А вы знаете, что электронная подпись юридического лица дает возможность заходить на "Госуслуги" под видом частного лица и .... делать все, что угодно (в рамках возможностей ЛК), например, смотреть личные данные (недвижимость, обращения, налоги) и т. п.?
Я, как и положено, вышел из кабинета, затем попробовал войти вновь по заблокированной подписи и.... у меня получилось (!)
Ок, подумал я, возможно, информация еще не успела обновиться, закэшировалась, но и через 45 минут у меня получилось зайти на портал и попасть в ЛК частного лица. Как видно на скриншоте, по заблокированной, якобы, подписи.
Я провел эксперимент на другом компьютере (ноутбуке): и у меня тоже получилось попасть в ЛК частного лица по заблокированной подписи.
Что объединяло эти два компьютера: я и ранее заходил на них в ЛК (до блокировки). Поэтому провел эксперимент на третьей машине, на которой ранее в свой ЛК не заходил. И уже на ней, при попытке входа вылезла надпись "отсутствует подходящая подпись" (или что-то в этом роде).
Я подумал, что на предыдущих двух машинах сохранились сертификаты заблокированной ЭП (может, поэтому и удавалось попасть на портал), полез в хранилище сертификатов. Но нет, там сертификата заблокированной подписи не нашел.
На этом свои эксперименты прекратил и пришел к выводу, что даже если заблокировать конкретную ЭП на портале, то пресловутая Марь Иванна, которая раньше могла заходить на ЭП по этой подписи, все равно будет иметь доступ к кабинету.
В любом случае, рекомендую заблокировать в настройках профиля доступ к порталу для соответствующих сертификатов ЭП - это лучше, чем ничего.
Ну и, в заключение, так как давно порывался написать пост про ЭП, но все не доходили руки, то вкратце поделюсь некоторыми мыслями:
Хорошие инициативы с ЭП у нас превратились в "как всегда". Я имею ввиду, в первую очередь, ситуацию с директорскими подписями, которую описал выше: даже те немногие, кто понимают, что так не очень хорошо делать с т. з. безопасности, вынуждены продолжать работу из-за серьезных неудобств, неотлаженных процессов.
Может, и есть нормальный способ, до ввода электронных доверенностей в следующем году, то буду, конечно, рад о нем услышать. Но то, что даже если он и существует, им мало, кто пользуется, это точно.
Во-вторых, безграмотность и безалаберность в вопросах работы с ЭП. Причем, даже среди айтишников. Рассказываю, как обычно выглядит процесс получения ЭП: Вы приходите в УЦ, Вам дают подписать заявление, и некий Вася выходит и выдает Вам "флэшку" (токен) с подписью. Ведь так Вы ее получали?
Можно смоделировать следующую ситуацию: потом этот Вася уволится (а текучка в УЦ, как я заметил, большая), прихватив с собой и все электронные подписи. А потом по стране прокатывается волна страшилок, когда без ведома собственника продавали его недвижимость. А дальше государство начинает ужесточать законодательство в сфере УЦ и ЭП (об этом чуть ниже).
Я же при получении подписи делаю не так: прихожу, и говорю, что закрытый ключ генерировать буду сам. У "манагера" УЦ глаза делаются большими и круглыми ("вообще-то, так нельзя, никто так не делает, сейчас уточню"), он зовет Васю из подсобки, который приходит и нехотя подтверждает, что так, оказывается тоже можно. "Манагер" закатывает глаза и тяжко вздыхает, после чего я генеририрую ключевую пару на токене со своего ноута, и записываю сертификат, подписанный УЦ, на токене (это делается элементарно, средствами плагинов через браузер).
И я ничего не придумываю: такая ситация у меня возникает практически каждый раз, когда получаешь новую подпись (вот почему удобнее продлевать до истечения - так можно избежать похода в УЦ).
Так вот, возвращаясь к ситуации с УЦ: государство (вернее, некомпетентные управленцы и исполнители) открыло этот рынок, аккредитовало УЦ, столкнулось, как обычно это бывает, с проблемами администрирования и контроля, и, по классике, пошло по самому простому для себя пути "закручивания гаек": вначале пошли слухи, что УЦ останется только один государственный, потом чиновники, похоже, спохватились, что сами могут "треснуть" из-за этого, и определили переходный период, потом назначили срок перехода, потом его перенесли... В общем, я уже устал отслеживать все эти слухи, проекты изменений, переносы, внесения поправок в НПА... Это не моя профильная деятельность, хотя, по-хорошему, каждый гражданин должен более менее в вопросе разбираться и следить за происходящим.
В общем, тем, кто дочитал мой опус до конца, желаю быть аккуратными со своими ЭП, не попадать в ситуации их несанкционированного использования и с наступающим новым годом!