Ключ с возможностью передачи. Какие опасности таит «абсолютно надежная» цифровая электронная подпись

В последние годы в сложившихся условиях (пандемия, самоизоляция, проведение СВО, санкционное давление, демографические и миграционные процессы) значительно расширилась сфера применения цифровых технологий. Вместе с тем наблюдается масштабная цифровизация и криминальной среды. За последние пять лет отмечено 25‑кратное возрастание числа преступлений с применением IT-технологий. При этом показатель их раскрываемости остается низким (25 %). Один из новых криминальных трендов — преступления, совершаемые с использованием электронной цифровой подписи (ЭЦП). Таковая создается уполномоченным удостоверяющим центром, который действует в соответствии с федеральным законом от 6.04.2011 № 63‑ФЗ «Об электронной подписи». Разумеется, от противоправного воздействия она должна быть защищена. Но так, к сожалению, получается не всегда.

ФОТО Romain Dancre on Unsplash

Кто ответит за утечку?

Как реквизит в документообороте ЭЦП используется сравнительно недавно. Но сфера ее применения интенсивно расширяется. К примеру, только за период с января по июль 2023 года гражданами оформлено более 8,7 млн таких подписей. Поэтому надежность технологии изготовления сертификатов ключей находится под постоянным контролем государства. Техническими средствами создаются уровни защиты электронного документооборота — простая, неквалифицированная и квалифицированная электронная подпись, сформированные на основе алгоритмов криптографии.

Вместе с тем наряду с пре­имуществами во многих сферах жизнедеятельности технология цифровизации реквизитов документов имеет и обратную сторону. Криминологи предупреждают о значительности негативных последствий от противоправных действий участников правоотношений в сфере электронного документооборота.

При этом отмечается, что ненадлежаще оформленные и выданные сертификаты ключей ЭЦП потенциально становятся орудиями совершения экономических преступ­лений и мошенничеств. Поэтому следует принимать меры и бороться с таким явлением.

Статья по теме:

Путешествие с подвохом. Как не стать жертвой мошенников в интернете?

Прежде всего необходимо устранить имеющиеся пробелы и недостатки законодательства, регулирующего технологии цифровизации документооборота. В частности — обеспечить юридическую ответственность участников правоотношений в данной сфере. В первую очередь это касается работы аккредитованных удостоверяющих центров, которые наделяются полномочиями и обязательствами по оформлению сертификатов ключей, кодируют в них конфиденциальную информацию. На этапе формирования ЭЦП человеческий фактор способен оказать свое негативное влияние. В силу прямого умысла или неосторожности он может проявиться в неисполнении или ненадлежащем исполнении работником удостоверяющего центра своих профессиональных обязанностей.

Между тем следует принять во внимание, что удостоверяющие центры становятся обладателями конфиденциальной информации о цифровых подписях и их владельцах. Правовые последствия использования ЭЦП, сформированной в нарушение установленного порядка, приобретают высокую степень общественной опасности. Зафиксированы случаи нарушения порядка выдачи квалифицированного сертификата ключа, внесение в него заведомо недостоверной информации о владельце, нарушение требований к содержанию квалифицированного сертификата, создание (замена) и (или) выдача ключа не уполномоченным на то лицом. Указанные неправомерные действия влекут негативные последствия материального, имущественного, организационного и иного характера.

Предметом судебных разбирательств неоднократно становились противоправные действия удостоверяющих центров по выдаче сертификатов и ключей электронных подписей. Однако, как показал обзор судебных решений, единственным результатом таких разбирательств стало признание недействительным конкретной ЭЦП и квалифицированного сертификата. Никаких судебных санкций в адрес удостоверяющего центра не последовало.

Аноним неподсуден

Казалось бы, определенные меры законодатель предусмотрел. В соответствии с ч. 7 ст. 15 закона «Об электронной подписи», работники аккредитованных удостоверяющих центров несут гражданско-правовую, административную и (или) уголовную ответственность за ненадлежащее исполнение своих обязанностей. Конкретные санкции оговорены, например, в ст. 13.33 и 13.33.1 КоАП РФ.

Однако в Уголовном кодексе РФ охрана соответствующей сферы общественных отношений должным образом не регламентирована. Данное положение не способствует обеспечению должной безопасности владения и использования гражданами электронной цифровой подписи. Традиционным образом обеспечена уголовно-правовая охрана только бумажного документооборота, включая подписи, печати, бланки и пр. (ст. 327 УК РФ и др.). 

Уголовная ответственность за нарушения порядка выдачи электронных подписей не предусмотрена. Данный пробел в законодательстве привел к образованию рынка нелегальных услуг в этой сфере. 

Отмечаются случаи, когда цифровая электронная подпись была выдана анонимными или подставными организациями, причем в дистанционном режиме общения с клиентом. Пользуясь неопределенным статусом доверенных лиц, предусмотренных ч. 4 ст. 13 закона «Об электронной подписи», недобросовестные удостоверяющие центры создают сеть посредников по подысканию потенциальных клиентов и идентификации заявителей.

С учетом изложенного можно констатировать наличие криминогенных факторов в сфере регулирования оборота ЭЦП. Ряд положений современного законодательства, по сути, создает условия для злоупотреблений в указанной сфере со стороны работников удостоверяющих центров. В настоящее время уже сформировался противоправный сегмент в структуре электронного документо­оборота.

В связи с этим заслуживает внимания и поддержки законодательная инициатива об установлении уголовной ответственности за неисполнение и ненадлежащее исполнение предусмотренных законом обязанностей при выдаче квалифицированного сертификата ключа.

Так, еще в 2018 году Минцифры России предложило законопроект о введении уголовной ответственности за подделку ЭЦП (ст. 2006 УК РФ). Однако, к сожалению, у законодателя он поддержки не нашел.

В 2021 году аналогичный законопроект предложило МВД России. В нем, в частности, была представлена формулировка статьи УК РФ 3273 «неправомерные действия в отношении усиленной электронной подписи». Эта инициатива также законодательно не реализована.

В настоящий момент новые предложения об уголовной ответственности за неисполнение предусмотренных законом обязанностей при выдаче квалифицированного сертификата ключа разрабатывает Генеральная прокуратура РФ.

Наказывать аккуратно и точно

Безусловно, в части совершенствования процедур и механизмов оборота ЭЦП различных степеней защиты важно соблюдать разумный баланс. Следует понимать, что избыточная зарегулированность и чрезмерно жесткие меры ответственности могут негативно отра­зиться на развитии данной сферы. Необоснованная жесткость мер может сработать как сдерживающий фактор электронного документооборота в сферах экономики и государственного управления. По нашему мнению, в уголовно-правовом законе следует прописать «правила игры» и обозначить негативные последствия их нарушения. Согласно отечественной доктрине уголовного права, превентивное значение приобретает неотвратимость привлечения к ответственности, а также результативность криминологической профилактики преступлений электронно-цифрового состава. Меры уголовно-правового воздействия должны отвечать принципу соразмерности и по своему содержанию отдавать приоритет экономическому и организационному воздействию.

Также при создании указанных норм уголовно-правового воздействия следует принимать во внимание круг участников правоотношений электронного документооборота. Противоправные действия в этой сфере кроме удостоверяющих центров и их сотрудников совершают также граждане, приобретающие электронные цифровые подписи и являющиеся их владельцами, а также представители разного рода посреднических организаций. Специальная норма, предусматривающая уголовную ответственность для всех указанных лиц, также отсутствует. Полагаем, что предлагаемая формулировка статьи 3273 УК РФ могла бы стать универсальной и предусматривать ответственность различных субъектов преступления в зависимости от их статуса.

Сказанное свидетельствует о необходимости дальнейших исследований по формулированию содержания предлагаемой нормы. Считаем необходимым привлечение к этой работе узких специалистов в сфере оборота ЭЦП на разных этапах — от ее изготовления до применения.

Читайте также:

Как распознать телефонных мошенников и сберечь свои личные данные?

«Повесьте трубку!» На звонки с незнакомых номеров всегда отвечают меньше трети горожан

Материал опубликован в газете «Санкт-Петербургские ведомости» № 199 (7775) от 21.10.2024 под заголовком «Ключ с возможностью передачи».