Qu'est-ce qui se passe?
Le sujet des actions frauduleuses commises à l'aide d'un certificat de signature électronique a récemment retenu l'attention du public. Les médias fédéraux ont pour règle de raconter périodiquement des histoires d'horreur sur des cas d'utilisation abusive des signatures électroniques. Le délit le plus courant dans ce domaine est l'enregistrement d'une personne morale. des personnes ou des entrepreneurs individuels au nom d'un citoyen sans méfiance de la Fédération de Russie. Une autre méthode de fraude populaire est une transaction impliquant un changement de propriétaire d'un bien immobilier (c'est-à-dire lorsque quelqu'un vend votre appartement en votre nom à quelqu'un d'autre, mais vous ne le savez même pas).
Mais ne nous emballons pas en décrivant d’éventuelles actions illégales avec des signatures numériques, afin de ne pas donner d’idées créatives aux escrocs. Essayons mieux de comprendre pourquoi ce problème est devenu si répandu et ce qu'il faut réellement faire pour l'éradiquer. Et pour cela, nous devons comprendre clairement ce que sont les centres de certification, comment ils fonctionnent exactement et s'ils sont aussi effrayants qu'ils nous le décrivent dans les médias et les déclarations des parties intéressées.
D'où viennent les signatures ?
Donc, vous êtes l'utilisateur. Vous avez besoin d'un certificat de signature électronique. Peu importe les tâches et le statut dans lequel vous vous trouvez (entreprise, particulier, entrepreneur individuel) - l'algorithme d'obtention d'un certificat est standard. Et vous contactez le centre de certification pour acheter un certificat de signature électronique.
Un centre de certification est une entreprise à laquelle la législation russe impose un certain nombre d'exigences strictes.
Pour avoir le droit de délivrer une signature électronique qualifiée renforcée, le centre de certification doit se soumettre à une procédure d'accréditation particulière auprès du ministère des Télécoms et des Communications de masse. La procédure d'accréditation nécessite le respect d'un certain nombre de règles strictes que toutes les entreprises ne sont pas en mesure de respecter.
En particulier, l'AC doit disposer d'une licence lui accordant le droit de développer, de produire et de distribuer des outils de chiffrement (cryptographiques), des systèmes d'information et de télécommunication. Cette licence est délivrée par le FSB après que le demandeur ait passé une série de contrôles stricts.
Les employés de CA doivent avoir une formation professionnelle supérieure dans le domaine des technologies de l'information ou de la sécurité de l'information.
La loi oblige également les AC à assurer leur responsabilité pour « les pertes causées à des tiers du fait de leur confiance dans les informations spécifiées dans le certificat de clé de vérification de signature électronique délivré par cette AC, ou dans les informations contenues dans le registre des certificats tenu par cette AC ». " pour un montant d'au moins 30 millions de roubles.
Comme vous pouvez le constater, tout n’est pas si simple.
Au total, il existe actuellement dans le pays environ 500 AC qui ont le droit de délivrer des ECES (certificat de signature électronique qualifié amélioré). Cela inclut non seulement les centres de certification privés, mais également les autorités de certification relevant de diverses agences gouvernementales (dont le Service fédéral des impôts, la Fédération de Russie, etc.), des banques et des plateformes de négociation, y compris celles de l'État.
Le certificat de signature électronique est créé à l'aide d'algorithmes de cryptage certifiés par le FSB de la Fédération de Russie. Il permet aux personnes morales et aux personnes physiques d'échanger par voie électronique des documents juridiquement significatifs. Selon les données officielles du CA, la majorité (95%) des CEP sont délivrés par des personnes morales. personnes, le reste - des individus. personnes.
Après avoir contacté l'autorité de certification, les événements suivants se produisent :
- L'AC vérifie l'identité de la personne ayant demandé un certificat de signature électronique ;
Ce n'est qu'après avoir confirmé l'identité et vérifié tous les documents que l'AC produit et délivre un certificat, qui comprend des informations sur le propriétaire du certificat et sa clé de vérification publique ; - L'AC gère le cycle de vie du certificat : assure son émission, sa suspension (y compris à la demande du propriétaire), son renouvellement et son expiration.
- Une autre fonction de l'AC est le service. Il ne suffit pas de simplement délivrer un certificat. Les utilisateurs demandent régulièrement toutes sortes de conseils sur la procédure de délivrance et d'utilisation d'une signature, des conseils sur la demande et le choix du type de certificat. Les grandes CA, comme les CA de la société Business Network, fournissent des services de support technique, créent divers logiciels, améliorent les processus métiers, suivent l'évolution des domaines d'application des certificats, etc. En concurrence les unes avec les autres, les CA travaillent sur la qualité de l'informatique. services, développant ce domaine.
Le cosaque est envoyé!
Considérons l'étape 1 de l'algorithme ci-dessus pour obtenir des signatures électroniques. Que signifie « certifier l’identité » de la personne qui a demandé le certificat ? Cela signifie que la personne au nom de laquelle le certificat est délivré doit se présenter personnellement soit au siège de l'AC, soit au point d'émission ayant conclu un accord de partenariat avec l'AC, et y présenter les originaux de ses documents. En particulier, le passeport d'un citoyen de la Fédération de Russie. Dans certains cas, lorsqu'il s'agit de signatures pour des personnes morales. particuliers et entrepreneurs individuels, la procédure d'identification est encore plus compliquée et nécessite la présentation de documents complémentaires.
C’est précisément à ce stade, c’est-à-dire au tout début, lorsque les choses n’ont même pas atteint la délivrance d’un certificat de signature, que réside le problème le plus important. Et le mot clé ici est « passeport ».
La fuite de données personnelles dans le pays a atteint des proportions véritablement industrielles. Il existe des ressources en ligne où vous pouvez obtenir des copies numérisées des passeports valides des citoyens russes pour peu d'argent, voire gratuitement. Mais les scans des passeports de notre pays, chargés de l'héritage post-soviétique du style « montrer les documents », peuvent être collectés auprès des citoyens du monde entier - non seulement dans les banques et autres institutions financières, mais aussi dans les hôtels, les écoles, les universités, les compagnies aériennes et billetteries ferroviaires, centres pour enfants, points de service pour abonnés cellulaires - partout où ils vous demandent de présenter votre passeport pour le service, c'est-à-dire presque partout. Avec le développement des technologies numériques, ce large canal d’accès aux données personnelles a été mis en circulation par les travailleurs du crime.
Les « services » destinés au vol de données personnelles de personnes spécifiques sont également très courants.
De plus, il existe toute une armée de soi-disant. «nominalités» - des personnes, en règle générale, très jeunes, ou très pauvres et peu instruites, ou simplement dégénérées, à qui les criminels promettent une modeste récompense pour avoir apporté leur passeport à l'AC ou au point de délivrance et ordonné une signature dans leur nommez-y comme, par exemple, un directeur d’une entreprise. Il va sans dire qu’une telle personne n’a alors rien à voir avec les activités de l’entreprise et ne peut apporter aucune réelle aide à l’enquête lorsque l’escroquerie est révélée.
Ainsi, scanner votre passeport n’est pas un problème. Mais pour s'identifier, il faut un passeport original, comment est-ce possible, demandera le lecteur attentif ? Et pour contourner ce problème, il existe des points de livraison sans scrupules dans le monde. Malgré la procédure de sélection stricte, les personnages criminels reçoivent périodiquement le statut de point d'émission et commencent ensuite à commettre des actions illégales avec les données personnelles des citoyens.
La combinaison de ces deux facteurs nous donne toute une série de problèmes liés à la criminalisation de l'utilisation d'appareils électroniques que nous connaissons actuellement.
Il y a de la sécurité dans les chiffres ?
Toute cette armée, sans exagération, d’escrocs est désormais filtrée uniquement par les centres de certification. Toute autorité de certification dispose de ses propres services de sécurité. Toute personne demandant une signature est soigneusement contrôlée au stade de l'identification. Toute personne souhaitant coopérer dans le cadre d'un point d'émission pour une AC spécifique est également soigneusement contrôlée tant au stade de la conclusion d'un accord de partenariat qu'ultérieurement, au cours du processus d'interaction commerciale.
Il ne peut en être autrement, car une certification malhonnête menace de fermer l'AC - la législation en la matière est stricte.
Mais il est impossible d'embrasser l'immensité, et certains des points d'émission sans scrupules « fuient » encore vers les partenaires du CA. Et le « candidat » peut n'avoir aucune raison de refuser de délivrer un certificat - après tout, il s'adresse à l'AC en toute légalité.
De plus, si une arnaque impliquant une signature au nom d'une personne précise est découverte, seul un centre de certification permettra de résoudre le problème. Étant donné que dans ce cas, le centre de certification révoque le certificat de signature, mène une enquête interne, suit toute la chaîne de délivrance du certificat et peut fournir au tribunal les documents nécessaires sur les actions frauduleuses lors de la délivrance d'une clé de signature électronique. Seuls les documents du centre de certification aideront le tribunal à résoudre l'affaire en faveur de la partie réellement lésée : la personne au nom de laquelle la signature a été délivrée frauduleusement.
Cependant, l’analphabétisme numérique généralisé ne profite pas non plus aux victimes. Tout le monde ne fait pas tout pour protéger ses intérêts. Mais les actions illégales utilisant une signature numérique doivent être contestées devant les tribunaux. Et les centres de certification sont la principale aide à cet égard.
Tuer tous les CA ?
Ainsi, dans notre État, il a été décidé d'apporter des modifications au mode de fonctionnement des AC et à leurs exigences. Un groupe de députés et de sénateurs a élaboré un projet de loi correspondant, qui a déjà été adopté par la Douma d'État en première lecture le 7 novembre 2019.
Le document prévoit une réforme à grande échelle du système de certificat de signature électronique. En particulier, il suppose que les personnes morales et les entrepreneurs individuels (IP) pourront recevoir une signature électronique qualifiée renforcée (ECES) uniquement du Service fédéral des impôts et des organismes financiers de la Banque centrale. Les centres de certification (CA) accrédités par le ministère des Télécommunications et des Communications, qui délivrent désormais des signatures électroniques, ne pourront les délivrer qu'aux particuliers.
Dans le même temps, il est prévu que les exigences relatives à ces AC soient considérablement renforcées. Le montant minimum de l'actif net d'un centre de certification accrédité devrait passer de 7 millions de roubles. jusqu'à 1 milliard de roubles, et le montant minimum du soutien financier – à partir de 30 millions de roubles. jusqu'à 200 millions de roubles. Si le centre de certification possède des succursales dans au moins les deux tiers des régions russes, le montant minimum de l'actif net peut être réduit à 500 millions de roubles.
La période d'accréditation des centres de certification est réduite de cinq à trois ans. La responsabilité administrative est introduite pour les violations dans le travail des centres de certification de nature technique.
Tout cela devrait réduire le nombre de fraudes aux signatures électroniques, estiment les auteurs du projet de loi.
Quel est le résultat?
Comme vous pouvez facilement le constater, le nouveau projet de loi ne résout en aucun cas le problème de l'utilisation criminelle des documents des citoyens de la Fédération de Russie et du vol de données personnelles. Peu importe qui délivrera la signature du CA ou du Service fédéral des impôts, l'identité du propriétaire de la signature devra toujours être certifiée, et le projet de loi ne prévoit aucune innovation sur cette question. Si un point d'émission sans scrupules fonctionnait selon des stratagèmes criminels pour une AC ordinaire, alors qu'est-ce qui vous empêchera de faire de même pour une agence publique ?
La version actuelle du projet de loi ne précise pas qui assumera quelle responsabilité dans la délivrance de l'UKEP si cette signature a été utilisée dans des activités frauduleuses. De plus, même dans le Code pénal, il n'existe aucun article approprié qui permettrait des poursuites pénales pour la délivrance d'un certificat de signature électronique basé sur des données personnelles volées.
Un autre problème est la surcharge des autorités compétentes de l'État, qui surviendra certainement en vertu des nouvelles règles et rendra la fourniture de services aux citoyens et aux personnes morales très lente et difficile.
La fonction de service de l'AC n'est pas du tout prise en compte dans le projet de loi. Il n’est pas clair si des départements de service client seront créés dans les grandes AC publiques proposées, combien de temps cela prendra et quels investissements importants cela nécessitera, ni qui assurera le service client pendant la création d’une telle infrastructure. Il est évident que la disparition de la concurrence dans ce domaine peut facilement conduire à une stagnation du secteur.
Autrement dit, le résultat est une monopolisation du marché de l'AC par les agences gouvernementales, une surcharge de ces structures avec un ralentissement de toutes les activités EDI, un manque de soutien des utilisateurs finaux en cas de fraude et une destruction complète du marché actuel de l'AC ainsi que de l'infrastructure existante. (cela représente environ 15 000 emplois dans tout le pays).
Qui sera blessé ? À la suite de l'adoption d'un tel projet de loi, ceux qui souffrent actuellement souffriront, c'est-à-dire les utilisateurs finaux et les autorités de certification.
Et une entreprise qui prospère grâce au vol d’identité continuera à prospérer. N'est-il pas temps pour les forces de l'ordre et les législateurs de porter leur attention sur ce problème et de répondre véritablement aux défis de l'ère numérique ? Les possibilités de vol de données personnelles et de leur utilisation criminelle ultérieure se sont multipliées au cours des 10 à 15 dernières années. Le niveau de formation des criminels a également augmenté. Il faut réagir en introduisant des mesures de responsabilité stricte pour toute action illégale portant sur les données personnelles d’autrui, tant pour les entreprises et leurs employés que pour les particuliers. Et afin de réellement résoudre le problème de l'utilisation criminelle des certificats de signature électronique, il est nécessaire de créer un projet de loi qui prévoirait la responsabilité, y compris pénale, pour de tels actes. Et pas un projet de loi qui redistribuerait simplement les flux financiers, compliquerait la procédure pour l'utilisateur final et n'offrirait finalement aucune protection à qui que ce soit.
Source: habr.com