Mitä tapahtuu?
Aihe sähköisen allekirjoituksen varmenteen avulla tehdyistä petoksista on saanut viime aikoina laajaa julkista huomiota. Liittovaltion tiedotusvälineet ovat tehneet säännöksi kertoa ajoittain kauhutarinoita sähköisten allekirjoitusten väärinkäytöstä. Yleisin rikos tällä alalla on oikeushenkilön rekisteröinti. henkilöt tai yksittäiset yrittäjät pahaa aavistamattoman Venäjän federaation kansalaisen nimissä. Toinen suosittu petostapa on kauppa, jossa kiinteistön omistaja vaihtuu (tämä on silloin, kun joku myy asuntosi puolestasi toiselle, mutta sinä et edes tiedä).
Mutta älkäämme kuitenkaan turhautuko kuvailemaan mahdollisia laittomia toimia digitaalisilla allekirjoituksilla, jotta huijareille ei annettaisi luovia ideoita. Yritetään paremmin selvittää, miksi tämä ongelma on levinnyt niin laajalle ja mitä todella on tehtävä sen poistamiseksi. Ja tätä varten meidän on ymmärrettävä selvästi, mitä sertifiointikeskukset ovat, kuinka ne tarkalleen toimivat ja ovatko ne niin pelottavia kuin ne meille esitetään mediassa ja kiinnostuneiden osapuolten lausunnoissa.
Mistä allekirjoitukset tulevat?
Olet siis käyttäjä. Tarvitset sähköisen allekirjoituksen varmenteen. Sillä ei ole väliä, mitä tehtäviä ja missä asemassa olet (yritys, henkilö, yksittäinen yrittäjä) - sertifikaatin hankkimisalgoritmi on vakio. Ja otat yhteyttä varmennekeskukseen ostaaksesi sähköisen allekirjoituksen varmenteen.
Sertifiointikeskus on yritys, jolle Venäjän lainsäädäntö asettaa joukon tiukkoja vaatimuksia.
Jotta varmennekeskuksella olisi oikeus antaa tehostettu hyväksytty sähköinen allekirjoitus, sen on läpäistävä erityinen akkreditointimenettely Telecom- ja joukkoviestintäministeriön kanssa. Akkreditointimenettely edellyttää useiden tiukkojen sääntöjen noudattamista, joita kaikki yritykset eivät pysty noudattamaan.
Varmentajalta vaaditaan erityisesti lisenssi, joka antaa sille oikeuden kehittää, tuottaa ja jakaa salaustyökaluja, tieto- ja tietoliikennejärjestelmiä. Tämän lisenssin myöntää FSB sen jälkeen, kun hakija on läpäissyt tiukat tarkastukset.
Varmentajan työntekijöillä tulee olla korkeampi ammatillinen koulutus tietotekniikan tai tietoturvan alalla.
Laki velvoittaa varmentajat myös vakuuttamaan vastuunsa "menetyksistä, jotka aiheutuvat kolmansille osapuolille siitä syystä, että he ovat luottaneet tällaisen Varmentajan myöntämässä sähköisen allekirjoituksen vahvistusavaimen varmenteessa määriteltyihin tietoihin tai varmentajan ylläpitämään varmennerekisteriin sisältyviin tietoihin. ” vähintään 30 miljoonan ruplan määrällä.
Kuten näet, kaikki ei ole niin yksinkertaista.
Yhteensä maassa on tällä hetkellä noin 500 CA:ta, joilla on oikeus myöntää ECES-sertifikaattia (enhanced qualified electronic signature certificate). Tämä ei sisällä vain yksityisiä sertifiointikeskuksia, vaan myös eri valtion virastojen (mukaan lukien liittovaltion veropalvelu, Venäjän federaatio jne.), pankkeja, kaupankäyntialustoja, mukaan lukien valtion virastot.
Sähköisen allekirjoituksen varmenne luodaan käyttämällä Venäjän federaation FSB:n sertifioimia salausalgoritmeja. Sen avulla oikeushenkilöt ja yksityishenkilöt voivat vaihtaa oikeudellisesti merkittäviä asiakirjoja sähköisesti. Varmentajan virallisten tietojen mukaan suurin osa (95 %) CEP:stä on juridisten henkilöiden liikkeeseen laskemia. henkilöitä, loput yksilöitä. henkilöt.
Kun otat yhteyttä varmentajaan, tapahtuu seuraavaa:
- Varmentaja tarkistaa sähköisen allekirjoituksen varmennetta hakeneen henkilön henkilöllisyyden;
Vasta henkilöllisyyden vahvistamisen ja kaikkien asiakirjojen tarkistamisen jälkeen Varmentaja tuottaa ja myöntää varmenteen, joka sisältää tiedot varmenteen omistajasta ja hänen julkisesta varmistusavaimestaan; - Varmentaja hallinnoi varmenteen elinkaarta: varmistaa sen myöntämisen, keskeyttämisen (mukaan lukien omistajan pyynnöstä), uusimisen ja voimassaolon päättymisen.
- Toinen CA:n toiminto on palvelu. Pelkkä todistuksen myöntäminen ei riitä. Käyttäjät tarvitsevat säännöllisesti kaikenlaisia neuvoja allekirjoituksen myöntämis- ja käyttömenettelyssä, neuvoja hakemuksessa ja varmenteen tyypin valinnassa. Suuret CA:t, kuten Business Network -yhtiön CA:t, tarjoavat teknisiä tukipalveluita, luovat erilaisia ohjelmistoja, parantavat liiketoimintaprosesseja, valvovat muutoksia varmenteiden käyttöalueilla jne. Varmentajat kilpailevat keskenään IT:n laadun parissa. kehittämällä tätä aluetta.
Kasakka jotain väärin käsiteltyä!
Tarkastellaan yllä olevan algoritmin vaihetta 1 sähköisten allekirjoitusten hankkimiseksi. Mitä tarkoittaa todistusta hakeneen henkilön "varmentaminen"? Tämä tarkoittaa, että henkilön, jonka nimissä varmenne on myönnetty, tulee saapua henkilökohtaisesti joko Varmentajan toimistoon tai varmentajan kanssa kumppanuussopimuksen tehneeseen myöntämispisteeseen ja esitettävä siellä asiakirjansa alkuperäiskappaleet. Erityisesti Venäjän federaation kansalaisen passi. Joissakin tapauksissa, kun on kyse oikeushenkilöiden allekirjoituksista. yksilöiden ja yksittäisten yrittäjien tunnistaminen on vielä monimutkaisempaa ja vaatii lisäasiakirjojen esittämistä.
Juuri tässä vaiheessa, eli aivan alussa, kun asiat eivät ole vielä edes allekirjoitustodistuksen myöntämisessä, on suurin ongelma. Ja avainsana tässä on "passi".
Henkilötietojen vuotaminen maassa on saavuttanut todella teolliset mittasuhteet. On online-resursseja, joista voit saada skannattuja kopioita Venäjän kansalaisten voimassa olevista passeista pienellä rahalla tai jopa ilmaiseksi. Mutta maassamme neuvostoliiton jälkeisen "näytä asiakirjat" -tyylisen perinnön rasittama passiskannaus voidaan kerätä kansalaisilta kaikkialta - ei vain pankeista tai muista rahoituslaitoksista, vaan myös hotelleista, kouluista, yliopistoista, lento- ja lentokentistä. junalipputoimistot, lastenkeskukset, matkapuhelintilaajien palvelupisteet - missä tahansa he vaativat passin esittämistä palvelua varten, eli melkein kaikkialla. Digitaalitekniikan kehittyessä rikolliset ovat ottaneet tämän laajan pääsyn kanavaan henkilötietoihin.
"Palvelut" tiettyjen ihmisten henkilötietojen varastamiseksi ovat myös hyvin yleisiä.
Lisäksi siellä on kokonainen armeija ns. "nimellisuudet" - ihmiset, jotka ovat yleensä hyvin nuoria tai erittäin köyhiä ja huonosti koulutettuja tai yksinkertaisesti rappeutuneita, joille rikolliset lupaavat vaatimattoman palkkion siitä, että he tuovat passinsa CA:lle tai myöntämispisteelle ja tilaavat allekirjoituksen nimeä siellä esimerkiksi yrityksen johtajaksi. Sanomattakin on selvää, että sellaisella henkilöllä ei ole silloin mitään tekemistä yrityksen toiminnan kanssa, eikä hän voi tarjota todellista apua tutkinnassa, kun huijaus paljastuu.
Joten passin skannaus ei ole ongelma. Mutta tunnistamiseen tarvitset alkuperäisen passin, kuinka tämä voi olla, huomaavainen lukija kysyy? Ja tämän ongelman kiertämiseksi maailmassa on häikäilemättömiä toimituspisteitä. Tiukasta valintamenettelystä huolimatta rikollishahmot saavat ajoittain ongelmapisteen tilan ja alkavat sitten ryhtyä laittomiin toimiin kansalaisten henkilötietojen kanssa.
Nämä kaksi tekijää yhdessä muodostavat meille koko nykyisen elektronisten laitteiden käytön kriminalisoinnin ongelma-aallon.
Onko numeroissa turvallisuutta?
Koko tämä, liioittelematta, huijarijoukko on nyt suodatettu vain sertifiointikeskuksissa. Jokaisella CA:lla on omat tietoturvapalvelunsa. Jokainen allekirjoitusta hakeva tarkistetaan huolellisesti tunnistamisvaiheessa. Jokainen, joka haluaa tehdä yhteistyötä tietyn varmentajan asiapistetilanteessa, tarkistetaan myös huolellisesti sekä kumppanuussopimuksen solmimisvaiheessa että myöhemmin liiketoiminnassa.
Se ei voi olla toisin, koska epärehellinen sertifiointi uhkaa CA:ta sulkemisella - lainsäädäntö tällä alalla on tiukkaa.
Mutta on mahdotonta hyväksyä äärimmäisyyttä, ja osa häikäilemättömistä liikkeeseenlaskukohdista "vuotaa" edelleen CA:n kumppaneille. Ja "ehdokkaalla" ei välttämättä ole mitään syytä kieltäytyä myöntämästä varmennetta - loppujen lopuksi hän hakee varmentajaa täysin laillisesti.
Lisäksi, jos havaitaan huijaus, johon liittyy allekirjoitus tietyn henkilön nimissä, vain varmennekeskus auttaa ratkaisemaan ongelman. Koska varmennekeskus tässä tapauksessa peruuttaa allekirjoitusvarmenteen, suorittaa sisäisen tutkimuksen, joka seuraa koko varmenteen myöntämisketjua ja voi toimittaa tuomioistuimelle tarvittavat asiakirjat petollisista toimista sähköisen allekirjoituksen avaimen myöntämisen yhteydessä. Vain sertifiointikeskuksen materiaalit auttavat oikeudessa ratkaisemaan asian todella vahingon kärsineen osapuolen hyväksi: henkilön, jonka nimissä allekirjoitus on vilpillisesti annettu.
Yleinen digitaalinen lukutaidottomuus ei kuitenkaan hyödytä uhreja täälläkään. Kaikki eivät suojele etujaan loppuun asti. Mutta laittomat toimet digitaalisella allekirjoituksella on riitautettava oikeudessa. Ja sertifiointikeskukset ovat tärkein apu tässä.
Tappaa kaikki CA:t?
Ja niinpä meidän osavaltiossamme päätettiin tehdä muutoksia varmentajan toimintatapaan ja niitä koskeviin vaatimuksiin. Ryhmä kansanedustajia ja senaattoreita kehitti vastaavan lain, jonka duuma hyväksyi jo ensimmäisessä käsittelyssä 7.
Asiakirja sisältää sähköisen allekirjoituksen varmennejärjestelmän laajan uudistuksen. Erityisesti siinä oletetaan, että oikeushenkilöt ja yksittäiset yrittäjät (IP) voivat saada tehostetun hyväksytyn sähköisen allekirjoituksen (ECES) vain liittovaltion veroviranomaiselta ja rahoitusorganisaatiot keskuspankilta. Televiestintä- ja joukkoviestintäministeriön akkreditoimat sertifiointikeskukset (CA), jotka nyt antavat sähköisiä allekirjoituksia, voivat antaa niitä vain yksityishenkilöille.
Samanaikaisesti tällaisia varmentajia koskevia vaatimuksia suunnitellaan tiukentavan huomattavasti. Akkreditoidun sertifiointikeskuksen nettovarallisuuden vähimmäismäärää tulisi nostaa 7 miljoonasta ruplasta. enintään 1 miljardi ruplaa ja taloudellisen tuen vähimmäismäärä - 30 miljoonasta ruplasta. jopa 200 miljoonaa ruplaa. Jos sertifiointikeskuksella on sivuliikkeitä vähintään kahdessa kolmasosassa Venäjän alueista, nettovarallisuuden vähimmäismäärä voidaan vähentää 500 miljoonaan ruplaan.
Sertifiointikeskusten akkreditointiaikaa lyhennetään viidestä kolmeen vuoteen. Hallinnollinen vastuu otetaan käyttöön varmennekeskusten toiminnan teknisistä rikkomuksista.
Kaiken tämän pitäisi vähentää sähköisten allekirjoitusten petoksia, lakiesityksen laatijat uskovat.
Mikä on lopputulos?
Kuten näet helposti, uusi lakiesitys ei millään tavalla käsittele ongelmaa Venäjän federaation kansalaisten asiakirjojen rikollisesta käytöstä ja henkilötietojen varkauksista. Sillä ei ole väliä, kuka antaa CA:n tai liittovaltion veropalvelun allekirjoituksen, allekirjoituksen omistajan henkilöllisyys on silti varmennettava, eikä laskussa ole tähän asiaan liittyviä innovaatioita. Jos häikäilemätön myöntämispiste toimi rikollisten suunnitelmien mukaan tavallisen varmentajan kohdalla, niin mikä estää sinua tekemästä samoin valtion omistaman varmentajan kohdalla?
Lakiesityksen nykyisessä versiossa ei tällä hetkellä määrätä, kuka kantaa ja minkälaisen vastuun UKEP:n antamisesta, jos allekirjoitusta on käytetty petolliseen toimintaan. Lisäksi rikoslaissakaan ei ole sopivaa artiklaa, joka mahdollistaisi rikossyytteen varastettujen henkilötietojen perusteella sähköisen allekirjoituksen varmenteen myöntämisestä.
Erillinen ongelma on valtion varmentamien ylikuormitus, joka tulee varmasti esiin uusien sääntöjen myötä ja tekee palvelujen tarjoamisesta kansalaisille ja oikeushenkilöille erittäin hidasta ja vaikeaa.
Varmentajan palvelutoimintoa ei huomioida laskussa ollenkaan. Ei ole selvää, perustetaanko ehdotettuihin suuriin valtion omistamiin varmentajiin asiakaspalveluosastoja, kuinka kauan se kestää ja mitä aineellisia investointeja se vaatii ja kuka palvelee asiakasta tällaisen infrastruktuurin luomisen aikana. On selvää, että kilpailun katoaminen tällä alalla voi helposti johtaa alan pysähtymiseen.
Toisin sanoen seurauksena on valtion virastojen CA-markkinoiden monopolisointi, näiden rakenteiden ylikuormitus kaikkien EDI-toimintojen hidastumisella, loppukäyttäjien tuen puute petostapauksissa ja nykyisten CA-markkinoiden täydellinen tuhoutuminen olemassa olevan infrastruktuurin kanssa. (tämä on noin 15 000 työpaikkaa koko maassa).
Kuka loukkaantuu? Tällaisen lain hyväksymisen seurauksena kärsivät ne, jotka nyt kärsivät, eli loppukäyttäjät ja varmenneviranomaiset.
Ja yritys, joka kukoistaa identiteettivarkauksista, kukoistaa edelleen. Eikö lainvalvontaviranomaisten ja lainsäätäjien aika kiinnittää huomionsa tähän ongelmaan ja vastata todella vakavasti digitaaliajan haasteisiin? Mahdollisuudet henkilötietojen varkauksiin ja niiden myöhempään rikolliseen käyttöön ovat moninkertaistuneet viimeisen 10-15 vuoden aikana. Myös rikollisten koulutustaso on noussut. Tähän on vastattava ottamalla käyttöön ankarat vastuutoimenpiteet kaikista laittomista toimista toisten henkilötietojen kanssa sekä yrityksille ja niiden työntekijöille että yksityishenkilöille. Ja jotta sähköisten allekirjoitusten varmenteiden rikollisen käytön ongelma todella voitaisiin ratkaista, on tarpeen laatia lakiesitys, jossa säädettäisiin vastuusta, mukaan lukien rikosoikeudellinen vastuu, tällaisista toimista. Eikä lasku, joka yksinkertaisesti jakaa uudelleen rahavirrat, vaikeuttaa loppukäyttäjän menettelyä eikä anna kenellekään loppujen lopuksi mitään suojaa.
Lähde: will.com