Գիշատակա՞ն, թե՞ որս. Ով կպաշտպանի սերտիֆիկացման կենտրոնները

Ինչ է կատարվում:

Էլեկտրոնային ստորագրության վկայականի միջոցով կատարված խարդախության թեման վերջերս արժանացել է հանրության լայն ուշադրությանը։ Դաշնային լրատվամիջոցները կանոն են դարձրել պարբերաբար սարսափ պատմություններ պատմել էլեկտրոնային ստորագրության չարաշահման դեպքերի մասին։ Այս ոլորտում ամենատարածված հանցագործությունը իրավաբանական անձի գրանցումն է։ անձինք կամ անհատ ձեռնարկատերերը Ռուսաստանի Դաշնության անկասկած քաղաքացու անունով. Խարդախության մեկ այլ հայտնի մեթոդ է գործարքը, որը ներառում է անշարժ գույքի սեփականության փոփոխություն (սա այն դեպքում, երբ ինչ-որ մեկը ձեր անունից ձեր բնակարանը վաճառում է մեկ ուրիշին, բայց դուք նույնիսկ չգիտեք):

Բայց եկեք չտարվենք թվային ստորագրություններով հնարավոր անօրինական գործողությունները նկարագրելով, որպեսզի կրեատիվ գաղափարներ չտանք խաբեբաներին։ Ավելի լավ է փորձենք պարզել, թե ինչու է այս խնդիրն այդքան լայն տարածում ստացել և իրականում ինչ է պետք անել այն արմատախիլ անելու համար: Եվ դրա համար մենք պետք է հստակ հասկանանք, թե ինչ են սերտիֆիկացման կենտրոնները, ինչպես են դրանք աշխատում և արդյոք դրանք այնքան վախկոտ են, որքան մեզ պատկերում են լրատվամիջոցներում և շահագրգիռ կողմերի հայտարարություններում:

Որտեղի՞ց են գալիս ստորագրությունները:

Այսպիսով, դուք օգտվողն եք: Ձեզ անհրաժեշտ է էլեկտրոնային ստորագրության վկայական: Կարևոր չէ, թե ինչ առաջադրանքների համար և ինչ կարգավիճակում եք դուք (ընկերություն, անհատ, անհատ ձեռնարկատեր), վկայական ստանալու ալգորիթմը ստանդարտ է: Եվ դուք կապվում եք սերտիֆիկացման կենտրոնի հետ՝ էլեկտրոնային ստորագրության վկայական ձեռք բերելու համար:

Հավաստագրման կենտրոնը ընկերություն է, որին Ռուսաստանի օրենսդրությունը մի շարք խիստ պահանջներ է դնում:

Ընդլայնված որակավորված էլեկտրոնային ստորագրություն տրամադրելու իրավունք ունենալու համար սերտիֆիկացման կենտրոնը պետք է անցնի հավատարմագրման հատուկ ընթացակարգ Հեռահաղորդակցության և զանգվածային հաղորդակցության նախարարությունում: Հավատարմագրման ընթացակարգը պահանջում է մի շարք խիստ կանոնների պահպանում, որոնք ոչ բոլոր ընկերություններն են կարողանում պահպանել:

Մասնավորապես, CA-ից պահանջվում է ունենալ լիցենզիա, որը նրան իրավունք է տալիս մշակել, արտադրել և տարածել գաղտնագրման (կրիպտոգրաֆիկ) գործիքներ, տեղեկատվական և հեռահաղորդակցության համակարգեր: Այս լիցենզիան տրվում է FSB-ի կողմից այն բանից հետո, երբ դիմորդը անցնում է մի շարք խիստ ստուգումներ:

CA-ի աշխատակիցները պետք է ունենան բարձր մասնագիտական ​​կրթություն տեղեկատվական տեխնոլոգիաների կամ տեղեկատվական անվտանգության ոլորտում:

Օրենքը նաև պարտավորեցնում է ՀԿ-ներին ապահովագրել իրենց պատասխանատվությունը «երրորդ կողմերին պատճառված վնասների համար՝ կապված այդ ՀԿ-ի կողմից տրված էլեկտրոնային ստորագրության ստուգման բանալին հավաստագրի կամ այդ ՀԿ-ի կողմից վարվող վկայագրերի գրանցամատյանում պարունակվող տեղեկատվության նկատմամբ վստահության հետևանքով»: 30 միլիոն ռուբլիից ոչ պակաս չափով:

Ինչպես տեսնում եք, ամեն ինչ այնքան էլ պարզ չէ:

Ընդհանուր առմամբ, ներկայումս երկրում կա մոտ 500 CA, որոնք իրավունք ունեն թողարկել ECES (ընդլայնված որակավորված էլեկտրոնային ստորագրության վկայական): Սա ներառում է ոչ միայն մասնավոր սերտիֆիկացման կենտրոններ, այլ նաև տարբեր պետական ​​մարմինների (ներառյալ Դաշնային հարկային ծառայությունը, Ռուսաստանի Դաշնությունը և այլն), բանկերը, առևտրային հարթակները, ներառյալ պետականները:

Էլեկտրոնային ստորագրության վկայականը ստեղծվում է Ռուսաստանի Դաշնության FSB-ի կողմից վավերացված գաղտնագրման ալգորիթմների միջոցով: Այն իրավաբանական և ֆիզիկական անձանց հնարավորություն է տալիս էլեկտրոնային եղանակով փոխանակել իրավական նշանակություն ունեցող փաստաթղթերը: Համաձայն CA-ի պաշտոնական տվյալների, CEP-ի մեծ մասը (95%) թողարկվում է իրավաբանական անձանց կողմից: անձինք, մնացածը՝ անհատներ։ անձինք.

CA-ի հետ կապ հաստատելուց հետո տեղի է ունենում հետևյալը.

1. CA-ն ստուգում է էլեկտրոնային ստորագրության վկայական ստանալու համար դիմած անձի ինքնությունը.
   Միայն ինքնությունը հաստատելուց և բոլոր փաստաթղթերը հաստատելուց հետո CA-ն արտադրում և թողարկում է վկայագիր, որը ներառում է վկայականի սեփականատիրոջ և նրա հանրային հաստատման բանալիի մասին տեղեկատվություն.
2. CA-ն կառավարում է վկայագրի կյանքի ցիկլը. ապահովում է դրա տրամադրումը, կասեցումը (այդ թվում՝ սեփականատիրոջ խնդրանքով), երկարաձգումը և ժամկետի ավարտը:
3. CA-ի մեկ այլ գործառույթ է սպասարկումը: Միայն վկայական տալը բավարար չէ։ Օգտատերերը պարբերաբար պահանջում են բոլոր տեսակի խորհրդատվություն ստորագրության տրամադրման և օգտագործման կարգի վերաբերյալ, խորհրդատվություն հայտի և վկայականի տեսակի ընտրության վերաբերյալ: Խոշոր CA-ները, ինչպիսիք են Business Network ընկերության CA-ները, տրամադրում են տեխնիկական աջակցության ծառայություններ, ստեղծում են տարբեր ծրագրեր, բարելավում են բիզնես գործընթացները, վերահսկում են փոփոխությունները սերտիֆիկատների կիրառման ոլորտներում և այլն: Մրցակցելով միմյանց հետ՝ CA-ները աշխատում են ՏՏ որակի վրա: ծառայություններ՝ զարգացնելով այս ոլորտը։

Կազակը ուղարկված է:

Դիտարկենք վերը նշված ալգորիթմի 1-ին քայլը՝ էլեկտրոնային ստորագրություններ ստանալու համար։ Ի՞նչ է նշանակում վկայական ստանալու համար դիմած անձի «հաստատել ինքնությունը»: Սա նշանակում է, որ այն անձը, ում անունով տրվում է վկայականը, պետք է անձամբ ներկայանա կամ CA գրասենյակ կամ թողարկող կետ, որը գործընկերության պայմանագիր ունի CA-ի հետ և այնտեղ ներկայացնի իր փաստաթղթերի բնօրինակները: Մասնավորապես՝ Ռուսաստանի Դաշնության քաղաքացու անձնագիր։ Որոշ դեպքերում, երբ խոսքը վերաբերում է իրավաբանական անձանց ստորագրություններին. անհատներին և անհատ ձեռնարկատերերին նույնականացման ընթացակարգն էլ ավելի բարդ է և պահանջում է լրացուցիչ փաստաթղթերի ներկայացում:

Հենց այս փուլում, այսինքն՝ ամենասկզբում, երբ գործը նույնիսկ ստորագրման վկայական տալուն չի հասել, ամենակարևոր խնդիրն է։ Եվ այստեղ հիմնական բառը «անձնագիր» է:

Անձնական տվյալների արտահոսքը երկրում հասել է իսկապես արդյունաբերական չափերի։ Կան առցանց ռեսուրսներ, որտեղ դուք կարող եք ստանալ Ռուսաստանի քաղաքացիների վավեր անձնագրերի սկանավորված պատճենները քիչ գումարով կամ նույնիսկ անվճար: Բայց մեր երկրում անձնագրերի սքաները, որոնք ծանրաբեռնված են «շոու փաստաթղթերի» ոճի հետխորհրդային ժառանգությամբ, կարելի է հավաքել քաղաքացիներից ամենուր՝ ոչ միայն բանկերում կամ այլ ֆինանսական հաստատություններում, այլև հյուրանոցներում, դպրոցներում, համալսարաններում, օդային և օդային և այլ վայրերում երկաթուղային տոմսարկղեր, մանկական կենտրոններ, բջջային կապի բաժանորդների սպասարկման կետեր՝ որտեղ էլ որ նրանք ձեզանից պահանջեն ներկայացնել ձեր անձնագիրը սպասարկման համար, այսինքն՝ գրեթե ամենուր: Թվային տեխնոլոգիաների զարգացմամբ անձնական տվյալների հասանելիության այս լայն ալիքը շրջանառության մեջ է դրվել հանցագործ աշխատողների կողմից:

Շատ տարածված են նաև կոնկրետ մարդկանց անձնական տվյալների գողության «ծառայությունները»։

Բացի այդ, կա մի ամբողջ բանակ, այսպես կոչված. «անվանականություն» - մարդիկ, որպես կանոն, շատ երիտասարդ, կամ շատ աղքատ և վատ կրթված, կամ պարզապես այլասերված մարդիկ, որոնց հանցագործները խոստանում են համեստ պարգև՝ իրենց անձնագիրը ԿԱ կամ տրամադրման կետ բերելու և ստորագրություն պատվիրելու համար։ այնտեղ անվանել որպես, օրինակ, ընկերության տնօրեն: Ավելորդ է ասել, որ նման անձնավորությունն այնուհետև որևէ առնչություն չունի ընկերության գործունեության հետ և չի կարող իրական օգնություն ցուցաբերել հետաքննությանը, երբ բացահայտվի խարդախությունը։

Այսպիսով, ձեր անձնագրի սկանավորումը խնդիր չէ: Բայց նույնականացման համար օրիգինալ անձնագիր է պետք, ինչպե՞ս կարող է դա լինել, կհարցնի ուշադիր ընթերցողը։ Եվ այս խնդիրը շրջանցելու համար աշխարհում կան անբարեխիղճ առաքման կետեր։ Չնայած ընտրության խիստ ընթացակարգին, հանցագործ կերպարները պարբերաբար ստանում են հարցման կետի կարգավիճակ, այնուհետև սկսում են անօրինական գործողություններ կատարել քաղաքացիների անձնական տվյալներով։

Այս երկու գործոնները համակցված մեզ տալիս են էլեկտրոնային սարքերի օգտագործման քրեականացման հետ կապված խնդիրների ամբողջ ալիքը, որն այժմ ունենք:

Կա՞ անվտանգություն թվերի մեջ:

Այս ամբողջ, առանց չափազանցության, խաբեբաների բանակն այժմ զտված է միայն սերտիֆիկացման կենտրոնների կողմից: Ցանկացած CA ունի իր սեփական անվտանգության ծառայությունները: Յուրաքանչյուր ոք, ով դիմում է ստորագրության համար, ուշադիր ստուգվում է նույնականացման փուլում: Յուրաքանչյուր ոք, ով ցանկանում է համագործակցել կոնկրետ CA-ի համար թողարկման կետի կարգավիճակում, նույնպես մանրակրկիտ ստուգվում է ինչպես գործընկերության պայմանագրի կնքման փուլում, այնպես էլ հետագայում՝ բիզնես փոխգործակցության գործընթացում:

Այլ կերպ չի կարող լինել, քանի որ անազնիվ հավաստագրումը սպառնում է ԿԱ-ին փակմամբ. այս ոլորտում օրենսդրությունը խիստ է:

Բայց անհնար է ընդունել անսահմանությունը, և որոշ անբարեխիղճ թողարկող կետեր դեռ «արտահոսում» են CA-ի գործընկերների մեջ: Իսկ «նոմինանտը» կարող է ընդհանրապես պատճառ չունենալ հրաժարվելու վկայական տալուց, չէ՞ որ նա դիմում է ԿԱ միանգամայն օրինական։

Բացի այդ, եթե հայտնաբերվի կոնկրետ անձի անունով ստորագրության հետ կապված խարդախություն, միայն սերտիֆիկացման կենտրոնը կօգնի լուծել խնդիրը: Քանի որ հավաստագրման կենտրոնն այս դեպքում չեղարկում է ստորագրության վկայականը, անցկացնում է ներքին հետաքննություն՝ հետևելով վկայականի տրամադրման ողջ շղթային և կարող է դատարանին տրամադրել անհրաժեշտ փաստաթղթեր խարդախ գործողությունների մասին էլեկտրոնային ստորագրության բանալին տրամադրելիս: Միայն սերտիֆիկացման կենտրոնի նյութերը կօգնեն դատարանում գործը լուծել հօգուտ իրապես տուժող կողմի՝ այն անձի, ում անունով ստորագրությունը խարդախությամբ է տրվել:

Սակայն ընդհանուր թվային անգրագիտությունը այստեղ նույնպես չի աշխատում ի շահ տուժածների։ Ոչ բոլորն են գնում մինչև վերջ իրենց շահերը պաշտպանելու համար։ Բայց թվային ստորագրությամբ անօրինական գործողությունները պետք է վիճարկվեն դատարանում։ Իսկ դրանում հիմնական օգնությունը հավաստագրման կենտրոններն են։

Սպանե՞լ բոլոր CA-ներին:

Եվ այսպես, մեր երկրում որոշվել է փոփոխություններ կատարել ԿԱ-ների գործունեության կարգում և դրանց ներկայացվող պահանջներին։ Մի խումբ պատգամավորներ և սենատորներ մշակել են համապատասխան օրինագիծ, որն արդեն ընդունվել է Պետդումայի կողմից առաջին ընթերցմամբ 7 թվականի նոյեմբերի 2019-ին։

Փաստաթուղթը նախատեսում է էլեկտրոնային ստորագրության վկայականների համակարգի լայնածավալ բարեփոխում։ Մասնավորապես, այն ենթադրում է, որ իրավաբանական անձինք և անհատ ձեռնարկատերերը (IP) կկարողանան ուժեղացված որակավորված էլեկտրոնային ստորագրություն (ECES) ստանալ միայն Դաշնային հարկային ծառայությունից, իսկ ֆինանսական կազմակերպությունները՝ Կենտրոնական բանկից։ Հեռահաղորդակցության և զանգվածային հաղորդակցության նախարարության կողմից հավատարմագրված սերտիֆիկացման կենտրոնները, որոնք այժմ էլեկտրոնային ստորագրություններ են թողարկում, կկարողանան դրանք տրամադրել միայն ֆիզիկական անձանց:

Միևնույն ժամանակ, նախատեսվում է մեծապես խստացնել նման ԱԿ-ների նկատմամբ պահանջները։ Հավատարմագրված սերտիֆիկացման կենտրոնի զուտ ակտիվների նվազագույն չափը պետք է ավելացվի 7 միլիոն ռուբլուց: մինչև 1 միլիարդ ռուբլի, իսկ ֆինանսական աջակցության նվազագույն չափը՝ 30 միլիոն ռուբլուց: մինչև 200 միլիոն ռուբլի: Եթե ​​հավաստագրման կենտրոնը մասնաճյուղեր ունի Ռուսաստանի մարզերի առնվազն երկու երրորդում, ապա զուտ ակտիվների նվազագույն չափը կարող է կրճատվել մինչև 500 միլիոն ռուբլի:

Սերտիֆիկացման կենտրոնների հավատարմագրման ժամկետը XNUMX-ից կրճատվում է երեք տարվա։ Վարչական պատասխանատվություն է սահմանվում տեխնիկական բնույթի սերտիֆիկացման կենտրոնների աշխատանքի խախտումների համար։

Այս ամենը պետք է նվազեցնի էլեկտրոնային ստորագրություններով խարդախությունների քանակը, կարծում են օրինագծի հեղինակները։

Ո՞րն է արդյունքը:

Ինչպես հեշտությամբ կարող եք տեսնել, նոր օրինագիծը ոչ մի կերպ չի անդրադառնում Ռուսաստանի Դաշնության քաղաքացիների փաստաթղթերի հանցավոր օգտագործման և անձնական տվյալների գողության խնդրին: Կարևոր չէ, թե ով կհրապարակի ԿԱ կամ Դաշնային հարկային ծառայության ստորագրությունը, ստորագրության տիրոջ ինքնությունը դեռ պետք է հաստատվի, և օրինագիծը որևէ նորամուծություն չի նախատեսում այս հարցում: Եթե ​​անբարեխիղճ թողարկման կետը սովորական ԿԱ-ի համար գործել է հանցավոր սխեմաներով, ապա ի՞նչը կխանգարի ձեզ նույնն անել պետական ​​սեփականության համար:

Օրինագծի ներկայիս տարբերակում ներկայումս չի նշվում, թե ով ինչ պատասխանատվություն է կրելու UKEP-ի թողարկման համար, եթե այս ստորագրությունն օգտագործվել է խարդախության մեջ: Ավելին, նույնիսկ Քրեական օրենսգրքում չկա համապատասխան հոդված, որը թույլ կտա քրեական հետապնդում իրականացնել հափշտակված անձնական տվյալների հիման վրա էլեկտրոնային ստորագրության վկայական տալու համար։

Առանձին խնդիր է պետական ​​ՀԿ-ների գերծանրաբեռնվածությունը, որը, անշուշտ, կառաջանա նոր կանոններով և կդանդաղեցնի և կդժվարացնի քաղաքացիներին և իրավաբանական անձանց ծառայությունների մատուցումը։

Օրինագծում ԿԱ-ի սպասարկման գործառույթն ընդհանրապես դիտարկված չէ։ Պարզ չէ, թե արդյոք առաջարկվող խոշոր պետական ​​ՀԿ-ներում կստեղծվեն հաճախորդների սպասարկման բաժիններ, որքան ժամանակ կպահանջվի և ինչ նյութական ներդրումներ կպահանջվեն, և ով է մատուցելու հաճախորդների սպասարկումը, մինչ ստեղծվում է նման ենթակառուցվածք: Ակնհայտ է, որ այս ոլորտում մրցակցության վերացումը կարող է հեշտությամբ հանգեցնել արդյունաբերության լճացման։

Այսինքն, արդյունքը պետական ​​մարմինների կողմից CA շուկայի մենաշնորհն է, այս կառույցների գերծանրաբեռնվածությունը EDI-ի բոլոր գործողությունների դանդաղումով, խարդախության դեպքում վերջնական օգտագործողի աջակցության բացակայությունը և առկա ենթակառուցվածքի հետ միասին ներկայիս CA շուկայի ամբողջական ոչնչացումը: (սա շուրջ 15 աշխատատեղ է ամբողջ երկրում):

Ո՞վ է վիրավորվելու. Նման օրինագծի ընդունման արդյունքում տուժելու են նրանք, ովքեր հիմա տուժում են, այսինքն՝ վերջնական օգտագործողները և սերտիֆիկացման մարմինները։

Եվ բիզնեսը, որը բարգավաճում է ինքնության գողության վրա, կշարունակի ծաղկել: Ժամանակը չէ՞, որ իրավապահ մարմիններն ու օրենսդիրներն իրենց ուշադրությունը դարձնեն այս խնդրին և իսկապես լրջորեն արձագանքեն թվային դարաշրջանի մարտահրավերներին: Անձնական տվյալների գողության և դրանց հետագա հանցավոր օգտագործման հնարավորությունները վերջին 10-15 տարիների ընթացքում բազմապատկվել են։ Բարձրացել է նաեւ հանցագործների պատրաստվածության մակարդակը։ Սրան պետք է արձագանքել՝ սահմանելով խիստ պատասխանատվության միջոցներ այլ անձանց անձնական տվյալների հետ կապված ցանկացած անօրինական գործողությունների համար, ինչպես ընկերությունների, այնպես էլ նրանց աշխատակիցների, ինչպես նաև անհատների համար: Իսկ էլեկտրոնային ստորագրության վկայականների հանցավոր օգտագործման խնդիրն իսկապես լուծելու համար անհրաժեշտ է օրինագիծ ստեղծել, որը նախատեսում է պատասխանատվություն, այդ թվում՝ քրեական պատասխանատվություն նման գործողությունների համար։ Եվ ոչ մի օրինագիծ, որը պարզապես վերաբաշխում է ֆինանսական հոսքերը, բարդացնում ընթացակարգը վերջնական օգտագործողի համար և ի վերջո որևէ մեկին պաշտպանություն չի տալիս։

Source: www.habr.com