Вопросы обеспечения безопасности при использовании электронных подписей всегда вызывают повышенный интерес. Пользователей прежде всего интересует, какие риски они несут и как их избежать. Однако как только начинается практическое применение этой технологии, многие почему-то забывают все наставления, а в результате потом уже через суд пытаются взыскать с банка средства, несанкционированно списанные с их счетов.
Арбитражный суд Псковской области в апреле 2013 года рассмотрел дело № А52-4779/2012, в котором организация пыталась взыскать с банка более 17,8 млн. рублей. Эта попытка не удалась, поскольку было установлено, что для удобства работы закрытые ключи ЭЦП генерального директора и главного бухгалтера хранились на компьютере в открытом доступе. Данный факт был установлен экспертом, - причем соответствующие файлы были уже удалены, однако эксперту удалось их восстановить. В итоге у организации не осталось шансов на выигрыш дела.
Суть спора
В конце 2012 года с расчетного счета муниципального предприятия города Пскова «Управление капитального строительства» в ЗАО «Коммерческий экспортно-импортный банк» было произведено списание денежных средств в размере 17,9 миллионов рублей на расчетные счета 19 организаций и физических лиц, с которыми предприятие не состояло в каких-либо договорных отношениях.
Ссылаясь на ненадлежащее исполнение банком своих обязательств по договору банковского счета и договору оказания услуг электронного банкинга в системе «iBank 2», предприятие обратилось в арбитражный суд.
Позиция Арбитражный суд Псковской области
Суд отметил, что в системе «iBank 2» были выпущены три сертификата открытого ключа ЭЦП сотрудников организации: на директора, его заместителя и главного бухгалтера.
В соответствии с договором секретный ключ и открытый ключ ЭЦП генерируются клиентом самостоятельно, содержание секретного ключа известно только владельцу данной пары ключей, банк к секретному ключу клиента доступа не имеет.
Организация обязалась хранить в секрете и не передавать третьим лицам пароль и носитель с секретным ключом ЭЦП, используемые в системе «iBank 2».
Суд отметил, что информация о необходимости соблюдать повышенные требования безопасности при хранении секретного ключа ЭЦП клиента содержится в информационном сообщении ЗАО ЭКСИ-Банк, размещенном на сайте Банка, в Руководстве пользователя системы Клиент-Банк, в информационных письмах, которые с 2010 года Банк регулярно рассылает всем клиентам по системе Клиент-Банк.
В адрес предприятия также были направлены информационные письма об обеспечении дополнительной безопасности, которые остались без ответа. Меры по обеспечению дополнительной безопасности организацией приняты не были.
Суд также отметил, что система Клиент-Банк была установлена организацией только на персональном компьютере главного бухгалтера, несмотря на использование двух секретных ключей. По мнению суда, в целях безопасности в этом случае работа должна осуществляться на отдельных персональных компьютерах в соответствии с руководством пользователя системы Клиент-Банк.
30 января сотрудник предприятия сообщил по телефону в банк о необходимости блокировки операций по счету в системе Клиент-Банк. Однако договором было предусмотрено, что временно блокировать свою работу в системе «iBank 2» можно, позвонив по телефону в банк и произнеся блокировочное слово. Поскольку сотрудник предприятия не назвал блокировочное слово, то сотрудник банка не имел права блокировать счет. Сотрудник указал на необходимость сгенерировать новые ключи. По распоряжению руководства банка расчетный счет предприятия был блокирован 31 января 2012 года, а официальное письмо о блокировке счета поступило в банк от организации только 7 февраля 2012 года.
По факту несанкционированного списания денежных средств организацией было подано заявление в правоохранительные органы. В результате совместных действий сотрудников банка и следственных органов Псковской области удалось вернуть денежные средства на общую сумму более 4,5 млн. рублей.
Банк в целях дополнительно исследования подлинности ЭЦП, которыми были подписаны платежные поручениях, сделал запрос на подтверждение подлинности ЭЦП в ОАО «БИФИТ» - обладателю исключительных прав на систему электронного банкинга «iBank 2», имеющему лицензии ФСБ РФ на разработку и производство шифровальных (криптографических) средств, защищенных информационных и телекоммуникационных систем. Согласно заключениям эксперта, в банк были представлены платежные поручения с использованием подлинных ЭЦП.
На основании постановления о назначении компьютерно-технической экспертизы экспертом ООО «Формоза» было выполнено исследование системного блока предприятия. Согласно заключения эксперта:
- Антивирусная защита компьютера последний раз обновлена 31 января 2012 года (т.е. уже после инцидента – Н.Х.);
- Следов использования средств удаленного администрирования операционной системы Windows не было обнаружено;
- Следов удаленного доступа к представленному ПК не обнаружено;
- Система клиент-банк отсутствует;
- На компьютере установлены библиотеки криптозащиты и java-апплет, необходимые для работы электронной системы удаленного банковского обслуживания «iBank 2»;
- Среди удаленных были обнаружены 4 файла, являющиеся файлами ключей ЭЦП для электронной системы удаленного банковского обслуживания «iBank 2» (т.е. эксперт обнаружил, что на компьютере хранились, но потом были уничтожены закрытые ключи – Н.Х.)
- На компьютере обнаружены файлы 1c_to_kl.txt – файлы экспорта платежных поручений от 26.01.2012 и 31.01.2012.
Эксперт сделал вывод о возможности копирования ключей ЭЦП ДБО ввиду открытого хранения ключей на носителях цифровой информации, считывания пароля возможно при использовании программ типа «keylogger».
Суд не принял довод организации том, что расчеты с физическими лицами осуществлялись через другой расчетный счет, поскольку банк был не вправе отказать в обслуживании по этому основанию.
По мнению суда, банк был обязан исполнять принятые электронной системой поручения, подписанные корректной ЭЦП, а общество, в свою очередь, не проявило должной степени заботливости и осмотрительности при обеспечении исключения доступа посторонних лиц к ЭЦП.
В итоге суд в иске отказал.
Четырнадцатый арбитражный апелляционный суд в июле 2013 года оставил без изменения решение Арбитражного суда Псковской области, а апелляционную жалобу муниципального предприятия города Пскова «Управление капитального строительства» – без удовлетворения.
Федеральный арбитражный суд Северо-Западного округа в декабре 2013 года оставил без изменения решение Арбитражного суда Псковской области и постановление Четырнадцатого арбитражного апелляционного суда, а кассационную жалобу муниципального предприятия города Пскова «Управление капитального строительства» - без удовлетворения.
Коллегия судей Высшего Арбитражного Суда Российской Федерации в марте 2014 года отказала в передаче дела в Президиум Высшего Арбитражного Суда Российской Федерации для пересмотра в порядке надзора.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
Суд не принял довод организации том, что расчеты с физическими лицами осуществлялись через другой расчетный счет, поскольку банк был не вправе отказать в обслуживании по этому основанию.
По мнению суда, банк был обязан исполнять принятые электронной системой поручения, подписанные корректной ЭЦП, а общество, в свою очередь, не проявило должной степени заботливости и осмотрительности при обеспечении исключения доступа посторонних лиц к ЭЦП.
В итоге суд в иске отказал.
Четырнадцатый арбитражный апелляционный суд в июле 2013 года оставил без изменения решение Арбитражного суда Псковской области, а апелляционную жалобу муниципального предприятия города Пскова «Управление капитального строительства» – без удовлетворения.
Федеральный арбитражный суд Северо-Западного округа в декабре 2013 года оставил без изменения решение Арбитражного суда Псковской области и постановление Четырнадцатого арбитражного апелляционного суда, а кассационную жалобу муниципального предприятия города Пскова «Управление капитального строительства» - без удовлетворения.
Коллегия судей Высшего Арбитражного Суда Российской Федерации в марте 2014 года отказала в передаче дела в Президиум Высшего Арбитражного Суда Российской Федерации для пересмотра в порядке надзора.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
Комментариев нет:
Отправить комментарий