Co se děje?
Téma podvodného jednání páchaného pomocí certifikátu elektronického podpisu se v poslední době těší široké veřejnosti. Federální média zavedla pravidlo pravidelně vyprávět hororové příběhy o případech zneužití elektronických podpisů. Nejčastějším trestným činem v této oblasti je registrace právnické osoby. osoby nebo jednotliví podnikatelé jménem nic netušícího občana Ruské federace. Další oblíbenou metodou podvodu je transakce se změnou vlastnictví nemovitosti (to je, když někdo prodá váš byt vaším jménem někomu jinému, ale vy o tom ani nevíte).
Ale nenechme se unést popisem možných nezákonných akcí pomocí digitálních podpisů, abychom podvodníkům nedali kreativní nápady. Zkusme raději přijít na to, proč se tento problém tak rozšířil a co je skutečně potřeba udělat pro jeho vymýcení. A k tomu potřebujeme jasně pochopit, co to certifikační centra jsou, jak přesně fungují a zda jsou tak děsivá, jak nám je vykreslují média a prohlášení zainteresovaných stran.
Odkud pocházejí podpisy?
Takže vy jste uživatel. Potřebujete certifikát pro elektronický podpis. Nezáleží na tom, pro jaké úkoly a v jakém jste postavení (společnost, jednotlivec, samostatný podnikatel) - algoritmus pro získání certifikátu je standardní. A kontaktujete certifikační centrum, abyste si zakoupili certifikát pro elektronický podpis.
Certifikační centrum je společnost, na kterou ruská legislativa ukládá řadu přísných požadavků.
Aby mělo certifikační centrum právo vydávat vylepšený kvalifikovaný elektronický podpis, musí projít zvláštním akreditačním řízením u Ministerstva telekomunikací a hromadných komunikací. Akreditační řízení vyžaduje dodržování řady přísných pravidel, která ne každá společnost dokáže splnit.
Od CA se zejména vyžaduje, aby měla licenci, která jí uděluje právo vyvíjet, vyrábět a distribuovat šifrovací (kryptografické) nástroje, informační a telekomunikační systémy. Tuto licenci vydává FSB poté, co žadatel projde řadou přísných kontrol.
Zaměstnanci CA musí mít vyšší odborné vzdělání v oblasti informačních technologií nebo informační bezpečnosti.
Zákon také ukládá CA pojistit svou odpovědnost za „ztráty způsobené třetím osobám v důsledku jejich důvěry v informace uvedené v certifikátu klíče pro ověřování elektronického podpisu vydaného takovou CA, nebo informace obsažené v registru certifikátů vedeném takovou CA. “ ve výši ne méně než 30 milionů rublů.
Jak vidíte, ne všechno je tak jednoduché.
Celkem je v zemi aktuálně asi 500 CA, které mají právo vydávat ECES (certifikát vylepšeného kvalifikovaného elektronického podpisu). Patří sem nejen soukromá certifikační centra, ale také CA pod různými vládními agenturami (včetně Federální daňové služby, Ruské federace atd.), Banky, obchodní platformy, včetně státních.
Certifikát elektronického podpisu je vytvořen pomocí šifrovacích algoritmů certifikovaných FSB Ruské federace. Umožňuje právnickým a fyzickým osobám elektronickou výměnu právně významných dokumentů. Podle oficiálních údajů CA většinu (95 %) CEP vydávají právnické osoby. osoby, zbytek - jednotlivci. osob.
Po kontaktování CA se stane následující:
- CA ověřuje totožnost osoby, která požádala o certifikát elektronického podpisu;
Teprve po potvrzení identity a ověření všech dokumentů CA vyrobí a vydá certifikát, který obsahuje informace o majiteli certifikátu a jeho veřejném ověřovacím klíči; - CA řídí životní cyklus certifikátu: zajišťuje jeho vydání, pozastavení (i na žádost vlastníka), obnovení a vypršení platnosti.
- Další funkcí CA je služba. Nestačí pouze vystavit certifikát. Uživatelé pravidelně požadují nejrůznější rady ohledně postupu při vydávání a používání podpisu, rady ohledně žádosti a výběru typu certifikátu. Velké CA, jako jsou CA společnosti Business Network, poskytují služby technické podpory, vytvářejí různý software, zlepšují obchodní procesy, sledují změny v oblastech aplikace certifikátů atd. Vzájemně si konkurují CA na kvalitě IT služby, rozvíjející tuto oblast.
Kozák něco špatně zpracoval!
Podívejme se na krok 1 výše uvedeného algoritmu pro získávání elektronických podpisů. Co znamená „ověření totožnosti“ osoby, která o certifikát požádala? To znamená, že osoba, na jejíž jméno je certifikát vydán, se musí osobně dostavit buď do kanceláře CA, nebo na výdejní místo, které má s CA uzavřenou smlouvu o partnerství, a předložit tam originály svých dokladů. Zejména cestovní pas občana Ruské federace. V některých případech, pokud jde o podpisy pro právnické osoby. fyzické osoby a fyzické osoby podnikatele, je postup identifikace ještě složitější a vyžaduje předložení dalších dokladů.
Právě v této fázi, tedy na samém začátku, kdy věci ještě nedospěly k vydání podpisového certifikátu, je ten nejdůležitější problém. A klíčové slovo je zde „pas“.
Únik osobních údajů v zemi dosáhl skutečně průmyslových rozměrů. Existují online zdroje, kde můžete získat naskenované kopie platných pasů ruských občanů za málo peněz nebo dokonce zdarma. Ale skeny pasů v naší zemi, zatížené postsovětským dědictvím stylu „ukaž dokumenty“, se dají sbírat od občanů všude – nejen v bankách či jiných finančních institucích, ale také v hotelech, školách, univerzitách, letecké železniční pokladny, dětská centra, servisní místa pro mobilní předplatitele – všude tam, kde po vás vyžadují předložení pasu pro službu, tedy téměř všude. S rozvojem digitálních technologií se tento široký kanál přístupu k osobním údajům dostal do oběhu kriminálními pracovníky.
Velmi časté jsou také „služby“ pro krádeže osobních údajů konkrétních osob.
Kromě toho existuje celá armáda tzv. „nominality“ - lidé zpravidla velmi mladí nebo velmi chudí a málo vzdělaní nebo prostě degenerovaní, kterým zločinci slíbí skromnou odměnu za to, že přinesou svůj pas do CA nebo na výdejnu a objednají si podpis do svého jmenovat se tam například jako ředitel společnosti. Netřeba dodávat, že takový člověk pak nemá s činností firmy nic společného a při odhalení podvodu nemůže poskytnout žádnou skutečnou pomoc při vyšetřování.
Takže skenování pasu není problém. K identifikaci ale potřebujete originál pasu, jak je to možné, zeptá se pozorný čtenář? A aby se tento problém vyhnul, na světě existují bezohledná doručovací místa. Navzdory přísnému výběrovému řízení získávají kriminální postavy pravidelně status výdejního místa a poté začnou páchat protiprávní jednání s osobními údaji občanů.
Tyto dva faktory v kombinaci nám způsobují celou vlnu problémů s kriminalizací používání elektronických zařízení, které nyní máme.
Existuje bezpečnost v číslech?
Celá tato, bez nadsázky, armáda podvodníků je nyní filtrována pouze certifikačními centry. Každá CA má své vlastní bezpečnostní služby. Každý, kdo žádá o podpis, je pečlivě zkontrolován ve fázi identifikace. Každý, kdo chce spolupracovat ve stavu výdejního místa pro konkrétní CA, je také pečlivě prověřován jak ve fázi uzavírání partnerské smlouvy, tak následně v procesu obchodní interakce.
Jinak to nejde, protože nepoctivou certifikací hrozí CA uzavřením - legislativa v této oblasti je přísná.
Je však nemožné obsáhnout nezměrnost a některé z bezohledných emisních bodů stále „prosakují“ do partnerů CA. A „nominee“ nemusí mít vůbec žádný důvod odmítnout vystavení certifikátu – vždyť u CA žádá zcela legálně.
Pokud je také odhalen podvod s podpisem na jméno konkrétní osoby, problém pomůže vyřešit pouze certifikační centrum. Protože certifikační centrum v tomto případě zneplatní podpisový certifikát, provede interní šetření, sleduje celý řetězec vydávání certifikátů a může soudu poskytnout potřebné dokumenty o podvodných jednáních při vydávání klíče pro elektronický podpis. Pouze materiály z certifikačního centra pomohou u soudu vyřešit případ ve prospěch skutečně poškozeného: toho, na jehož jméno byl podpis podvodně vystaven.
Obecná digitální negramotnost však ani zde nefunguje ve prospěch obětí. Ne každý jde až tak, aby chránil své zájmy. Protiprávní jednání s digitálním podpisem je ale nutné napadnout u soudu. A v tom jsou hlavní pomocí certifikační centra.
Zabít všechny CA?
A tak bylo v našem státě rozhodnuto o změně provozního řádu CA a požadavků na ně. Skupina poslanců a senátorů vypracovala odpovídající návrh zákona, který již 7. listopadu 2019 přijala Státní duma v prvním čtení.
Dokument počítá s rozsáhlou reformou systému certifikátů elektronického podpisu. Zejména předpokládá, že právnické osoby a fyzické osoby podnikatelé (IP) budou moci získat vylepšený kvalifikovaný elektronický podpis (ECES) pouze od Federální daňové služby a finanční organizace od Centrální banky. Certifikační centra (CA) akreditovaná Ministerstvem telekomunikací a masových komunikací, která nyní vydávají elektronické podpisy, je budou moci vydávat pouze fyzickým osobám.
Zároveň se plánuje výrazné zpřísnění požadavků na takové CA. Minimální výše čistých aktiv akreditovaného certifikačního centra by se měla zvýšit ze 7 milionů rublů. až 1 miliarda rublů a minimální výše finanční podpory - od 30 milionů rublů. až 200 milionů rublů. Pokud má certifikační centrum pobočky alespoň ve dvou třetinách ruských regionů, může být minimální výše čistých aktiv snížena na 500 milionů rublů.
Doba akreditace certifikačních center se zkracuje z pěti na tři roky. Zavádí se správní odpovědnost za porušení v práci certifikačních středisek technické povahy.
To vše by mělo snížit množství podvodů s elektronickým podpisem, soudí autoři návrhu zákona.
Jaký je výsledek?
Jak můžete snadno vidět, nový návrh zákona nikterak neřeší problém kriminálního využívání dokumentů občanů Ruské federace a krádeží osobních údajů. Nezáleží na tom, kdo vydá podpis CA nebo Federální daňové služby, totožnost vlastníka podpisu bude muset být stále ověřena a návrh zákona v této otázce neposkytuje žádné inovace. Pokud bezohledné výdejní místo fungovalo podle kriminálních schémat u běžného CA, co vám pak bude bránit v tom, abyste udělali totéž u státního?
Aktuální verze návrhu zákona v současné době nestanoví, kdo ponese jakou odpovědnost za vydání UKEP, pokud byl tento podpis použit při podvodné činnosti. Navíc ani v trestním zákoníku není vhodný článek, který by umožňoval trestní stíhání za vydání certifikátu elektronického podpisu na základě odcizených osobních údajů.
Samostatným problémem je přetížení státních OÚ, které s novými pravidly jistě vznikne a velmi zpomalí a ztíží poskytování služeb občanům a právnickým osobám.
Obslužná funkce CA není ve vyúčtování vůbec zohledněna. Není jasné, zda v navrhovaných velkých státních CA vzniknou oddělení zákaznických služeb, jak dlouho to bude trvat a jaké materiální investice si to vyžádá a kdo bude při vytváření takové infrastruktury poskytovat zákaznický servis. Je zřejmé, že zánik konkurence v této oblasti může snadno vést ke stagnaci odvětví.
To znamená, že výsledkem je monopolizace trhu CA ze strany vládních agentur, přetížení těchto struktur se zpomalením všech EDI aktivit, nedostatek podpory koncových uživatelů v případě podvodu a úplné zničení současného trhu CA spolu se stávající infrastrukturou. (jedná se o cca 15 000 pracovních míst v celé zemi).
Kdo se zraní? V důsledku přijetí takového zákona budou trpět ti, kteří nyní trpí, tedy koncoví uživatelé a certifikační autority.
A byznys, který se vyžívá v krádežích identity, bude vzkvétat i nadále. Není na čase, aby orgány činné v trestním řízení a zákonodárci obrátili svou pozornost k tomuto problému a skutečně vážně reagovali na výzvy digitálního věku? Za posledních 10–15 let se mnohonásobně zvýšily příležitosti ke krádeži osobních údajů a jejich následnému kriminálnímu využití. Zvýšila se i úroveň výcviku zločinců. Na to je třeba reagovat zavedením opatření pro objektivní odpovědnost za jakékoli nezákonné jednání s osobními údaji jiných lidí, a to jak pro společnosti a jejich zaměstnance, tak pro jednotlivce. A abychom skutečně vyřešili problém kriminálního používání certifikátů elektronického podpisu, je nutné vytvořit návrh zákona, který by za takové jednání stanovil odpovědnost, včetně trestní odpovědnosti. A ne návrh zákona, který jen přerozděluje finanční toky, zkomplikuje postup koncovému uživateli a nikomu ve finále neposkytne žádnou ochranu.
Zdroj: www.habr.com