Wat gaan aan?
Die onderwerp van bedrieglike optrede wat gepleeg word met behulp van 'n elektroniese handtekeningsertifikaat het onlangs wye publieke aandag geniet. Federale media het dit 'n reël gemaak om van tyd tot tyd gruwelstories te vertel oor gevalle van misbruik van elektroniese handtekeninge. Die mees algemene misdaad in hierdie gebied is registrasie van 'n regspersoon. persone of individuele entrepreneurs in die naam van 'n niksvermoedende burger van die Russiese Federasie. Nog 'n gewilde metode van bedrog is 'n transaksie wat 'n verandering in eienaarskap van vaste eiendom behels (dit is wanneer iemand jou woonstel namens jou aan iemand anders verkoop, maar jy weet nie eers nie).
Maar laat ons nie meegevoer raak om moontlike onwettige optrede met digitale handtekeninge te beskryf nie, om nie kreatiewe idees aan swendelaars te gee nie. Kom ons probeer beter uitvind hoekom hierdie probleem so wydverspreid geraak het en wat regtig gedoen moet word om dit uit te roei. En hiervoor moet ons duidelik verstaan wat sertifiseringsentrums is, hoe presies hulle werk en of hulle so eng is as wat dit vir ons in die media en verklarings van belanghebbende partye uitgebeeld word.
Waar kom handtekeninge vandaan?
So, jy is die gebruiker. Jy benodig 'n elektroniese handtekeningsertifikaat. Dit maak nie saak vir watter take en watter status jy is nie (maatskappy, individu, individuele entrepreneur) - die algoritme vir die verkryging van 'n sertifikaat is standaard. En jy kontak die sertifiseringsentrum om 'n elektroniese handtekeningsertifikaat te koop.
'n Sertifiseringsentrum is 'n maatskappy waaraan Russiese wetgewing 'n aantal streng vereistes stel.
Om die reg te hê om 'n verbeterde gekwalifiseerde elektroniese handtekening uit te reik, moet die sertifiseringsentrum 'n spesiale akkreditasieprosedure by die Ministerie van Telekommunikasie en Massakommunikasie ondergaan. Die akkreditasieprosedure vereis nakoming van 'n aantal streng reëls waaraan nie elke maatskappy in staat is om te voldoen nie.
Daar word veral van die GR vereis om 'n lisensie te hê wat hom die reg verleen om enkripsie (kriptografiese) gereedskap, inligting en telekommunikasiestelsels te ontwikkel, vervaardig en versprei. Hierdie lisensie word deur die RFD uitgereik nadat die aansoeker 'n reeks streng kontroles geslaag het.
GR-werknemers moet hoër professionele opleiding hê op die gebied van inligtingstegnologie of inligtingsekuriteit.
Die wet verplig ook GR'e om hul aanspreeklikheid te verseker vir "verliese wat aan derde partye veroorsaak word as gevolg van hul vertroue in die inligting gespesifiseer in die elektroniese handtekening-verifikasiesleutelsertifikaat wat deur sodanige GR uitgereik is, of inligting vervat in die register van sertifikate wat deur sodanige GR in stand gehou word. ” in 'n bedrag van nie minder nie as 30 miljoen roebels.
Soos u kan sien, is alles nie so eenvoudig nie.
In totaal is daar tans ongeveer 500 GR'e in die land wat die reg het om ECES (enhanced qualified electronic signature certificate) uit te reik. Dit sluit nie net private sertifiseringsentrums in nie, maar ook GR'e onder verskeie regeringsagentskappe (insluitend die Federale Belastingdiens, die Russiese Federasie, ens.), Banke, handelsplatforms, insluitend staatsplatforms.
Die elektroniese handtekeningsertifikaat word geskep met behulp van enkripsiealgoritmes wat deur die RFD van die Russiese Federasie gesertifiseer is. Dit laat regsentiteite en individue toe om wetlik beduidende dokumente elektronies uit te ruil. Volgens amptelike data van die GR word die meerderheid (95%) van die CEP deur regsentiteite uitgereik. persone, die res - individue. persone.
Nadat jy die CA gekontak het, gebeur die volgende:
- Die GR verifieer die identiteit van die persoon wat aansoek gedoen het vir 'n elektroniese handtekeningsertifikaat;
Eers nadat die identiteit bevestig is en alle dokumente geverifieer is, lewer en reik die GR 'n sertifikaat uit, wat inligting oor die sertifikaateienaar en sy publieke verifikasiesleutel insluit; - Die GR bestuur die lewensiklus van die sertifikaat: verseker die uitreiking, opskorting (insluitend op versoek van die eienaar), hernuwing en verstryking daarvan.
- Nog 'n funksie van die GR is diens. Dit is nie genoeg om bloot 'n sertifikaat uit te reik nie. Gebruikers benodig gereeld allerhande advies oor die prosedure vir die uitreiking en gebruik van 'n handtekening, advies oor die aansoek en keuse van die tipe sertifikaat. Groot GR'e, soos die GR'e van die Business Network-maatskappy, verskaf tegniese ondersteuningsdienste, skep verskeie sagteware, verbeter besigheidsprosesse, moniteer veranderinge in die toepassingsareas van sertifikate, ens. Mededingend met mekaar, werk GR'e aan die kwaliteit van IT dienste, die ontwikkeling van hierdie gebied.
Die Kosak is gestuur!
Kom ons oorweeg stap 1 van die bogenoemde algoritme vir die verkryging van elektroniese handtekeninge. Wat beteken dit om die persoon wat om die sertifikaat aansoek gedoen het, te “sertifiseer”? Dit beteken dat die persoon in wie se naam die sertifikaat uitgereik word persoonlik óf by die GR-kantoor óf by die uitreikingspunt wat 'n vennootskapsooreenkoms met die GR het, moet verskyn en die oorspronklikes van hul dokumente daar voorlê. In die besonder, 'n paspoort van 'n burger van die Russiese Federasie. In sommige gevalle, wanneer dit kom by handtekeninge vir regspersone. individue en individuele entrepreneurs, is die identifikasieprosedure selfs meer ingewikkeld en vereis die voorlegging van bykomende dokumente.
Dit is juis op hierdie stadium, dit wil sê heel aan die begin, wanneer dinge nog nie eers die uitreiking van 'n ondertekeningsertifikaat bereik het nie, dat die belangrikste probleem lê. En die sleutelwoord hier is "paspoort".
Die lekkasie van persoonlike data in die land het werklik industriële afmetings bereik. Daar is aanlynbronne waar jy geskandeerde kopieë van geldige paspoorte van Russiese burgers vir min geld of selfs gratis kan kry. Maar skanderings van paspoorte in ons land, belas deur die post-Sowjet-nalatenskap van die "wys dokumente"-styl, kan oral by burgers afgehaal word - nie net in banke of ander finansiële instellings nie, maar ook in hotelle, skole, universiteite, lug- en spoorwegkaartjiekantore, kindersentrums, dienspunte vir sellulêre intekenare - waar hulle ook al vereis dat jy jou paspoort vir diens aanbied, dit wil sê byna oral. Met die ontwikkeling van digitale tegnologieë is hierdie wye kanaal van toegang tot persoonlike data deur kriminele werkers in omloop geneem.
“Dienste” vir diefstal van persoonlike data van spesifieke mense is ook baie algemeen.
Daarbenewens is daar 'n hele leër van sg. "nominasies" - mense, as 'n reël, baie jonk, of baie arm en swak opgevoed, of bloot ontaard, aan wie die misdadigers 'n beskeie beloning uitloof om hul paspoort na die CA of na die uitreikingspunt te bring en 'n handtekening in hul noem daar as byvoorbeeld 'n direkteur van 'n maatskappy. Nodeloos om te sê, so 'n persoon het dan niks met die aktiwiteite van die maatskappy te doen nie en kan geen werklike bystand aan die ondersoek verleen wanneer die bedrogspul onthul word nie.
Dit is dus nie 'n probleem om jou paspoort te skandeer nie. Maar vir identifikasie het jy 'n oorspronklike paspoort nodig, hoe kan dit wees, sal die aandagtige leser vra? En om hierdie probleem te omseil, is daar gewetenlose afleweringspunte in die wêreld. Ten spyte van die streng keuringsprosedure, kry kriminele karakters van tyd tot tyd die status van 'n uitreikingspunt en begin dan onwettige optrede pleeg met die persoonlike data van burgers.
Hierdie twee faktore in kombinasie gee ons die hele golf van probleme met die kriminalisering van die gebruik van elektroniese toestelle wat ons nou het.
Is daar veiligheid in getalle?
Hierdie hele, sonder oordrywing, leër van swendelaars word nou net deur sertifiseringsentrums gefiltreer. Enige CA het sy eie sekuriteitsdienste. Almal wat aansoek doen vir 'n handtekening word noukeurig nagegaan in die identifikasie stadium. Enigiemand wat wil saamwerk in die status van 'n punt van kwessie vir 'n spesifieke GR, word ook noukeurig gekontroleer beide in die stadium van die sluiting van 'n vennootskapsooreenkoms en daarna, in die proses van besigheidsinteraksie.
Dit kan nie anders nie, want oneerlike sertifisering dreig die GR met sluiting – die wetgewing op hierdie gebied is streng.
Maar dit is onmoontlik om die grootheid te omhels, en sommige van die gewetenlose uitreikingspunte "lek" steeds in die vennote van die CA. En die “genomineerde” het dalk hoegenaamd geen rede om te weier om ’n sertifikaat uit te reik nie – hy doen immers heeltemal wettig aansoek by die GR.
Ook, as 'n bedrogspul wat 'n handtekening in die naam van 'n spesifieke persoon behels, ontdek word, sal slegs 'n sertifiseringsentrum help om die probleem op te los. Aangesien die sertifiseringsentrum in hierdie geval die handtekeningsertifikaat herroep, 'n interne ondersoek doen, die hele ketting van sertifikaatuitreiking dop, en die hof kan voorsien van die nodige dokumente oor bedrieglike optrede wanneer 'n elektroniese handtekeningsleutel uitgereik word. Slegs materiaal van die sertifiseringsentrum sal in die hof help om die saak op te los ten gunste van die werklik beseerde party: die persoon in wie se naam die handtekening op bedrieglike wyse uitgereik is.
Algemene digitale ongeletterdheid werk egter ook nie hier tot voordeel van die slagoffers nie. Nie almal gaan al die pad om hul belange te beskerm nie. Maar onwettige optrede met digitale handtekening moet in die hof betwis word. En sertifiseringsentrums is die belangrikste hulp hierin.
Dood alle CA's?
En dus is daar in ons staat besluit om veranderinge aan die bedryfsprosedure van GR'e en die vereistes daarvoor aan te bring. 'n Groep afgevaardigdes en senatore het 'n ooreenstemmende wetsontwerp ontwikkel, wat reeds in die eerste lesing op 7 November 2019 deur die Doema aanvaar is.
Die dokument maak voorsiening vir 'n grootskaalse hervorming van die elektroniese handtekeningsertifikaatstelsel. Dit neem veral aan dat regsentiteite en individuele entrepreneurs (IP) 'n verbeterde gekwalifiseerde elektroniese handtekening (ECES) slegs van die Federale Belastingdiens en finansiële organisasies van die Sentrale Bank sal kan ontvang. Sertifiseringsentrums (CA's) wat deur die Ministerie van Telekommunikasie en Massakommunikasie geakkrediteer is, wat nou elektroniese handtekeninge uitreik, sal dit slegs aan individue kan uitreik.
Terselfdertyd word beplan om die vereistes vir sulke GR'e baie verskerp te word. Die minimum bedrag netto bates van 'n geakkrediteerde sertifiseringsentrum moet van 7 miljoen roebels verhoog word. tot 1 miljard roebels, en die minimum bedrag van finansiële ondersteuning - vanaf 30 miljoen roebels. tot 200 miljoen roebels. As die sertifiseringsentrum takke in ten minste twee derdes van die Russiese streke het, kan die minimum bedrag van netto bates tot 500 miljoen roebels verminder word.
Die akkreditasietydperk vir sertifiseringsentrums word van vyf na drie jaar verminder. Administratiewe aanspreeklikheid word ingestel vir oortredings in die werk van sertifiseringsentrums van 'n tegniese aard.
Dit alles behoort die hoeveelheid bedrog met elektroniese handtekeninge te verminder, meen die skrywers van die wetsontwerp.
Wat is die resultaat?
Soos u maklik kan sien, spreek die nuwe wetsontwerp op geen manier die probleem van kriminele gebruik van dokumente van burgers van die Russiese Federasie en diefstal van persoonlike data aan nie. Dit maak nie saak wie die handtekening van die GR of die Federale Belastingdiens sal uitreik nie, die identiteit van die eienaar van die handtekening sal steeds gesertifiseer moet word, en die wetsontwerp maak nie voorsiening vir enige innovasies oor hierdie kwessie nie. As 'n gewetenlose uitreikingspunt volgens kriminele skemas vir 'n gewone GR gewerk het, wat sal jou dan verhoed om dieselfde te doen vir 'n staatsbeheerde een?
Die huidige weergawe van die wetsontwerp stipuleer nie tans wie watter verantwoordelikheid sal dra vir die uitreiking van die UKEP as hierdie handtekening in bedrieglike aktiwiteite gebruik is nie. Boonop is daar selfs in die Strafkode geen geskikte artikel wat strafregtelike vervolging sal toelaat vir die uitreiking van 'n elektroniese handtekeningsertifikaat gebaseer op gesteelde persoonlike data nie.
'n Aparte probleem is die oorlading van staats-GR'e, wat beslis onder die nuwe reëls sal ontstaan en die verskaffing van dienste aan burgers en regspersone baie stadig en moeilik sal maak.
Die diensfunksie van die GR word glad nie in die rekening in ag geneem nie. Dit is nie duidelik of kliëntediensafdelings by die voorgestelde groot staatsbeheerde GR'e geskep gaan word nie, hoe lank dit sal neem en watter wesenlike beleggings dit sal verg, en wie kliëntediens sal lewer terwyl so 'n infrastruktuur geskep word. Dit is duidelik dat die verdwyning van mededinging op hierdie gebied maklik tot stagnasie in die bedryf kan lei.
Dit wil sê, die resultaat is monopolisering van die CA-mark deur regeringsagentskappe, oorlading van hierdie strukture met 'n verlangsaming in alle EDI-aktiwiteite, gebrek aan eindgebruikerondersteuning in geval van bedrog en volledige vernietiging van die huidige CA-mark saam met die bestaande infrastruktuur (dit is ongeveer 15 000 werksgeleenthede in die hele land).
Wie gaan seerkry? As gevolg van die aanvaarding van so 'n wetsontwerp sal diegene wat nou ly, ly, dit wil sê eindgebruikers en sertifiseringsowerhede.
En 'n besigheid wat op identiteitsdiefstal floreer, sal aanhou floreer. Is dit nie tyd dat wetstoepassingsagentskappe en wetgewers hul aandag op hierdie probleem vestig en werklik ernstig reageer op die uitdagings van die digitale era nie? Die geleenthede vir diefstal van persoonlike data en die daaropvolgende kriminele gebruik het oor die afgelope 10-15 jaar baie toegeneem. Die vlak van opleiding van misdadigers het ook toegeneem. Hierop moet gereageer word deur streng aanspreeklikheidsmaatreëls in te stel vir enige onwettige optrede met ander mense se persoonlike data, beide vir maatskappye en hul werknemers, en vir individue. En om werklik die probleem van kriminele gebruik van elektroniese handtekeningsertifikate op te los, is dit nodig om 'n wetsontwerp te skep wat voorsiening sal maak vir aanspreeklikheid, insluitend kriminele aanspreeklikheid, vir sulke aksies. En nie ’n wetsontwerp wat bloot finansiële vloei herverdeel, die prosedure vir die eindgebruiker bemoeilik en niemand uiteindelik enige beskerming gee nie.
Bron: will.com