Was ist da los?
Das Thema betrügerische Handlungen, die mithilfe eines elektronischen Signaturzertifikats begangen werden, hat in letzter Zeit große öffentliche Aufmerksamkeit erregt. Bundesmedien haben es sich zur Regel gemacht, regelmäßig Horrorgeschichten über Fälle von Missbrauch elektronischer Signaturen zu erzählen. Das häufigste Verbrechen in diesem Bereich ist die Registrierung einer juristischen Person. Personen oder Einzelunternehmer im Namen eines ahnungslosen Bürgers der Russischen Föderation. Eine weitere beliebte Betrugsmethode ist eine Transaktion, die einen Eigentümerwechsel einer Immobilie beinhaltet (das heißt, jemand verkauft Ihre Wohnung in Ihrem Namen an jemand anderen, ohne dass Sie es wissen).
Aber lassen wir uns nicht dazu hinreißen, mögliche illegale Aktionen mit digitalen Signaturen zu beschreiben, um Betrügern keine kreativen Ideen zu geben. Versuchen wir besser herauszufinden, warum dieses Problem so weit verbreitet ist und was wirklich getan werden muss, um es zu beseitigen. Und dafür müssen wir klar verstehen, was Zertifizierungsstellen sind, wie genau sie funktionieren und ob sie so gruselig sind, wie sie uns in den Medien und Stellungnahmen interessierter Parteien dargestellt werden.
Woher kommen Signaturen?
Sie sind also der Benutzer. Sie benötigen ein elektronisches Signaturzertifikat. Es spielt keine Rolle, für welche Aufgaben und in welchem Status Sie sich befinden (Unternehmen, Einzelperson, Einzelunternehmer) – der Algorithmus zur Erlangung eines Zertifikats ist Standard. Und Sie wenden sich an die Zertifizierungsstelle, um ein elektronisches Signaturzertifikat zu erwerben.
Eine Zertifizierungsstelle ist ein Unternehmen, an das die russische Gesetzgebung eine Reihe strenger Anforderungen stellt.
Um das Recht zur Ausstellung einer erweiterten qualifizierten elektronischen Signatur zu erhalten, muss sich die Zertifizierungsstelle einem besonderen Akkreditierungsverfahren beim Ministerium für Telekommunikation und Massenkommunikation unterziehen. Das Akkreditierungsverfahren erfordert die Einhaltung einer Reihe strenger Regeln, die nicht jedes Unternehmen einhalten kann.
Insbesondere muss die CA über eine Lizenz verfügen, die ihr das Recht einräumt, Verschlüsselungstools (kryptografische Tools), Informations- und Telekommunikationssysteme zu entwickeln, herzustellen und zu vertreiben. Diese Lizenz wird vom FSB ausgestellt, nachdem der Antragsteller eine Reihe strenger Kontrollen bestanden hat.
CA-Mitarbeiter müssen über eine höhere Berufsausbildung im Bereich Informationstechnologie oder Informationssicherheit verfügen.
Das Gesetz verpflichtet Zertifizierungsstellen außerdem dazu, ihre Haftung für „Verluste zu versichern, die Dritten dadurch entstehen, dass sie auf die Informationen vertrauen, die in dem von dieser Zertifizierungsstelle ausgestellten Schlüsselzertifikat zur Überprüfung elektronischer Signaturen angegeben sind, oder auf Informationen, die im von dieser Zertifizierungsstelle geführten Zertifikatsregister enthalten sind.“ ” in Höhe von nicht weniger als 30 Millionen Rubel.
Wie Sie sehen, ist nicht alles so einfach.
Insgesamt gibt es derzeit im Land etwa 500 CAs, die das Recht haben, ECES (Enhanced Qualified Electronic Signature Certificate) auszustellen. Dazu gehören nicht nur private Zertifizierungszentren, sondern auch Zertifizierungsstellen verschiedener Regierungsbehörden (einschließlich des Föderalen Steuerdienstes, der Russischen Föderation usw.), Banken und Handelsplattformen, einschließlich staatlicher.
Das elektronische Signaturzertifikat wird mithilfe von Verschlüsselungsalgorithmen erstellt, die vom FSB der Russischen Föderation zertifiziert sind. Es ermöglicht juristischen und natürlichen Personen den elektronischen Austausch rechtlich bedeutsamer Dokumente. Nach offiziellen Angaben der CA wird der Großteil (95 %) der CEP von juristischen Personen ausgestellt. Personen, der Rest - Einzelpersonen. Personen.
Nachdem Sie die Zertifizierungsstelle kontaktiert haben, geschieht Folgendes:
- Die CA überprüft die Identität der Person, die ein elektronisches Signaturzertifikat beantragt hat;
Erst nach Bestätigung der Identität und Prüfung aller Dokumente erstellt und stellt die CA ein Zertifikat aus, das Informationen über den Zertifikatsinhaber und seinen öffentlichen Prüfschlüssel enthält; - Die Zertifizierungsstelle verwaltet den Lebenszyklus des Zertifikats: Sie stellt dessen Ausstellung, Aussetzung (auch auf Antrag des Eigentümers), Erneuerung und Ablauf sicher.
- Eine weitere Funktion der CA ist der Service. Es reicht nicht aus, einfach nur ein Zertifikat auszustellen. Nutzer benötigen regelmäßig Beratungen aller Art zum Verfahren zur Ausstellung und Verwendung einer Signatur, zur Beantragung und zur Auswahl der Zertifikatsart. Große Zertifizierungsstellen, wie die Zertifizierungsstellen des Unternehmens Business Network, bieten technische Supportdienste an, erstellen verschiedene Software, verbessern Geschäftsprozesse, überwachen Änderungen in den Anwendungsbereichen von Zertifikaten usw. Im Wettbewerb miteinander arbeiten Zertifizierungsstellen an der Qualität der IT Dienstleistungen, Entwicklung dieses Bereichs.
Kosak misshandelt!
Betrachten wir Schritt 1 des obigen Algorithmus zum Erhalten elektronischer Signaturen. Was bedeutet es, die Identität der Person zu bestätigen, die das Zertifikat beantragt hat? Das bedeutet, dass die Person, auf deren Namen das Zertifikat ausgestellt wird, persönlich entweder im CA-Büro oder bei der Ausstellungsstelle, die mit der CA einen Partnerschaftsvertrag abgeschlossen hat, erscheinen und dort die Originale ihrer Dokumente vorlegen muss. Insbesondere ein Reisepass eines Bürgers der Russischen Föderation. In einigen Fällen, wenn es um Unterschriften für juristische Personen geht. Bei Einzelpersonen und Einzelunternehmern ist das Identifizierungsverfahren noch komplizierter und erfordert die Vorlage zusätzlicher Dokumente.
Gerade in diesem Stadium, also ganz am Anfang, wenn es noch nicht einmal zur Ausstellung eines Signaturzertifikats kommt, liegt das größte Problem. Und das Schlüsselwort hier ist „Reisepass“.
Der Verlust personenbezogener Daten im Land hat wahrhaft industrielle Ausmaße angenommen. Es gibt Online-Ressourcen, bei denen Sie für wenig Geld oder sogar kostenlos gescannte Kopien gültiger Reisepässe russischer Staatsbürger erhalten können. Aber Scans von Reisepässen können in unserem Land, das durch das postsowjetische Erbe des „Dokumenten vorzeigen“-Stils belastet ist, von Bürgern überall gesammelt werden – nicht nur in Banken oder anderen Finanzinstituten, sondern auch in Hotels, Schulen, Universitäten, Flugzeugen usw Bahnfahrkartenschalter, Kinderzentren, Servicestellen für Mobilfunkteilnehmer – überall dort, wo die Vorlage Ihres Reisepasses für den Service verlangt wird, also fast überall. Mit der Entwicklung digitaler Technologien wurde dieser weitreichende Zugangskanal zu personenbezogenen Daten von kriminellen Mitarbeitern in Umlauf gebracht.
Auch „Dienste“ zum Diebstahl persönlicher Daten bestimmter Personen sind weit verbreitet.
Darüber hinaus gibt es eine ganze Armee sogenannter. „Nominalitäten“ – Menschen, die in der Regel sehr jung oder sehr arm und schlecht ausgebildet oder einfach degeneriert sind und denen die Kriminellen eine bescheidene Belohnung dafür versprechen, dass sie ihren Reisepass zur CA oder zur Ausstellungsstelle bringen und dort eine Unterschrift anordnen Nennen Sie sich dort beispielsweise als Geschäftsführer einer Firma. Es versteht sich von selbst, dass eine solche Person dann nichts mit den Aktivitäten des Unternehmens zu tun hat und bei Aufdeckung der Betrugsmasche keine wirkliche Hilfe bei den Ermittlungen leisten kann.
Das Scannen Ihres Reisepasses ist also kein Problem. Aber zur Identifizierung braucht man einen Originalpass, wie kann das sein, wird sich der aufmerksame Leser fragen? Und um dieses Problem zu umgehen, gibt es auf der Welt skrupellose Lieferstellen. Trotz des strengen Auswahlverfahrens erhalten kriminelle Charaktere regelmäßig den Status einer Problemstelle und beginnen dann, illegale Handlungen mit den persönlichen Daten von Bürgern zu begehen.
Diese beiden Faktoren in Kombination führen zu einer ganzen Reihe von Problemen mit der Kriminalisierung der Nutzung elektronischer Geräte, die wir derzeit haben.
Gibt es Sicherheit in Zahlen?
Diese gesamte Betrügerarmee wird ohne Übertreibung nur noch von Zertifizierungsstellen gefiltert. Jede Zertifizierungsstelle verfügt über eigene Sicherheitsdienste. Jeder, der eine Unterschrift beantragt, wird bei der Identifizierung sorgfältig geprüft. Auch jeder, der im Status eines Streitpunkts für eine bestimmte Zertifizierungsstelle mitwirken möchte, wird sowohl im Stadium des Abschlusses eines Partnerschaftsvertrags als auch anschließend im Prozess der geschäftlichen Interaktion sorgfältig geprüft.
Es kann nicht anders sein, denn bei unehrlicher Zertifizierung droht der Zertifizierungsstelle die Schließung – die Gesetzgebung in diesem Bereich ist streng.
Aber es ist unmöglich, die Unermesslichkeit zu erfassen, und einige der skrupellosen Ausgabepunkte „dringen“ immer noch in die Partner der CA ein. Und der „Nominierte“ hat möglicherweise überhaupt keinen Grund, die Ausstellung eines Zertifikats zu verweigern – schließlich beantragt er völlig legal bei der CA.
Auch wenn ein Betrug mit einer Unterschrift auf den Namen einer bestimmten Person aufgedeckt wird, hilft nur eine Zertifizierungsstelle bei der Lösung des Problems. Da die Zertifizierungsstelle in diesem Fall das Signaturzertifikat widerruft, führt sie eine interne Untersuchung durch, verfolgt die gesamte Kette der Zertifikatsausstellung und kann dem Gericht die erforderlichen Unterlagen über betrügerische Handlungen bei der Ausstellung eines elektronischen Signaturschlüssels vorlegen. Nur Materialien der Zertifizierungsstelle helfen vor Gericht, den Fall zugunsten des wirklich Geschädigten zu entscheiden: der Person, auf deren Namen die Unterschrift betrügerisch ausgestellt wurde.
Allerdings kommt auch hier der allgemeine digitale Analphabetismus den Opfern nicht zugute. Nicht jeder tut alles, um seine Interessen zu schützen. Aber illegale Handlungen mit digitaler Signatur müssen vor Gericht angefochten werden. Dabei sind Zertifizierungsstellen die wichtigste Hilfe.
Alle CAs töten?
Und so wurde in unserem Bundesstaat beschlossen, die Arbeitsabläufe der Zertifizierungsstellen und die Anforderungen an sie zu ändern. Eine Gruppe von Abgeordneten und Senatoren erarbeitete einen entsprechenden Gesetzentwurf, der bereits am 7. November 2019 in erster Lesung von der Staatsduma angenommen wurde.
Das Dokument sieht eine umfassende Reform des Systems der elektronischen Signaturzertifikate vor. Insbesondere wird davon ausgegangen, dass juristische Personen und Einzelunternehmer (IP) eine erweiterte qualifizierte elektronische Signatur (ECES) nur vom Bundessteueramt und Finanzorganisationen von der Zentralbank erhalten können. Vom Ministerium für Telekommunikation und Massenkommunikation akkreditierte Zertifizierungszentren (CAs), die jetzt elektronische Signaturen ausstellen, können diese nur an Einzelpersonen ausstellen.
Gleichzeitig sollen die Anforderungen an solche CAs deutlich verschärft werden. Der Mindestbetrag des Nettovermögens einer akkreditierten Zertifizierungsstelle sollte von 7 Millionen Rubel erhöht werden. bis zu 1 Milliarde Rubel und der Mindestbetrag der finanziellen Unterstützung – ab 30 Millionen Rubel. bis zu 200 Millionen Rubel. Wenn die Zertifizierungsstelle in mindestens zwei Dritteln der russischen Regionen Niederlassungen hat, kann der Mindestbetrag des Nettovermögens auf 500 Millionen Rubel reduziert werden.
Die Akkreditierungsfrist für Zertifizierungsstellen wird von fünf auf drei Jahre verkürzt. Für Verstöße in der Arbeit von Zertifizierungsstellen technischer Art wird eine Verwaltungshaftung eingeführt.
All dies dürfte das Ausmaß des Betrugs mit elektronischen Signaturen verringern, meinen die Verfasser des Gesetzentwurfs.
Was ist das Ergebnis?
Wie Sie unschwer erkennen können, geht der neue Gesetzentwurf in keiner Weise auf das Problem der kriminellen Nutzung von Dokumenten von Bürgern der Russischen Föderation und des Diebstahls personenbezogener Daten ein. Es spielt keine Rolle, wer die Unterschrift der CA oder des Federal Tax Service ausstellt, die Identität des Inhabers der Unterschrift muss weiterhin beglaubigt werden, und der Gesetzentwurf sieht diesbezüglich keine Neuerungen vor. Wenn eine skrupellose Ausgabestelle für eine gewöhnliche CA nach kriminellen Schemata gearbeitet hat, was hindert Sie dann daran, dasselbe für eine staatliche zu tun?
In der aktuellen Fassung des Gesetzentwurfs ist derzeit nicht geregelt, wer welche Verantwortung für die Ausstellung des UKEP trägt, wenn diese Unterschrift bei betrügerischen Aktivitäten verwendet wurde. Darüber hinaus gibt es auch im Strafgesetzbuch keinen geeigneten Artikel, der eine strafrechtliche Verfolgung der Ausstellung eines elektronischen Signaturzertifikats auf der Grundlage gestohlener personenbezogener Daten ermöglichen würde.
Ein weiteres Problem ist die Überlastung der staatlichen Zertifizierungsstellen, die durch die neuen Regeln sicherlich entstehen wird und die Bereitstellung von Dienstleistungen für Bürger und juristische Personen sehr langsam und schwierig machen wird.
Die Servicefunktion der CA wird im Gesetzentwurf überhaupt nicht berücksichtigt. Es ist unklar, ob in den vorgeschlagenen großen staatlichen CAs Kundendienstabteilungen eingerichtet werden, wie lange dies dauern wird und welche materiellen Investitionen erforderlich sind und wer den Kundendienst während der Schaffung einer solchen Infrastruktur bereitstellen wird. Es liegt auf der Hand, dass das Verschwinden des Wettbewerbs in diesem Bereich leicht zu einer Stagnation in der Branche führen kann.
Das heißt, das Ergebnis ist eine Monopolisierung des CA-Marktes durch Regierungsbehörden, eine Überlastung dieser Strukturen mit einer Verlangsamung aller EDI-Aktivitäten, mangelnde Unterstützung der Endbenutzer im Falle von Betrug und eine vollständige Zerstörung des aktuellen CA-Marktes zusammen mit der bestehenden Infrastruktur (Das sind etwa 15 Arbeitsplätze im ganzen Land).
Wer wird verletzt? Durch die Verabschiedung eines solchen Gesetzentwurfs werden diejenigen leiden, die jetzt darunter leiden, nämlich Endbenutzer und Zertifizierungsbehörden.
Und ein Unternehmen, das vom Identitätsdiebstahl lebt, wird weiterhin florieren. Ist es nicht an der Zeit, dass Strafverfolgungsbehörden und Gesetzgeber ihre Aufmerksamkeit auf dieses Problem richten und ernsthaft auf die Herausforderungen des digitalen Zeitalters reagieren? Die Möglichkeiten für den Diebstahl personenbezogener Daten und deren anschließende kriminelle Nutzung haben in den letzten 10 bis 15 Jahren um ein Vielfaches zugenommen. Auch der Ausbildungsstand der Kriminellen hat zugenommen. Dem muss durch die Einführung strenger Haftungsmaßnahmen für alle rechtswidrigen Handlungen mit den personenbezogenen Daten anderer Personen begegnet werden, sowohl für Unternehmen und deren Mitarbeiter als auch für Einzelpersonen. Und um das Problem der kriminellen Nutzung elektronischer Signaturzertifikate wirklich zu lösen, ist es notwendig, einen Gesetzentwurf zu erstellen, der eine Haftung, auch strafrechtliche Haftung für solche Handlungen vorsieht. Und kein Gesetzentwurf, der die Finanzströme einfach umverteilt, das Verfahren für den Endverbraucher verkompliziert und am Ende niemandem Schutz bietet.
Source: habr.com