Безопасность — это не криптография

в 13:41, , рубрики: информационная безопасность, мошенничество, нпф, пенсионный фонд, метки: , ,

Данный текст можно считать открытым обращением в Пенсионный фонд Российской Федерации, НПФ «Благосостояние», НПФ «Ренессанс Жизнь и Пенсии» и НПФ «Лукойл-Гарант».

Начнем с приятного. Обращения, направленные в Пенсионный Фонд через сайт, рассматриваются, и на них приходит ответ. Приходит правда только на бумаге по почте России. Обращение было направлено 26.06.2012, ответ датирован 02.07.2012, принят почтой 03.07.2012, и, наконец, доставлен адресату 07.07.2012. Т.е. весь процесс занял менее двух недель без езды, писанины и стояния в очередях. Хотя подтверждение о том, что обращение рассмотрено и официальный ответ отправлен, можно и на электронную почту отправить (иначе, зачем ее спрашивать?).

Есть робкая надежда, что прочие государственные учреждения тоже будут развивать и улучшать данный вид коммуникаций.

Начало истории

21.06.2012 моей жене пришло не одно письмо, как обычно (раз в год от него приходит письмо с расчетом начислений-накоплений), а целых три от Пенсионного фонда РФ. Это уже заинтриговало. Еще большее удивление вызвало то, что два письма содержали отказ (по формальным признакам) в переводе накопительной части пенсии в некий негосударственный пенсионный фонд «Благосостояние», а одно его таки подтверждало.
письмо 1,письмо 2,письмо3

Самая главная нестыковка: никаких заявлений никто в Пенсионный фонд не писал. Вторая нестыковка: у моей жены уже шесть лет другая фамилия. Третья: все три уведомления были созданы (21.03.2012) и пришли в один день, хотя даты заявлений, на которые ссылаются письма, различаются на девять месяцев. Будут еще нестыковки, но о них позже.

После звонка в Пенсионный фонд было предложено обратиться через форму на сайте, что и было сделано. И, как сказано выше, пришел ответ.

Ответ

стр.1 стр.2
После вводных формальных слов, следуют некоторые подробности:

«Между Отделением Пенсионного фонда РФ по Республике Татарстан (регион 013), Отделением Пенсионного фонда РФ по Рязанской области (регион 072) и негосударственным пенсионным фондом «Ренесанс Жизнь и Пенсии» в 2011 году были заключены соглашения по приему заявлений от застрахованных лиц и передачу их в электронном виде в Пенсионный фонд Российской федерации, откуда и поступили заявления от 31.03.2012 № LETTER1 и от 28.12.2011 № LETTER2.

Между Отделением Пенсионного фонда РФ по Ростовской области (регион 071) и негосударственным пенсионным фондом «Лукойл-Гарант» в 2011 году были заключены соглашения по приему заявлений от застрахованных лиц и передачу их в электронном виде в Пенсионный фонд Российской федерации, откуда и поступили заявления от 30.12.2012 № LETTER3.»

Первое, что бросается в глаза: про НПФ «Благосостояние» ни слова, зато появились НПФы «Ренесcанс Жизнь и Пенсии» и «Лукойл-Гарант».

После перевода с бюрократического на русский, я начал смеяться. Вам еще не смешно? Тогда рассказываю.

Безопасность — это не криптографияВо-первых, не могу я уловить связи, между лицом, проживающим и прописанным в Санкт-Петербурге, с республикой Татарстан, а также Рязанской и Ростовской областями. Я со всем уважением к этим прекрасным регионам нашей необъятной, но при чем тут Санкт-Петербург и Ленинградская область?

Во-вторых, можно представить человека, решившего устроить предновогоднее турне по России. Такие есть, я их видел. Имея богатую фантазию, можно представить, что он, находясь в этой поездке, заскочил в Казане в отделение НПФ и составил договор. Но то, что через два дня он оказался в Ростове-на-Дону и решил-таки за день до нового года написать заявление еще раз, на мой взгляд, уже из области ненаучной фантастики.

В-третьих не будет. Т.к. дальше не смешно.

Далее Пенсионный фонд любезно сообщает, что запросил копии договоров из НПФ «Ренессанс Жизнь и Пенсии» и НПФ «Лукойл-Гарант», которые должны быть присланы по моему адресу (не указаны ни дата запроса, ни номер входящего из этих НПФов, ни установленное договором-законом время реакции). И если вдруг в них будет обнаружен «факт фальсификации подписи», предлагается «защитить свои права в судебном порядке».

При чем тут информационная безопасность?

А очень даже при чем. Сколько вы ни стройте криптозащиту, каптчи, вэпиэны, авторизации по отпечаткам пальцев, сетчатки глаза и ДНК — если безопасность не станет процессом всей организации – все эти усилия множатся на ноль. Никому не нужно ломать все эти страшные алгоритмы, пока к системе имеет доступ персонал, сознательно вводящий заведомо ложные данные.

Чему нас учит эта история?

  1. Коммуникация с клиентом
    На эту тему здесь очень много всего было написано. Если вы требуете ввода емейла, затруднитесь прислать на этот емейл оповещение, или не делайте поле «емейл» обязательным для ввода, а лучше вообще уберите.

  2. Идентификация клиента
    Понятно, все мы стремимся сделать свою организацию, что называется, “user friendly”. Но если ваш клиент из Санкт-Петербурга вдруг начал совершать какие-то действия со своими деньгами из Казани или Порт-Морсби, при этом еще и ошибаясь при вводе, приложите дополнительные усилия к тому, чтоб убедиться, что это тот же человек.

  3. Не перекладывайте ответственность на клиента
    Если клиент говорит вам, что он чего-то не делал, и банальный здравый смысл подсказывает, что ему это не то что не нужно было делать, но еще и весьма затруднительно: разберитесь сначала в проблеме внутри своей организационной структуры и, тем более, с вашими партнерами; а только потом, если другого пути нет, предлагайте клиенту самостоятельно «защитить свои права в судебном порядке» от ваших субподрядчиков.

Зачем я все это написал

Хабр известный ресурс. Его читают люди из многих организаций, в том числе, и из указанных в первом абзаце. Очень хочется быть услышанным. Понятно, что за полгода переписок или года судебных заседаний, все вернется на круги своя. Проблема, в общем, не очень критичная. Тем более, мне не верится, что государство не попытается в очередной раз нае изменить пенсионное законодательство в ближайшие тридцать лет.

Я уверен, что в упомянутых организациях есть сотрудники стремящиеся сделать их лучше (то, что связь через сайт работает, это подтверждает), но все их старания могут быть уничтожены даже единичными уродами.

Хочется надеяться, что отдельные сотрудники Пенсионного фонда РФ просто халатно относятся к своим обязанностям (позволяя кредитоваться за государственный счет коммерческим организациям, составляя отказы по году и отправляя почту раз в квартал), а не состоят в преступном сговоре с перечисленными НПФами.

Хочется надеяться, что данная махинация — инициатива отдельных менеджеров по продажам (или как там сотрудники, склоняющие к заключению договоров, в НПФах называются), а не генеральная стратегия перечисленных фондов.

Хочется надеяться, что проблема всё-таки в дураках, а не во вполне разумных преступниках.

Хочется надеяться, но не получается.

Если кому-то нужны дополнительные подробности, связаться со мной можно удобными вам способами.

P.S. Я понимаю, что формально все упомянутые организации правы и, конечно же, действовали в «установленном законом порядке».
История обязательно получит продолжение, но, думаю, оно будет совсем не в тематике Хабра :)

Автор: unconnected

* - обязательные к заполнению поля