Mis toimub?
Elektroonilise allkirja sertifikaadi kasutamisega toimepandud pettuste teema on viimasel ajal pälvinud laialdast avalikku tähelepanu. Föderaalne meedia on võtnud reegliks perioodiliselt rääkida õuduslugusid elektrooniliste allkirjade väärkasutamise juhtumitest. Kõige levinum kuritegu selles valdkonnas on juriidilise isiku registreerimine. isikud või üksikettevõtjad pahaaimamatu Vene Föderatsiooni kodaniku nimel. Teine populaarne pettuse viis on tehing, mis hõlmab kinnisvara omandiõiguse muutumist (see on siis, kui keegi müüb teie nimel teie korteri kellelegi teisele, kuid te ei tea seda isegi).
Kuid ärgem laskem end lahti lasta võimalike ebaseaduslike toimingute kirjeldamisest digiallkirjadega, et mitte anda petturitele loovaid ideid. Proovime parem välja mõelda, miks see probleem nii laialt levinud on ja mida selle väljajuurimiseks tegelikult teha tuleb. Ja selleks peame selgelt aru saama, mis on sertifitseerimiskeskused, kuidas nad täpselt töötavad ja kas need on nii hirmutavad, nagu neid meile meedias ja huvitatud osapoolte avaldustes kujutatakse.
Kust tulevad allkirjad?
Seega olete kasutaja. Teil on vaja elektroonilise allkirja sertifikaati. Pole tähtis, milliste ülesannete täitmisel ja millises staatuses te olete (ettevõte, üksikisik, üksikettevõtja) - sertifikaadi saamise algoritm on standardne. Ja võtate elektroonilise allkirja sertifikaadi ostmiseks ühendust sertifitseerimiskeskusega.
Sertifitseerimiskeskus on ettevõte, millele Venemaa seadusandlus seab mitmeid rangeid nõudeid.
Täiustatud kvalifitseeritud elektroonilise allkirja andmise õiguse saamiseks peab sertifitseerimiskeskus läbima spetsiaalse akrediteerimismenetluse Telekomi- ja Massikommunikatsiooniministeeriumiga. Akrediteerimismenetlus eeldab mitmete rangete reeglite täitmist, mida iga ettevõte ei suuda täita.
Eelkõige peab CA omama litsentsi, mis annab talle õiguse arendada, toota ja levitada krüpteerimisvahendeid, teabe- ja telekommunikatsioonisüsteeme. Selle litsentsi väljastab FSB pärast seda, kui taotleja on läbinud ranged kontrollid.
KA töötajatel peab olema infotehnoloogia või infoturbe valdkonna erialane kõrgharidus.
Samuti kohustab seadus CA-sid kindlustama oma vastutuse „kahjude eest, mis on tekitatud kolmandatele isikutele, kuna nad usaldavad sellise CA väljastatud elektroonilise allkirja kinnitusvõtme sertifikaadis märgitud teavet või sellise CA peetavas sertifikaatide registris sisalduvat teavet. ” summas mitte vähem kui 30 miljonit rubla.
Nagu näete, pole kõik nii lihtne.
Kokku on riigis praegu umbes 500 CA-d, kellel on õigus väljastada ECES-i (täiustatud kvalifitseeritud elektroonilise allkirja sertifikaat). See hõlmab mitte ainult erasertifitseerimiskeskusi, vaid ka erinevate valitsusasutuste (sealhulgas föderaalne maksuteenistus, Vene Föderatsioon jne), panku, kauplemisplatvorme, sealhulgas riiklikke.
Elektroonilise allkirja sertifikaat luuakse Vene Föderatsiooni FSB poolt sertifitseeritud krüpteerimisalgoritmide abil. See võimaldab juriidilistel ja eraisikutel juriidiliselt olulisi dokumente elektrooniliselt vahetada. KA ametlikel andmetel on enamuse (95%) CEP-ist väljastanud juriidilised isikud. isikud, ülejäänud - üksikisikud. isikud.
Pärast CA-ga ühendust võtmist juhtub järgmine.
- KA kontrollib elektroonilise allkirja sertifikaati taotlenud isiku isikusamasust;
Alles pärast isikusamasuse kinnitamist ja kõigi dokumentide kontrollimist koostab ja väljastab CA sertifikaadi, mis sisaldab teavet sertifikaadi omaniku ja tema avaliku kinnitusvõtme kohta; - KA haldab sertifikaadi elutsüklit: tagab selle väljastamise, peatamise (sh omaniku nõudmisel), uuendamise ja kehtivuse lõppemise.
- Teine CA funktsioon on teenindus. Ainult tõendi väljastamisest ei piisa. Kasutajad nõuavad regulaarselt igasugust nõustamist allkirja andmise ja kasutamise korra, nõustamist taotlemise ja sertifikaadi tüübi valiku kohta. Suured CA-d, näiteks ettevõtte Business Network CA-d, pakuvad tehnilisi tugiteenuseid, loovad erinevat tarkvara, täiustavad äriprotsesse, jälgivad muutusi sertifikaatide rakendusvaldkondades jne. Omavahel konkureerides töötavad CA-d IT kvaliteedi kallal. teenuseid, arendades seda ala.
Kasakas on saadetud!
Vaatleme ülaltoodud algoritmi 1. sammu elektrooniliste allkirjade saamiseks. Mida tähendab sertifikaati taotlenud isiku "identiteedi tõendamine"? See tähendab, et isik, kelle nimele sertifikaat väljastatakse, peab isiklikult ilmuma kas KA esindusse või KA-ga seltsingulepingut sõlminud väljaandmispunkti ja esitama seal oma dokumentide originaalid. Eelkõige Vene Föderatsiooni kodaniku pass. Mõnel juhul, kui tegemist on juriidiliste isikute allkirjadega. eraisikutele ja üksikettevõtjatele on isiku tuvastamise protseduur veelgi keerulisem ja nõuab täiendavate dokumentide esitamist.
Just selles etapis ehk siis päris alguses, kui asi pole veel allkirjastamistunnistuse väljastamiseni jõudnud, peitubki kõige olulisem probleem. Ja võtmesõna on siin “pass”.
Isikuandmete leke riigis on saavutanud tõeliselt tööstuslikud mõõtmed. Internetis on ressursse, kust saate väikese raha eest või isegi tasuta saada Venemaa kodanike kehtivate passide skaneeritud koopiaid. Kuid meie riigis saab passi skaneeringuid, mida koormab postsovetlik "näita dokumente" stiilis pärand, koguda kodanikelt kõikjal - mitte ainult pankades või muudes finantsasutustes, vaid ka hotellides, koolides, ülikoolides, õhu- ja lennundusasutustes. raudtee piletikassad, lastekeskused, mobiilside abonentide teeninduspunktid - kõikjal, kus nad nõuavad teenindamiseks passi esitamist, see tähendab peaaegu kõikjal. Digitehnoloogia arenguga on kuritegelikud töötajad selle laia juurdepääsu kanali isikuandmetele kasutusele võtnud.
Väga levinud on ka konkreetsete inimeste isikuandmete varguse “teenused”.
Lisaks on terve armee nö. "nominaalid" - reeglina väga noored või väga vaesed ja halvasti haritud või lihtsalt mandunud inimesed, kellele kurjategijad lubavad tagasihoidlikku tasu passi CA-sse või väljaandmispunkti toomise ja allkirja tellimise eest. nimetada seal näiteks ettevõtte direktorit. Ütlematagi selge, et sellisel inimesel pole siis ettevõtte tegevusega mingit pistmist ega saa kelmuse ilmsikstulekul uurimisele reaalset abi anda.
Seega pole passi skannimine probleem. Kuid tuvastamiseks on vaja originaalpassi, kuidas see saab olla, küsib tähelepanelik lugeja? Ja et sellest probleemist mööda hiilida, on maailmas hoolimatuid tarnepunkte. Vaatamata rangele valikumenetlusele saavad kurjategijad perioodiliselt väljaandmispunkti staatuse ja hakkavad seejärel kodanike isikuandmetega ebaseaduslikke toiminguid sooritama.
Need kaks tegurit koos tekitavad meile kogu praeguse elektroonikaseadmete kasutamise kriminaliseerimise probleemide laine.
Kas numbrites on turvalisus?
Kogu seda, liialdamata, petturite armeed filtreerivad nüüd ainult sertifitseerimiskeskused. Igal CA-l on oma turvateenused. Kõiki, kes taotlevad allkirja, kontrollitakse isiku tuvastamise etapis hoolikalt. Samuti kontrollitakse hoolikalt kõiki, kes soovivad konkreetse CA emissioonipunkti staatuses koostööd teha, nii partnerluslepingu sõlmimise etapis kui ka hiljem ärilise suhtluse käigus.
Teisiti ei saagi, sest ebaaus sertifitseerimine ähvardab KA sulgemisega – seadusandlus selles valdkonnas on karm.
Kuid mõõtmatust on võimatu omaks võtta ja osa hoolimatutest väljastamispunktidest “lekib” endiselt CA partnerite hulka. Ja "kandidaadil" ei pruugi olla üldse põhjust sertifikaadi väljastamisest keelduda - ju pöördub ta KA poole täiesti seaduslikult.
Samuti, kui avastatakse konkreetse isiku nimel allkirjaga seotud kelmus, aitab probleemi lahendada vaid sertifitseerimiskeskus. Kuna sel juhul tunnistab sertifitseerimiskeskus allkirja sertifikaadi kehtetuks, viib läbi sisejuurdluse, jälgides kogu sertifikaadi väljastamise ahelat ja saab anda kohtule vajalikud dokumendid pettuste kohta elektroonilise allkirja võtme väljastamisel. Vaid sertifitseerimiskeskuse materjalid aitavad kohtus asja lahendada tõeliselt kannatanu kasuks: isiku, kelle nimele allkiri pettusega anti.
Üldine digitaalne kirjaoskamatus ei tule aga ka siin ohvritele kasuks. Mitte igaüks ei püüa oma huve lõpuni kaitsta. Kuid digitaalallkirjaga ebaseaduslikud tegevused tuleb kohtus vaidlustada. Ja sertifitseerimiskeskused on selles peamiseks abiks.
Kas tappa kõik CA-d?
Ja nii otsustati meie osariigis teha muudatusi KA töökorras ja neile esitatavates nõuetes. Rühm saadikuid ja senaatoreid töötas välja vastava seaduseelnõu, mille riigiduuma juba 7. novembril 2019 esimesel lugemisel vastu võttis.
Dokumendis nähakse ette e-allkirja sertifikaatide süsteemi ulatuslik reform. Eelkõige eeldatakse, et juriidilised isikud ja üksikettevõtjad (IP) saavad täiustatud kvalifitseeritud elektroonilist allkirja (ECES) ainult föderaalselt maksuteenistuselt ja finantsorganisatsioonid keskpangalt. Telekommunikatsiooni- ja masskommunikatsiooniministeeriumi akrediteeritud sertifitseerimiskeskused (CA), mis praegu väljastavad elektroonilisi allkirju, saavad neid anda ainult üksikisikutele.
Samal ajal on kavas sellistele KA-dele nõudeid kõvasti karmistada. Akrediteeritud sertifitseerimiskeskuse netovara miinimumsummat tuleks suurendada 7 miljonilt rublalt. kuni 1 miljard rubla ja rahalise toetuse minimaalne summa – alates 30 miljonist rublast. kuni 200 miljonit rubla. Kui sertifitseerimiskeskusel on filiaale vähemalt kahes kolmandikus Venemaa piirkondadest, saab netovara miinimumsummat vähendada 500 miljoni rublani.
Sertifitseerimiskeskuste akrediteerimisperioodi lühendatakse viielt aastalt kolmele. Tehnilist laadi sertifitseerimiskeskuste töös esinevate rikkumiste eest kehtestatakse haldusvastutus.
Kõik see peaks vähendama elektrooniliste allkirjadega pettuste hulka, leiavad eelnõu autorid.
Milline on tulemus?
Nagu näete, ei käsitle uus seaduseelnõu kuidagi Vene Föderatsiooni kodanike dokumentide kuritegeliku kasutamise ja isikuandmete varguse probleemi. Pole vahet, kes CA või föderaalse maksuteenistuse allkirja väljastab, allkirja omaniku isik tuleb ikkagi kinnitada ja arve ei näe selles küsimuses ette uuendusi. Kui tavalise KA puhul toimis hoolimatute väljastamispunkt kuritegelike skeemide järgi, siis mis takistab teil sama tegemast riigi omanduses?
Eelnõu praegune versioon ei sätesta praegu, kes kannab millist vastutust UKEP-i väljaandmise eest, kui seda allkirja kasutati pettuses. Pealegi pole isegi kriminaalkoodeksis sobivat artiklit, mis võimaldaks varastatud isikuandmetel põhineva elektroonilise allkirja sertifikaadi väljaandmise eest kriminaalvastutusele võtta.
Omaette probleem on riigi KÜ-de ülekoormus, mis uute reeglite järgi kindlasti tekib ja muudab kodanikele ja juriidilistele isikutele teenuste osutamise väga aeglaseks ja keeruliseks.
KA teenindusfunktsiooni arvel üldse ei arvestata. Pole selge, kas kavandatavate suurte riigiettevõtete juurde luuakse klienditeenindusosakondi, kui kaua see aega võtab ja milliseid materiaalseid investeeringuid see nõuab ning kes sellise taristu loomise ajal klienditeenindust osutab. On ilmne, et konkurentsi kadumine selles valdkonnas võib kergesti viia tööstuse stagnatsioonini.
See tähendab, et tagajärjeks on CA turu monopoliseerimine valitsusasutuste poolt, nende struktuuride ülekoormus koos kõigi EDI tegevuste aeglustumisega, lõppkasutajate toe puudumine pettuste korral ja praeguse CA turu täielik hävitamine koos olemasoleva infrastruktuuriga. (see on umbes 15 000 töökohta riigis tervikuna).
Kes saab haiget? Sellise seaduseelnõu vastuvõtmise tulemusena kannatavad need, kes praegu kannatavad, see tähendab lõppkasutajad ja sertifitseerimisasutused.
Ja äri, mis õitseb identiteedivargustest, õitseb jätkuvalt. Kas poleks õiguskaitseorganitel ja seadusandjatel aeg pöörata tähelepanu sellele probleemile ja tõeliselt tõsiselt reageerida digiajastu väljakutsetele? Isikuandmete varguse ja nende hilisema kuritegeliku kasutamise võimalused on viimase 10-15 aasta jooksul mitmekordistunud. Samuti on tõusnud kurjategijate väljaõppe tase. Sellele tuleb reageerida range vastutuse meetmete kehtestamisega teiste inimeste isikuandmetega ebaseaduslike toimingute eest nii ettevõtetele ja nende töötajatele kui ka üksikisikutele. Ja selleks, et tõesti lahendada elektroonilise allkirja sertifikaatide kuritegeliku kasutamise probleem, on vaja luua seaduseelnõu, mis näeks ette vastutuse, sh kriminaalvastutuse selliste tegude eest. Ja mitte arve, mis lihtsalt rahavoogusid ümber jagab, lõpptarbija jaoks protseduuri keerulisemaks teeb ega kellelegi lõppkokkuvõttes mingit kaitset ei anna.
Allikas: www.habr.com