Šta se dešava?
Tema prijevarnih radnji počinjenih korištenjem certifikata elektronskog potpisa nedavno je dobila široku pažnju javnosti. Federalni mediji postavili su za pravilo da periodično pričaju horor priče o slučajevima zloupotrebe elektronskog potpisa. Najčešći zločin u ovoj oblasti je registracija pravnog lica. lica ili individualni poduzetnici u ime nesumnjivog državljanina Ruske Federacije. Još jedna popularna metoda prevare je transakcija koja uključuje promjenu vlasništva nekretnine (ovo je kada neko proda vaš stan u vaše ime nekom drugom, a vi ni sami ne znate).
Ali nemojmo se zanositi opisivanjem mogućih nezakonitih radnji digitalnim potpisima, kako ne bismo davali kreativne ideje prevarantima. Pokušajmo bolje da shvatimo zašto je ovaj problem postao toliko raširen i šta je zaista potrebno učiniti da se on iskorijeni. A za to moramo jasno shvatiti šta su sertifikacioni centri, kako tačno rade i da li su toliko strašni kako nam ih prikazuju u medijima i izjavama zainteresovanih strana.
Odakle potiču potpisi?
Dakle, vi ste korisnik. Potreban vam je certifikat za elektronski potpis. Nije bitno za koje zadatke i u kom ste statusu (kompanija, pojedinac, individualni preduzetnik) - algoritam za dobijanje sertifikata je standardni. I kontaktirate certifikacijski centar kako biste kupili certifikat za elektronski potpis.
Certifikacijski centar je kompanija kojoj rusko zakonodavstvo nameće niz strogih zahtjeva.
Da bi imao pravo izdavanja poboljšanog kvalifikovanog elektronskog potpisa, sertifikacioni centar mora proći posebnu proceduru akreditacije kod Ministarstva telekomunikacija i masovnih komunikacija. Procedura akreditacije zahtijeva poštivanje niza strogih pravila kojih nije u stanju da ispoštuje svaka kompanija.
Konkretno, CA mora imati licencu koja mu daje pravo da razvija, proizvodi i distribuira enkripcione (kriptografske) alate, informacione i telekomunikacione sisteme. Ovu dozvolu izdaje FSB nakon što podnosilac zahtjeva prođe niz strogih provjera.
Zaposleni u CA moraju imati visoko stručno obrazovanje iz oblasti informacionih tehnologija ili informacione sigurnosti.
Zakon također obavezuje CA-e da osiguraju svoju odgovornost za „gubitke uzrokovane trećim stranama kao rezultat njihovog povjerenja u informacije navedene u certifikatu ključa za verifikaciju elektronskog potpisa koji je izdao takav CA, ili u informacije sadržane u registru certifikata koji održava takav CA ” u iznosu ne manjem od 30 miliona rubalja.
Kao što vidite, nije sve tako jednostavno.
Ukupno, trenutno u zemlji postoji oko 500 CA koji imaju pravo da izdaju ECES (poboljšani sertifikat kvalifikovanog elektronskog potpisa). To uključuje ne samo privatne certifikacijske centre, već i CA pod raznim vladinim agencijama (uključujući Federalnu poreznu službu, Rusku Federaciju, itd.), Banke, platforme za trgovanje, uključujući državne.
Certifikat elektroničkog potpisa kreiran je korištenjem algoritama za šifriranje certificiranih od strane FSB-a Ruske Federacije. Omogućava pravnim i fizičkim licima razmjenu pravno značajnih dokumenata elektronskim putem. Prema zvaničnim podacima CA, većinu (95%) CEP-a izdaju pravna lica. lica, ostalo - fizička. osobe.
Nakon što kontaktirate CA, dešava se sljedeće:
- CA provjerava identitet osobe koja je podnijela zahtjev za certifikat za elektronski potpis;
Tek nakon potvrde identiteta i provjere svih dokumenata CA proizvodi i izdaje certifikat, koji uključuje informacije o vlasniku certifikata i njegovom javnom verifikacionom ključu; - CA upravlja životnim ciklusom certifikata: osigurava njegovo izdavanje, suspenziju (uključujući i na zahtjev vlasnika), obnavljanje i istek.
- Druga funkcija CA je servis. Nije dovoljno samo izdati sertifikat. Korisnici redovno traže sve vrste savjeta o postupku izdavanja i korištenja potpisa, savjete o prijavi i izboru vrste certifikata. Veliki CA, kao što su CA kompanije Business Network, pružaju usluge tehničke podrške, kreiraju različite softvere, unapređuju poslovne procese, prate promene u oblastima primene sertifikata itd. Konkurišući jedni drugima, CA rade na kvalitetu IT usluge koje razvijaju ovu oblast.
Kozak je poslan!
Razmotrimo 1. korak gornjeg algoritma za dobijanje elektronskih potpisa. Šta znači “ovjeriti identitet” osobe koja je zatražila certifikat? To znači da se osoba na čije ime se izdaje sertifikat mora lično pojaviti ili u kancelariji CA ili na mestu izdavanja koje ima ugovor o partnerstvu sa CA i tamo pokazati originale svojih dokumenata. Konkretno, pasoš državljanina Ruske Federacije. U nekim slučajevima, kada su u pitanju potpisi za pravna lica. fizičkih lica i preduzetnika, postupak identifikacije je još komplikovaniji i zahteva predočenje dodatnih dokumenata.
Upravo u ovoj fazi, odnosno na samom početku, kada stvari nisu stigle ni do izdavanja sertifikata za potpisivanje, leži najvažniji problem. A ključna riječ ovdje je “pasoš”.
Curenje ličnih podataka u zemlji dostiglo je zaista industrijske razmjere. Postoje internetski resursi na kojima možete dobiti skenirane kopije važećih pasoša ruskih državljana za malo novca ili čak besplatno. Ali skeniranje pasoša u našoj zemlji, opterećenoj postsovjetskim nasljeđem stila „pokaži dokumente“, može se prikupljati od građana svuda – ne samo u bankama ili drugim finansijskim institucijama, već i u hotelima, školama, univerzitetima, vazduhoplovstvu i željezničke blagajne, dječji centri, servisi za mobilne pretplatnike - gdje god od vas zahtijevaju da pokažete pasoš za uslugu, odnosno gotovo svugdje. Sa razvojem digitalnih tehnologija, ovaj široki kanal pristupa ličnim podacima u promet su uveli kriminalni radnici.
„Usluge“ za krađu ličnih podataka određenih osoba su takođe veoma česte.
Osim toga, postoji čitava armija tzv. “nominalnosti” - ljudi, po pravilu, vrlo mladi, ili vrlo siromašni i slabo obrazovani, ili jednostavno degenerisani, kojima kriminalci obećavaju skromnu nagradu za donošenje pasoša u CA ili na mesto izdavanja i naručivanje potpisa u svom ime tamo kao, na primjer, direktor kompanije. Nepotrebno je reći da takva osoba tada nema nikakve veze sa aktivnostima kompanije i ne može pružiti nikakvu stvarnu pomoć istrazi kada se prevara otkrije.
Dakle, skeniranje pasoša nije problem. Ali za identifikaciju vam je potreban originalni pasoš, kako je to moguće, pitat će pažljivi čitatelj? A da biste zaobišli ovaj problem, u svijetu postoje beskrupulozne isporuke. Uprkos striktnoj proceduri selekcije, kriminalni likovi periodično dobijaju status tačke pitanja, a zatim počinju da vrše nezakonite radnje sa ličnim podacima građana.
Ova dva faktora u kombinaciji daju nam čitav val problema sa kriminalizacijom upotrebe elektronskih uređaja koji sada imamo.
Postoji li sigurnost u brojkama?
Cijelu ovu, bez pretjerivanja, armiju prevaranata sada filtriraju samo certifikacijski centri. Svaki CA ima svoje vlastite sigurnosne usluge. Svako ko se prijavi za potpis pažljivo se provjerava u fazi identifikacije. Svako ko želi da sarađuje u statusu tačke izdavanja za određeni CA se takođe pažljivo provjerava kako u fazi sklapanja ugovora o partnerstvu tako i naknadno, u procesu poslovne interakcije.
Drugačije ne može biti, jer nepoštena certifikacija prijeti zatvaranju CA - zakonodavstvo u ovoj oblasti je strogo.
Ali nemoguće je prihvatiti neizmjernost, a neke od beskrupuloznih tačaka izdavanja i dalje „cure“ u partnere CA. A "nominirani" možda uopće nema razloga da odbije izdavanje certifikata - uostalom, on se potpuno legalno prijavljuje na CA.
Također, ako se otkrije prevara koja uključuje potpis na ime određene osobe, samo će centar za sertifikaciju pomoći u rješavanju problema. Pošto sertifikacioni centar u ovom slučaju opoziva sertifikat potpisa, sprovodi internu istragu, prati ceo lanac izdavanja sertifikata i može da dostavi sudu potrebnu dokumentaciju o lažnim radnjama prilikom izdavanja ključa za elektronski potpis. Samo materijali iz centra za sertifikaciju pomoći će na sudu da se slučaj riješi u korist stvarno oštećene strane: osobe na čije je ime lažno dat potpis.
Međutim, opća digitalna nepismenost ni ovdje ne ide u korist žrtava. Ne idu svi do kraja da zaštite svoje interese. Ali nezakonite radnje sa digitalnim potpisom moraju se osporiti na sudu. A certifikacijski centri su glavna pomoć u tome.
Ubiti sve CA?
I tako je u našoj državi odlučeno da se izvrši izmjena procedure rada CA i zahtjeva za njih. Grupa poslanika i senatora razvila je odgovarajući zakon, koji je Državna duma već usvojila u prvom čitanju 7. novembra 2019.
Dokument predviđa opsežnu reformu sistema sertifikata elektronskog potpisa. Konkretno, pretpostavlja se da će pravna lica i individualni preduzetnici (IP) moći da dobiju poboljšani kvalifikovani elektronski potpis (ECES) samo od Federalne poreske službe, a finansijske organizacije od Centralne banke. Certifikacioni centri (CA) akreditovani od Ministarstva telekomunikacija i masovnih komunikacija, koji sada izdaju elektronske potpise, moći će da ih izdaju samo fizičkim licima.
Istovremeno, planirano je da se zahtjevi za takve CA znatno pooštre. Minimalni iznos neto imovine akreditovanog centra za sertifikaciju treba povećati sa 7 miliona rubalja. do 1 milijarde rubalja, a minimalni iznos finansijske podrške - od 30 miliona rubalja. do 200 miliona rubalja. Ako centar za sertifikaciju ima podružnice u najmanje dvije trećine ruskih regija, tada se minimalni iznos neto imovine može smanjiti na 500 miliona rubalja.
Period akreditacije sertifikacionih centara skraćuje se sa pet na tri godine. Uvodi se administrativna odgovornost za prekršaje u radu sertifikacionih centara tehničke prirode.
Sve to trebalo bi da smanji obim prevara sa elektronskim potpisima, smatraju autori prijedloga zakona.
Šta je rezultat?
Kao što možete lako vidjeti, novi zakon ni na koji način ne rješava problem kriminalne upotrebe dokumenata građana Ruske Federacije i krađe ličnih podataka. Nije bitno ko će izdati potpis CA ili Federalne porezne službe, identitet vlasnika potpisa će i dalje morati biti ovjeren, a račun ne predviđa nikakve novine po tom pitanju. Ako je beskrupulozno mjesto za izdavanje radilo po kriminalnim shemama za običnu CA, šta će vas onda spriječiti da to učinite i za državni?
Trenutna verzija zakona trenutno ne predviđa ko će snositi kakvu odgovornost za izdavanje UKEP-a ako je ovaj potpis korišten u lažnim radnjama. Štaviše, ni u Krivičnom zakoniku ne postoji odgovarajući član koji bi omogućio krivično gonjenje za izdavanje sertifikata za elektronski potpis na osnovu ukradenih ličnih podataka.
Poseban problem je preopterećenost državnih CA, koja će se po novim pravilima sigurno pojaviti i veoma usporeno i otežaće pružanje usluga građanima i pravnim licima.
Uslužna funkcija CA se uopšte ne razmatra u računu. Nije jasno da li će u predloženim velikim državnim CA biti stvorena odeljenja za korisničku podršku, koliko će to trajati i koja će materijalna ulaganja biti potrebna, i ko će pružati usluge korisnicima dok se takva infrastruktura stvara. Očigledno je da nestanak konkurencije u ovoj oblasti lako može dovesti do stagnacije u industriji.
Odnosno, rezultat je monopolizacija tržišta CA od strane vladinih agencija, preopterećenost ovih struktura usporavanjem svih EDI aktivnosti, nedostatak podrške krajnjem korisniku u slučaju prevare i potpuno uništenje trenutnog CA tržišta zajedno sa postojećom infrastrukturom. (ovo je oko 15 radnih mjesta u cijeloj zemlji).
Ko će biti povrijeđen? Usvajanjem ovakvog prijedloga zakona stradat će oni koji sada trpe, odnosno krajnji korisnici i certifikacijski organi.
A posao koji napreduje na krađi identiteta nastavit će cvjetati. Nije li vrijeme da agencije za provođenje zakona i zakonodavci skrenu pažnju na ovaj problem i zaista ozbiljno odgovore na izazove digitalnog doba? Mogućnosti za krađu ličnih podataka i njihovu kasniju kriminalnu upotrebu su se višestruko povećale u proteklih 10-15 godina. Porastao je i nivo obučenosti kriminalaca. Na to je potrebno odgovoriti uvođenjem strogih mjera odgovornosti za svako nezakonito postupanje sa ličnim podacima drugih ljudi, kako za kompanije i njihove zaposlenike, tako i za pojedince. A da bi se problem kriminalne upotrebe sertifikata elektronskog potpisa zaista rešio, potrebno je izraditi predlog zakona koji bi predvideo odgovornost, uključujući i krivičnu, za takve radnje. A ne predlog zakona koji jednostavno preraspoređuje finansijske tokove, otežava proceduru krajnjem korisniku i nikome na kraju ne daje nikakvu zaštitu.
izvor: www.habr.com