НовостиОбзорыСобытияIT@Work
Документооборот/ECM:

Блог

К какому типу электронной подписи относится Sim-карта?

Дискуссия на тему использования "настольной" (обычный вариант – на персональном носителе, типа USB) и "облачной" (использование на сервере провайдера) электронной подписи вывела участников разговора на Фейсбуке к несколько другой теме: а к какому типу наших узаконенных подписей относится Сим-карта, используемая в мобильных устройствах?

Как известно, у нас в законе 63-ФЗ "Об электронной подписи" говорится об использовании трех видов подписи – усиленная квалифицированная, неквалифицированная и простая. Кстати, тут нужно сказать, что с простой у нас дело обстоит самым непростым образом: даже среди профильных специалистов нет четкого понимания, что же это такое и как ее можно применять. А потому сегодня во избежание возможных проблем и не применять. Впрочем, как и неквалифицированную. Короче говоря, хотя в 63-ФЗ говорится о трех подписях, в реальной практике применяет самая строгая и дорогая – усиленная квалифицированная.
Если говорить бумажными категориями, то если для написания заявления на отпуск на бумаге достаточно поставить свой автограф, то для электронного случая нужно сначала сходить в ближайшую нотариальную контору, заверить там подпись (заплатив деньги!), а уже потом отдавать заявление начальству.

Но все же в целом понятно, что простая подпись – это когда вы входите в ту или иную ИТ-систему (например, в почтовую) с использованием логина+пароля. Все ваши дальнейшие действия (в том числе создаваемые документы) в системе фиксируются под вашим логином, который и является ИТ-реализацией простой подписи.

Но это – однофакторная авторизация, а для сколь-нибудь ответственных операций (например, финансовых) используется двухфакторная, а часто и трехфакторная. Обычный пример двухфакторной авторизации – операции в банке-онлайн, когда сначала вводится пароль+логин, а потом еще для каждой денежной операции – одноразовый пароль получаемый через мобильный телефон. Так вот при использовании второго фактора (телефон) в качестве электронной подписи используется Симка, с вашим уникальным ключом.

И вот как раз тут возникает вопрос: а к какой категории ЭП можно отнести Sim-карту? И какой категории ЭП относится вариант двухфакторного авторизации?

Участники Фейсбук-дискуссии пока ограничились лишь умозрительными соображениями относительно варианта с Симкой: кто-то считает, что это похоже на простую, мне самому – как минимум на неквалифицированную ЭП.
А вы что думаете, и как обоснуете свое соображение?

Вообще, мы в наших разговорах о ЭП, в том числе в контексте доступа к электронным госуслугам, как-то совсем по забыли, что каждые владелец мобильного телефона уже имеет свою ЭП (а если у вас несколько подобных гаджетов – то несколько ЭП) в виде регистрированной на вам SIM-карты. Не говоря уже о том, что СМС-сообщение – это типичный электронный документ, снабженный ЭП владельца, а обмен СМС – это столь же типичный пример обмена электронными документами, причем очень даже юридически значимого (думаю, все знают большое числу судебных примеров, где именно СМС фигурируют чуть ли в качестве основных доказательств по весьма серьезным делам).

И тут сразу возникает вопрос: почему же это доступных, распространенный и почти бесплатный (!!) вариант ЭП у нас никак не используется в госуслугах и в электронном документообороте?
Колесов Андрей
Вы приводите тезисы на основе очень общий рассуждений, не приводя никаких конкретных примеров или даже анализа, как проводятся операции.

Начнем с той простой истины, что ошибки и подлоги могут быть (и есть) везде. 100% надежности не бывает. Поэтому нужно рассматривать вопроса так: и-банкинг - это надежнее, чем хождение в отделение банка с написанием личного заявления или нет?
Как надежнее проводить оплаты, скажем, авиабилета - через окошко кассы или через Интернет?

Я могу сказать за себя - я это  делаю через Интернет, поскольку это не только удобнее, но и надежнее.

Что касается вашего конфликта в телефонным провайдером, то здесь сама надежность протоколирования на порядок меньше, чем в банковских операциях. И понятно почему - финансовые риски НАМНОГО меньше.

Могу сказать точно: если бы вы захотели, то при желании могли бы оспорить этот разговор и доказать, что его не было (если его не было на самом деле). Но это потребовало бы от вас усилий.  И вам было проще заплатить 500 руб, чем втягивать в разбирательства.
И это - нормальная позиция оценки рисков.

Хотя бы такой вопрос: вы написали письменную претензцию к вашем оператору по поводу данного звонка и получили ли от него официальный ответ?
Телефонный номер, по которому был этот звонок, вам знаком? Вы сказались с его владельцем? У него был такой разговор? Ведь лог этого разговора прописывает и со стороны его провайдера...

Наверное, вы этого не делали. А если бы сумма была не 500, а 10 тыс., то возможно сделали бы и доказали...

Менщиков Дмитрий
Все правильно Вы говорите, претензию я писал. Не потому что сумма была большая, а потому что было непонятно, что вообще такое происходит и как с этим бороться. На основании претензии оператор мне выдал заключение, что он произвел проверку оборудования, нарушений не было выявлено.
Телефонный номер мне не был знаком, в том городе вообще никаких знакомых у меня не было.
Я думаю, что разговор реально такой был, но либо его по ошибке записали на меня (например, при выполнении каких-то ручных операций с базой данных), либо было несанкционированное подключение к линии.

Насчет более надежного протоколирования в банках - не верю! Все точно также.
А еще я вот про такое читал недавно про смс-ки:
http://www.e1.ru/news/print/news_id-403201.html

Колесов Андрей
Но все точно такие накладки были и с обычными телефонами!
Что касается банков, если это вопрос веры, то тут нет предмета спора.
Но, как бы то ни было, и никакие квалицифицированные ЭП тут не помогут.

Ну, а мошеничество... Это тоже было всегда...