Депутаты парламента разработали законопроект, согласно которому предлагается запретить выдачу электронных цифровых подписей (ЭЦП) на файловых носителях, используемых миллионами казахстанцев, сообщил «Курсиву» председатель комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан Абдыкаликов.
«В национальном удостоверяющем центре можно выпустить на файловом носителе ключ в виде двух файликов. Так вот, это очень небезопасный путь, и мы хотим запретить выдачу этих двух файликов. Ты можешь либо купить токен и тебе на токен его записывают, либо ты можешь использовать облачную ЭЦП с помощью многофакторной авторизации, включая биометрическую аутентификацию. То есть для нас кажется, что это более безопасный путь, чем выдавать людям файлики, которые они могут потерять, и которые у них могут украсть. Либо они каким-то мошенникам могут еще и передать (ЭЦП на файловых носителях. – «Курсив») – вот это еще очень опасно. Это тоже в текущем году в рамках закона (предлагается принять. – прим. «Курсива»). Потому что требования сидят в законе. Это в закон надо будет вносить изменения», – сказал он, отвечая на вопрос корреспондента «Курсива».
Ранее он сообщил «Курсиву», что разработанный депутатами законопроект предполагает также введение обязательного киберстрахования для операторов, имеющих в своем распоряжении более 1 млн персональных данных. К ним могут относиться банки, страховые компании, брокеры, медицинские и другие организации. Документ уже находится на согласовании в правительстве.
По словам Абдыкаликова, все люди, имеющие мобильную версию eGov, уже пользовались облачной ЭЦП. Также этот продукт востребован у тех пользователей банковских приложений, когда клиентов просят идентифицировать свою личность с помощью видеокамеры смартфона (биометрия).
«Там облачная ЭЦП и используется. Когда используется биометрия, там и выпускается этот ключ. И он потом просто в вашем мобильном устройстве хранится, и когда вы что-то подписываете или покупаете, то ваш смартфон этим ключом, который вы ранее выпустили и который лежит у него, подписывает эти транзакции. То есть облачко работает, вы просто не знаете об этом. В этом и прелесть, что человек не должен вообще ни о чем думать. Лицо с собой, устройство с собой – пришел, услугу получил, и все. Соответственно, он и потерять ее (ЭЦП. – «Курсив») не может, потому что без его лица все равно никто вашим смартфоном воспользоваться не сможет. Он в него, первое, зайти не сможет, а второе – никакую услугу без пальца или без лица купить не сможет», – сказал он.
Председатель комитета Минцифры отметил, что государство вынужденно идти на такие шаги, чтобы обеспечить безопасность своих граждан.
«Чтобы массово решить вопросы с безопасностью, государство же должно какие-то шаги предпринять. Иначе, пока есть бесплатный дешевый путь, но он подвержен всяким мошенничествам, тогда люди попадаются на это мошенничество, а потом все равно ругают государство. Тогда государству проще запретить это, чтобы они не попадались, а людям сказать: либо используй облачко, либо купи токен. Его один раз купишь – и он на всю жизнь, он же вечный токен. На него просто ключ перевыпускаешь, причем каждые три года. На файловом носителе он всего на год выпускался, а на токене он на три года выпускается. И то там в компьютер воткнул этот токен через три года, перевыпустил – и опять токен на три года готов, а эта флешка вечная», – сказал он.
Стоит отметить, что, несмотря на сомнения в безопасности работы с традиционными ЭЦП, они остаются очень популярными среди казахстанцев. В госкорпорации «Правительство для граждан» «Курсиву» сообщили, что в 2023 году через отделы по обслуживанию населения было предоставлено 3,3 млн услуг по выдаче и отзыву ЭЦП, в 2022 году – 4,4 млн.
«Вместе с тем в 2023 году осуществлено 2 670 941 подтверждение ЭЦП, запись ЭЦП на Sim – 0, запись ЭЦП на удостоверение личности – 592 976. В 2022 году было произведено 3 682 897 подтверждений ЭЦП, одна запись ЭЦП на Sim, 741 144 записи ЭЦП на удостоверение личности», – отметили в «Правительстве для граждан».
Там напомнили, что получение ЭЦП через центры обслуживания населения доступно лишь на съемный носитель – флеш-устройство. Также сотрудники госкорпорации осуществляют подтверждение ранее поданной заявки. То есть, если гражданин подал заявление на выпуск ЭЦП через сайт pki.gov.kz, для подтверждения и идентификации ему необходимо обратиться к сотруднику ЦОН, после чего он может самостоятельно скачать ЭЦП через сайт pki.gov.kz на свой компьютер.
При этом в «Правительстве для граждан» рекомендовали провести исследования путем опроса населения на предмет готовности населения отказаться от получения ЭЦП на файловых носителях.
В апреле 2021 года Абдыкаликов сообщил, что в комитет поступают многочисленные жалобы по фактам незаконной передачи физическими и должностными лицами принадлежащих им ЭЦП третьим лицам. В конце 2020 года Минцифры констатировало учащение фактов незаконного использования ЭЦП в стране.
Министр цифрового развития, инноваций и аэрокосмической промышленности Багдат Мусин еще 28 сентября 2022 года в ходе форума Digital Bridge призывал казахстанцев отказаться от использования сложной процедуры обслуживания электронной цифровой подписи (ЭЦП) и перейти к использованию QR eGov Mobile. В своем выступлении министр отметил, что сейчас для того, чтобы сделать ЭЦП, необходимо ходить в ЦОН, устанавливать дополнительные приложения и так далее. По его словам, необходим новый подход.
Мусин считал, что использование QR eGov Mobile позволит надежно сохранить электронные ключи клиента, а сам потребитель будет все подписывать с помощью QR. Министр отметил, что такой переход очень сильно облегчает госуслуги и использование идентификационных документов.
В феврале сообщалось о планах начать в Казахстане экспериментальный пилотный проект по получению электронной цифровой подписи с использованием биометрической идентификации. Граждане смогут получить ее через сайт Национального удостоверяющего центра Республики Казахстан. Проект будет длиться целый год.
