Τι συμβαίνει;
Το θέμα των δόλιων ενεργειών που διαπράττονται με τη χρήση πιστοποιητικού ηλεκτρονικής υπογραφής έχει προσελκύσει πρόσφατα την προσοχή του κοινού. Τα ομοσπονδιακά μέσα ενημέρωσης έχουν θέσει ως κανόνα την περιοδική αφήγηση ιστοριών τρόμου για περιπτώσεις κατάχρησης ηλεκτρονικών υπογραφών. Το πιο συνηθισμένο έγκλημα σε αυτόν τον τομέα είναι η εγγραφή νομικού προσώπου. πρόσωπα ή μεμονωμένους επιχειρηματίες στο όνομα ανυποψίαστου πολίτη της Ρωσικής Ομοσπονδίας. Μια άλλη δημοφιλής μέθοδος απάτης είναι μια συναλλαγή που περιλαμβάνει αλλαγή ιδιοκτησίας ακίνητης περιουσίας (αυτό συμβαίνει όταν κάποιος πουλά το διαμέρισμά σας για λογαριασμό σας σε κάποιον άλλο, αλλά εσείς δεν το ξέρετε καν).
Ας μην παρασυρθούμε όμως με την περιγραφή πιθανών παράνομων ενεργειών με ψηφιακές υπογραφές, για να μην δίνουμε δημιουργικές ιδέες στους απατεώνες. Ας προσπαθήσουμε καλύτερα να καταλάβουμε γιατί αυτό το πρόβλημα έχει γίνει τόσο διαδεδομένο και τι πραγματικά πρέπει να γίνει για να εξαλειφθεί. Και για αυτό πρέπει να κατανοήσουμε ξεκάθαρα τι είναι τα κέντρα πιστοποίησης, πώς ακριβώς λειτουργούν και αν είναι τόσο τρομακτικά όσο μας παρουσιάζονται στα ΜΜΕ και τις δηλώσεις των ενδιαφερομένων.
Από πού προέρχονται οι υπογραφές;
Έτσι, είστε ο χρήστης. Χρειάζεστε πιστοποιητικό ηλεκτρονικής υπογραφής. Δεν έχει σημασία για ποιες εργασίες και σε ποια κατάσταση βρίσκεστε (εταιρεία, άτομο, μεμονωμένος επιχειρηματίας) - ο αλγόριθμος για την απόκτηση πιστοποιητικού είναι τυπικός. Και επικοινωνείτε με το κέντρο πιστοποίησης για να αγοράσετε ένα πιστοποιητικό ηλεκτρονικής υπογραφής.
Ένα κέντρο πιστοποίησης είναι μια εταιρεία στην οποία η ρωσική νομοθεσία επιβάλλει ορισμένες αυστηρές απαιτήσεις.
Για να έχει το δικαίωμα έκδοσης ενισχυμένης ειδικής ηλεκτρονικής υπογραφής, το κέντρο πιστοποίησης πρέπει να υποβληθεί σε ειδική διαδικασία διαπίστευσης στο Υπουργείο Τηλεπικοινωνιών και Μαζικών Επικοινωνιών. Η διαδικασία διαπίστευσης απαιτεί συμμόρφωση με μια σειρά αυστηρών κανόνων με τους οποίους δεν είναι σε θέση να συμμορφωθεί κάθε εταιρεία.
Ειδικότερα, η ΑΠ απαιτείται να διαθέτει άδεια που της παρέχει το δικαίωμα ανάπτυξης, παραγωγής και διανομής εργαλείων κρυπτογράφησης (κρυπτογραφικών) συστημάτων πληροφοριών και τηλεπικοινωνιών. Αυτή η άδεια εκδίδεται από την FSB αφού ο αιτών περάσει μια σειρά αυστηρών ελέγχων.
Οι υπάλληλοι της ΑΠ πρέπει να έχουν ανώτερη επαγγελματική εκπαίδευση στον τομέα της τεχνολογίας πληροφοριών ή της ασφάλειας πληροφοριών.
Ο νόμος υποχρεώνει επίσης τις ΑΠ να ασφαλίσουν την ευθύνη τους για «απώλειες που προκαλούνται σε τρίτους ως αποτέλεσμα της εμπιστοσύνης τους στις πληροφορίες που καθορίζονται στο πιστοποιητικό κλειδιού επαλήθευσης ηλεκτρονικής υπογραφής που εκδίδεται από την εν λόγω ΑΠ ή στις πληροφορίες που περιέχονται στο μητρώο πιστοποιητικών που τηρεί η εν λόγω ΑΠ σε ποσό όχι λιγότερο από 30 εκατομμύρια ρούβλια.
Όπως μπορείτε να δείτε, δεν είναι όλα τόσο απλά.
Συνολικά, υπάρχουν σήμερα περίπου 500 ΑΠ στη χώρα που έχουν δικαίωμα έκδοσης ECES (βελτιωμένο πιστοποιητικό ηλεκτρονικής υπογραφής). Αυτό περιλαμβάνει όχι μόνο ιδιωτικά κέντρα πιστοποίησης, αλλά και ΑΠ υπό διάφορες κυβερνητικές υπηρεσίες (συμπεριλαμβανομένης της Ομοσπονδιακής Φορολογικής Υπηρεσίας, της Ρωσικής Ομοσπονδίας κ.λπ.), τράπεζες, πλατφόρμες συναλλαγών, συμπεριλαμβανομένων των κρατικών.
Το πιστοποιητικό ηλεκτρονικής υπογραφής δημιουργείται χρησιμοποιώντας αλγόριθμους κρυπτογράφησης που είναι πιστοποιημένοι από το FSB της Ρωσικής Ομοσπονδίας. Επιτρέπει σε νομικά και φυσικά πρόσωπα να ανταλλάσσουν νομικά σημαντικά έγγραφα ηλεκτρονικά. Σύμφωνα με επίσημα στοιχεία της ΑΠ, η πλειοψηφία (95%) του CEP εκδίδεται από νομικά πρόσωπα. πρόσωπα, τα υπόλοιπα - άτομα. πρόσωπα.
Αφού επικοινωνήσετε με την ΑΠ, συμβαίνουν τα εξής:
- Η ΑΠ επαληθεύει την ταυτότητα του ατόμου που υπέβαλε αίτηση για πιστοποιητικό ηλεκτρονικής υπογραφής.
Μόνο μετά την επιβεβαίωση της ταυτότητας και την επαλήθευση όλων των εγγράφων, η ΑΠ παράγει και εκδίδει ένα πιστοποιητικό, το οποίο περιλαμβάνει πληροφορίες σχετικά με τον κάτοχο του πιστοποιητικού και το δημόσιο κλειδί επαλήθευσης. - Η ΑΠ διαχειρίζεται τον κύκλο ζωής του πιστοποιητικού: διασφαλίζει την έκδοσή του, την αναστολή (συμπεριλαμβανομένου του αιτήματος του ιδιοκτήτη), την ανανέωση και τη λήξη του.
- Μια άλλη λειτουργία της ΑΠ είναι η εξυπηρέτηση. Δεν αρκεί απλώς η έκδοση πιστοποιητικού. Οι χρήστες απαιτούν τακτικά κάθε είδους συμβουλές σχετικά με τη διαδικασία έκδοσης και χρήσης υπογραφής, συμβουλές σχετικά με την αίτηση και την επιλογή του τύπου πιστοποιητικού. Μεγάλες ΑΠ, όπως οι ΑΠ της εταιρείας Business Network, παρέχουν υπηρεσίες τεχνικής υποστήριξης, δημιουργούν διάφορα λογισμικά, βελτιώνουν τις επιχειρηματικές διαδικασίες, παρακολουθούν αλλαγές στους τομείς εφαρμογής πιστοποιητικών κ.λπ. Ανταγωνιζόμενοι μεταξύ τους, οι ΑΠ εργάζονται για την ποιότητα της πληροφορικής υπηρεσίες, αναπτύσσοντας αυτόν τον τομέα.
Κοζάκος κάτι λανθασμένο!
Ας εξετάσουμε το βήμα 1 του παραπάνω αλγορίθμου για τη λήψη ηλεκτρονικών υπογραφών. Τι σημαίνει «πιστοποίηση της ταυτότητας» του ατόμου που υπέβαλε αίτηση για το πιστοποιητικό; Αυτό σημαίνει ότι το άτομο στο όνομα του οποίου εκδίδεται το πιστοποιητικό πρέπει να εμφανιστεί προσωπικά είτε στο γραφείο της ΑΠ είτε στο σημείο έκδοσης που έχει συμφωνία συνεργασίας με την ΑΠ και να παρουσιάσει εκεί τα πρωτότυπα των εγγράφων του. Ειδικότερα, διαβατήριο πολίτη της Ρωσικής Ομοσπονδίας. Σε ορισμένες περιπτώσεις, όταν πρόκειται για υπογραφές για νομικά πρόσωπα. ιδιωτών και μεμονωμένων επιχειρηματιών, η διαδικασία ταυτοποίησης είναι ακόμη πιο περίπλοκη και απαιτεί την προσκόμιση πρόσθετων εγγράφων.
Ακριβώς σε αυτό το στάδιο, δηλαδή στην αρχή, που τα πράγματα δεν έχουν φτάσει καν στην έκδοση πιστοποιητικού υπογραφής, βρίσκεται το σημαντικότερο πρόβλημα. Και η λέξη κλειδί εδώ είναι «διαβατήριο».
Η διαρροή προσωπικών δεδομένων στη χώρα έχει λάβει πραγματικά βιομηχανικές διαστάσεις. Υπάρχουν διαδικτυακοί πόροι όπου μπορείτε να λάβετε σαρωμένα αντίγραφα έγκυρων διαβατηρίων Ρώσων πολιτών με λίγα χρήματα ή ακόμα και δωρεάν. Όμως, οι σαρώσεις διαβατηρίων στη χώρα μας, που επιβαρύνονται από τη μετασοβιετική κληρονομιά του στυλ «προβολή εγγράφων», μπορούν να συλλεχθούν από πολίτες παντού - όχι μόνο σε τράπεζες ή άλλα χρηματοπιστωτικά ιδρύματα, αλλά και σε ξενοδοχεία, σχολεία, πανεπιστήμια, αέρα και εκδοτήρια σιδηροδρομικών εισιτηρίων, παιδικά κέντρα, σημεία εξυπηρέτησης για συνδρομητές κινητής τηλεφωνίας - οπουδήποτε απαιτούν να προσκομίσετε το διαβατήριό σας για εξυπηρέτηση, δηλαδή σχεδόν παντού. Με την ανάπτυξη των ψηφιακών τεχνολογιών, αυτό το ευρύ κανάλι πρόσβασης στα προσωπικά δεδομένα τέθηκε σε κυκλοφορία από εγκληματίες.
Πολύ συχνές είναι και οι «υπηρεσίες» κλοπής προσωπικών δεδομένων συγκεκριμένων ατόμων.
Επιπλέον, υπάρχει ένας ολόκληρος στρατός των λεγόμενων. «ονομασίες» - άνθρωποι, κατά κανόνα, πολύ νέοι, ή πολύ φτωχοί και φτωχά μορφωμένοι, ή απλώς εκφυλισμένοι, στους οποίους οι εγκληματίες υπόσχονται μια μέτρια ανταμοιβή για να φέρουν το διαβατήριό τους στην CA ή στο σημείο έκδοσης και να παραγγείλουν υπογραφή στο όνομα εκεί ως, για παράδειγμα, διευθυντής μιας εταιρείας. Περιττό να πούμε ότι ένα τέτοιο άτομο δεν έχει καμία σχέση με τις δραστηριότητες της εταιρείας και δεν μπορεί να παράσχει ουσιαστική βοήθεια στην έρευνα όταν αποκαλυφθεί η απάτη.
Επομένως, η σάρωση του διαβατηρίου σας δεν είναι πρόβλημα. Αλλά για την ταυτοποίηση χρειάζεστε ένα πρωτότυπο διαβατήριο, πώς μπορεί να είναι αυτό, θα ρωτήσει ο προσεκτικός αναγνώστης; Και για να ξεπεραστεί αυτό το πρόβλημα, υπάρχουν αδίστακτα σημεία παράδοσης στον κόσμο. Παρά την αυστηρή διαδικασία επιλογής, οι εγκληματικοί χαρακτήρες λαμβάνουν περιοδικά την ιδιότητα του σημείου έκδοσης και στη συνέχεια αρχίζουν να διαπράττουν παράνομες ενέργειες με τα προσωπικά δεδομένα των πολιτών.
Αυτοί οι δύο παράγοντες σε συνδυασμό μας δίνουν όλο το κύμα προβλημάτων με την ποινικοποίηση της χρήσης ηλεκτρονικών συσκευών που έχουμε πλέον.
Υπάρχει ασφάλεια σε αριθμούς;
Όλη αυτή η, χωρίς υπερβολές, στρατιά απατεώνων φιλτράρεται πλέον μόνο από κέντρα πιστοποίησης. Κάθε ΑΠ έχει τις δικές της υπηρεσίες ασφαλείας. Όλοι όσοι κάνουν αίτηση για υπογραφή ελέγχονται προσεκτικά στο στάδιο της ταυτοποίησης. Όποιος θέλει να συνεργαστεί στο καθεστώς ενός σημείου έκδοσης για μια συγκεκριμένη ΑΠ ελέγχεται επίσης προσεκτικά τόσο στο στάδιο της σύναψης συμφωνίας συνεργασίας όσο και στη συνέχεια στη διαδικασία της επιχειρηματικής αλληλεπίδρασης.
Δεν μπορεί να είναι αλλιώς, γιατί η ανέντιμη πιστοποίηση απειλεί την ΑΠ με κλείσιμο - η νομοθεσία σε αυτόν τον τομέα είναι αυστηρή.
Αλλά είναι αδύνατο να αγκαλιάσουμε την απεραντοσύνη και μερικά από τα αδίστακτα σημεία έκδοσης εξακολουθούν να «διαρρέουν» στους εταίρους της CA. Και ο "υποψήφιος" μπορεί να μην έχει κανένα λόγο να αρνηθεί να εκδώσει πιστοποιητικό - τελικά, υποβάλλει αίτηση στην ΑΠ εντελώς νόμιμα.
Επίσης, αν ανακαλυφθεί μια απάτη που περιλαμβάνει υπογραφή στο όνομα συγκεκριμένου ατόμου, μόνο ένα κέντρο πιστοποίησης θα βοηθήσει στην επίλυση του προβλήματος. Δεδομένου ότι το κέντρο πιστοποίησης σε αυτήν την περίπτωση ανακαλεί το πιστοποιητικό υπογραφής, διενεργεί εσωτερική έρευνα, παρακολουθώντας ολόκληρη την αλυσίδα έκδοσης πιστοποιητικού και μπορεί να παράσχει στο δικαστήριο τα απαραίτητα έγγραφα σχετικά με δόλιες ενέργειες κατά την έκδοση κλειδιού ηλεκτρονικής υπογραφής. Μόνο τα υλικά από το κέντρο πιστοποίησης θα βοηθήσουν στο δικαστήριο να επιλυθεί η υπόθεση υπέρ του πραγματικά τραυματισμένου μέρους: του ατόμου στο όνομα του οποίου εκδόθηκε η υπογραφή με δόλια.
Ωστόσο, ούτε και εδώ ο γενικός ψηφιακός αναλφαβητισμός λειτουργεί προς όφελος των θυμάτων. Δεν προχωρούν όλοι μέχρι τέλους για να προστατεύσουν τα συμφέροντά τους. Αλλά οι παράνομες ενέργειες με ψηφιακή υπογραφή πρέπει να αμφισβητηθούν στο δικαστήριο. Και τα κέντρα πιστοποίησης είναι η κύρια βοήθεια σε αυτό.
Να σκοτωθούν όλα τα CA;
Και έτσι, στο κράτος μας αποφασίστηκε να γίνουν αλλαγές στη διαδικασία λειτουργίας των ΑΠ και στις απαιτήσεις για αυτές. Μια ομάδα βουλευτών και γερουσιαστών ανέπτυξε ένα αντίστοιχο νομοσχέδιο, το οποίο είχε ήδη εγκριθεί από την Κρατική Δούμα σε πρώτη ανάγνωση στις 7 Νοεμβρίου 2019.
Το έγγραφο προβλέπει μια μεγάλης κλίμακας μεταρρύθμιση του συστήματος πιστοποιητικών ηλεκτρονικής υπογραφής. Ειδικότερα, προϋποθέτει ότι οι νομικές οντότητες και οι μεμονωμένοι επιχειρηματίες (IP) θα μπορούν να λαμβάνουν βελτιωμένη ειδική ηλεκτρονική υπογραφή (ECES) μόνο από την Ομοσπονδιακή Φορολογική Υπηρεσία και χρηματοπιστωτικούς οργανισμούς από την Κεντρική Τράπεζα. Τα κέντρα πιστοποίησης (CA) διαπιστευμένα από το Υπουργείο Τηλεπικοινωνιών και Μαζικών Επικοινωνιών, τα οποία εκδίδουν πλέον ηλεκτρονικές υπογραφές, θα μπορούν να τις εκδίδουν μόνο σε φυσικά πρόσωπα.
Ταυτόχρονα, οι απαιτήσεις για τέτοιες ΑΠ σχεδιάζεται να γίνουν πολύ αυστηρότερες. Το ελάχιστο ποσό των καθαρών περιουσιακών στοιχείων ενός διαπιστευμένου κέντρου πιστοποίησης θα πρέπει να αυξηθεί από 7 εκατομμύρια ρούβλια. έως 1 δισεκατομμύριο ρούβλια και το ελάχιστο ποσό οικονομικής υποστήριξης - από 30 εκατομμύρια ρούβλια. έως 200 εκατομμύρια ρούβλια. Εάν το κέντρο πιστοποίησης έχει υποκαταστήματα σε τουλάχιστον τα δύο τρίτα των περιοχών της Ρωσίας, τότε το ελάχιστο ποσό καθαρού ενεργητικού μπορεί να μειωθεί στα 500 εκατομμύρια ρούβλια.
Η περίοδος διαπίστευσης για τα κέντρα πιστοποίησης μειώνεται από πέντε σε τρία χρόνια. Θεσπίζεται διοικητική ευθύνη για παραβάσεις στο έργο των κέντρων πιστοποίησης τεχνικής φύσης.
Όλα αυτά θα πρέπει να μειώσουν τον όγκο της απάτης με ηλεκτρονικές υπογραφές, πιστεύουν οι συντάκτες του νομοσχεδίου.
Ποιο είναι το αποτέλεσμα?
Όπως μπορείτε εύκολα να δείτε, το νέο νομοσχέδιο δεν αντιμετωπίζει σε καμία περίπτωση το πρόβλημα της εγκληματικής χρήσης εγγράφων πολιτών της Ρωσικής Ομοσπονδίας και της κλοπής προσωπικών δεδομένων. Δεν έχει σημασία ποιος θα εκδώσει την υπογραφή της ΑΠ ή της Ομοσπονδιακής Φορολογικής Υπηρεσίας, η ταυτότητα του κατόχου της υπογραφής θα πρέπει ακόμα να πιστοποιηθεί και το νομοσχέδιο δεν προβλέπει καινοτομίες σε αυτό το ζήτημα. Εάν ένα αδίστακτο σημείο έκδοσης λειτούργησε σύμφωνα με εγκληματικά σχήματα για μια συνηθισμένη ΑΠ, τότε τι θα σας εμποδίσει να κάνετε το ίδιο για μια κρατική;
Η τρέχουσα έκδοση του νομοσχεδίου δεν ορίζει επί του παρόντος ποιος θα φέρει ποια ευθύνη για την έκδοση του UKEP εάν αυτή η υπογραφή χρησιμοποιήθηκε σε δόλιες δραστηριότητες. Εξάλλου, ακόμη και στον Ποινικό Κώδικα δεν υπάρχει κατάλληλο άρθρο που να επιτρέπει την ποινική δίωξη για έκδοση πιστοποιητικού ηλεκτρονικής υπογραφής βάσει κλεμμένων προσωπικών δεδομένων.
Ξεχωριστό πρόβλημα είναι η υπερφόρτωση των κρατικών ΑΠ, που σίγουρα θα προκύψει με τους νέους κανόνες και θα κάνει την παροχή υπηρεσιών σε πολίτες και νομικά πρόσωπα πολύ αργή και δύσκολη.
Η υπηρεσία εξυπηρέτησης της ΑΠ δεν λαμβάνεται υπόψη καθόλου στο νομοσχέδιο. Δεν είναι σαφές εάν θα δημιουργηθούν τμήματα εξυπηρέτησης πελατών στις προτεινόμενες μεγάλες κρατικές ΑΠ, πόσο χρόνο θα διαρκέσει και ποιες υλικές επενδύσεις θα απαιτηθούν και ποιος θα παρέχει εξυπηρέτηση πελατών ενώ δημιουργείται μια τέτοια υποδομή. Είναι προφανές ότι η εξαφάνιση του ανταγωνισμού στον τομέα αυτό μπορεί εύκολα να οδηγήσει σε στασιμότητα στον κλάδο.
Δηλαδή, το αποτέλεσμα είναι μονοπώληση της αγοράς CA από κυβερνητικούς φορείς, υπερφόρτωση αυτών των δομών με επιβράδυνση όλων των δραστηριοτήτων EDI, έλλειψη υποστήριξης τελικού χρήστη σε περίπτωση απάτης και πλήρης καταστροφή της τρέχουσας αγοράς CA μαζί με την υπάρχουσα υποδομή. (πρόκειται για περίπου 15 θέσεις εργασίας στη χώρα συνολικά).
Ποιος θα πληγωθεί; Ως αποτέλεσμα της ψήφισης ενός τέτοιου νομοσχεδίου, θα υποφέρουν αυτοί που υποφέρουν τώρα, δηλαδή οι τελικοί χρήστες και οι αρχές πιστοποίησης.
Και μια επιχείρηση που ευδοκιμεί στην κλοπή ταυτότητας θα συνεχίσει να ανθίζει. Δεν είναι καιρός οι υπηρεσίες επιβολής του νόμου και οι νομοθέτες να στρέψουν την προσοχή τους σε αυτό το πρόβλημα και να ανταποκριθούν πραγματικά σοβαρά στις προκλήσεις της ψηφιακής εποχής; Οι ευκαιρίες για κλοπή προσωπικών δεδομένων και η επακόλουθη εγκληματική χρήση τους έχουν πολλαπλασιαστεί τα τελευταία 10-15 χρόνια. Το επίπεδο εκπαίδευσης των εγκληματιών έχει επίσης αυξηθεί. Αυτό πρέπει να αντιμετωπιστεί με τη θέσπιση αυστηρών μέτρων ευθύνης για τυχόν παράνομες ενέργειες με προσωπικά δεδομένα άλλων ατόμων, τόσο για εταιρείες και τους υπαλλήλους τους, όσο και για άτομα. Και για να λυθεί πραγματικά το πρόβλημα της εγκληματικής χρήσης των πιστοποιητικών ηλεκτρονικής υπογραφής, είναι απαραίτητο να δημιουργηθεί ένα νομοσχέδιο που θα προβλέπει την ευθύνη, συμπεριλαμβανομένης της ποινικής ευθύνης, για τέτοιες ενέργειες. Και όχι ένα νομοσχέδιο που απλώς αναδιανέμει τις οικονομικές ροές, περιπλέκει τη διαδικασία για τον τελικό χρήστη και δεν παρέχει καμία προστασία σε κανέναν τελικά.
Πηγή: www.habr.com