Hvad sker der?
Emnet om svigagtige handlinger begået ved hjælp af et elektronisk signaturcertifikat har fået bred offentlig opmærksomhed for nylig. Føderale medier har gjort det til en regel med jævne mellemrum at fortælle skrækhistorier om tilfælde af misbrug af elektroniske signaturer. Den mest almindelige kriminalitet på dette område er registrering af en juridisk enhed. personer eller individuelle iværksættere i navnet på en intetanende borger i Den Russiske Føderation. En anden populær metode til bedrageri er en transaktion, der involverer en ændring i ejerskab af fast ejendom (dette er, når nogen sælger din lejlighed på dine vegne til en anden, men du ved det ikke engang).
Men lad os ikke lade os rive med af at beskrive mulige ulovlige handlinger med digitale signaturer, for ikke at give kreative ideer til svindlere. Lad os hellere prøve at finde ud af, hvorfor dette problem er blevet så udbredt, og hvad der virkelig skal gøres for at udrydde det. Og for dette er vi nødt til klart at forstå, hvad certificeringscentre er, hvordan de præcist fungerer, og om de er så skræmmende, som de bliver portrætteret for os i medierne og udtalelser fra interesserede parter.
Hvor kommer underskrifterne fra?
Så du er brugeren. Du skal bruge et elektronisk signaturcertifikat. Det er lige meget for hvilke opgaver og hvilken status du er i (virksomhed, individuel, individuel iværksætter) - algoritmen til at opnå et certifikat er standard. Og du kontakter certificeringscentret for at købe et elektronisk signaturcertifikat.
Et certificeringscenter er en virksomhed, som russisk lovgivning stiller en række strenge krav til.
For at have ret til at udstede en forbedret kvalificeret elektronisk signatur skal certificeringscentret gennemgå en særlig akkrediteringsprocedure hos ministeriet for tele- og massekommunikation. Akkrediteringsproceduren kræver overholdelse af en række strenge regler, som ikke alle virksomheder er i stand til at overholde.
CA er især forpligtet til at have en licens, der giver den ret til at udvikle, producere og distribuere krypteringsværktøjer (krypteringsværktøjer), informations- og telekommunikationssystemer. Denne licens udstedes af FSB, efter at ansøgeren har bestået en række strenge kontroller.
CA-ansatte skal have en videregående faglig uddannelse inden for informationsteknologi eller informationssikkerhed.
Loven forpligter også CA'er til at forsikre deres ansvar for "tab forårsaget af tredjeparter som følge af deres tillid til de oplysninger, der er specificeret i det elektroniske signaturverifikationsnøglecertifikat udstedt af et sådant CA, eller oplysninger indeholdt i registret over certifikater, der føres af et sådant CA. ” i et beløb på ikke mindre end 30 millioner rubler.
Som du kan se, er ikke alt så simpelt.
I alt er der i øjeblikket omkring 500 CA'er i landet, der har ret til at udstede ECES (enhanced qualified electronic signature certificate). Dette omfatter ikke kun private certificeringscentre, men også CA'er under forskellige statslige agenturer (inklusive den føderale skattetjeneste, Den Russiske Føderation osv.), banker, handelsplatforme, herunder statslige.
Det elektroniske signaturcertifikat er oprettet ved hjælp af krypteringsalgoritmer certificeret af FSB i Den Russiske Føderation. Det giver juridiske enheder og enkeltpersoner mulighed for at udveksle juridisk vigtige dokumenter elektronisk. Ifølge officielle data fra CA er størstedelen (95%) af CEP udstedt af juridiske enheder. personer, resten - individer. personer.
Når du har kontaktet CA, sker følgende:
- CA verificerer identiteten på den person, der ansøgte om et elektronisk signaturcertifikat;
Først efter at have bekræftet identiteten og verificeret alle dokumenter, producerer og udsteder CA et certifikat, som indeholder oplysninger om certifikatejeren og dennes offentlige verifikationsnøgle; - CA'en administrerer certifikatets livscyklus: sikrer dets udstedelse, suspension (inklusive efter anmodning fra ejeren), fornyelse og udløb.
- En anden funktion af CA er service. Det er ikke nok blot at udstede et certifikat. Brugere kræver jævnligt alle former for rådgivning om proceduren for udstedelse og brug af en signatur, rådgivning om ansøgning og valg af certifikattype. Store CA'er, såsom CA'erne for Business Network-virksomheden, leverer tekniske supporttjenester, skaber diverse software, forbedrer forretningsprocesser, overvåger ændringer i anvendelsesområder for certifikater osv. CA'er konkurrerer med hinanden og arbejder med kvaliteten af IT tjenester, udvikle dette område.
Kosaken er sendt!
Lad os overveje trin 1 i ovenstående algoritme til at opnå elektroniske signaturer. Hvad vil det sige at "bekræfte identiteten" på den person, der ansøgte om certifikatet? Det betyder, at den person, i hvis navn certifikatet er udstedt, personligt skal møde enten på CA-kontoret eller på det udstedende sted, der har en partnerskabsaftale med CA, og fremvise originalerne af sine dokumenter dér. Især et pas fra en statsborger i Den Russiske Føderation. I nogle tilfælde, når det kommer til underskrifter for juridiske enheder. enkeltpersoner og individuelle iværksættere, er identifikationsproceduren endnu mere kompliceret og kræver fremlæggelse af yderligere dokumenter.
Det er netop på dette stadium, altså helt i begyndelsen, hvor tingene ikke engang er nået frem til udstedelsen af et underskriftsattest, at det vigtigste problem ligger. Og nøgleordet her er "pas".
Lækken af personlige data i landet har nået virkelig industrielle proportioner. Der er online ressourcer, hvor du kan få scannede kopier af gyldige pas fra russiske borgere for få penge eller endda gratis. Men scanninger af pas i vores land, tynget af den postsovjetiske arv fra "vis dokumenter"-stilen, kan indsamles fra borgere overalt - ikke kun i banker eller andre finansielle institutioner, men også på hoteller, skoler, universiteter, luft- og jernbanebilletkontorer, børnecentre, servicepunkter for mobilabonnenter - uanset hvor de kræver, at du fremviser dit pas til service, det vil sige næsten overalt. Med udviklingen af digitale teknologier er denne brede kanal for adgang til personlige data blevet taget i omløb af kriminelle arbejdere.
"Tjenester" til tyveri af personlige data om specifikke personer er også meget almindelige.
Derudover er der en hel hær af såkaldte. "nominaliteter" - mennesker, som regel, meget unge, eller meget fattige og dårligt uddannede eller simpelthen degenererede, til hvem de kriminelle lover en beskeden belønning for at bringe deres pas til CA eller til udstedelsesstedet og bestille en underskrift i deres navn der som for eksempel en direktør i en virksomhed. Det er overflødigt at sige, at en sådan person så ikke har noget at gøre med virksomhedens aktiviteter og kan ikke yde nogen reel assistance til efterforskningen, når fidusen afsløres.
Så det er ikke noget problem at scanne dit pas. Men til identifikation har du brug for et originalt pas, hvordan kan det være, vil den opmærksomme læser spørge? Og for at omgå dette problem er der skruppelløse leveringssteder i verden. På trods af den strenge udvælgelsesprocedure modtager kriminelle karakterer periodisk status som et problempunkt og begynder derefter at begå ulovlige handlinger med borgernes personlige data.
Disse to faktorer i kombination giver os hele bølgen af problemer med kriminaliseringen af brugen af elektronisk udstyr, som vi nu har.
Er der sikkerhed i tal?
Hele denne, uden overdrivelse, hær af svindlere er nu kun filtreret af certificeringscentre. Enhver CA har sine egne sikkerhedstjenester. Alle, der ansøger om en underskrift, bliver nøje kontrolleret i identifikationsfasen. Enhver, der ønsker at samarbejde om status for et spørgsmålspunkt for en specifik CA, bliver også omhyggeligt kontrolleret både på tidspunktet for indgåelse af en partnerskabsaftale og efterfølgende i processen med forretningsinteraktion.
Det kan ikke være anderledes, for uærlig certificering truer CA med lukning – lovgivningen på området er stram.
Men det er umuligt at omfavne uhyrligheden, og nogle af de skruppelløse udstedelsespunkter "lækker" stadig ind i CA's partnere. Og den "nominerede" har måske overhovedet ingen grund til at nægte at udstede et certifikat - han ansøger trods alt til CA'en helt lovligt.
Hvis en fidus, der involverer en signatur i en bestemt persons navn, opdages, vil kun et certificeringscenter hjælpe med at løse problemet. Da certificeringscentret i dette tilfælde tilbagekalder signaturcertifikatet, foretager en intern undersøgelse, sporer hele kæden af certifikatudstedelse og kan give retten de nødvendige dokumenter om svigagtige handlinger ved udstedelse af en elektronisk signaturnøgle. Kun materialer fra certificeringscentret vil hjælpe i retten med at løse sagen til fordel for den virkelig skadelidte: den person, i hvis navn underskriften blev udstedt svigagtigt.
Almindelig digital analfabetisme virker dog heller ikke her til gavn for ofrene. Ikke alle går hele vejen for at beskytte deres interesser. Men ulovlige handlinger med digital signatur skal anfægtes i retten. Og certificeringscentre er den vigtigste hjælp til dette.
Dræbe alle CA'er?
Og så i vores stat blev det besluttet at foretage ændringer i driftsproceduren for CA'er og kravene til dem. En gruppe af deputerede og senatorer udviklede et tilsvarende lovforslag, som allerede blev vedtaget af statsdumaen ved førstebehandlingen den 7. november 2019.
Dokumentet giver mulighed for en omfattende reform af det elektroniske signaturcertifikatsystem. Det antager især, at juridiske enheder og individuelle iværksættere (IP) kun vil være i stand til at modtage en forbedret kvalificeret elektronisk signatur (ECES) fra Federal Tax Service og finansielle organisationer fra centralbanken. Certificeringscentre (CA'er) akkrediteret af ministeriet for telekommunikation og massekommunikation, som udsteder elektroniske signaturer nu, vil kun kunne udstede dem til enkeltpersoner.
Samtidig planlægges kravene til sådanne CA'er kraftigt skærpet. Minimumsbeløbet for nettoaktiver for et akkrediteret certificeringscenter bør øges fra 7 millioner rubler. op til 1 milliard rubler, og minimumsbeløbet for økonomisk støtte – fra 30 millioner rubler. op til 200 millioner rubler. Hvis certificeringscentret har filialer i mindst to tredjedele af russiske regioner, kan minimumsbeløbet af nettoaktiver reduceres til 500 millioner rubler.
Akkrediteringsperioden for certificeringscentre reduceres fra fem til tre år. Der indføres administrativt ansvar for overtrædelser i certificeringscentres arbejde af teknisk karakter.
Alt dette skal mindske mængden af svindel med elektroniske signaturer, mener lovforslagets forfattere.
Hvad er resultatet?
Som du nemt kan se, behandler det nye lovforslag på ingen måde problemet med kriminel brug af dokumenter fra borgere i Den Russiske Føderation og tyveri af personlige data. Det er ligegyldigt, hvem der udsteder underskriften fra CA eller Federal Tax Service, identiteten på ejeren af signaturen skal stadig bekræftes, og lovforslaget indeholder ikke nogen nyskabelser i dette spørgsmål. Hvis et skruppelløst udstedelsespunkt fungerede efter kriminelle ordninger for en almindelig CA, hvad vil så forhindre dig i at gøre det samme for en statsejet?
Den nuværende version af lovforslaget fastlægger ikke i øjeblikket, hvem der skal bære hvilket ansvar for udstedelsen af UKEP, hvis denne signatur blev brugt til svigagtige aktiviteter. Selv i straffeloven er der ingen egnet artikel, der ville tillade strafferetlig forfølgning for udstedelse af et elektronisk signaturcertifikat baseret på stjålne personoplysninger.
Et separat problem er overbelastningen af statslige CA'er, som helt sikkert vil opstå under de nye regler og vil gøre leveringen af tjenester til borgere og juridiske enheder meget langsom og vanskelig.
CA's servicefunktion indgår slet ikke i lovforslaget. Det er ikke klart, om der vil blive oprettet kundeserviceafdelinger ved de foreslåede store statsejede CA'er, hvor lang tid det vil tage, og hvilke væsentlige investeringer det vil kræve, og hvem der skal yde kundeservice, mens en sådan infrastruktur skabes. Det er indlysende, at forsvinden af konkurrencen på dette område let kan føre til stagnation i branchen.
Det vil sige, at resultatet er monopolisering af CA-markedet af statslige organer, overbelastning af disse strukturer med en opbremsning i alle EDI-aktiviteter, mangel på slutbrugersupport i tilfælde af svindel og fuldstændig ødelæggelse af det nuværende CA-marked sammen med den eksisterende infrastruktur (dette er omkring 15 arbejdspladser i hele landet).
Hvem vil komme til skade? Som følge af vedtagelsen af et sådant lovforslag vil de, der lider nu, lide, det vil sige slutbrugere og certificeringsmyndigheder.
Og en virksomhed, der trives med identitetstyveri, vil fortsætte med at blomstre. Er det ikke på tide, at retshåndhævende myndigheder og lovgivere vender deres opmærksomhed mod dette problem og virkelig reagerer seriøst på udfordringerne i den digitale tidsalder? Mulighederne for tyveri af persondata og deres efterfølgende kriminelle brug er steget mangfoldigt i løbet af de seneste 10-15 år. Uddannelsesniveauet for kriminelle er også steget. Dette skal reageres på ved at indføre strenge ansvarsforanstaltninger for eventuelle ulovlige handlinger med andres personlige data, både for virksomheder og deres ansatte og for enkeltpersoner. Og for virkelig at løse problemet med kriminel brug af elektroniske signaturcertifikater er det nødvendigt at lave et lovforslag, der vil give mulighed for ansvar, herunder strafferetligt ansvar, for sådanne handlinger. Og ikke et lovforslag, der blot omfordeler økonomiske strømme, komplicerer proceduren for slutbrugeren og ikke giver nogen nogen beskyttelse i sidste ende.
Kilde: www.habr.com