Надавач електронних послуг ТОВ «Ключові системи» подав позов до суду, щодо неправомірних дій Мінцифри та Держспецзв'язку. Не очікуючи розсудливості Мінцифри, щодо проблем користувачів-громадян України, які опинилися в електронній пастці з використанням отриманих електронних підписів, ТОВ «Ключові системи» звернулося до ДПС з проханням щодо автоматичного розірвання Договорів приєднання з ДПС платників податків, які мали електронні підписи та печатки отримані ТОВ «Ключові системи».
Також ТОВ «Ключові системи» проводить наради з існуючими надавачами щодо швидкого надавання ними послуг постраждалим клієнтам ТОВ «Ключові системи».
Кілька десятків тисяч користувачів електронних підписів з усієї України опинились у пастці: вони не можуть подати звітність до держорганів через блокування їхніх електронних ключів. Про це йшлося під час пресконференції у медіацентрі «СтопКору» 17 червня.
Після позапланової перевірки у період карантину віцепрем’єр-міністр, міністр цифрової трансформації М.Федоров 4 червня своїм наказом №88 виключив з Довірчого списку Мінцифри кваліфікованого надавача електронних довірчих послуг ТОВ «Ключові системи» і заблокував роботу сертифікатів користувачів, які мали чинність 1 або 2 роки.
ТОВ «Ключові системи» ініціювало публічне обговорення цього болючого питання. Зокрема, одномоментне припинення дії електронних підписів, на думку представників компанії, є грубим порушенням ст.31 Закону України «Про електронні довірчі послуги».
«Закон передбачає тримісячний термін для припинення діяльності з надання кваліфікованих довірчих послуг», — зазначив адвокат Назарій Гавлодський.
Також представники ТОВ «Ключові системи» повідомили, що компанія з метою термінового розв'язання питання з розблокування електронних підписів клієнтів звернулась до суду.
«ТОВ «Ключові Системи» подано позовну заяву до Окружного адміністративного суду м. Києва про оскарження, визнання незаконними та скасування зазначених розпорядчих документів», — заявив Назарій Гавлодський.
Також представники компанії повідомили: для захисту інтересів своїх клієнтів, які стали заручниками ситуації і не можуть вчасно подати звітність, ТОВ «Ключові системи» направило звернення до податкової служби.
«З метою можливості подальшого використання клієнтами ТОВ «Ключові системи» виданих їм електронних ключів, до суду було подано заяву про забезпечення позову з вимогою зупинення дії Наказу Міністерства цифрової трансформації України від 04.06.2020 №88 «Про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку». Однак, враховуючи те, що на цей час користувачі не можуть використовувати свої особисті ключі, з метою запобігання масовим порушенням у частині несвоєчасності подання звітності платниками податків, просимо розв'язати питання розірвання чинних договорів про приєднання електронних документів користувачів ЕДП ТОВ «Ключові Системи», які звертаються за отриманням нових сертифікатів та подають нові заявки про приєднання електронних документів. Сподіваємося на ваше розуміння та подальшу співпрацю», — йдеться у листі ТОВ «Ключові системи» від 12 червня 2020 року до Державної фіскальної служби України.
В Україні відсутній центральний засвідчувальний орган, що нівелює всю інфраструктуру довірчих електронних послуг в Україні, завдає значних матеріальних збитків юридичним та фізичним особам України і завдає непоправної шкоди репутації нашої держави та її керівництву на рівні цифрової міжнародної спільноти.
Функції адміністратора ЦЗО та технічного і технологічного забезпечення ІТС ЦЗО здійснює Державне підприємство «ДІЯ» (Код ЄДРПОУ 31691885; 03150 Київ, вул. Ділова, 24), що належить до сфери управління Міністерства цифрової трансформації.
ІТС ЦЗО ДП «ДІЯ» є державним ресурсом. Згідно зі ст. 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Згідно з п. 5.2 «Порядку проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі НД ТЗІ 3.7-003-05», затверджений наказом ДСТСЗІ СБ України 08.11.2005 р. «порядок створення КСЗІ в ІТС є єдиним, незалежно від того, створюється КСЗІ в ІТС, яка проєктується, чи в чинній ІТС, якщо виникла необхідність забезпечення захисту інформації або модернізації вже створеної КСЗІ». Новостворена чи модернізована КСЗІ підлягає державній експертизі відповідно до «Положення про державну експертизу в сфері технічного захисту інформації», затвердженого наказом Адміністрації Держспецзв’язку №93 від 16.05.2017.
ДП «ДІЯ» зобов’язане було забезпечити створення КСЗІ та її державну експертизу, підтверджену Атестатом відповідності КСЗІ.
Однак на сайті Центрального засвідчувального органу Атестат відповідності КСЗІ ІТС ЦЗО, в якому визначено власника системи ДП «ДІЯ», відсутній. Натомість розміщено Атестат відповідності КСЗІ, виданий на іншу юридичну особу.
Це означає:
1) державний ресурс ІТС ЦЗО не має КСЗІ, що підтверджується фактом відсутності Атестату відповідності КСЗІ, власником якого є ДП «ДІЯ»;
2) з моменту передачі функцій адміністратора та технічного і технологічного забезпечення ІТС ЦЗО від ДП «НАІС» (Мін'юст) до ДП «ДІЯ» (Мінцифри) ЦЗО припинив своє існування;
3) службовими особами ДП «ДІЯ» вчинено правопорушення за ст.363 КК України (порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, що заподіяло значної шкоди.
Наголошу, Державна служба спеціального зв’язку та захисту інформації України своїм листом №03/03/04-955 від 24.02.2020 року повідомила, що Атестат відповідності КСЗІ ІТС ЦЗО, який належить ДП «ДІЯ», не видавала. Атестат відповідності КСЗІ ІТС ЦЗО, що належить ДП «ДІЯ», відсутній і станом на 08.06.2020 року.
Водночас службові особи ДП «ДІЯ», зловживаючи службовим становищем, з метою приховування своєї службової недбалості, що спричинила тяжкі наслідки, за відсутності Атестату відповідності КСЗІ у ДП «ДІЯ» незаконно розмістили на сайті ЦЗО Атестат відповідності КСЗІ №20969 від 20.12.2019 року, який видано на іншу юридичну особу — ДП «НАІС», що належить до сфери управління Міністерства юстиції України. Однак, відповідно до ч.1. ст. 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Крім того, законодавством не передбачено умов, підстав, норм та процедур передачі Атестату відповідності КСЗІ від одного суб’єкта (юридичної особи) до іншого суб’єкта (юридичної особи).
Відповідно до п. 4 ст. 29 Закону України «Про електронні довірчі послуги» центральний засвідчувальний орган під час надання кваліфікованої електронної довірчої послуги з формування, перевірки та підтвердження чинності кваліфікованого сертифіката електронного підпису чи печатки зобов’язаний виконувати вимоги, які встановлено для кваліфікованих надавачів електронних довірчих послуг.
У разі відсутності чинних документів, визначених законодавством, що підтверджують відповідність комплексної системи захисту інформації інформаційно-телекомунікаційної системи кваліфікованого надавача електронних довірчих послуг та засобів захисту інформації у її складі вимогам нормативно-правових актів у сфері технічного та криптографічного захисту інформації, або документів про відповідність за результатами проходження процедури оцінки відповідності у сфері електронних довірчих послуг орган контролю зобов’язаний прийняти рішення про блокування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу в разі, якщо під час перевірки виявлено факти компрометації особистого ключа.
Відповідно до ч.26 ст.1 Закону України «Про електронні довірчі послуги» «компрометація особистого ключа — будь-яка подія, що призвела або може призвести до несанкціонованого доступу до особистого ключа». Згідно з НД ТЗІ 1.1.-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» «компрометація (compromise) – це порушення політики безпеки; несанкціоноване ознайомлення». У наказі Державної служби спеціального зв’язку та захисту інформації України від 20.07.2007 №141 «Про затвердження Положення про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту конфіденційної інформації та відкритої інформації з використанням електронного цифрового підпису» визначено більш розширене поняття компрометації – як будь-який випадок (втрата, розголошення, крадіжка, несанкціоноване копіювання тощо) з ключовими документами (ключовими даними) та засобами криптографічного захисту інформації, який призвів (може призвести) до розголошення (витоку) інформації про них, а також інформації, яка обробляється та передається.
У п’ятому абзаці на стор. 3 Акту, складеного за результатами проведення позапланового заходу державного нагляду (контролю) щодо дотримання вимог законодавства у сфері надання електронних довірчих послуг у Центральному засвідчувальному органі Міністерства цифрової трансформації України № 11/02/02-361 від 24.02.2020 року, зазначено: «проведена модернізація КСЗІ ІТС ЦЗО згідно з наказом №20200210-1 від 10.02.2020». Із Акту випливає, що модернізація КСЗІ ІТС ЦЗО, власником якої є ДП «НАІС», була проведена представниками ДП «ДІЯ», що свідчить про наявність встановленого факту несанкціонованого доступу, за якого порушено порядок його здійснення та правові норми.
Таким чином відсутність Атестату відповідності КСЗІ ІТС ЦЗО, що належить ДП «ДІЯ», та модернізація КСЗІ ІТС ЦЗО є подіями компрометації особистих ключів та кореневих сертифікатів ЦЗО — тобто порушенням політики безпеки, фактичними подіями, що призвели або можуть призвести до несанкціонованого доступу до особистих ключів та кореневих сертифікатів ЦЗО.
Наслідком відсутності КСЗІ, Атестату відповідності на КСЗІ у ДП «ДІЯ» та компрометації особистого ключа центрального засвідчувального органу є:
– нечинність всіх документів та нікчемність всіх правочинів в Україні, що створені та вчинені користувачами в результаті надання електронних довірчих послуг центральним засвідчувальним органом від моменту переходу функцій адміністратора та технічного і технологічного забезпечення ЦЗО від ДП «НАІС» до ДП «ДІЯ»;
– нечинність всіх документів та нікчемність всіх правочинів в Україні, що створені в результаті надання послуг кваліфікованим надавачам електронних довірчих послуг, які (надавачі) отримали послуги ЦЗО від моменту переходу функцій технічного та технологічного забезпечення ЦЗО від ДП «НАІС» до ДП «ДІЯ» і донині;
– компрометація особистих ключів, отриманих користувачами від кваліфікованих надавачів електронних довірчих послуг у цей же період (і донині).
Наголошую: відповідно до п.2 статті 25 Закону України «Про електронні довірчі послуги» самопідписаний сертифікат електронної печатки центрального засвідчувального органу не пізніше ніж протягом 24 годин скасовується центральним засвідчувальним органом у разі підтвердження факту компрометації особистого ключа центрального засвідчувального органу, виявленого ним самостійно або органом контролю під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг.
До вказаних грубих порушень законодавства, що призвели до нинішньої фактичної відсутності ЦЗО у країні, безпосередньо причетні службові особи ДП «ДІЯ» та Держспецзв’язку, про що свідчить наступне.
У період з 17 до 21 лютого 2020 року комісією Адміністрації Держспецзв’язку у складі Кретіва О.Р. (голова) та Прокоф’євої А.М., у присутності представників ДП «ДІЯ» — заступника генерального директора з технічних питань ДП «ДІЯ» Козлова Ю.М., Беренока А.М., Мальованого С.О. — проведено позапланову перевірку ЦЗО у частині захисту інформації ПТК ЦЗО та складено Акт за результатами проведення позапланового заходу державного нагляду (контролю) щодо дотримання вимог законодавства у сфері надання електронних довірчих послуг у Центральному засвідчувальному органі Міністерства цифрової трансформації України № 11/02/02-361 від 24.02.2020 року (далі – Акт № 11/02/02-361 від 24.02.2020).
На стор. 3 Акту № 11/02/02-361 від 24.02.2020 зазначено: «Атестат відповідності на КСЗІ чинний (№ 20969 від 20.12.2019). Власником системи визначене ДП «НАІС».
Відповідно до Регламенту роботи ЦЗО, затвердженого наказом від 19.12.2019, в ДП «НАІС» скасовано покладені функції технічного та технологічного забезпечення ІТС ЦЗО.
Проведена модернізація КСЗІ ІТС ЦЗО».
На цій же сторінці Акту вказано, що прийом-передача (ПТК ЦЗО та ЗКЗІ) від ДП «НАІС» до ДП «ДІЯ» відбулась лише 27.12.2019 року, тобто через 8 днів.
Зафіксувавши грубі порушення у ЦЗО, який адмініструється ДП «ДІЯ», комісія винесла незаконний і неправомірний висновок: «організація та порядок надання електронних довірчих послуг центральним засвідчувальним органом відповідає вимогам законодавства».
Таким чином, представники органу контролю — начальник управління Адміністрації Держспецзв’язку Кретів О.Р. та провідний спеціаліст Адміністрації Держспецзв’язку Прокоф’єва А.М. — зловживаючи службовим становищем, приховали грубе порушення вимог законодавства та вчинили службове підроблення шляхом внесення до офіційного документа завідомо неправдивих відомостей. Вони зафіксували:
а) факт модернізації КСЗІ, державну експертизу якої ДП «ДІЯ» не проводило; б) відсутність Атестату відповідності на КСЗІ у ДП «ДІЯ» та в) 8-денну перерву між скасуванням 19.12.2020 року функцій технічного та технологічного забезпечення ІТС ЦЗО у ДП «НАІС» і передачею їх 27.12.2020р. до ДП «ДІЯ» (протягом вказаного періоду невідомо які дії та події вчинялися стосовно компонентів ІТС і документації ЦЗО).
І внесли до Акту № 11/02/02-361 від 24.02.2020 року неправдиві відомості:
а) «організація та порядок надання електронних довірчих послуг центральним засвідчувальним органом відповідає вимогам законодавства» та б) Атестат відповідності КСЗІ на ІТС ЦЗО №20969 від 20.12.2019, що належить ДП «НАІС», є чинним для ДП «ДІЯ».
Згідно з п.7 ст.6 Закону України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» на підставі акта, складеного за результатами здійснення заходу, під час якого виявлено порушення вимог законодавства, орган державного нагляду (контролю) за наявності підстав для повного або часткового зупинення виробництва (виготовлення), реалізації продукції, виконання робіт, надання послуг звертається у порядку та у строки, встановлені законом, з відповідним позовом до адміністративного суду. У разі необхідності вжити інших заходів реагування орган державного нагляду (контролю) протягом п’яти робочих днів з дня завершення здійснення заходу державного нагляду (контролю) складає припис, розпорядження, інший розпорядчий документ щодо усунення порушень, виявлених під час здійснення заходу.
Однак службовими особами Держспецзв’язку, попри грубі порушення ДП «ДІЯ», що зафіксовані в Акті №11/02/02-361 від 24.02.2020 року, не прийнято жодного розпорядчого документа щодо усунення їх (порушень); не подано до адміністративного суду відповідного позову; не прийнято рішення про скасування самопідписаного сертифіката електронної печатки центрального засвідчувального органу та не направлено Подання про виключення ДП «ДІЯ» з Довірчого списку.
