О легитимности и безопасности действий в диджитал каналах
Все чаще произносят фразу: «По закону можно использовать ПЭП, значит мы можем подписать кодом»… Забудьте, пожалуйста, ее НАВСЕГДА!
Любое технологическое решение для электронной подписи имеет под собой три важнейших аспекта:
1) Бизнес: usability для клиентов
2) Технический: реальная безопасность, модели угроз, техническая реализация
3) Юридический: законность, разбор конфликтных ситуаций
С Usability все понятно – пользователям должно быть удобно. Но давайте заострим внимание на техническом и юридическом аспектах. Ведь когда мы начинаем разбираться в технике и юридической значимости – здесь то и начинается «веселье». Очень часто люди пытаются просто читать закон дословно и «прикрывать бумажками».
«Это же простая ПЭП! Закон нам разрешает использовать ПЭП, значит мы можем сделать любую ПЭП и это будет легитимно, мы пропишем это в соглашении с пользователем и все!» С одной стороны - юридической - это так… Но таким же образом, можно заключить соглашение, что клиент, войдя в банк моментально взял кредит, открыл вклад, или чего еще веселее – продал машину или «душу дьяволу»! И это все будет иметь юридическую силу, да. На бумаге, но не на практике… До первой конфликтной ситуации.
При первом же «залете» начнется разбирательство: А как клиент подписал? А чем? А как он согласился так подписывать? А это точно он? Или не он? А где был он? В общем, придерживаясь только формальной букве закона вы НИКОГДА не обеспечите защиту себя, клиентов и пользователей.
Тут важно запомнить, что даже простая электронная подпись тоже бывает разная – одна может быть скомпрометирована на «раз», а вторую «сломать» невозможно. Это обязательно надо учитывать при построении системы. Ведь, если законом допускается использование SMS, Push или «чиха на камеру» - это еще не значит, что схема безопасная, верно?) Мы же не хотим проблем себе и пользователям?
Так, например, мобильная ЭП намного безопаснее SMS и PUSH, но она тоже должна быть сделана со всеми правилами безопасности: ассиметричная криптография, безопасность ключевой информации, безопасный процесс подписания, контроль целостности и авторства, возможность разбора конфликтных ситуаций и пр.…
Резюмирую: юридическая и техническая точки зрения всегда должны идти в совокупности и их категорически нельзя разделять. Желаю всем научиться слушать и слышать друг друга! Да будем мы все в безопасности в цифровой среде)) Аминь)