Što se događa?
Tema prijevarnih radnji počinjenih korištenjem certifikata elektroničkog potpisa nedavno je dobila široku pozornost javnosti. Federalni mediji uveli su pravilo da povremeno pričaju horor priče o slučajevima zlouporabe elektroničkog potpisa. Najčešće kazneno djelo u ovoj oblasti je registracija pravne osobe. osobe ili individualni poduzetnici u ime nesuđenog građanina Ruske Federacije. Druga popularna metoda prijevare je transakcija promjene vlasništva nad nekretninom (to je kada netko proda vaš stan u vaše ime nekome drugome, a vi to uopće ne znate).
Ali nemojmo se zanositi opisivanjem mogućih nezakonitih radnji s digitalnim potpisima, kako ne bismo davali kreativne ideje prevarantima. Pokušajmo bolje shvatiti zašto je ovaj problem postao toliko raširen i što doista treba učiniti da se on iskorijeni. A za to moramo jasno razumjeti što su certifikacijski centri, kako točno funkcioniraju i jesu li tako strašni kako nam se prikazuju u medijima i izjavama zainteresiranih strana.
Odakle potpisi?
Dakle, vi ste korisnik. Potreban vam je certifikat elektroničkog potpisa. Nije bitno za koje poslove i status (tvrtka, pojedinac, samostalni poduzetnik) - algoritam za dobivanje certifikata je standardan. I kontaktirate certifikacijski centar za kupnju certifikata elektroničkog potpisa.
Certifikacijski centar je tvrtka kojoj rusko zakonodavstvo nameće niz strogih zahtjeva.
Da bi dobio pravo na izdavanje poboljšanog kvalificiranog elektroničkog potpisa, certifikacijski centar mora proći poseban postupak akreditacije pri Ministarstvu telekomunikacija i masovnih komunikacija. Postupak akreditacije zahtijeva poštivanje niza strogih pravila kojih se ne može pridržavati svaka tvrtka.
Konkretno, CA mora imati licencu koja mu daje pravo na razvoj, proizvodnju i distribuciju enkripcijskih (kriptografskih) alata, informacijskih i telekomunikacijskih sustava. Ovu dozvolu izdaje FSB nakon što podnositelj zahtjeva prođe niz strogih provjera.
Zaposlenici CA moraju imati višu stručnu spremu iz područja informacijske tehnologije ili informacijske sigurnosti.
Zakon također obvezuje CA-e da osiguraju svoju odgovornost za „gubitke prouzročene trećim stranama kao rezultat njihovog povjerenja u podatke navedene u certifikatu ključa za provjeru elektroničkog potpisa koji je izdao takav CA ili informacije sadržane u registru certifikata koji vodi takav CA ” u iznosu ne manjem od 30 milijuna rubalja.
Kao što vidite, nije sve tako jednostavno.
Ukupno u zemlji trenutno postoji oko 500 CA-ova koji imaju pravo izdavati ECES (poboljšani kvalificirani certifikat elektroničkog potpisa). To uključuje ne samo privatne certifikacijske centre, već i CA-ove pod raznim vladinim agencijama (uključujući Saveznu poreznu službu, Rusku Federaciju itd.), banke, platforme za trgovanje, uključujući državne.
Certifikat elektroničkog potpisa izrađuje se pomoću algoritama šifriranja koje je ovjerio FSB Ruske Federacije. Omogućuje pravnim i fizičkim osobama elektroničku razmjenu pravno značajnih dokumenata. Prema službenim podacima NK, većinu (95%) CEP-a izdaju pravne osobe. osobe, ostalo - pojedinci. osobe.
Nakon što kontaktirate CA, događa se sljedeće:
- CA provjerava identitet osobe koja je podnijela zahtjev za certifikat elektroničkog potpisa;
Tek nakon potvrde identiteta i provjere svih dokumenata CA izrađuje i izdaje certifikat koji sadrži podatke o vlasniku certifikata i njegov javni verifikacijski ključ; - CA upravlja životnim ciklusom certifikata: osigurava njegovo izdavanje, suspenziju (uključujući i na zahtjev vlasnika), obnavljanje i istek.
- Još jedna funkcija CA je usluga. Nije dovoljno samo izdati potvrdu. Korisnici redovito traže sve vrste savjeta o postupku izdavanja i korištenja potpisa, savjete o podnošenju zahtjeva i odabiru vrste certifikata. Veliki CA-ovi, kao što su CA-ovi tvrtke Poslovna mreža, pružaju usluge tehničke podrške, kreiraju razne softvere, unaprjeđuju poslovne procese, prate promjene u područjima primjene certifikata itd. Konkurirajući jedni drugima, CA-ovi rade na kvaliteti IT-a. usluge, razvijajući ovo područje.
Kozak je poslan!
Razmotrimo prvi korak gornjeg algoritma za dobivanje elektroničkih potpisa. Što znači „ovjeriti identitet” osobe koja je podnijela zahtjev za potvrdu? To znači da se osoba na čije ime izdaje certifikat mora osobno pojaviti ili u uredu CA ili na mjestu izdavanja koje s CA ima partnerski ugovor i tamo predočiti izvornike svojih dokumenata. Konkretno, putovnica državljanina Ruske Federacije. U nekim slučajevima kada su u pitanju potpisi za pravna lica. pojedincima i samostalnim poduzetnicima, postupak identifikacije je još kompliciraniji i zahtijeva predočenje dodatnih dokumenata.
Upravo u ovoj fazi, odnosno na samom početku, kada stvari još nisu ni stigle do izdavanja potvrde o potpisivanju, je najvažniji problem. A ključna riječ ovdje je "putovnica".
Curenje osobnih podataka u zemlji poprimilo je prave industrijske razmjere. Postoje internetski resursi na kojima možete dobiti skenirane kopije važećih putovnica ruskih državljana za malo novca ili čak besplatno. Ali skenirane putovnice u našoj zemlji, opterećene postsovjetskim naslijeđem stila "pokaži dokumente", mogu se prikupiti od građana posvuda - ne samo u bankama ili drugim financijskim institucijama, već i u hotelima, školama, sveučilištima, zračnim i željezničke blagajne, dječji centri, servisna mjesta za mobilne pretplatnike - gdje god zahtijevaju da pokažete svoju putovnicu za uslugu, to jest, gotovo svugdje. S razvojem digitalnih tehnologija, ovaj široki kanal pristupa osobnim podacima u opticaj su stavili kriminalci.
Vrlo su česte i “usluge” za krađu osobnih podataka određenih osoba.
Osim toga, postoji cijela vojska tzv. “nominalisti” - ljudi, u pravilu, vrlo mladi, ili vrlo siromašni i slabo obrazovani, ili jednostavno degenerirani, kojima kriminalci obećavaju skromnu nagradu ako im donesu putovnicu u CA ili na mjesto izdavanja i naruče potpis u ime tamo kao, na primjer, direktor tvrtke. Nepotrebno je reći da takva osoba tada nema nikakve veze s aktivnostima tvrtke i ne može pružiti nikakvu stvarnu pomoć istrazi kada se prijevara otkrije.
Dakle, skeniranje putovnice nije problem. Ali za identifikaciju vam treba originalna putovnica, kako to može, pitat će se pažljivi čitatelj? A da bi se zaobišao ovaj problem, u svijetu postoje beskrupulozne dostavne točke. Unatoč strogoj proceduri odabira, kriminalni likovi povremeno dobivaju status problematične točke, a zatim počinju činiti nezakonite radnje s osobnim podacima građana.
Ova dva čimbenika u kombinaciji daju nam cijeli val problema s kriminalizacijom uporabe elektroničkih uređaja koje sada imamo.
Ima li sigurnosti u brojkama?
Cijelu ovu, bez pretjerivanja, vojsku prevaranata sada filtriraju samo certifikacijski centri. Svaki CA ima vlastite sigurnosne službe. Svi koji se prijave za potpis pažljivo se provjeravaju u fazi identifikacije. Svatko tko želi surađivati u statusu točke izdavanja za određeni CA također se pažljivo provjerava kako u fazi sklapanja ugovora o partnerstvu, tako i naknadno, u procesu poslovne interakcije.
Ne može biti drugačije, jer nepoštena certifikacija prijeti zatvaranjem CA - zakonodavstvo u ovom području je strogo.
Ali nemoguće je prigrliti neizmjernost, a neke od beskrupuloznih točaka izdavanja još uvijek "procure" u partnere CA. A "nominirani" možda uopće nema razloga odbiti izdavanje potvrde - uostalom, on se prijavljuje CA potpuno legalno.
Također, ako se otkrije prijevara s potpisom na ime određene osobe, jedino će certifikacijski centar pomoći u rješavanju problema. Budući da certifikacijski centar u ovom slučaju opoziva potpisni certifikat, provodi internu istragu, prati cijeli lanac izdavanja certifikata, te može sudu dostaviti potrebne dokumente o lažnim radnjama prilikom izdavanja ključa elektroničkog potpisa. Samo će materijali iz certifikacijskog centra pomoći na sudu da se slučaj riješi u korist stvarno oštećene strane: osobe na čije je ime lažno izdan potpis.
No, opća digitalna nepismenost ni ovdje ne ide na ruku žrtvama. Ne idu svi do kraja kako bi zaštitili svoje interese. Ali nezakonite radnje s digitalnim potpisom moraju se osporiti na sudu. A glavna pomoć u tome su certifikacijski centri.
Ubiti sve CA?
I tako je u našoj državi odlučeno promijeniti način rada CA-ova i zahtjeve za njih. Skupina zastupnika i senatora izradila je odgovarajući prijedlog zakona, koji je Državna duma već usvojila u prvom čitanju 7. studenog 2019.
Dokument predviđa opsežnu reformu sustava certifikata elektroničkog potpisa. Konkretno, pretpostavlja se da će pravne osobe i samostalni poduzetnici (IP) moći dobiti poboljšani kvalificirani elektronički potpis (ECES) samo od Federalne porezne službe, a financijske organizacije od Središnje banke. Certifikacijski centri (CA) s akreditacijom Ministarstva telekomunikacija, koji sada izdaju elektroničke potpise, moći će ih izdavati samo fizičkim osobama.
U isto vrijeme, zahtjevi za takve CA-ove planiraju se znatno pooštriti. Minimalni iznos neto imovine akreditiranog certifikacijskog centra trebao bi se povećati sa 7 milijuna rubalja. do 1 milijarde rubalja, a minimalni iznos financijske potpore – od 30 milijuna rubalja. do 200 milijuna rubalja. Ako certifikacijski centar ima podružnice u najmanje dvije trećine ruskih regija, tada se minimalni iznos neto imovine može smanjiti na 500 milijuna rubalja.
Razdoblje akreditacije za certifikacijske centre skraćuje se s pet na tri godine. Uvodi se administrativna odgovornost za prekršaje u radu certifikacijskih centara tehničke prirode.
Sve bi to trebalo smanjiti prijevare s elektroničkim potpisima, smatraju autori prijedloga zakona.
Koji je rezultat?
Kao što lako možete vidjeti, novi prijedlog zakona ni na koji način ne rješava problem kriminalne upotrebe dokumenata građana Ruske Federacije i krađe osobnih podataka. Nije važno tko će izdati potpis CA ili Federalne porezne službe, identitet vlasnika potpisa i dalje će morati biti ovjeren, a prijedlog zakona ne predviđa nikakve inovacije po tom pitanju. Ako je beskrupulozna točka izdavanja radila prema kriminalnim shemama za obični CA, što će vas onda spriječiti da učinite isto za državnu?
Trenutna verzija prijedloga zakona trenutno ne propisuje tko će snositi kakvu odgovornost za izdavanje UKEP-a ako je taj potpis korišten u prijevarnim radnjama. Štoviše, ni u Kaznenom zakonu ne postoji odgovarajući članak koji bi omogućio kazneni progon za izdavanje certifikata elektroničkog potpisa na temelju ukradenih osobnih podataka.
Poseban problem je preopterećenost državnih AT-ova, koja će se novim pravilima sigurno pojaviti i učiniti pružanje usluga građanima i pravnim osobama vrlo sporim i otežanim.
U prijedlogu zakona uopće se ne razmatra uslužna funkcija CA. Nije jasno hoće li se pri predloženim velikim državnim trgovačkim društvima formirati odjeli za korisničku podršku, koliko će to trajati i koja će materijalna ulaganja zahtijevati te tko će pružati korisničku uslugu dok se takva infrastruktura stvara. Očito je da nestanak konkurencije na ovom području lako može dovesti do stagnacije industrije.
Odnosno, rezultat je monopolizacija CA tržišta od strane državnih agencija, preopterećenost tih struktura uz usporavanje svih EDI aktivnosti, nedostatak podrške krajnjem korisniku u slučaju prijevare i potpuno uništenje postojećeg CA tržišta zajedno s postojećom infrastrukturom. (ovo je oko 15 radnih mjesta u cijeloj zemlji).
Tko će nastradati? Uslijed donošenja ovakvog prijedloga zakona ispaštat će oni koji sada trpe, a to su krajnji korisnici i certifikacijska tijela.
A posao koji napreduje zahvaljujući krađi identiteta i dalje će cvjetati. Nije li vrijeme da agencije za provođenje zakona i zakonodavci usmjere pozornost na ovaj problem i istinski ozbiljno odgovore na izazove digitalnog doba? Mogućnosti za krađu osobnih podataka i njihovu kasniju kriminalnu upotrebu višestruko su se povećale u posljednjih 10-15 godina. Povećana je i razina obučenosti kriminalaca. Na to je potrebno odgovoriti uvođenjem strogih mjera odgovornosti za bilo kakve nezakonite radnje s tuđim osobnim podacima, kako za tvrtke i njihove zaposlenike, tako i za pojedince. A da bi se doista riješio problem kriminalne uporabe certifikata elektroničkog potpisa, potrebno je izraditi prijedlog zakona koji bi predvidio odgovornost, pa i kaznenu, za takve radnje. A ne prijedlog zakona koji jednostavno preraspodjeljuje financijske tijekove, komplicira proceduru krajnjem korisniku i na kraju nikoga ne štiti.
Izvor: www.habr.com