Que pasa?
O tema das actividades fraudulentas cometidas mediante o uso de certificados de sinatura electrónica recibiu unha ampla atención pública recentemente. Os medios de comunicación nacionais teñen o costume de informar periodicamente sobre historias de terror sobre casos de uso indebido de sinaturas electrónicas. O delito máis común neste ámbito é o rexistro dunha persoa xurídica ou dun empresario individual a nome dun cidadán ruso desprevido. Outro método popular de fraude é a transferencia da propiedade inmobiliaria (cando alguén vende o teu apartamento ao teu nome, sen o teu coñecemento).
Pero non nos deixemos levar describindo posibles accións ilegais con sinaturas dixitais, para non darlles ideas creativas aos estafadores. En vez diso, tratemos de comprender por que este problema se xeneralizou tanto e que hai que facer realmente para erradicalo. Para iso, necesitamos comprender claramente que son as autoridades de certificación, como funcionan e se dan tanto medo como as retratan nos medios e as partes interesadas.
De onde veñen as sinaturas?
Entón, es un usuario. Necesitas un certificado de sinatura electrónica. Non importa cal sexa o propósito ou cal sexa o teu estado (empresa, particular ou empresario individual): o proceso para obter un certificado é estándar. Polo tanto, contactas cunha autoridade de certificación para mercar un certificado de sinatura electrónica.
Unha autoridade de certificación é unha empresa á que a lexislación rusa impón unha serie de requisitos estritos.
Para ser autorizada a emitir sinaturas electrónicas cualificadas melloradas, unha autoridade de certificación debe someterse a un procedemento de acreditación especial co Ministerio de Comunicacións. Este proceso de acreditación require o cumprimento dunha serie de requisitos estritos que non todas as empresas poden cumprir.
En particular, unha CA debe ter unha licenza que lle outorgue o dereito a desenvolver, producir e distribuír ferramentas de cifrado (criptográficas), sistemas de información e telecomunicacións. Esta licenza é emitida polo FSB despois de que o solicitante supere unha serie de comprobacións rigorosas.
O persoal do Centro de Certificación debe ter formación profesional superior no campo das tecnoloxías da información ou da seguridade da información.
A lei tamén obriga ás autoridades competentes a asegurar a súa responsabilidade por "danos causados a terceiros como resultado da súa confianza na información especificada no certificado de clave de verificación da sinatura electrónica emitido por dita autoridade competente, ou na información contida no rexistro de certificados mantido por dita autoridade competente" por un importe non inferior a 30 millóns de rublos.
Como podes ver, non é tan sinxelo.
Actualmente hai aproximadamente 500 autoridades de certificación no país autorizadas para emitir sinaturas electrónicas cualificadas melloradas (EQES). Entre elas inclúense non só autoridades de certificación privadas, senón tamén autoridades de certificación afiliadas a diversas axencias gobernamentais (incluídos o Servizo Federal de Impostos, a Federación Rusa, etc.), bancos e plataformas comerciais, incluídas as estatais.
Un certificado de sinatura electrónica créase mediante algoritmos de cifrado certificados polo Servizo Federal de Seguridade da Federación Rusa. Permite que as persoas xurídicas e os particulares intercambien documentos legalmente significativos electronicamente. Segundo os datos oficiais da CA, a maioría (95 %) das sinaturas electrónicas emítense a persoas xurídicas, mentres que o resto se emite a particulares.
Unha vez que contactas coa Autoridade de Certificación, ocorre o seguinte:
- A CA verifica a identidade da persoa que solicitou un certificado de sinatura electrónica;
Só despois da verificación da identidade e da verificación de todos os documentos, a CA produce e emite un certificado, que inclúe información sobre o propietario do certificado e a súa clave pública de verificación; - A CA xestiona o ciclo de vida do certificado: garante a súa emisión, suspensión (incluíndo a solicitude do propietario), renovación e caducidade.
- Outra función dunha CA é o servizo. Non abonda con emitir un certificado. Os usuarios requiren regularmente todo tipo de consultas sobre o proceso de emisión e uso dunha sinatura, así como asesoramento sobre a aplicación e selección de tipos de certificados. As grandes CA, como as de Delovaya Set, proporcionan soporte técnico, desenvolven diversos softwares, melloran os procesos empresariais, supervisan os cambios nas áreas de aplicación de certificados e moito máis. Mentres compiten entre si, as CA esfórzanse por mellorar a calidade dos seus servizos de TI, desenvolvendo esta área.
O cosaco é unha planta!
Vexamos o punto 1 do procedemento mencionado anteriormente para obter unha sinatura electrónica. Que significa "verificar a identidade" da persoa que solicita o certificado? Isto significa que a persoa en nome da cal se emite o certificado debe comparecer en persoa na oficina da CA ou nun lugar emisor que teña un acordo de colaboración coa CA e presentar documentos orixinais. En concreto, un pasaporte ruso. Nalgúns casos, cando se trata de sinaturas de persoas xurídicas e empresarios individuais, o procedemento de verificación é aínda máis complexo e require documentos adicionais.
É precisamente nesta fase —ao principio, antes mesmo de que se emita o certificado de sinatura— onde reside o principal problema. E a palabra clave aquí é "pasaporte".
As filtracións de datos persoais no país alcanzaron proporcións verdadeiramente industriais. Existen recursos en liña onde se poden obter copias dixitalizadas de pasaportes rusos válidos por pouco ou ningún diñeiro. E no noso país, agobiado polo legado postsoviético de "móstrame os teus documentos", pódense obter dixitalizacións de pasaportes de cidadáns de todas partes, non só en bancos e outras institucións financeiras, senón tamén en hoteis, escolas, universidades, oficinas de billetes de avións e trens, garderías, puntos de servizo de telefonía móbil... en calquera lugar que requira un pasaporte para o servizo; noutras palabras, practicamente en calquera lugar. Co desenvolvemento da tecnoloxía dixital, esta vasta canle de acceso a datos persoais foi explotada por delincuentes.
Tamén son moi comúns os "servizos" para roubar datos persoais de persoas específicas.
Ademais, hai todo un exército dos chamados "nomeados" (xente, normalmente moi nova, moi pobre, con pouca formación ou simplemente con mala sorte) aos que os estafadores prometen unha modesta recompensa por presentarse nun centro de certificación ou punto de emisión co seu pasaporte e que lles poñan unha sinatura no seu nome, por exemplo, como director dunha empresa. Non fai falta dicir que esa persoa non ten ningunha conexión coas actividades da empresa e non pode ofrecer ningunha axuda real á investigación unha vez que se descubre a estafa.
Entón, escanear un pasaporte non é un problema. Pero o autenticador require o pasaporte orixinal. Como é iso posible, podería preguntarse un lector atento? Para evitar este problema, existen axencias emisoras sen escrúpulos. A pesar dun rigoroso proceso de selección, os delincuentes obteñen periodicamente o status de axencia emisora e logo comezan a cometer actos ilegais cos datos persoais dos cidadáns.
Estes dous factores combinados dannos toda a onda de problemas coa criminalización do uso das sinaturas electrónicas que temos agora.
Hai seguridade nos números?
Todo este exército de estafadores, falando literalmente, agora só está filtrado polas autoridades de certificación. Cada CA ten os seus propios servizos de seguridade. Todas as persoas que solicitan unha sinatura son verificadas exhaustivamente na fase de verificación da identidade. Calquera persoa que desexe colaborar como punto emisor para unha CA específica tamén é verificada exhaustivamente tanto na fase do acordo de colaboración como, posteriormente, durante as interaccións comerciais.
Non pode ser doutro xeito, xa que unha certificación deshonesta ameaza á CA co peche: a lexislación neste eido é estrita.
Pero é imposible abrazar a inmensidade, e algúns puntos de emisión sen escrúpulos aínda "se colan" nas organizacións asociadas da CA. E o "nominado" pode non ter ningún motivo para rexeitar un certificado, xa que está a solicitar á CA de forma completamente legal.
Ademais, se se descobre unha sinatura fraudulenta a nome dunha persoa específica, só unha autoridade de certificación pode resolver o problema. Neste caso, a autoridade de certificación revoga o certificado de sinatura, leva a cabo unha investigación interna, rastrexa toda a cadea de emisión do certificado e pode proporcionar ao xulgado os documentos necesarios sobre a actividade fraudulenta durante a emisión da clave de sinatura electrónica. Só os materiais da autoridade de certificación axudarán ao xulgado a resolver o caso a favor da parte prexudicada: a persoa en nome da cal se emitiu fraudulentamente a sinatura.
Non obstante, o analfabetismo dixital xeral tampouco beneficia ás vítimas aquí. Non todo o mundo chega ata o final para protexer os seus intereses. Despois de todo, as accións ilegais que impliquen sinaturas dixitais deben ser impugnadas nos tribunais. E as autoridades de certificación son un apoio fundamental neste sentido.
Matar a todos os UC?
E así, no noso país, decidiuse modificar os procedementos operativos e os requisitos para os centros de certificación. Un grupo de deputados e senadores elaborou un proxecto de lei correspondente, que xa foi aprobado pola Duma Estatal na súa primeira lectura o 7 de novembro de 2019.
O documento prevé unha reforma a grande escala do sistema de certificados de sinatura electrónica. En concreto, estipula que as persoas xurídicas e os empresarios individuais poderán obter sinaturas electrónicas cualificadas melloradas (EQES) só do Servizo Tributario Federal, mentres que as institucións financeiras poderán obtelas do Banco Central. As autoridades de certificación (AC) acreditadas polo Ministerio de Comunicacións e Medios de Comunicación, que actualmente emiten EQES, só poderán emitilos a particulares.
Ao mesmo tempo, está previsto que os requisitos para estas autoridades de certificación se endurezan significativamente. Os activos netos mínimos dunha autoridade de certificación acreditada deberían aumentarse de 7 millóns de rublos a mil millóns de rublos, e a seguridade financeira mínima debería aumentarse de 30 millóns de rublos a 200 millóns de rublos. Se unha autoridade de certificación ten sucursais en polo menos dous terzos das rexións de Rusia, os activos netos mínimos poderían reducirse a 500 millóns de rublos.
O período de acreditación das autoridades de certificación redúcese de cinco a tres anos. Introduciranse sancións administrativas por infraccións técnicas por parte das autoridades de certificación.
Todo isto debería reducir o número de fraudes relacionadas coas sinaturas electrónicas, segundo cren os autores do proxecto de lei.
Cal é o resultado?
Como é evidente, o novo proxecto de lei non aborda en absoluto o problema do uso indebido de documentos de cidadáns rusos e o roubo de datos persoais. Independentemente de quen emita a sinatura (a autoridade competente ou o Servizo Tributario Federal), a identidade do titular da sinatura seguirá tendo que ser verificada, e o proxecto de lei non achega novas disposicións sobre este tema. Se unha axencia emisora sen escrúpulos utilizou plans criminais para unha autoridade competente normal, que lle impide facer o mesmo para unha autoridade competente estatal?
A versión actual do proxecto de lei non especifica quen será o responsable de emitir unha sinatura electrónica mellorada se esa sinatura se usou de forma fraudulenta. Ademais, mesmo o Código Penal carece dun artigo axeitado que permita a responsabilidade penal por emitir un certificado de sinatura electrónica utilizando datos persoais roubados.
Un problema aparte é a sobrecarga dos centros de certificación estatais, que inevitablemente xurdirá baixo as novas regras e fará que a prestación de servizos a particulares e persoas xurídicas sexa moi lenta e difícil.
O proxecto de lei non aborda en absoluto a función de servizo das CA. Non está claro se se crearán departamentos de atención ao cliente nas grandes CA estatais propostas, canto tempo levará isto, que investimentos financeiros requirirán e quen se encargará da atención ao cliente mentres se crea esta infraestrutura. Está claro que a desaparición da competencia neste ámbito podería levar facilmente ao estancamento do sector.
O resultado final é unha monopolización do mercado de CA por parte das axencias gobernamentais, unha sobrecarga destas axencias cunha ralentización en todas as actividades de xestión de documentos electrónicos, unha falta de apoio ao usuario final en caso de fraude e a destrución completa do mercado actual de CA xunto coa infraestrutura existente (isto supón aproximadamente 15.000 empregos en todo o país).
Quen sufrirá? As mesmas persoas que xa están a sufrir (usuarios finais e autoridades de certificación) sufrirán como resultado da adopción deste proxecto de lei.
As empresas que prosperan co roubo de datos persoais seguirán prosperando. Non é hora de que as forzas da orde e os lexisladores aborden este problema e aborden realmente os desafíos da era dixital? As oportunidades de roubo de datos persoais e o seu posterior uso criminal aumentaron exponencialmente nos últimos 10-15 anos. O nivel de formación criminal tamén aumentou. Isto debe abordarse introducindo sancións estritas para calquera acción ilegal cos datos persoais doutras persoas, tanto para as empresas e os seus empregados como para os particulares. E para abordar realmente o problema do uso criminal dos certificados de sinatura electrónica, é necesario redactar unha lexislación que estableza a responsabilidade, incluídas sancións penais, por tales accións. Este non é un proxecto de lei que simplemente redistribúa os fluxos financeiros, complique o procedemento para o usuario final e, en última instancia, non ofreza protección a ninguén.
Fonte: www.habr.com
