Комментарии по АО «Отбасы Банк»

После публикации статьи Доска почёта ЭЦП — enpf-otbasy.kz, меня попросили дать комментарии по описываемой там ситуации. Ниже вопросы, заданные мне и, собственно, ответы.

Если будете использовать данные материалы в своих публикациях, пожалуйста, приведите ссылку на оригинал. Возможно, кому-то захочется ознакомиться с текстом в авторском варианте.

Подскажите, пожалуйста, председатель Правления Отбасы Банка Ляззат Ибрагимова заявила, что «технология XML» не используется. Так ли это?

Я не могу знать, какой смысл вкладывает Председатель Правления Банка (здесь и далее под Банком понимается АО «Отбасы Банк») в словосочетание «технология XML», но файлы формата XML совершенно точно используются при подписании документов электронной цифровой подписью граждан на Платформе (здесь и далее под Платформой понимается интернет-ресурс, размещённый по адресу https://enpf-otbasy.kz/). И электронный документ также получается формата XML.

Напомню, согласно Закону Республики Казахстан «Об электронном документе и электронной цифровой подписи» (статья 1, подпункт 12): электронный документ — документ, в котором информация представлена в электронно-цифровой форме и удостоверена посредством электронной цифровой подписи.

Т.е., фактически, в случае с Платформой Банка, электронный документ — это не тот текст, который видит пользователь, а непонятный XML-файл, в котором нет ни ФИО пользователя, ни с чем он соглашается, ни вообще какого-либо человекочитаемого текста.

Я правильно понимаю, что по сути происходит подмена файла для подписания? Если можете простым языком объяснить, как именно? В чем особенность?

На сайте Платформы то, что видит пользователь и то, что он подписывает — два разных файла (по крайней мере, заявление о присоединении и соглашение об обработке персональных данных, т.к. я лично их подписывал и анализировал весь процесс подписания на своей стороне имеющимися у меня техническими средствами).

Детали, думаю, проще будет показать на картинках. Чёрным закрашены мои данные, которые я посчитал лишним выкладывать на всеобщее обозрение.

Рисунок 1. Жёлтым выделен неподписанный блок данных (текст Заявления о присоединении), который отправляется на сервер Платформы.
Рисунок 1. Жёлтым выделен неподписанный блок данных (текст Заявления о присоединении), который отправляется на сервер Платформы.

 

Рисунок 2. Жёлтым выделен ответ сервера Платформы в формате XML на отправленный текст Заявления о присоединении. Именно этот XML-ответ и будет подписан.
Рисунок 2. Жёлтым выделен ответ сервера Платформы в формате XML на отправленный текст Заявления о присоединении. Именно этот XML-ответ и будет подписан.

 

Рисунок 3. Подписанный XML-файл из рисунка 2 (выделен жёлтым снизу). В таком виде он отправляется на сервер Платформы.
Рисунок 3. Подписанный XML-файл из рисунка 2 (выделен жёлтым снизу). В таком виде он отправляется на сервер Платформы.

 

Рисунок 4. Всё то же самое, что на рисунке 1, только отправляется неподписанный текст Соглашения на сбор и обработку персональных данных.
Рисунок 4. Всё то же самое, что на рисунке 1, только отправляется неподписанный текст Соглашения на сбор и обработку персональных данных.

 

Рисунок 5. Всё то же самое, что и на рисунке 2, только это ответ сервера Платформы на отправленный текст Соглашения на сбор и обработку персональных данных.
Рисунок 5. Всё то же самое, что и на рисунке 2, только это ответ сервера Платформы на отправленный текст Соглашения на сбор и обработку персональных данных.

 

Рисунок 6. Подписанный XML-файл из рисунка 5 (выделен жёлтым). В таком виде он отправляется на сервер Платформы.
Рисунок 6. Подписанный XML-файл из рисунка 5 (выделен жёлтым). В таком виде он отправляется на сервер Платформы.

 

Любой человек, обладающий соответствующими специальными знаниями, может повторить это. Если же нет желания возиться с этим либо нет специальных знаний, достаточно просто попросить Банк предоставить ранее подписанные вами электронные документы для ознакомления. Пожалуй, я и сам запрошу. Любопытно, что Банк предоставит и предоставит ли вообще?

Важно понимать, собственно само подписание файла выполняется относительно корректно. Вопрос больше в том, что на подпись отправляется не тот файл, который нужно (который видят граждане). Т.е. тут вопрос больше в юридической плоскости нежели технической. Как это правильно юридически назвать, даже не знаю. Может быть подлог? Ну и, в итоге, по моему мнению, у Банка нет заявлений, согласий и т.п. в виде электронного документа, а есть какие-то непонятные электронные документы, сгенерированные Платформой и подписанные гражданами.

Соответственно, не понятно, на каких основаниях Банк оказывает услуги гражданам, хранит и обрабатывает их персональные данные?

Почему я выше сказал относительно корректно? Подписываемые документы, на мой взгляд, являются электронными документами долговременного хранения. А к таким документам Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи» предъявляется дополнительное требование (пункт 6, подпункт 6): проверка метки времени.

Проверка квитанции метки времени осуществляется для электронных документов долговременного хранения. Квитанция метки времени формируется в момент подписания электронного документа при определении положительного результата проверки ЭЦП, тем самым являясь доказательством подписания документа в указанный момент времени.

Метка времени является доказательством наличия ЭЦП в указанный в квитанции момент времени. Это не просто надпись «12:25:17 22.04.2021», которую, разумеется, легко изменить. Метка времени подписывается специальным ключом удостоверяющего центра и, если после подписания внести в неё изменения, при проверке это выявится.

Так вот в электронном документе, который после подписания отправляется на Платформу, квитанция метки времени отсутствует.

Кто должен контролировать реализацию этого механизма со стороны государства и может лм наступить ответственность банка за неправильную реализацию механизма подписания? И если да, то какой она может быть.

По моему мнению, контроль со стороны государства в разных частях всего процесса осуществляет Национальный Банк Республики Казахстан, Агентство Республики Казахстан по регулированию и развитию финансового рынка, Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. Соответствующее официальное обращение в эти органы было направлено. Полагаю, они инициируют соответствующие проверки и определят меры ответственности в соответствии со своими компетенциями в рамках законодательства РК.

Если банк изменит сайт — потребуется ли переподписание всем тем, кто уже воспользовался платформой?

Считаю, что если Банк изъявит желание вернуться в правовое поле, то переподписание обязательно. Пойдут ли на это сами граждане — вопрос открытый.

С другой стороны, потенциально, все сделки, совершённые с участием Банка, где основаниями, в том числе, были документы, подписанные на Платформе, могут быть признаны недействительными. А это гораздо более серьёзный вопрос, чем ответственность отдельно взятого банка, т.к. затрагивает интересы всех граждан, воспользовавшихся единовременными выплатами из ЕНПФ.

Vladimir Turekhanov ・ April 22, 2021

 

вернуться