УЯЗВИМОСТЬ ПЕНСИОННОЙ ПЛАТФОРМЫ ОТБАСЫ БАНКА ДЕЙСТВИТЕЛЬНО СУЩЕСТВУЕТ?Вчерашний
пост с заявлением президента казахстанской ассоциации автоматизации и робототехники
Владимира Туреханова вызвал целую бурю обсуждений и это понятно — никто не хочет рисковать своими сделками с досрочно снятыми пенсионными деньгами.
— Прочитала я этот бред, что типа сделки заключённые через портал можно признать незаконными и тяжело вздохнув объясняю, —
написала на своей странице председатель правления Отбасы банка
Ляззат Ибрагимова. — Самый распространённый способ хранения ЭЦП в РК — это персональный компьютер или внешний носитель. Граждан имеющих ЭЦП на защищенных носителях всего 4%. Поэтому считаем, выбранный способ охватывает большую часть населения и никаких нареканий со стороны клиентов не вызывал. В общем жалоб от клиентов не поступало. Все документы пользователей подписываются в неизменном виде,
без использования технологии XML. @FINANCEkaz обратился за разъяснением к автору исследования. Владимир согласился
ответить на наши вопросы:
XML есть и это нормально— Я не могу знать, какой смысл вкладывает председатель правления Отбасы в словосочетание «технология XML», но файлы формата XML совершенно точно используются при подписании документов электронной цифровой подписью граждан на платформе. И электронный документ также получается формата XML.
В случае с платформой банка, электронный документ — это не тот текст, который видит пользователь, а непонятный XML-файл, в котором нет ни ФИО пользователя, ни с чем он соглашается, ни вообще какого-либо человекочитаемого текста.
Владимир предоставил
доказательства подмены файлов, мы настоятельно рекомендуем с ними ознакомиться или повторить эксперимент самостоятельно, это не так сложно. Кстати XML — это просто расширяемый язык программирования для разметки интернет страницы и он, конечно же, используется на сайте платформы, и в этом нет ничего плохого или страшного.
Подмена файла— Важно понимать, собственно само подписание файла выполняется относительно корректно. Вопрос больше в том, что на подпись отправляется не тот файл, который нужно, который видят граждане. То есть тут вопрос больше в юридической плоскости нежели технической. Как это правильно юридически назвать, даже не знаю. Может быть подлог? Ну и, в итоге,
по моему мнению, у банка нет заявлений, согласий в виде электронного документа, а есть какие-то непонятные электронные документы, сгенерированные платформой и подписанные гражданами. Соответственно, не понятно, на каких основаниях банк оказывает услуги гражданам, хранит и обрабатывает их персональные данные? Соответствующее официальное обращение было направлено. Полагаю, они инициируют соответствующие проверки и определят меры ответственности в соответствии со своими компетенциями в рамках законодательства РК.
Что дальше?— Если Банк изъявит желание вернуться в правовое поле, то
переподписание обязательно. Пойдут ли на это сами граждане — вопрос открытый. С другой стороны, потенциально, все сделки, совершённые с участием Банка, где основаниями, в том числе, были документы, подписанные на платформе, могут быть признаны недействительными. А это гораздо более серьёзный вопрос, чем ответственность отдельно взятого банка.
@FINANCEkaz оставляет вопрос открытым. На наш взгляд произошла банальная ошибка при запуске платформы, ведь запускали её в ускоренном порядке.