Што адбываецца?
Тэма ашуканскіх дзеянняў, якія здзяйсняюцца пры дапамозе сертыфіката электроннага подпісу, атрымала шырокі грамадскі рэзананс у апошні час. Федэральныя СМІ ўзялі сабе за правіла перыядычна расказваць страшныя гісторыі пра выпадкі неправамернага выкарыстання электроннага подпісу. Самае распаўсюджанае злачынства ў гэтай сферы - рэгістрацыя юр. асобы або ІП на імя грамадзяніна РФ, які нічога не падазрае. Таксама папулярным спосабам махлярства з'яўляецца ўгода са зменай правоў уласнасці на нерухомасць (гэта калі вашу кватэру ад вашага імя хтосьці прадае камусьці, а вы і не ведаеце).
Але не будзем захапляцца апісаннем магчымых супрацьпраўных дзеянняў з ЭЛП, каб не падаваць творчых ідэй ашуканцам. Давайце лепш паспрабуем разабрацца, чаму гэтая праблема набыла такія маштабы, і што рэальна трэба рабіць для яе выкаранення. А для гэтага нам неабходна дакладна разумець, што такое цэнтры, якія сведчаць, як менавіта яны працуюць і ці так яны страшныя, як нам іх малююць у СМІ і выказваннях зацікаўленых асоб.
Адкуль бяруцца подпісы?
Такім чынам, вы - карыстальнік. Вам патрэбен сертыфікат электроннага подпісу. Усё роўна для якіх задач, і ў якім вы статусе (кампанія, фізічная асоба, ІП) – алгарытм атрымання сертыфіката стандартны. І вы звяртаецеся ў які сведчыць цэнтр з мэтай пакупкі сертыфіката ЭП.
Які сведчыць цэнтр - гэта кампанія, да якой расійскае заканадаўства прад'яўляе шэраг жорсткіх патрабаванняў.
Каб мець права выпускаць узмоцнены кваліфікаваны электронны подпіс, які сведчыць цэнтр павінен прайсці спецыяльную працэдуру акрэдытацыі ў Мінкамсувязі. Працэдура акрэдытацыі мяркуе выкананне шэрагу строгіх правіл, якія ў стане выканаць не кожная кампанія.
У прыватнасці, УЦ абавязаны мець ліцэнзію, якая дае яму права на дзейнасць па распрацоўцы, вытворчасці, распаўсюджванню шыфравальных (крыптаграфічных) сродкаў, інфармацыйных і тэлекамунікацыйных сістэм. Гэтая ліцэнзія выдаецца ФСБ пасля праходжання прэтэндэнтам серыі строгіх праверак.
Работнікі УЦ павінны мець вышэйшую прафесійную адукацыю ў галіне інфармацыйных тэхналогій або інфармацыйнай бяспекі.
Таксама закон абавязвае УЦ застрахаваць сваю адказнасць за "страты, прычыненыя трэцім асобам з прычыны іх даверу да інфармацыі, указанай у сертыфікаце ключа праверкі электроннага подпісу, выдадзенага такім УЦ, або інфармацыі, якая змяшчаецца ў рэестры сертыфікатаў, які вядзе такі УЦ" у суме не менш чым 30 мільёнаў рублёў.
Як бачыце, не ўсё так проста.
Усяго ў краіне ў сапраўдны момант існуе каля 500 УЦ, якія валодаюць правам выдаваць УКЭП (сертыфікат узмоцненага кваліфікаванага электроннага подпісу). Сюды ўваходзяць не толькі прыватныя якія сведчаць цэнтры, але і УЦ пры разнастайных дзяржструктурах (уключаючы ФНС, ПРФ і інш.), банках, гандлёвых пляцоўках, у тым ліку дзяржаўных.
Сертыфікат электроннага подпісу ствараецца з дапамогай алгарытмаў шыфравання, сертыфікаваных ФСБ РФ. Ён дае магчымасць юрыдычным і фізічным асобам абменьвацца юрыдычна значнымі дакументамі ў электронным выглядзе. Па афіцыйных дадзеных УЦ, большая частка (95%) КЭП выдаецца юр. асобам, астатняе - фіз. асобам.
Пасля таго, як вы звярнуліся ва УЦ, адбываецца наступнае:
- УЦ сведчыць асобу чалавека, які звярнуўся па сертыфікат электроннага подпісу;
Толькі пасля пацверджання асобы і праверкі ўсіх дакументаў УЦ вырабляе і выдае сертыфікат, у які ўключаны даныя аб уладальніку сертыфіката і яго адкрыты ключ праверкі; - УЦ кіруе жыццёвым цыклам сертыфіката: забяспечвае яго выпуск, прыпыненне (у тым ліку па просьбе ўладальніка), аднаўленне, завяршэнне тэрміна дзеяння.
- Яшчэ адна функцыя УЦ - сэрвісная. Мала проста выпусціць сертыфікат. Карыстачам рэгулярна патрабуюцца разнастайныя кансультацыі па працэдуры выпуску і выкарыстанні подпісу, кансультацыі па ўжыванні і выбару тыпу сертыфіката. Буйныя УЦ, такія як УЦ кампаніі «Дзелавая сетка», аказваюць паслугі тэхнічнай падтрымкі, ствараюць рознае ПЗ, паляпшаюць бізнэс-працэсы, манітораць змены ў сферах ужывання сертыфікатаў і т. п. Канкуруючы паміж сабой, УЦ працуюць над якасцю аказання IT-паслуг, развіваючы гэтую сферу.
Казачок-то засланы!
Разгледзім п. 1 прыведзенага вышэй алгарытму атрымання ЭП. Што значыць "запэўніць асобу" чалавека, які звярнуўся па сертыфікат? Гэта значыць, што чалавек, на чыё імя выпускаецца сертыфікат, павінен асабіста з'явіцца альбо ў офіс УЦ, альбо ў кропку выдачы, якая мае партнёрскую дамову з УЦ, і прад'явіць там арыгіналы сваіх дакументаў. У прыватнасці - пашпарт грамадзяніна РФ. У некаторых выпадках, калі гаворка ідзе аб подпісах для юр. асоб і ІП, працэдура пасведчання яшчэ больш складаная і патрабуе прад'яўлення дадатковых дакументаў.
Вось менавіта ў гэтым этапе, гэта значыць у самым пачатку, калі да выпуску сертыфіката подпісу справа яшчэ нават не дайшла, і крыецца самая галоўная праблема. І ключавое слова тут: "пашпарт".
Уцечка персанальных дадзеных у краіне набыла сапраўды прамысловыя маштабы. Існуюць інтэрнэт-рэсурсы, дзе вы можаце за невялікія грошы ці зусім бясплатна атрымаць скан-копіі дзейных пашпартоў грамадзян РФ. А сканы пашпартоў у нашай краіне, абцяжаранай постсавецкай спадчынай у стылі "прад'явіце дакументыкі", можна збіраць ад грамадзян паўсюдна - не толькі ў банках або іншых фінансавых установах, але і ў гасцініцах, школах, ВНУ, авія і чыгуначных касах, дзіцячых цэнтрах, кропках абслугоўвання абанентаў сотавай сувязі - усюды, дзе патрабуюць прад'явіць пашпарт для абслугоўвання, гэта значыць практычна наогул усюды. З развіццём лічбавых тэхналогій гэты шырачэнны канал доступу да персанальных даных узялі ў абарот працаўнікі крымінальнай сферы.
Таксама вельмі распаўсюджаныя "сэрвісы" крадзяжоў персанальных дадзеных пэўных людзей.
Акрамя гэтага, існуе цэлае войска т. н. «наміналаў» – людзей, як правіла вельмі маладых, ці вельмі бедных і малаадукаваных, ці проста якія апусціліся, якім зламыснікі абяцаюць сціплую ўзнагароду за тое, каб яны са сваім пашпартам з'явіліся ва ЎЦ ці ў кропку выдачы і замовілі бы тамака подпіс на сваё імя ў якасці, напрыклад, дырэктары фірмы. Ці трэба казаць, што такі чалавек не мае потым ніякага дачынення да дзейнасці фірмы і ніякай рэальнай дапамогі следству аказаць не можа, калі афёра выкрываецца.
Такім чынам, скан пашпарты - не праблема. Але ж для пасведчання патрэбен арыгінал пашпарта, як жа так, спытае ўважлівы чытач? А каб абысці гэтую праблему, на свеце існуюць нядобрасумленныя кропкі выдачы. Нягледзячы на жорсткую працэдуру адбору, статус пункту выдачы перыядычна атрымліваюць крымінальныя персанажы і пачынаюць потым здзяйсняць супрацьпраўныя дзеянні з персанальнымі звесткамі грамадзян.
Два гэтыя фактары ў спалучэнні і даюць нам увесь той вал праблем з крыміналізацыяй выкарыстання ЭП, што мы зараз маем.
Адзін у полі не ваяр?
Усю гэтую, без перабольшання, войска ашуканцаў зараз фільтруюць толькі якія сведчаць цэнтры. У любым УЦ існуюць уласныя службы бяспекі. Усіх, хто звяртаецца па подпіс, старанна правяраюць на этапе пасведчання асобы. Усіх, хто хоча супрацоўнічаць у статусе пункту выдачы для канкрэтнага УЦ таксама старанна правяраюць як на этапе заключэння партнёрскай дамовы, так і пасля, у працэсе дзелавога ўзаемадзеяння.
Ніяк інакш быць не можа, бо нядобрасумленнае пасведчанне пагражае УЦ закрыццём - заканадаўства ў гэтай сферы жорсткае.
Але асягнуць неабсяжнае немагчыма, і частка нядобрасумленных кропак выдачы ўсё роўна «прасочваецца» у партнёры да УЦ. А «наміналу» і зусім можа не быць падставы адмовіць у выдачы сертыфіката - бо ён звяртаецца ў УЦ цалкам легальна.
Таксама, у выпадку, калі выкрываецца афёра з подпісам на імя канкрэтнай асобы, толькі які сведчыць цэнтр дапаможа вырашыць праблему. Паколькі які сведчыць цэнтр у гэтым выпадку адклікае сертыфікат подпісу, праводзіць службовае расследаванне, адсочваючы ўвесь ланцужок выпуску сертыфіката, і можа падаць суду неабходныя дакументы аб ашуканскіх дзеяннях пры выпуску ключа электроннага подпісу. Толькі матэрыялы ад засведчальнага цэнтра дапамогуць у судзе вырашыць справу на карысць рэальна пацярпелага боку: чалавека, на імя якога падманам выпусцілі подпіс.
Аднак агульная лічбавая непісьменнасць і тут працуе не на карысць пацярпелым. Ня ўсе ідуць да канца, абараняючы свае інтарэсы. А бо супрацьпраўныя дзеянні з ЭЛП абавязкова трэба аспрэчваць у судзе. І якія сведчаць цэнтры ў гэтым - галоўная дапамога.
Забіць усіх УЦ?
І вось, у нашай дзяржаве было вырашана ўнесці змены ў парадак працы УЦ і патрабаванні да іх. Групай дэпутатаў і сенатараў быў распрацаваны адпаведны законапраект, які ўжо нават быў прыняты Дзярждумай у першым чытанні 7 лістапада 2019 года.
Дакумент прадугледжвае маштабную рэформу сістэмы сертыфікатаў электронных подпісаў. Ён, у прыватнасці, мяркуе, што юрыдычныя асобы і індывідуальныя прадпрымальнікі (ІП) змогуць атрымліваць узмоцнены кваліфікаваны электронны подпіс (УКЭП) толькі ў ФНС, а фінансавыя арганізацыі - у ЦБ. Акрэдытаваныя Минкомсвязью якія сведчаць цэнтры (УЦ), якія выдаюць ЭП зараз, змогуць выдаваць іх толькі фізічным асобам.
Пры гэтым патрабаванні для такіх УЦ плануюць моцна ўзмацніць жорсткасць. Мінімальны памер чыстых актываў акрэдытаванага які сведчыць цэнтра павінен быць павялічаны з 7 млн руб. да 1 млрд руб., А мінімальны памер фінансавага забеспячэння - з 30 млн руб. да 200 млн руб. Калі ў які сведчыць цэнтра ёсць філіялы ў як мінімум дзвюх трацінах расійскіх рэгіёнаў, то мінімальны памер чыстых актываў можа быць скарочаны да 500 млн руб.
Тэрмін акрэдытацыі цэнтраў, які сведчыць, скарачаецца з пяці да трох гадоў. За парушэнні ў рабоце якія сведчаць цэнтраў тэхнічнага характару ўводзіцца адміністрацыйная адказнасць.
Усё гэта павінна скараціць колькасць махлярства з электроннымі подпісамі, мяркуюць аўтары законапраекта.
Што ў выніку?
Як лёгка можна бачыць, новы законапраект ніякім чынам не разглядае праблему крымінальнага выкарыстання дакументаў грамадзян РФ і крадзяжоў персанальных дадзеных. Няважна, хто будзе выпускаць подпіс УЦ або ФНС, асоба ўладальніка подпісы па-ранейшаму давядзецца сведчыць, а ніякіх новаўвядзенняў па гэтым пытанні законапраект не прадугледжвае. Калі нядобрасумленная кропка выдачы працавала па крымінальных схемах для звычайнага УЦ, то што перашкодзіць рабіць тое ж самае для дзяржаўнага?
У бягучай версіі законапраекта зараз не прапісана, хто і якую панясе адказнасць за выдачу УКЭП, калі гэты подпіс быў выкарыстаны ў ашуканскіх дзеяннях. Мала таго, нават у Крымінальным Кодэксе няма прыдатнага артыкула, які дазваляў бы прыцягваць да крымінальнай адказнасці за выпуск сертыфіката электроннага подпісу па крадзеных персанальных дадзеных.
Асобная праблема - перагрузка дзяржаўных УЦ, якая абавязкова ўзнікне пры новых правілах і зробіць прадастаўленне паслуг грамадзянам і юрыдычным асобам вельмі павольным і складаным.
Сэрвісная функцыя УЦ увогуле не разглядаецца ў законапраекце. Ці будуць створаны аддзелы абаненцкага абслугоўвання пры прапанаваных дзяржаўных буйных УЦ, колькі часу гэта зойме і якіх матэрыяльных укладанняў запатрабуе, хто будзе займацца абслугоўваннем кліентаў, пакуль такая інфраструктура будзе стварацца - не зразумела. Відавочна, што знікненне канкурэнцыі ў гэтай сферы лёгка можа прывесці да стагнацыі ў галіны.
Гэта значыць на выхадзе мы атрымліваем манапалізацыю рынку УЦ дзяржаўнымі структурамі, перагрузку дадзеных структур з запаволеннем ўсёй дзейнасці па ЭДА, адсутнасць падтрымкі канчатковага карыстальніка ў выпадку махлярства і поўнае разбурэнне бягучага рынку УЦ разам з наяўнай інфраструктурай (гэта каля 15 000 працоўных месцаў у цэлым па краіне ).
Хто ж пацерпіць? Пацерпяць у выніку прыняцця такога законапраекта тыя ж, хто пакутуе і зараз, гэта значыць канчатковыя карыстачы і якія сведчаць цэнтры.
А бізнэс, які квітнее на крадзяжах персанальных дадзеных, так і будзе квітнець пышным колерам. Ці не час праваахоўным органам і заканадаўцам звярнуць сваю ўвагу на гэтую праблему і па-сапраўднаму сур'ёзна адказаць на выклікі лічбавай эпохі? Магчымасці для крадзяжоў персанальных дадзеных і іх наступнага крымінальнага прымянення за апошнія 10-15 гадоў узраслі ў шмат разоў. Узрос і ўзровень падрыхтоўкі злачынцаў. На гэта трэба рэагаваць, уводзячы жорсткія меры адказнасці за любыя супрацьпраўныя дзеянні з чужымі персанальнымі дадзенымі як для кампаній і іх супрацоўнікаў, так і для прыватных асоб. І для таго, каб рэальна вырашыць праблему крымінальнага выкарыстання сертыфікатаў электроннага подпісу, неабходна стварыць законапраект, які б прадугледжваў адказнасць, у тым ліку і крымінальную, за падобныя дзеянні. А не законапраект, які проста пераразмяркоўвае фінансавыя патокі, ускладняе працэдуру для канчатковага карыстальніка і не дае нікому ніякай абароны ў выніку.
Крыніца: habr.com