Realstory. Как украсть пенсионные накопления или личность с помощью усиленной квалифицированной цифровой подписи

Описанная в настоящей публикации история произошла на самом деле и до сих пор не закончена, т.к. материалы переданы в уполномоченные органы и ведется следствие.

Персональные данные и реквизиты документов скрыты из соображений конфиденциальности.

Вся указанная в публикации информация имеет своей целью проинформировать широкое сообщество экспертов в области информационной безопасности и иных заинтересованных лиц об угрозах безопасности персональных данных физических лиц, способах незаконного их использования, имеющихся организационно-технических  проблемах при использовании усиленной квалифицированной электронной подписи, и не является явным или скрытым призывом к противозаконной деятельности или критикой в отношении органов власти.

История началась с того, что в один "прекрасный" момент гражданка М.  (далее - М.) решила проверить состояние накопительной части своей пенсии, которую М., как она думала, до сих пор не перевела в некоммерческий пенсионный фонд.

В Пенсионный Фонд РФ (далее - ПФР) по электронной почте был направлен запрос о предоставлении информации о состоянии накоплений.

В ответ на запрос было получено письмо, в котором ПФР информировал М., что он не является держателем её пенсионных накоплений с 2017 года, а пенсионные накопления находятся в АО НПФ "Нефтегарант".

Естественно, что М. была удивлена и возмущена, ибо отлично помнила, что пенсионные накопления из ПФР никуда не переводила. В связи с чем в ПФР был направлен запрос с требованием объяснить сложившуюся ситуацию. И тут началось...

Как оказалось, пенсионные накопления попали в АО НПФ "Нефтегарант" в качестве активов АО НПФ "Согласие-ОПС". Но и эта компания оказалась М. незнакома.

Что же это за компания АО НПФ "Согласие-ОПС" и что о ней известно?

Поиск Google выдаёт из кэша следующую информацию:

Указанная в ссылке страница более недоступна, но об обеих организациях имеется информация на www.list-org.com:

АО НПФ "Согласие-ОПС" - https://www.list-org.com/company/7965369

АО НПФ "Согласие" - https://www.list-org.com/company/1803417

Общего у этих компаний много, и в первую очередь генеральный директор.

Что говорят о компании клиенты и "клиенты" можно почитать в отзывах Google 

Как видно проблема М. не единичный случай, а настойчивые рекомендации М. своим знакомым проверить состояние их пенсионных накоплений только подтвердил данные из сети Интернет, у троих знакомых М. накопления тоже "волшебным образом" оказались в АО НПФ "Нефтегарант" через АО НПФ "Согласие-ОПС".

Давайте разберёмся как же это могло произойти.

Читаем ответ ПФР дальше и видим:

Оказывается со стороны АО НПФ "Согласие-ОПС" в ПФР был предъявлен договор м/у АО НПФ "Согласие-ОПС" и М., да ещё в республике, в которой М. никогда в своей жизни не была.

А ещё от имени М. было подано заявление о переводе пенсионных накоплений из ПФР в АО НПФ "Согласие-ОПС". И опять из республики, в  в которой М. никогда в своей жизни не была. 

А из присланного Отделением ПФО по Республике Коми скан-копии договора следует, что договор якобы был заключен в г. Москва.

Но самое интересное в скан-копии это то, что договор имеет рукописные подписи которые никоим образом не могут принадлежать М., поскольку даже визуально абсолютно не соответствуют образцу подписи М., зафиксированному в паспорте М.

Но тогда возникает вопрос: на каких основания ПФР перевел деньги М. в АО НПФ "Согласие-ОПС"?

Ответ на этот вопрос даёт ответ из Отделения ПФР по Республике Татарстан:

Заявление поступило в электронной форме и сопровождалось усиленной кваоифицированной электронной подписью, выданной на имя М.!

Но М. не только не обращалась в ООО "Аксиком" с целью оформления усиленной квалифицированной электронной подписи (далее - УКЭП), но и в дату выдачи указанной в письме Отделения ПФР по Республике Татарстан УКЭП вообще не могла находится в городе Москва.

Тогда каким образом на имя М. была оформлена УКЭП? Ответ на данный вопрос находится на странице описания удостоверяющего центра ООО "Аксиком"

Удостоверяющий центр (далее - УЦ) ООО "Аксиком" осуществляет или осуществлял ранее (регламент удостоверяющего центра, опубликованный на сайте имеет дату утверждения 15 января 2019 года) изготовление сертификатов УКЭП без очной явки заявителя, принимая заявления посредством электронной почты, почтовой либо курьерской связи.

Т.е. в УЦ ООО "Аксиком" достаточно было направить заполненное по типовой форме заявление, скан-копию паспорта и скан-копию СНИЛС лица, на чьё имя желали получить УКЭП. (Где и как злоумышленники получили скан-копию паспорта и скан-копию СНИЛС М. будут выяснять уполномоченные органы.)

В таких условиях единственное что мог сделать оператор УЦ ООО "Аксиком" - это визуально сравнить подпись в заявлении с изображение экземпляра подписи в скан-копии паспорта. Представляется излишним долго рассуждать над тем насколько легко изобразить подобие подписи по имеющемуся изображению, и невозможности однозначно подтвердить идентичность подписи без графологической экспертизы.

Получение ключевого носителя с УКЭП, выданной на имя иного лица, при отсутствии необходимости очной явки в УЦ ООО "Аксиком" также очень просто. Ряд УЦ, в том числе в нашем регионе, осуществляют курьерскую доставку ключевых носителей по адресу, указанному в сопроводительном письме к заявке на выдачу УКЭП. При этом далеко не всегда у получателя проверяют паспорт, чаще просто достаточно указать данные паспорта и поставить подпись.

Теперь сложилась полная картина как можно похитить чужие пенсионные накопления с помощью УКЭП.

Сейчас получить государственную или муниципальную услугу, отправив заявление и скан-копии документов, заверенные УКЭП, по электронной почте, можно в большинстве государственных и муниципальных органов власти. Что и было осуществлено в отношении пенсионных накоплений М.

Но это только одна из огромного множества возможностей, которые появляются у злоумышленника, обладающего УКЭП, выданной на имя иного лица. С помощью УКЭП возможна так называемая "кража личности", т.е. подмена данных о личности, переоформление и получение документов, переоформление и продажа недвижимого и движимого имущества, и т.д. и т.п. 

На сайте www.gosuslugi.ru имеется механизм получения доступа к этим возможностям каждому у кого имеется УКЭП, электронные скан-копии паспорта и СНИЛС. 

Естественно, что при регистрации учетной записи злоумышленник указывает желаемые адрес электронной почты и номер телефона.

Другая возможность, связанная с функционалом Единой системы идентификации и аутентификации портала gosuslugi.ru (далее - ЕСИА) - это возможность входа в личный кабинет пользователя портала gosuslugi.ru с помощью УКЭП.

Дело в том, что при активации функции авторизации в ЕСИА с помощью УКЭП вход в личный кабинет портала gosuslugi.ru становится доступен с помощью любой УКЭП, выданной на имя зарегистрированного на портале gosuslugi.ru лица. Количество, места и даты выдачи УКЭП на имя одного и того же физического лица никто не отслеживает и не контролирует/

ФЗ “О персональных данных” и все, все, все... Отзыв согласия. Часть 2.

В предыдущей публикации была рассмотрена первая часть заявления об отзыве согласия на обработку персональных данных (далее - ПДн).

Остановились мы на том , что содержащихся в первой части заявления об отзыве согласия сведений не позволяют достоверно подтвердить, что заявитель имеет право представлять интересы несовершеннолетнего.

Согласно части 1 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

Согласно части 2 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 указанной статьи.

По мнению автора настоящей публикации, исходя из вышеизложенного и на основании положения части 1 статьи 19 Федерального закона «О персональных данных», в части исполнения оператором ПДн обязанности принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, БУЗОО должно будет отказать в подтверждении или опровержении факта обработки ПДн указанных в заявлении субъектов ПДн.

А теперь рассмотрим рассмотрим вопрос: может ли медицинская организация обрабатывать ПДн пациентов после получения отзыва согласия?

Согласно части 2 статьи 2 Федерального закона «О персональных данных»:

в случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных, в частности, в части 2 статьи 10 Федерального закона «О персональных данных».

Согласно пункту 4 части 2 статьи 10 Федерального закона «О персональных данных»:

обработка специальных категорий ПДн разрешена в случае, когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

В БУЗОО обработка ПДн пациентов осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну, исключительно во исполнение Федерального закона «Об основах охраны здоровья граждан в Российской Федерации», изданных на его основании и в его исполнение государственными органами власти нормативными правовыми актами, правовыми актами (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных.

Право БУЗОО и его работников, осуществляющих обработку ПДн (сведения о состоянии здоровья) пациентов, подтверждается лицензиями на право осуществления соответствующих видов деятельности.

Обработка ПДн пациентов осуществляется в соответствии с нормативными правовыми актами, определяющими состав и сроки обработки ПДн, содержащихся в типовых формах медицинской документации. 

Перечень типовых форм медицинской документации и сроки хранения указаны в приложении № 1 к Приказу Минздрава СССР от 04.10.1980 № 1030 «Об утверждении форм первичной медицинской документации учреждений здравоохранения» и приложениях к Приказу Минздрава России от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению» (далее – Приказ № 834н).

Приказом Минздрава России от 09.01.2018 № 2н в Приказ № 834н  внесены изменения, вступившие в законную силу 16 апреля 2018 года.

Изменения, введенные Приказом Минздрава России от 09.01.2018 № 2н в Приказ № 834н, коснулись порядка ведения документооборота в клиниках с пациентом. В частности, изменен порядок заполнения учетных форм № 025/У «Медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях» (далее – Карта).

Согласно п. 2.1. Приложения № 2 к Приказу № 834н, «карта формируется в форме электронного документа, подписанного с использованием усиленной квалифицированной электронной подписи врача… и (или) на бумажном носителе, подписываемом врачом». При этом отдельных сроков хранения карты в форме электронного документа не установлено.

Таким образом, по мнению автора настоящей публикации, медицинская организация имеет право продолжать обработку ПДн, в том числе в электронном виде, после отзыва согласия до истечения установленных сроков хранения медицинской документации.

Здесь стоит отметить, что сроки хранения некоторых видов медицинской документации составляют 25 и 50 лет.

Теперь рассмотрим, содержащийся в представленном в первой публикации заявлении, запрет на предоставление ПДн указанных в заявлении субъектов иным медицинским учреждениям.

Согласно части 4 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» предоставление сведений, составляющих врачебную тайну, без согласия гражданина (субъекта ПДн) или его законного представителя допускается, в частности:

• при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
• в целях осуществления учета и контроля в системе обязательного социального страхования;
• в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации».

Таким образом, по мнению автора настоящей публикации, медицинская организация имеет право осуществлять предоставление сведений, составляющих врачебную тайну, без согласия гражданина (субъекта ПДн) или его законного представителя в случаях, установленных частью 4 статьи 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».

Исходя из изложенного в настоящей публикации автору представляется возможным сделать следующие выводы: 

1. В случае, когда обработка ПДн пациентов осуществляется медицинской организацией в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну, брать согласие пациента на обработку его ПДн не нужно, т.к. выполняются принципы и условия обработки ПДн, установленные Федеральным законом "О персональных данных".
2. Отозвать у медицинской организации согласие на обработку ПДн или запретить ей обработку (в том числе предоставление) ПДн пациентов в части связанной с медицинской деятельностью невозможно, т.к. условия обработки ПДн пациентов без получения их согласия в тоже самое время являются условием для обработки специальных категорий ПДн как таковых, т.е. имеет место бесконечная рекурсия условий.

_________________________________________________________________________________

Disclamer (отказ от ответственности).

Содержание настоящей и предыдущей публикации является результатом частного рассмотрения положений Федеральных законов и иных нормативно-правовых актов, и содержит частные выводы и комментарии, которые ни в коем случае не следует воспринимать как официальное трактование или разъяснение положений указанных Федеральных законов и иных нормативно-правовых актов.

Мнение автора может не совпадать с официальным трактованием или разъяснением положений указанных Федеральных законов и иных нормативно-правовых актов. В таком случае следует руководствоваться текстом официальных разъяснений.

В случае необходимости получения официального трактования или разъяснения положений указанных Федеральных законов и иных нормативно-правовых актов следует обращаться в государственные органы власти, уполномоченные предоставлять такие разъяснения.