شکارچی یا طعمه؟ چه کسی از مراکز صدور گواهینامه محافظت خواهد کرد

چه خبر است؟

موضوع اقدامات متقلبانه انجام شده با استفاده از گواهی امضای الکترونیکی اخیراً مورد توجه عموم قرار گرفته است. رسانه‌های فدرال، بیان دوره‌ای داستان‌های ترسناک در مورد موارد سوء استفاده از امضای الکترونیکی را به عنوان یک قانون تعیین کرده‌اند. شایع ترین جرم در این زمینه ثبت اشخاص حقوقی است. افراد یا کارآفرینان انفرادی به نام یک شهروند بی خبر از فدراسیون روسیه. یکی دیگر از روش های رایج کلاهبرداری، معامله ای است که شامل تغییر مالکیت املاک و مستغلات می شود (این زمانی است که شخصی آپارتمان شما را از طرف شما به شخص دیگری می فروشد، اما شما حتی نمی دانید).

اما بیایید از توصیف اقدامات غیرقانونی احتمالی با امضای دیجیتال غافل نشویم تا ایده‌های خلاقانه به کلاهبرداران داده نشود. بهتر است سعی کنیم بفهمیم چرا این مشکل تا این حد گسترده شده است و واقعاً برای ریشه کن کردن آن چه باید کرد. و برای این ما باید به وضوح درک کنیم که مراکز صدور گواهینامه چیست، دقیقاً چگونه کار می کنند و آیا به همان اندازه ترسناک هستند که در رسانه ها و اظهارات طرف های علاقه مند برای ما به تصویر کشیده می شوند.

امضاها از کجا می آیند؟

بنابراین، شما کاربر هستید. شما نیاز به گواهی امضای الکترونیکی دارید. برای چه وظایفی و در چه وضعیتی هستید (شرکت، فردی، کارآفرین فردی) مهم نیست - الگوریتم دریافت گواهی استاندارد است. و برای خرید گواهی امضای الکترونیکی با مرکز صدور گواهینامه تماس بگیرید.

مرکز صدور گواهینامه شرکتی است که قوانین روسیه تعدادی الزامات سختگیرانه را به آن تحمیل می کند.

برای داشتن حق صدور امضای الکترونیکی واجد شرایط پیشرفته، مرکز صدور گواهینامه باید از طریق وزارت مخابرات و ارتباطات جمعی مراحل اعتبار سنجی خاصی را طی کند. روش اعتبارسنجی مستلزم رعایت تعدادی از قوانین سختگیرانه است که هر شرکتی قادر به رعایت آنها نیست.

به ویژه، CA ملزم به داشتن مجوزی است که به آن حق توسعه، تولید و توزیع ابزارهای رمزگذاری (رمزگذاری)، اطلاعات و سیستم های مخابراتی را می دهد. این مجوز توسط FSB پس از گذراندن یک سری بررسی های دقیق توسط متقاضی صادر می شود.

کارکنان CA باید تحصیلات حرفه ای بالاتر در زمینه فناوری اطلاعات یا امنیت اطلاعات داشته باشند.

این قانون همچنین CA را موظف می‌کند که مسئولیت خود را در قبال «خسارت‌های وارده به اشخاص ثالث در نتیجه اعتماد آنها به اطلاعات مشخص‌شده در گواهی کلید تأیید امضای الکترونیکی صادر شده توسط چنین CA، یا اطلاعات موجود در ثبت گواهی‌های نگهداری شده توسط آن CA، بیمه کنند. ” به مبلغ حداقل 30 میلیون روبل.

همانطور که می بینید، همه چیز به این سادگی نیست.

در مجموع، در حال حاضر حدود 500 CA در کشور وجود دارد که حق صدور ECES (گواهی امضای الکترونیکی واجد شرایط پیشرفته) را دارند. این شامل نه تنها مراکز صدور گواهینامه خصوصی، بلکه CA تحت سازمان های دولتی مختلف (از جمله خدمات مالیاتی فدرال، فدراسیون روسیه و غیره)، بانک ها، پلت فرم های تجاری، از جمله ایالت ها نیز می شود.

گواهی امضای الکترونیکی با استفاده از الگوریتم های رمزگذاری تایید شده توسط FSB فدراسیون روسیه ایجاد می شود. این به اشخاص حقوقی و افراد اجازه می دهد تا اسناد مهم قانونی را به صورت الکترونیکی مبادله کنند. طبق داده های رسمی از CA، اکثریت (95٪) CEP توسط اشخاص حقوقی صادر می شود. افراد، بقیه - افراد. افراد

پس از تماس با CA، موارد زیر رخ می دهد:

1. CA هویت شخصی را که برای گواهی امضای الکترونیکی درخواست داده است، تأیید می کند.
   تنها پس از تأیید هویت و تأیید همه اسناد، CA گواهینامه ای را تولید و صادر می کند که شامل اطلاعات مالک گواهی و کلید تأیید عمومی او می شود.
2. CA چرخه عمر گواهی را مدیریت می کند: صدور، تعلیق (از جمله به درخواست مالک)، تمدید و انقضای آن را تضمین می کند.
3. یکی دیگر از وظایف CA سرویس است. تنها صدور گواهینامه کافی نیست. کاربران به طور مرتب به انواع مشاوره در مورد نحوه صدور و استفاده از امضا، مشاوره در مورد درخواست و انتخاب نوع گواهی نیاز دارند. CA های بزرگ مانند CA های شرکت Business Network، خدمات پشتیبانی فنی، ایجاد نرم افزارهای مختلف، بهبود فرآیندهای تجاری، نظارت بر تغییرات در زمینه های کاربرد گواهی ها و غیره را ارائه می دهند. CA ها در رقابت با یکدیگر، روی کیفیت فناوری اطلاعات کار می کنند. خدمات، توسعه این منطقه است.

قزاق چیزی اشتباه گرفته شده!

بیایید مرحله 1 الگوریتم بالا را برای به دست آوردن امضای الکترونیکی در نظر بگیریم. منظور از "تأیید هویت" شخصی که برای گواهی نامه درخواست کرده است چیست؟ به این معنی که شخصی که گواهینامه به نام او صادر می شود باید شخصاً یا در دفتر CA یا در محل صدور که قرارداد مشارکت با CA دارد حاضر شود و اصل مدارک خود را در آنجا ارائه دهد. به ویژه، گذرنامه یک شهروند فدراسیون روسیه. در برخی موارد، وقتی نوبت به امضای اشخاص حقوقی می رسد. افراد و کارآفرینان فردی، روش شناسایی حتی پیچیده تر است و نیاز به ارائه اسناد اضافی دارد.

دقیقاً در این مرحله، یعنی در همان ابتدا که کارها حتی به صدور گواهی امضا نرسیده است، مهم ترین مشکل نهفته است. و کلمه کلیدی در اینجا "گذرنامه" است.

نشت اطلاعات شخصی در کشور به ابعاد واقعاً صنعتی رسیده است. منابع آنلاینی وجود دارد که در آن می توانید کپی اسکن شده گذرنامه های معتبر شهروندان روسیه را با پول کمی یا حتی رایگان دریافت کنید. اما اسکن پاسپورت ها در کشور ما، که تحت تأثیر میراث پس از شوروی سبک "نمایش اسناد" است، می تواند از شهروندان در همه جا جمع آوری شود - نه تنها در بانک ها یا سایر مؤسسات مالی، بلکه در هتل ها، مدارس، دانشگاه ها، هوا و ... دفاتر بلیط راه آهن، مراکز کودکان، نقاط خدمات مشترکین تلفن همراه - هر جا که از شما بخواهند گذرنامه خود را برای خدمات ارائه دهید، یعنی تقریباً در همه جا. با توسعه فناوری های دیجیتال، این کانال گسترده دسترسی به داده های شخصی توسط کارگران جنایتکار در گردش قرار گرفته است.

"خدمات" برای سرقت اطلاعات شخصی افراد خاص نیز بسیار رایج است.

علاوه بر این، یک ارتش کامل به اصطلاح وجود دارد. "اسمی" - معمولاً افرادی بسیار جوان یا بسیار فقیر و کم سواد یا به سادگی منحط هستند که مجرمان برای آوردن گذرنامه خود به CA یا به محل صدور و سفارش امضا در آنها وعده پاداش متوسطی می دهند. در آنجا به عنوان مثال، مدیر یک شرکت نام ببرید. ناگفته نماند که چنین فردی پس از فاش شدن کلاهبرداری، هیچ ارتباطی با فعالیت های شرکت ندارد و نمی تواند کمک واقعی به تحقیقات انجام دهد.

بنابراین، اسکن پاسپورت شما مشکلی ندارد. اما برای شناسایی شما به یک پاسپورت اصلی نیاز دارید، خواننده توجه می پرسد چگونه می تواند باشد؟ و برای دور زدن این مشکل، نقاط تحویل نادرستی در دنیا وجود دارد. با وجود روش دقیق انتخاب، شخصیت های مجرمانه به طور دوره ای وضعیت یک نقطه موضوع را دریافت می کنند و سپس با داده های شخصی شهروندان شروع به ارتکاب اقدامات غیرقانونی می کنند.

این دو عامل در مجموع موجی از مشکلات را در مورد جرم انگاری استفاده از وسایل الکترونیکی که اکنون داریم به ما می دهد.

امنیت در گروه است؟

تمام این ارتش کلاهبرداران بدون اغراق اکنون فقط توسط مراکز صدور گواهینامه فیلتر شده است. هر CA خدمات امنیتی خاص خود را دارد. همه کسانی که برای امضا درخواست می کنند در مرحله شناسایی به دقت بررسی می شوند. هرکسی که بخواهد در وضعیت یک نقطه صدور برای یک CA خاص همکاری کند نیز در مرحله انعقاد قرارداد مشارکت و متعاقباً در فرآیند تعامل تجاری به دقت بررسی می شود.

راه دیگری نمی تواند باشد، زیرا صدور گواهینامه غیرصادقانه CA را با بسته شدن تهدید می کند - قانون در این زمینه سختگیرانه است.

اما پذیرفتن این بی‌حجمی غیرممکن است و برخی از نقاط صدور بی‌وجدان هنوز به شرکای CA "نشت می‌کند". و "نامزد" ممکن است اصلاً دلیلی برای امتناع از صدور گواهی نداشته باشد - از این گذشته ، او کاملاً قانونی به CA مراجعه می کند.

همچنین، اگر کلاهبرداری شامل امضا به نام یک شخص خاص کشف شود، تنها مرکز صدور گواهینامه به حل مشکل کمک می کند. از آنجایی که مرکز صدور گواهینامه در این مورد گواهی امضا را باطل می کند، تحقیقات داخلی را انجام می دهد، کل زنجیره صدور گواهی را ردیابی می کند و می تواند در هنگام صدور کلید امضای الکترونیکی مدارک لازم در مورد اقدامات متقلبانه را به دادگاه ارائه دهد. فقط موادی از مرکز صدور گواهینامه به دادگاه کمک می کند تا پرونده را به نفع شخص آسیب دیده واقعی حل کند: شخصی که به نام او امضای تقلبی صادر شده است.

با این حال، بی سوادی دیجیتالی عمومی در اینجا نیز به نفع قربانیان نیست. همه برای حفظ منافع خود تمام راه را نمی روند. اما اقدامات غیرقانونی با امضای دیجیتال باید در دادگاه به چالش کشیده شود. و مراکز صدور گواهینامه کمک اصلی در این امر هستند.

کشتن همه CA ها؟

و بنابراین، در ایالت ما تصمیم گرفته شد که تغییراتی در روش عملیاتی CA و الزامات آنها ایجاد شود. گروهی از نمایندگان و سناتورها لایحه مربوطه را تهیه کردند که قبلاً توسط دومای دولتی در اولین قرائت در 7 نوامبر 2019 تصویب شده بود.

این سند اصلاح گسترده ای را در سیستم گواهی امضای الکترونیکی ارائه می دهد. به ویژه، فرض بر این است که اشخاص حقوقی و کارآفرینان فردی (IP) فقط از خدمات مالیاتی فدرال و سازمان های مالی از بانک مرکزی می توانند امضای الکترونیکی واجد شرایط پیشرفته (ECES) را دریافت کنند. مراکز صدور گواهینامه (CA) معتبر توسط وزارت مخابرات و ارتباطات جمعی که اکنون امضای الکترونیکی را صادر می کنند، فقط می توانند آنها را برای افراد صادر کنند.

در همان زمان، الزامات برای چنین CA برنامه ریزی شده است که تا حد زیادی سخت تر شود. حداقل دارایی خالص یک مرکز صدور گواهینامه معتبر باید از 7 میلیون روبل افزایش یابد. تا 1 میلیارد روبل و حداقل میزان حمایت مالی - از 30 میلیون روبل. تا 200 میلیون روبل. اگر مرکز صدور گواهینامه حداقل در دو سوم مناطق روسیه شعبه داشته باشد، حداقل مقدار خالص دارایی را می توان به 500 میلیون روبل کاهش داد.

دوره اعتباربخشی مراکز صدور گواهینامه از پنج سال به سه سال کاهش می یابد. مسئولیت اداری برای تخلفات در کار مراکز صدور گواهینامه از ماهیت فنی معرفی شده است.

نویسندگان این لایحه معتقدند همه اینها باید میزان تقلب با امضای الکترونیکی را کاهش دهد.

نتیجه چیست؟

همانطور که به راحتی می توانید مشاهده کنید، لایحه جدید به هیچ وجه به مشکل استفاده مجرمانه از اسناد شهروندان فدراسیون روسیه و سرقت اطلاعات شخصی نمی پردازد. مهم نیست که چه کسی امضای CA یا خدمات مالیاتی فدرال را صادر می کند، هویت صاحب امضا هنوز باید تأیید شود و این لایحه هیچ گونه نوآوری در این مورد ارائه نمی دهد. اگر یک نقطه صدور بی وجدان طبق طرح های جنایی برای یک CA معمولی کار می کرد، پس چه چیزی شما را از انجام همین کار برای یک مرکز دولتی باز می دارد؟

نسخه فعلی این لایحه در حال حاضر تصریح نمی کند که در صورت استفاده از این امضا در فعالیت های متقلبانه، چه کسی مسئولیت صدور UKEP را بر عهده خواهد داشت. علاوه بر این، حتی در قانون جزا ماده مناسبی وجود ندارد که امکان تعقیب کیفری برای صدور گواهی امضای الکترونیکی بر اساس اطلاعات شخصی مسروقه را فراهم کند.

یک مشکل جداگانه، اضافه بار CA های ایالتی است که مطمئناً بر اساس قوانین جدید ایجاد می شود و ارائه خدمات به شهروندان و اشخاص حقوقی را بسیار کند و دشوار می کند.

عملکرد خدمات CA به هیچ وجه در لایحه در نظر گرفته نشده است. مشخص نیست که آیا دپارتمان‌های خدمات مشتری در CAهای بزرگ پیشنهادی دولتی ایجاد می‌شوند، چقدر طول می‌کشد و به چه سرمایه‌گذاری‌های مادی نیاز دارد، و چه کسی خدمات مشتری را در حین ایجاد چنین زیرساختی ارائه خواهد کرد. بدیهی است که از بین رفتن رقابت در این حوزه به راحتی می تواند منجر به رکود در صنعت شود.

یعنی نتیجه انحصار بازار CA توسط سازمان های دولتی، بارگذاری بیش از حد این ساختارها با کاهش سرعت در تمام فعالیت های EDI، عدم پشتیبانی کاربر نهایی در صورت تقلب و نابودی کامل بازار CA فعلی همراه با زیرساخت های موجود است. (این حدود 15 شغل در کل کشور است).

چه کسی صدمه خواهد دید؟ در نتیجه تصویب چنین لایحه ای، کسانی که اکنون در رنج هستند، یعنی کاربران نهایی و مراجع صدور گواهینامه متضرر خواهند شد.

و تجارتی که با سرقت هویت رونق می گیرد به شکوفایی خود ادامه خواهد داد. آیا زمان آن نرسیده است که نهادهای مجری قانون و قانونگذاران توجه خود را به این مشکل معطوف کنند و واقعاً به چالش های عصر دیجیتال پاسخ جدی دهند؟ فرصت‌های سرقت اطلاعات شخصی و استفاده مجرمانه متعاقب آنها طی 10 تا 15 سال گذشته چندین برابر شده است. سطح آموزش مجرمان نیز افزایش یافته است. این باید با ارائه اقدامات مسئولیت سختگیرانه برای هرگونه اقدام غیرقانونی با داده های شخصی افراد دیگر، هم برای شرکت ها و کارمندان آنها و هم برای افراد، پاسخ داده شود. و برای حل واقعی مشکل استفاده مجرمانه از گواهی امضای الکترونیکی، لازم است لایحه ای ایجاد شود که مسئولیتی از جمله مسئولیت کیفری را برای چنین اقداماتی پیش بینی کند. و نه لایحه‌ای که صرفاً جریان‌های مالی را مجدداً توزیع می‌کند، رویه را برای کاربر نهایی پیچیده می‌کند و در نهایت به کسی محافظت نمی‌کند.

منبع: www.habr.com