Казахстан может запретить выдачу ЭЦП на файловых носителях уже в этом году
Депутаты парламента разработали законопроект, согласно которому предлагается запретить выдачу электронных цифровых подписей (ЭЦП) на файловых носителях, используемых миллионами казахстанцев, сообщил «Курсиву» председатель комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан Абдыкаликов.
«В национальном удостоверяющем центре можно выпустить на файловом носителе ключ в виде двух файликов. Так вот, это очень небезопасный путь, и мы хотим запретить выдачу этих двух файликов. Ты можешь либо купить токен и тебе на токен его записывают, либо ты можешь использовать облачную ЭЦП с помощью многофакторной авторизации, включая биометрическую аутентификацию. То есть для нас кажется, что это более безопасный путь, чем выдавать людям файлики, которые они могут потерять, и которые у них могут украсть. Либо они каким-то мошенникам могут еще и передать (ЭЦП на файловых носителях. – «Курсив») – вот это еще очень опасно. Это тоже в текущем году в рамках закона (предлагается принять. – прим. «Курсива»). Потому что требования сидят в законе. Это в закон надо будет вносить изменения», – сказал он, отвечая на вопрос корреспондента «Курсива».
Ранее он сообщил «Курсиву», что разработанный депутатами законопроект предполагает также введение обязательного киберстрахования для операторов, имеющих в своем распоряжении более 1 млн персональных данных. К ним могут относиться банки, страховые компании, брокеры, медицинские и другие организации. Документ уже находится на согласовании в правительстве.
По словам Абдыкаликова, все люди, имеющие мобильную версию eGov, уже пользовались облачной ЭЦП. Также этот продукт востребован у тех пользователей банковских приложений, когда клиентов просят идентифицировать свою личность с помощью видеокамеры смартфона (биометрия).
«Там облачная ЭЦП и используется. Когда используется биометрия, там и выпускается этот ключ. И он потом просто в вашем мобильном устройстве хранится, и когда вы что-то подписываете или покупаете, то ваш смартфон этим ключом, который вы ранее выпустили и который лежит у него, подписывает эти транзакции. То есть облачко работает, вы просто не знаете об этом. В этом и прелесть, что человек не должен вообще ни о чем думать. Лицо с собой, устройство с собой – пришел, услугу получил, и все. Соответственно, он и потерять ее (ЭЦП. – «Курсив») не может, потому что без его лица все равно никто вашим смартфоном воспользоваться не сможет. Он в него, первое, зайти не сможет, а второе – никакую услугу без пальца или без лица купить не сможет», – сказал он.
Председатель комитета Минцифры отметил, что государство вынужденно идти на такие шаги, чтобы обеспечить безопасность своих граждан.
«Чтобы массово решить вопросы с безопасностью, государство же должно какие-то шаги предпринять. Иначе, пока есть бесплатный дешевый путь, но он подвержен всяким мошенничествам, тогда люди попадаются на это мошенничество, а потом все равно ругают государство. Тогда государству проще запретить это, чтобы они не попадались, а людям сказать: либо используй облачко, либо купи токен. Его один раз купишь – и он на всю жизнь, он же вечный токен. На него просто ключ перевыпускаешь, причем каждые три года. На файловом носителе он всего на год выпускался, а на токене он на три года выпускается. И то там в компьютер воткнул этот токен через три года, перевыпустил – и опять токен на три года готов, а эта флешка вечная», – сказал он.
Стоит отметить, что, несмотря на сомнения в безопасности работы с традиционными ЭЦП, они остаются очень популярными среди казахстанцев. В госкорпорации «Правительство для граждан» «Курсиву» сообщили, что в 2023 году через отделы по обслуживанию населения было предоставлено 3,3 млн услуг по выдаче и отзыву ЭЦП, в 2022 году – 4,4 млн.
«Вместе с тем в 2023 году осуществлено 2 670 941 подтверждение ЭЦП, запись ЭЦП на Sim – 0, запись ЭЦП на удостоверение личности – 592 976. В 2022 году было произведено 3 682 897 подтверждений ЭЦП, одна запись ЭЦП на Sim, 741 144 записи ЭЦП на удостоверение личности», – отметили в «Правительстве для граждан».
Там напомнили, что получение ЭЦП через центры обслуживания населения доступно лишь на съемный носитель – флеш-устройство. Также сотрудники госкорпорации осуществляют подтверждение ранее поданной заявки. То есть, если гражданин подал заявление на выпуск ЭЦП через сайт pki.gov.kz, для подтверждения и идентификации ему необходимо обратиться к сотруднику ЦОН, после чего он может самостоятельно скачать ЭЦП через сайт pki.gov.kz на свой компьютер.
При этом в «Правительстве для граждан» рекомендовали провести исследования путем опроса населения на предмет готовности населения отказаться от получения ЭЦП на файловых носителях.
В апреле 2021 года Абдыкаликов сообщил, что в комитет поступают многочисленные жалобы по фактам незаконной передачи физическими и должностными лицами принадлежащих им ЭЦП третьим лицам. В конце 2020 года Минцифры констатировало учащение фактов незаконного использования ЭЦП в стране.
Министр цифрового развития, инноваций и аэрокосмической промышленности Багдат Мусин еще 28 сентября 2022 года в ходе форума Digital Bridge призывал казахстанцев отказаться от использования сложной процедуры обслуживания электронной цифровой подписи (ЭЦП) и перейти к использованию QR eGov Mobile. В своем выступлении министр отметил, что сейчас для того, чтобы сделать ЭЦП, необходимо ходить в ЦОН, устанавливать дополнительные приложения и так далее. По его словам, необходим новый подход.
Мусин считал, что использование QR eGov Mobile позволит надежно сохранить электронные ключи клиента, а сам потребитель будет все подписывать с помощью QR. Министр отметил, что такой переход очень сильно облегчает госуслуги и использование идентификационных документов.
В феврале сообщалось о планах начать в Казахстане экспериментальный пилотный проект по получению электронной цифровой подписи с использованием биометрической идентификации. Граждане смогут получить ее через сайт Национального удостоверяющего центра Республики Казахстан. Проект будет длиться целый год.