Mi folyik itt?
Az elektronikus aláírási tanúsítvány használatával elkövetett csalás témája a közelmúltban nagy nyilvánosságot kapott. A szövetségi média szabálysá tette, hogy rendszeresen rémtörténeteket meséljenek el az elektronikus aláírással való visszaélés eseteiről. A leggyakoribb bűncselekmény ezen a területen a jogi személy bejegyzése. személyek vagy egyéni vállalkozók az Orosz Föderáció gyanútlan állampolgárának nevében. Egy másik népszerű csalási módszer az ingatlan tulajdonosváltással járó tranzakció (ez az, amikor valaki eladja a lakását az Ön nevében valaki másnak, de nem is tudja).
De ne foglalkozzunk azzal, hogy az esetleges illegális tevékenységeket digitális aláírással írjuk le, nehogy kreatív ötleteket adjunk a csalóknak. Inkább próbáljuk meg kitalálni, miért vált ilyen széles körben ez a probléma, és mit kell valóban tenni a felszámolása érdekében. Ehhez pedig világosan meg kell értenünk, mik azok a tanúsítási központok, hogyan működnek pontosan, és vajon annyira ijesztőek-e, mint ahogyan a médiában és az érdekelt felek nyilatkozataiban bemutatják őket.
Honnan jönnek az aláírások?
Tehát te vagy a felhasználó. Szüksége van egy elektronikus aláírási tanúsítványra. Nem számít, milyen feladatokat lát el, és milyen státuszban van (cég, egyéni, egyéni vállalkozó) - a tanúsítvány megszerzésének algoritmusa szabványos. És felveszi a kapcsolatot a hitelesítési központtal, hogy megvásárolja az elektronikus aláírási tanúsítványt.
A tanúsító központ olyan vállalat, amelyre az orosz jogszabályok számos szigorú követelményt támasztanak.
A továbbfejlesztett minősített elektronikus aláírás kiadásának jogához a hitelesítési központnak speciális akkreditációs eljáráson kell átesnie a Távközlési és Tömegkommunikációs Minisztériummal. Az akkreditációs eljárás számos szigorú szabály betartását követeli meg, amelyeknek nem minden cég képes megfelelni.
A CA-nak különösen olyan licenccel kell rendelkeznie, amely jogot biztosít számára titkosítási (kriptográfiai) eszközök, információs és távközlési rendszerek fejlesztésére, gyártására és terjesztésére. Ezt az engedélyt az FSB adja ki, miután a kérelmező átesett egy sor szigorú ellenőrzésen.
A CA alkalmazottainak felsőfokú szakmai végzettséggel kell rendelkezniük az információtechnológia vagy az információbiztonság területén.
A törvény arra is kötelezi a hitelesítésszolgáltatókat, hogy biztosítsák felelősségüket „azok a veszteségekért, amelyeket harmadik személynek okozott az ilyen CA által kibocsátott elektronikus aláírás-ellenőrző kulcs tanúsítványában meghatározott információkba, vagy az ilyen hitelesítésszolgáltató által vezetett tanúsítványnyilvántartásban szereplő információkba vetett bizalom következtében. ” összegben nem kevesebb, mint 30 millió rubel.
Amint látja, nem minden olyan egyszerű.
Összesen jelenleg mintegy 500 CA van az országban, amelyek jogosultak ECES (továbbfejlesztett minősített elektronikus aláírási tanúsítvány) kiadására. Ez nem csak a magántanúsítási központokat foglalja magában, hanem a különféle kormányzati szervek (beleértve a Szövetségi Adószolgálatot, az Orosz Föderációt stb.), bankokat, kereskedési platformokat, beleértve az államiakat is.
Az elektronikus aláírási tanúsítványt az Orosz Föderáció FSB által hitelesített titkosítási algoritmusokkal hozzák létre. Lehetővé teszi jogi személyek és magánszemélyek számára a jogilag jelentős dokumentumok elektronikus cseréjét. A CA hivatalos adatai szerint a CEP többségét (95%) jogi személyek bocsátják ki. személyek, a többiek egyének. személyek.
Miután kapcsolatba lép a CA-val, a következő történik:
- A CA ellenőrzi az elektronikus aláírási tanúsítványt kérelmező személy személyazonosságát;
A hitelesítésszolgáltató csak a személyazonosság megerősítése és az összes dokumentum ellenőrzése után állít elő és állít ki tanúsítványt, amely tartalmazza a tanúsítvány tulajdonosára és nyilvános ellenőrző kulcsára vonatkozó információkat; - A CA kezeli a tanúsítvány életciklusát: gondoskodik annak kiadásáról, felfüggesztéséről (a tulajdonos kérésére is), megújításáról és lejáratáról.
- A CA másik funkciója a szolgáltatás. Nem elég csak egy bizonyítványt kiállítani. A felhasználók rendszeresen igényelnek mindenféle tanácsot az aláírás kiállításának és felhasználásának eljárásával, az igényléssel és a tanúsítvány típusának kiválasztásával kapcsolatban. A nagy CA-k, mint például a Business Network vállalat CA-i műszaki támogatási szolgáltatásokat nyújtanak, különféle szoftvereket készítenek, fejlesztik az üzleti folyamatokat, figyelemmel kísérik a tanúsítványok alkalmazási területén bekövetkezett változásokat stb. A CA-k egymással versengve dolgoznak az IT minőségén. szolgáltatások, e terület fejlesztése.
Kozák valamit rosszul kezeltek!
Tekintsük a fenti algoritmus 1. lépését az elektronikus aláírások megszerzésére. Mit jelent a tanúsítványért folyamodó személy „azonosságának igazolása”? Ez azt jelenti, hogy annak a személynek, akinek a nevére a tanúsítványt kiállítják, személyesen meg kell jelennie vagy a CA irodájában, vagy a hitelesítésszolgáltatóval partneri megállapodást kötött kiállító helyen, és ott be kell mutatnia dokumentumainak eredeti példányait. Különösen az Orosz Föderáció állampolgárának útlevele. Egyes esetekben, amikor a jogi személyek aláírásáról van szó. magánszemélyek és egyéni vállalkozók esetében az azonosítási eljárás még bonyolultabb, és további dokumentumok bemutatását igényli.
Éppen ebben a szakaszban, vagyis a legelején, amikor még az aláírási igazolás kiállításáig sem jutott el a dolog, a legfontosabb probléma. És itt a kulcsszó az „útlevél”.
A személyes adatok kiszivárogtatása az országban valóban ipari méreteket öltött. Vannak olyan online források, ahol kevés pénzért vagy akár ingyenesen is beszerezheti az orosz állampolgárok érvényes útleveleinek szkennelt másolatait. Ám hazánkban, a „dokumentumok bemutatása” stílus posztszovjet öröksége által megterhelt útlevelek beolvasása mindenhol begyűjthető a polgároktól - nemcsak bankokban vagy más pénzintézetekben, hanem szállodákban, iskolákban, egyetemeken, légi- és légitársaságokban is. vasúti jegypénztárak, gyermekközpontok, mobil-előfizetői szolgáltató pontok - ahol csak útlevelet kérnek a szolgáltatáshoz, vagyis szinte mindenhol. A digitális technológiák fejlődésével a személyes adatokhoz való hozzáférésnek ezt a széles csatornáját a bűnügyi dolgozók forgalomba hozták.
Az egyes személyek személyes adatainak eltulajdonítására irányuló „szolgáltatások” szintén nagyon gyakoriak.
Ezen kívül egész sereg ún. „jelöltek” - általában nagyon fiatalok, vagy nagyon szegények és rosszul iskolázottak, vagy egyszerűen degenerált emberek, akiknek a bűnözők szerény jutalmat ígérnek azért, mert elhozzák útlevelüket a CA-ba vagy a kiállítóhelyre, és aláírást rendelnek. neved ott például egy cég igazgatójaként. Mondanunk sem kell, hogy az ilyen személynek semmi köze a cég tevékenységéhez, és nem tud valódi segítséget nyújtani a nyomozáshoz, amikor a csalás kiderül.
Tehát az útlevél beolvasása nem jelent problémát. De az azonosításhoz eredeti útlevél kell, hogy lehet ez, kérdezi a figyelmes olvasó? És hogy megkerüljük ezt a problémát, vannak gátlástalan szállítási pontok a világon. A szigorú kiválasztási eljárás ellenére a bűnözők időről időre kibocsátási pont státuszt kapnak, majd jogellenes cselekményeket kezdenek el az állampolgárok személyes adataival.
Ez a két tényező együttesen adja számunkra az elektronikus eszközök használatának kriminalizálásával kapcsolatos problémák teljes hullámát.
Van biztonság a számokban?
Ezt az egész, túlzás nélkül, csalók seregét ma már csak a tanúsító központok szűrik le. Minden CA rendelkezik saját biztonsági szolgáltatással. Mindenkit, aki aláírást kér, gondosan ellenőriznek az azonosítás szakaszában. Aki egy adott CA kibocsátási pontjának státuszában kíván együttműködni, azt gondosan ellenőrzik mind a partnerségi szerződés megkötésének szakaszában, mind azt követően, az üzleti interakció során.
Nem is lehet másképp, mert a tisztességtelen tanúsítás a CA-t bezárással fenyegeti – szigorúak a jogszabályok ezen a területen.
A mérhetetlenséget azonban nem lehet magáévá tenni, és a gátlástalan kibocsátási pontok egy része még mindig „kiszivárog” a CA partnerei közé. A „jelöltnek” pedig egyáltalán nem lehet oka megtagadni a tanúsítvány kiadását – elvégre teljesen legálisan fordul a CA-hoz.
Továbbá, ha egy adott személy nevében aláírást tartalmazó átverést fedeznek fel, csak egy tanúsító központ segít megoldani a problémát. Mivel a hitelesítő központ ebben az esetben visszavonja az aláírási tanúsítványt, belső vizsgálatot folytat le, nyomon követi a tanúsítványkiadás teljes láncolatát, és az elektronikus aláírási kulcs kiadásakor a bíróság rendelkezésére tudja bocsátani a csalásról szóló dokumentumokat. Csak a hitelesítési központ anyagai segítenek a bíróságon abban, hogy az ügyet a valóban károsult fél javára rendezzék: annak a személynek, akinek a nevében az aláírást csalárd módon adták ki.
Az általános digitális írástudatlanság azonban itt sem válik az áldozatok javára. Nem mindenki törekszik arra, hogy megvédje az érdekeit. A digitális aláírással járó jogellenes cselekményeket azonban bíróság előtt kell megtámadni. Ebben pedig a tanúsító központok jelentik a fő segítséget.
Megölni az összes CA-t?
Így államunkban úgy döntöttek, hogy módosítják a CA-k működési eljárását és a velük szemben támasztott követelményeket. A képviselők és szenátorok egy csoportja kidolgozott egy megfelelő törvényjavaslatot, amelyet az Állami Duma 7. november 2019-én már első olvasatban elfogadott.
A dokumentum az elektronikus aláírás tanúsító rendszerének nagyszabású reformjáról rendelkezik. Különösen azt feltételezi, hogy a jogi személyek és egyéni vállalkozók (IP) csak a Szövetségi Adószolgálattól, a pénzügyi szervezetek pedig a Központi Banktól kaphatnak továbbfejlesztett minősített elektronikus aláírást (ECES). A távközlési és tömegkommunikációs minisztérium által akkreditált hitelesítési központok (CA), amelyek jelenleg elektronikus aláírást adnak ki, csak magánszemélyek számára adhatják ki.
Ugyanakkor a tervek szerint az ilyen CA-kkal szemben támasztott követelmények jelentősen szigorodnak. Az akkreditált tanúsító központ nettó eszközeinek minimális összegét 7 millió rubelről kell növelni. legfeljebb 1 milliárd rubel, a pénzügyi támogatás minimális összege pedig 30 millió rubeltől. legfeljebb 200 millió rubel. Ha a tanúsító központnak az orosz régiók legalább kétharmadában van fióktelepe, akkor a nettó eszközök minimális összege 500 millió rubelre csökkenthető.
A tanúsító központok akkreditációs időszakát ötről három évre csökkentik. Adminisztratív felelősséget vezetnek be a műszaki jellegű tanúsító központok munkájában elkövetett jogsértésekért.
Mindezzel csökkenteni kell az elektronikus aláírással elkövetett csalások számát – vélik a törvényjavaslat készítői.
Mi az eredmény?
Amint azt könnyen láthatja, az új törvényjavaslat semmilyen módon nem foglalkozik az Orosz Föderáció állampolgárai dokumentumainak bűnös felhasználásának és a személyes adatok ellopásának problémájával. Nem számít, hogy ki adja ki a CA vagy a Szövetségi Adószolgálat aláírását, az aláírás tulajdonosának személyazonosságát továbbra is igazolni kell, és a törvényjavaslat nem tartalmaz újításokat ebben a kérdésben. Ha egy gátlástalan kibocsátó pont bűnözői sémák szerint működött egy közönséges CA-nál, akkor mi akadályozza meg Önt abban, hogy ugyanezt tegye egy állami tulajdonú kibocsátónál?
A törvényjavaslat jelenlegi változata jelenleg nem rendelkezik arról, hogy ki milyen felelősséget fog viselni az UKEP kiadásáért, ha ezt az aláírást csaló tevékenységre használták fel. Sőt, még a Btk.-ban sem található megfelelő cikk, amely lehetővé tenné a büntetőeljárás lefolytatását ellopott személyes adatokon alapuló elektronikus aláírási tanúsítvány kiállításáért.
Külön probléma az állami CA-k túlterheltsége, amely minden bizonnyal az új szabályok értelmében fel fog merülni, és nagyon lelassítja és megnehezíti az állampolgárok és jogi személyek szolgáltatásait.
A CA szolgáltatási funkciója egyáltalán nem szerepel a számlában. Nem világos, hogy a tervezett nagy állami tulajdonú CA-knál jönnek-e létre ügyfélszolgálati osztályok, ez mennyi ideig tart és milyen anyagi beruházásokat igényel, és ki fogja ellátni az ügyfélszolgálatot az ilyen infrastruktúra kialakítása közben. Nyilvánvaló, hogy a verseny megszűnése ezen a területen könnyen stagnáláshoz vezethet az iparban.
Vagyis az eredmény a CA-piac állami szervek általi monopolizálása, ezen struktúrák túlterheltsége az összes EDI-tevékenység lelassulásával, a végfelhasználói támogatás hiánya csalás esetén, valamint a jelenlegi CA-piac teljes lerombolása a meglévő infrastruktúrával együtt. (ez körülbelül 15 000 munkahelyet jelent az országban összességében).
Ki fog megsérülni? Egy ilyen törvényjavaslat elfogadásának eredményeként azok fognak szenvedni, akik most szenvednek, vagyis a végfelhasználók és a tanúsító hatóságok.
A személyazonosság-lopásból virágzó vállalkozás pedig továbbra is virágzik. Nem jött el az ideje, hogy a bűnüldöző szervek és a jogalkotók figyelmüket erre a problémára fordítsák, és valóban komolyan reagáljanak a digitális kor kihívásaira? Az elmúlt 10-15 évben megsokszorozódtak a személyes adatok ellopásának és az azt követő bűnös felhasználásuk lehetőségei. A bûnözõk képzettsége is emelkedett. Erre úgy kell reagálni, hogy szigorú felelősséget kell bevezetni a mások személyes adataival végzett jogellenes cselekményekért, mind a vállalatok és alkalmazottaik, mind a magánszemélyek esetében. Ahhoz pedig, hogy valóban megoldódjon az elektronikus aláírási tanúsítványok bűnös felhasználásának problémája, olyan törvényjavaslatot kell alkotni, amely az ilyen cselekményekért felelősséget, ezen belül büntetőjogi felelősséget ír elő. És nem egy olyan törvényjavaslat, amely egyszerűen újraosztja a pénzügyi áramlásokat, bonyolítja az eljárást a végfelhasználó számára, és végül nem ad védelmet senkinek.
Forrás: will.com