Que pasa?
O tema das accións fraudulentas cometidas mediante un certificado de sinatura electrónica recibiu unha ampla atención pública recentemente. Os medios federais estableceron como regra contar periodicamente historias de terror sobre casos de uso indebido de sinaturas electrónicas. O delito máis común neste ámbito é o rexistro dunha persoa xurídica. persoas ou empresarios individuais a nome dun cidadán desprevenido da Federación Rusa. Outro método popular de fraude é unha transacción que implica un cambio de propiedade de bens inmobles (isto é cando alguén vende o teu apartamento no teu nome a outra persoa, pero nin sequera o sabes).
Pero non nos deixemos levar describindo posibles accións ilegais con sinaturas dixitais, para non dar ideas creativas aos estafadores. É mellor tentar descubrir por que este problema se estendeu tanto e que é o que realmente hai que facer para erradicalo. E para iso cómpre entender claramente que son os centros de certificación, como funcionan exactamente e se dan medo tanto como se nos retratan nos medios e as declaracións dos interesados.
De onde veñen as sinaturas?
Entón, vostede é o usuario. Necesitas un certificado de sinatura electrónica. Non importa para que tarefas e en que estado se atopa (empresa, individuo, empresario individual): o algoritmo para obter un certificado é estándar. E póñase en contacto co centro de certificación para adquirir un certificado de sinatura electrónica.
Un centro de certificación é unha empresa á que a lexislación rusa impón unha serie de requisitos estritos.
Para ter dereito a emitir unha sinatura electrónica cualificada mellorada, o centro de certificación debe someterse a un procedemento especial de acreditación ante o Ministerio de Telecomunicacións e Comunicacións de masas. O procedemento de acreditación esixe o cumprimento dunha serie de regras estritas que non todas as empresas son capaces de cumprir.
En particular, a CA está obrigada a ter unha licenza que lle outorga o dereito de desenvolver, producir e distribuír ferramentas de cifrado (criptografía), sistemas de información e telecomunicacións. Esta licenza é emitida polo FSB despois de que o solicitante pase unha serie de controles estritos.
Os empregados de CA deben ter formación profesional superior no campo da tecnoloxía da información ou da seguridade da información.
A lei tamén obriga ás CA a asegurar a súa responsabilidade polas “perdas causadas a terceiros como consecuencia da súa confianza na información especificada no certificado de clave de verificación de sinatura electrónica emitido por dita CA, ou na información contida no rexistro de certificados que leva dita CA”. ” por un importe non inferior a 30 millóns de rublos.
Como podes ver, non todo é tan sinxelo.
En total, na actualidade hai preto de 500 CAs no país que teñen dereito a emitir ECES (certificado de sinatura electrónica cualificada mellorada). Isto inclúe non só centros de certificación privados, senón tamén CAs de varias axencias gobernamentais (incluíndo o Servizo Federal de Impostos, a Federación Rusa, etc.), bancos, plataformas comerciais, incluídas as estatais.
O certificado de sinatura electrónica créase mediante algoritmos de cifrado certificados polo FSB da Federación Rusa. Permite que as persoas xurídicas e persoas físicas intercambien documentos legalmente significativos por vía electrónica. Segundo datos oficiais da CA, a maioría (95%) do CEP está emitido por persoas xurídicas. persoas, o resto - individuos. persoas.
Despois de contactar coa CA, ocorre o seguinte:
- A CA verifica a identidade da persoa que solicitou un certificado de sinatura electrónica;
Só despois de confirmar a identidade e verificar todos os documentos, a CA produce e emite un certificado, que inclúe información sobre o propietario do certificado e a súa clave pública de verificación; - A CA xestiona o ciclo de vida do certificado: garante a súa emisión, suspensión (incluída a solicitude do propietario), renovación e caducidade.
- Outra función da CA é o servizo. Non é suficiente simplemente emitir un certificado. Os usuarios requiren regularmente todo tipo de asesoramento sobre o procedemento de expedición e utilización dunha sinatura, asesoramento sobre a solicitude e selección do tipo de certificado. As grandes CA, como as CA da empresa Business Network, prestan servizos de soporte técnico, crean diversos software, melloran os procesos comerciais, supervisan os cambios nas áreas de aplicación de certificados, etc. Competindo entre si, as CA traballan na calidade das TI. servizos, desenvolvendo esta área.
O cosaco foi enviado!
Consideremos o paso 1 do algoritmo anterior para obter sinaturas electrónicas. Que significa "certificar a identidade" da persoa que solicitou o certificado? Isto significa que a persoa a cuxo nome se emite o certificado deberá comparecer persoalmente ben na oficina da CA ou no punto de emisión que teña un convenio de colaboración coa CA, e presentar alí os orixinais dos seus documentos. En particular, un pasaporte dun cidadán da Federación Rusa. Nalgúns casos, cando se trata de sinaturas para persoas xurídicas. particulares e empresarios individuais, o procedemento de identificación é aínda máis complicado e require a presentación de documentos adicionais.
Precisamente é nesta fase, é dicir, no primeiro momento, cando as cousas nin sequera chegaron á emisión dun certificado de sinatura, onde radica o problema máis importante. E a palabra clave aquí é "pasaporte".
A fuga de datos persoais no país alcanzou dimensións verdadeiramente industriais. Existen recursos en liña onde podes obter copias dixitalizadas de pasaportes válidos de cidadáns rusos por pouco diñeiro ou incluso de forma gratuíta. Pero os escaneos de pasaportes no noso país, cargados polo legado postsoviético do estilo "mostrar documentos", pódense recoller dos cidadáns de todas partes, non só en bancos ou outras institucións financeiras, senón tamén en hoteis, escolas, universidades, aire e despachos de billetes de ferrocarril, centros infantís, puntos de servizo para abonados móbiles, onde queira que lle requiran que presente o seu pasaporte para o servizo, é dicir, case en todas partes. Co desenvolvemento das tecnoloxías dixitais, esta ampla canle de acceso aos datos persoais foi posta en circulación polos traballadores criminais.
Tamén son moi habituais os "servizos" de roubo de datos persoais de persoas concretas.
Ademais, hai todo un exército de chamados. "nominalidades" - persoas, por regra xeral, moi novas ou moi pobres e pouco educadas, ou simplemente dexeneradas, ás que os criminais prometen unha modesta recompensa por levar o seu pasaporte á CA ou ao punto de emisión e pedir unha sinatura no seu nomear alí como, por exemplo, un director dunha empresa. Nin que dicir ten que esa persoa non ten nada que ver coas actividades da empresa e non pode proporcionar ningunha asistencia real á investigación cando se revela a estafa.
Entón, escanear o seu pasaporte non é un problema. Pero para a identificación necesitas un pasaporte orixinal, como pode ser isto, preguntará o lector atento? E para sortear este problema, hai puntos de entrega sen escrúpulos no mundo. A pesar do estrito procedemento de selección, os personaxes criminais reciben periodicamente a condición de punto de emisión e despois comezan a cometer accións ilegais cos datos persoais dos cidadáns.
Estes dous factores en conxunto dannos toda a vaga de problemas coa criminalización do uso de dispositivos electrónicos que temos agora.
Hai seguridade nos números?
Todo este exército de estafadores, sen esaxeración, agora só filtran os centros de certificación. Calquera CA ten os seus propios servizos de seguridade. Todos os que solicitan unha sinatura son revisados coidadosamente na fase de identificación. Calquera persoa que queira cooperar no estado dun punto de emisión para unha CA específica tamén é revisada coidadosamente tanto na fase de celebración dun acordo de colaboración como, posteriormente, no proceso de interacción comercial.
Non pode ser doutro xeito, porque a certificación deshonesta ameaza a CA co peche: a lexislación neste ámbito é estrita.
Pero é imposible abrazar a inmensidade, e algúns dos puntos de emisión sen escrúpulos aínda "filtran" aos socios da CA. E o "nominado" pode non ter ningún motivo para negarse a emitir un certificado; despois de todo, solicita a CA de forma completamente legal.
Ademais, se se descobre unha estafa que implica unha sinatura a nome dunha persoa específica, só un centro de certificación axudará a resolver o problema. Dado que o centro de certificación neste caso revoga o certificado de sinatura, realiza unha investigación interna, rastrexa toda a cadea de emisión do certificado e pode proporcionar ao tribunal os documentos necesarios sobre accións fraudulentas ao emitir unha clave de sinatura electrónica. Só os materiais do centro de certificación axudarán no xulgado a resolver o caso a favor do realmente prexudicado: a persoa a cuxo nome se emitiu fraudulentamente a sinatura.
Porén, o analfabetismo dixital xeral tampouco funciona aquí en beneficio das vítimas. Non todo o mundo vai todo o camiño para protexer os seus intereses. Pero as accións ilegais con sinatura dixital deben ser impugnadas no xulgado. E os centros de certificación son a principal axuda nisto.
Matar a todos os CA?
E así, no noso estado decidiuse modificar o procedemento de funcionamento das CA e os requisitos para as mesmas. Un grupo de deputados e senadores desenvolveu un proxecto de lei correspondente, que xa foi aprobado pola Duma Estatal en primeira lectura o 7 de novembro de 2019.
O documento prevé unha reforma a gran escala do sistema de certificados de sinatura electrónica. En particular, asume que as persoas xurídicas e os empresarios individuais (IP) só poderán recibir unha sinatura electrónica cualificada mellorada (ECES) do Servizo Federal de Impostos e as organizacións financeiras do Banco Central. Os centros de certificación (CA) acreditados polo Ministerio de Telecomunicacións e Comunicacións Masivas, que emiten agora sinaturas electrónicas, só poderán emitilos a persoas físicas.
Ao mesmo tempo, está previsto que se endurezan moito os requisitos para tales CA. O importe mínimo dos activos netos dun centro de certificación acreditado debería aumentar de 7 millóns de rublos. ata 1 millóns de rublos, e a cantidade mínima de apoio financeiro - de 30 millóns de rublos. ata 200 millóns de rublos. Se o centro de certificación ten sucursais en polo menos dous terzos das rexións rusas, a cantidade mínima de activos netos pode reducirse a 500 millóns de rublos.
O período de acreditación dos centros de certificación redúcese de cinco a tres anos. Introdúcese a responsabilidade administrativa por infraccións no traballo dos centros de certificación de carácter técnico.
Todo isto debería reducir a cantidade de fraude coas sinaturas electrónicas, consideran os autores do proxecto de lei.
Cal é o resultado?
Como podes ver facilmente, o novo proxecto de lei non aborda de ningún xeito o problema do uso criminal de documentos dos cidadáns da Federación Rusa e do roubo de datos persoais. Non importa quen emita a sinatura da CA ou do Servizo Federal de Impostos, aínda terá que certificarse a identidade do propietario da sinatura e a factura non prevé ningunha novidade neste tema. Se un punto de emisión sen escrúpulos funcionou segundo esquemas criminais para unha CA común, entón que lle impedirá facer o mesmo para unha estatal?
A versión actual do proxecto de lei non estipula actualmente quen será responsable de emitir o UKEP se esta sinatura se utilizou en actividades fraudulentas. Ademais, mesmo no Código Penal non existe un artigo axeitado que permita a persecución penal por emitir un certificado de sinatura electrónica baseado en datos persoais roubados.
Un problema aparte é a sobrecarga das CA estatais, que seguramente xurdirá baixo as novas normas e fará que a prestación de servizos aos cidadáns e ás persoas xurídicas sexa moi lenta e difícil.
A función de servizo da CA non se contempla en absoluto na factura. Non está claro se se crearán departamentos de atención ao cliente nas grandes CAs estatais propostas, canto tempo levará e que investimentos materiais requirirá e quen prestará servizo ao cliente mentres se crea esa infraestrutura. É obvio que a desaparición da competencia neste ámbito pode levar facilmente ao estancamento da industria.
É dicir, o resultado é a monopolización do mercado CA por parte das axencias gobernamentais, a sobrecarga destas estruturas cunha desaceleración en todas as actividades de EDI, a falta de apoio ao usuario final en caso de fraude e a destrución total do mercado CA actual xunto coa infraestrutura existente. (Isto supón uns 15 empregos no conxunto do país).
Quen sairá ferido? Como resultado da adopción de tal proxecto de lei, sufrirán os que o están a sufrir agora, é dicir, os usuarios finais e as autoridades de certificación.
E un negocio que prospera co roubo de identidade seguirá florecendo. Non é hora de que as axencias policiais e os lexisladores presten a súa atención a este problema e respondan realmente seriamente aos retos da era dixital? As oportunidades de roubo de datos persoais e o seu posterior uso criminal aumentaron moito nos últimos 10-15 anos. Tamén aumentou o nivel de formación dos delincuentes. A isto debe responderse introducindo medidas de responsabilidade estrita por calquera acción ilícita con datos persoais alleos, tanto para as empresas e os seus empregados, como para os particulares. E para resolver realmente o problema do uso criminal dos certificados de sinatura electrónica, é necesario crear un proxecto de lei que prevexa a responsabilidade, incluída a responsabilidade penal, por tales accións. E non unha factura que simplemente redistribúa os fluxos financeiros, dificulte o procedemento para o usuario final e non lle dea protección a ninguén ao final.
Fonte: www.habr.com