треснуть» из-за этого, и определили переходный период, потом назначили срок перехода, потом его перенесли… В общем, я уже устал отслеживать все эти слухи, проекты изменений, переносы, внесения поправок в НПА… Это не моя профильная деятельность, хотя, по-хорошему, каждый гражданин должен более менее в вопросе разбираться и следить за происходящим.

В общем, тем, кто дочитал мой опус до конца, желаю быть аккуратными со своими ЭП, не попадать в ситуации их несанкционированного использования и с наступающим новым годом!

© Habrahabr.ru