Wat is oan?
It ûnderwerp fan frauduleuze aksjes begien mei in sertifikaat foar elektroanyske hantekening hat koartlyn breed publyk omtinken krigen. Federale media hawwe it in regel makke om periodyk horrorferhalen te fertellen oer gefallen fan misbrûk fan elektroanyske hantekeningen. De meast foarkommende kriminaliteit yn dit gebiet is registraasje fan in juridyske entiteit. persoanen of yndividuele ûndernimmers yn 'e namme fan in net fermoedende boarger fan' e Russyske Federaasje. In oare populêre metoade fan fraude is in transaksje wêrby't in feroaring yn eigendom fan ûnreplik guod (dit is as immen ferkeapet jo appartemint út namme fan jo oan in oar, mar jo witte it net iens).
Mar lit ús net meidwaan mei it beskriuwen fan mooglike yllegale aksjes mei digitale hantekeningen, om gjin kreative ideeën te jaan oan oplichters. Litte wy better besykje út te finen wêrom't dit probleem sa wiidferspraat wurden is en wat der echt dien wurde moat om it út te roegjen. En dêrfoar moatte wy dúdlik begripe wat sertifisearringsintra binne, hoe krekt se wurkje en oft se sa eng binne as se foar ús yn 'e media en útspraken fan belangstellenden ôfbylde wurde.
Wêr komme hantekeningen wei?
Dat, jo binne de brûker. Jo hawwe in sertifikaat foar elektroanyske hantekening nedich. It makket net út foar hokker taken, en hokker status jo binne (bedriuw, yndividu, yndividuele ûndernimmer) - it algoritme foar it heljen fan in sertifikaat is standert. En jo kontakt opnimme mei it sertifikaasjesintrum om in sertifikaat foar elektroanyske hantekening te keapjen.
In sertifisearringssintrum is in bedriuw wêryn Russyske wetjouwing in oantal strange easken stelt.
Om it rjocht te hawwen om in ferbettere kwalifisearre elektroanyske hantekening út te jaan, moat it sertifikaasjesintrum in spesjale akkreditaasjeproseduere ûndergean mei it Ministearje fan Telekom en Massakommunikaasje. De akkreditaasjeproseduere fereasket it neilibjen fan in oantal strange regels dêr't net elk bedriuw oan kin foldwaan.
Benammen de CA is ferplichte om in lisinsje te hawwen dy't it it rjocht jout om fersifering (kryptografyske) ark, ynformaasje- en telekommunikaasjesystemen te ûntwikkeljen, produsearje en te fersprieden. Dizze lisinsje wurdt útjûn troch de FSB neidat de oanfreger in searje strange kontrôles hat trochjûn.
CA-meiwurkers moatte heger beropsûnderwiis hawwe op it mêd fan ynformaasjetechnology as ynformaasjefeiligens.
De wet ferplichtet CA's ek om har oanspraaklikens te fersekerjen foar "ferlies feroarsake oan tredden as gefolch fan har fertrouwen yn 'e ynformaasje spesifisearre yn it sertifikaat foar ferifikaasje fan elektroanyske hantekening útjûn troch sa'n CA, of ynformaasje befette yn it register fan sertifikaten byhâlden troch sa'n CA. " yn in bedrach fan net minder as 30 miljoen roebel.
Sa't jo sjen kinne, net alles is sa ienfâldich.
Yn totaal binne d'r op it stuit sawat 500 CA's yn it lân dy't it rjocht hawwe om ECES (ferbettere kwalifisearre sertifikaat foar elektroanyske hântekening) út te jaan. Dit omfettet net allinich partikuliere sertifisearringsintra, mar ek CA's ûnder ferskate oerheidsynstânsjes (ynklusyf de federale belestingtsjinst, de Russyske Federaasje, ensfh.), Banken, hannelsplatfoarms, ynklusyf steaten.
It sertifikaat foar elektroanyske hantekening wurdt makke mei fersiferingsalgoritmen sertifisearre troch de FSB fan 'e Russyske Federaasje. It lit juridyske entiteiten en partikulieren legaal wichtige dokuminten elektroanysk útwikselje. Neffens offisjele gegevens fan 'e CA wurdt de mearderheid (95%) fan' e CEP útjûn troch juridyske entiteiten. persoanen, de rest - yndividuen. persoanen.
Neidat jo kontakt opnimme mei de CA, bart it folgjende:
- De CA ferifiearret de identiteit fan de persoan dy't oanfrege foar in sertifikaat foar elektroanyske hantekening;
Pas nei it befêstigjen fan de identiteit en it ferifiearjen fan alle dokuminten produsearret en útjout de CA in sertifikaat, dat ynformaasje befettet oer de sertifikaateigner en syn iepenbiere ferifikaasjekaai; - De CA beheart de libbenssyklus fan it sertifikaat: soarget foar de útjefte, skorsing (ynklusyf op fersyk fan de eigner), fernijing en ferfaldatum.
- In oare funksje fan de CA is tsjinst. It is net genôch om gewoan in sertifikaat út te jaan. Brûkers freegje geregeld alle soarten advys oer de proseduere foar it útjaan en brûken fan in hantekening, advys oer de oanfraach en seleksje fan it type sertifikaat. Grutte CA's, lykas de CA's fan it Business Network-bedriuw, leverje technyske stipetsjinsten, meitsje ferskate software, ferbetterje saaklike prosessen, kontrolearje feroaringen yn 'e tapassingsgebieten fan sertifikaten, ensfh. tsjinsten, it ûntwikkeljen fan dit gebiet.
De Kozak is stjoerd!
Litte wy stap 1 fan it boppesteande algoritme beskôgje foar it krijen fan elektroanyske hantekeningen. Wat betsjuttet it om "de identiteit te sertifisearje" fan 'e persoan dy't it sertifikaat oanfrege? Dit betsjut dat de persoan yn waans namme it sertifikaat is útjûn persoanlik moat ferskine op it CA-kantoar of op it útjaanpunt dat in gearwurkingsferbân hat mei de CA, en dêr de orizjinelen fan har dokuminten presintearje. Yn it bysûnder, in paspoart fan in boarger fan 'e Russyske Federaasje. Yn guon gefallen, as it giet om hantekeningen foar juridyske entiteiten. yndividuen en yndividuele ûndernimmers, de identifikaasjeproseduere is noch yngewikkelder en fereasket de presintaasje fan ekstra dokuminten.
It is krekt yn dit stadium, dat is, oan it begjin, as dingen noch net iens berikt binne by it útjaan fan in tekensertifikaat, dat it wichtichste probleem leit. En it kaaiwurd hjir is "paspoart".
It lekken fan persoanlike gegevens yn it lân hat wirklik yndustriële proporsjes berikt. D'r binne online boarnen wêr't jo foar in bytsje jild of sels fergees gescande kopyen kinne krije fan jildige paspoarten fan Russyske boargers. Mar scans fan paspoarten yn ús lân, lêst fan 'e post-Sovjet-erfenis fan' e styl "show dokuminten", kinne wurde sammele fan boargers oeral - net allinnich yn banken of oare finansjele ynstellingen, mar ek yn hotels, skoallen, universiteiten, loft en treinkaartenkantoaren, bernesintra, tsjinstpunten foar sellulêre abonnees - wêr't se ek nedich binne om jo paspoart foar tsjinst te presintearjen, dat is hast oeral. Mei de ûntwikkeling fan digitale technologyen is dit brede kanaal fan tagong ta persoanlike gegevens yn sirkulaasje nommen troch kriminele arbeiders.
"Tsjinsten" foar stellerij fan persoanlike gegevens fan spesifike minsken binne ek hiel gewoan.
Dêrneist is der in hiele leger fan saneamde. "nominalities" - minsken, yn 'e regel, tige jong, of tige earm en min oplaat, of gewoan ûntaarde, oan wa't de kriminelen in beskieden beleanning tasein foar it bringen fan har paspoart nei de CA of nei it útjaanpunt en it bestellen fan in hantekening yn har namme dêr as bygelyks in direkteur fan in bedriuw. It is ûnmooglik om te sizzen dat sa'n persoan dan neat te krijen hat mei de aktiviteiten fan it bedriuw en kin gjin echte bystân jaan oan it ûndersyk as de oplichterij ûntdutsen wurdt.
Dat, it scannen fan jo paspoart is gjin probleem. Mar foar identifikaasje hawwe jo in orizjineel paspoart nedich, hoe kin dit, sil de oandachtige lêzer freegje? En om dit probleem om te kommen, binne d'r gewetenloze leveringspunten yn 'e wrâld. Nettsjinsteande de strange seleksjeproseduere krije kriminele karakters periodyk de status fan in probleempunt en begjinne dan yllegale aksjes te begean mei de persoanlike gegevens fan boargers.
Dizze twa faktoaren yn kombinaasje jouwe ús de heule weach fan problemen mei de kriminalisaasje fan it gebrûk fan elektroanyske apparaten dy't wy no hawwe.
D'r is feiligens yn nûmers?
Dit heule, sûnder oerdriuwing, leger fan oplichters wurdt no allinich filtere troch sertifikaasjesintra. Elke CA hat syn eigen feiligens tsjinsten. Elkenien dy't in hantekening oanfreegje wurdt yn 'e identifikaasjestadium soarchfâldich kontrolearre. Elkenien dy't wol gearwurkje yn 'e status fan in punt fan útjefte foar in spesifike CA, wurdt ek soarchfâldich kontrolearre sawol yn' e faze fan it sluten fan in partnerskipsoerienkomst as dêrnei, yn it proses fan saaklike ynteraksje.
It kin net oars, want ûnearlike sertifisearring driget de CA mei sluting - de wetjouwing op dit mêd is strang.
Mar it is ûnmooglik om de immensiteit te omearmjen, en guon fan 'e gewetenloze útjeftepunten "lekken" noch yn 'e partners fan 'e CA. En de "nominee" kin gjin reden hawwe om te wegerjen om in sertifikaat út te jaan - hy jildt ommers folslein legaal by de CA.
Ek, as in scam mei in hantekening yn 'e namme fan in spesifike persoan wurdt ûntdutsen, sil allinich in sertifikaasjesintrum helpe om it probleem op te lossen. Sûnt de sertifisearring sintrum yn dit gefal ynlûkt de hantekening sertifikaat, fiert in ynterne ûndersyk, tracking de hiele keten fan sertifikaat útjefte, en kin foarsjen de rjochtbank mei de nedige dokuminten oer frauduleuze aksjes by it útjaan fan in elektroanyske hantekening kaai. Allinich materialen fan it sertifisearringssintrum sille helpe by de rjochtbank om de saak op te lossen yn it foardiel fan 'e echt ferwûne partij: de persoan yn waans namme de hantekening op frauduleus útjûn is.
Algemiene digitale analfabetisme wurket hjir lykwols ek net yn it foardiel fan de slachtoffers. Net elkenien giet hielendal om har belangen te beskermjen. Mar yllegale aksjes mei digitale hantekening moatte wurde útdage yn rjochtbank. En sertifisearringsintra binne dêrby de wichtichste help.
Alle CA's deadzje?
En sa, yn ús steat waard besletten om feroarings oan te bringen yn 'e operaasjeproseduere fan CA's en de easken foar har. In groep deputearren en senators ûntwikkele in oerienkommende wetsfoarstel, dy't al yn 'e earste lêzing op 7 novimber 2019 waard oannommen troch de Douma.
It dokumint soarget foar in grutskalige herfoarming fan it sertifikaatsysteem foar elektroanyske hantekening. Benammen giet it derfan út dat juridyske entiteiten en yndividuele ûndernimmers (IP) allinich in ferbettere kwalifisearre elektroanyske hantekening (ECES) kinne krije fan 'e Federal Tax Service, en finansjele organisaasjes fan' e Sintrale Bank. Sertifisearringsintra (CA's) akkrediteare troch it Ministearje fan Telekom en Massakommunikaasje, dy't no elektroanyske hantekeningen útjaan, sille se allinich kinne útjaan oan partikulieren.
Tagelyk binne de easken foar sokke CA's pland om sterk oanskerpe te wurden. It minimale bedrach fan netto aktiva fan in akkreditearre sertifisearring sintrum moat wurde ferhege fan 7 miljoen roebel. oant 1 miljard roebel, en it minimale bedrach fan finansjele stipe - fan 30 miljoen roebel. oant 200 miljoen roebel. As it sertifisearringssintrum tûken hat yn op syn minst twatredde fan 'e Russyske regio's, dan kin it minimale bedrach fan netto fermogen wurde fermindere nei 500 miljoen roebel.
De akkreditaasjeperioade foar sertifisearringsintra wurdt fermindere fan fiif nei trije jier. Bestjoerlike oanspraaklikens wurdt ynfierd foar oertredings yn it wurk fan sertifisearringsintra fan technyske aard.
Dit alles moat it bedrach fan fraude mei elektroanyske hantekeningen ferminderje, leauwe de skriuwers fan it wetsfoarstel.
Wat is it resultaat?
Sa't jo maklik sjen kinne, giet it nije wetsfoarstel op gjin inkelde manier it probleem oan fan kriminele gebrûk fan dokuminten fan boargers fan 'e Russyske Federaasje en stellerij fan persoanlike gegevens. It makket net út wa't de hantekening fan 'e CA of de Federal Tax Service sil útjaan, de identiteit fan' e eigner fan 'e hantekening sil noch moatte wurde sertifisearre, en it wetsfoarstel jout gjin ynnovaasjes oer dit probleem. As in gewetenloze útjeftepunt wurke neffens kriminele regelingen foar in gewoane CA, wat sil jo dan foarkomme om itselde te dwaan foar in steatsbesit?
De hjoeddeistige ferzje fan it wetsfoarstel bepaalt op it stuit net wa't hokker ferantwurdlikens sil drage foar it útjaan fan 'e UKEP as dizze hantekening waard brûkt yn frauduleuze aktiviteiten. Boppedat, sels yn it Wetboek fan Strafrjocht is der gjin gaadlik artikel dat soe tastean strafrjochtlik ferfolging foar it útjaan fan in elektroanyske hantekening sertifikaat basearre op stellen persoanlike gegevens.
In apart probleem is de oerlêst fan steat CA's, dy't grif ûntsteane ûnder de nije regels en sil it oanbieden fan tsjinsten oan boargers en juridyske entiteiten tige stadich en dreech meitsje.
De tsjinstfunksje fan de CA wurdt yn de rekken hielendal net besjoen. It is net dúdlik oft klant tsjinst ôfdielings wurde oanmakke op de foarnommen grutte steat-eigendom CAs, hoe lang it sil nimme en hokker materiële ynvestearrings it sil fereaskje, en wa sil soargje klant tsjinst wylst sa'n ynfrastruktuer wurdt makke. It is fanselssprekkend dat it ferdwinen fan konkurrinsje op dit gebiet maklik liede kin ta stagnaasje yn 'e yndustry.
Dat is, it resultaat is monopolisearring fan 'e CA-merk troch oerheidsynstânsjes, overload fan dizze struktueren mei in fertraging yn alle EDI-aktiviteiten, gebrek oan ein-brûkerstipe yn gefal fan fraude en folsleine ferneatiging fan' e hjoeddeistige CA-merk tegearre mei de besteande ynfrastruktuer (dit giet oer 15 banen yn it hiele lân).
Wa sil sear krije? As gefolch fan it oannimmen fan sa'n wetsfoarstel sil dejingen dy't no lêst hawwe, dat binne einbrûkers en sertifisearingsautoriteiten.
En in bedriuw dat bloeit op identiteitsstellerij sil fierder bloeie. Is it net tiid foar wet hanthaveningsbelied ynstânsjes en wetjouwers om harren oandacht te rjochtsjen op dit probleem en wirklik reagearje serieus op de útdagings fan it digitale tiidrek? De kânsen foar stellerij fan persoanlike gegevens en har folgjende kriminele gebrûk binne mannichfâldich tanommen yn 'e ôfrûne 10-15 jier. It nivo fan oplieding fan kriminelen is ek ferhege. Dêr moat op reagearre wurde troch maatregels foar strikte oanspraaklikheid yn te fieren foar alle yllegale aksjes mei persoanlike gegevens fan oare minsken, sawol foar bedriuwen en har meiwurkers, as foar partikulieren. En om it probleem fan kriminele gebrûk fan sertifikaten foar elektroanyske hantekening echt op te lossen, is it nedich om in wetsfoarstel te meitsjen dat soe soargje foar oanspraaklikheid, ynklusyf strafrjochtlike oanspraaklikens, foar sokke aksjes. En net in wetsfoarstel dat gewoan werferdieling fan finansjele streamen, komplisearret de proseduere foar de ein brûker en jout gjinien gjin beskerming op it lêst.
Boarne: www.habr.com