Apa yang terjadi?
Topik mengenai tindakan penipuan yang dilakukan dengan menggunakan sertifikat tanda tangan elektronik belakangan ini mendapat perhatian luas dari masyarakat. Media federal telah membuat aturan untuk secara berkala menceritakan kisah-kisah horor tentang kasus-kasus penyalahgunaan tanda tangan elektronik. Kejahatan yang paling umum di bidang ini adalah pendaftaran badan hukum. orang atau pengusaha perorangan atas nama warga negara Federasi Rusia yang tidak menaruh curiga. Metode penipuan populer lainnya adalah transaksi yang melibatkan perubahan kepemilikan real estat (ini adalah saat seseorang menjual apartemen Anda atas nama Anda kepada orang lain, tetapi Anda bahkan tidak mengetahuinya).
Namun jangan terbawa suasana dengan mendeskripsikan kemungkinan tindakan ilegal dengan tanda tangan digital, agar tidak memberikan ide kreatif kepada penipu. Mari kita coba mencari tahu mengapa masalah ini begitu meluas dan apa yang sebenarnya perlu dilakukan untuk memberantasnya. Dan untuk ini kita perlu memahami dengan jelas apa itu pusat sertifikasi, bagaimana tepatnya mereka bekerja dan apakah mereka sama menakutkannya seperti yang digambarkan di media dan pernyataan pihak-pihak yang berkepentingan.
Tanda tangan dari mana?
Jadi, Anda adalah penggunanya. Anda memerlukan sertifikat tanda tangan elektronik. Tidak masalah untuk tugas apa, dan status apa yang Anda jalani (perusahaan, perorangan, pengusaha perorangan) - algoritme untuk mendapatkan sertifikat adalah standar. Dan Anda menghubungi pusat sertifikasi untuk membeli sertifikat tanda tangan elektronik.
Pusat sertifikasi adalah perusahaan yang tunduk pada undang-undang Rusia yang memberlakukan sejumlah persyaratan ketat.
Untuk berhak menerbitkan tanda tangan elektronik yang disempurnakan, pusat sertifikasi harus menjalani prosedur akreditasi khusus dengan Kementerian Telekomunikasi dan Komunikasi Massa. Prosedur akreditasi memerlukan kepatuhan terhadap sejumlah aturan ketat yang tidak dapat dipatuhi oleh setiap perusahaan.
Secara khusus, CA diharuskan memiliki lisensi yang memberikan hak untuk mengembangkan, memproduksi, dan mendistribusikan alat enkripsi (kriptografi), sistem informasi dan telekomunikasi. Lisensi ini dikeluarkan oleh FSB setelah pemohon melewati serangkaian pemeriksaan ketat.
Karyawan CA harus memiliki pendidikan profesional yang lebih tinggi di bidang teknologi informasi atau keamanan informasi.
Undang-undang juga mewajibkan CA untuk mengasuransikan tanggung jawab mereka atas “kerugian yang diderita pihak ketiga sebagai akibat dari kepercayaan mereka terhadap informasi yang ditentukan dalam sertifikat kunci verifikasi tanda tangan elektronik yang diterbitkan oleh CA tersebut, atau informasi yang terdapat dalam daftar sertifikat yang dikelola oleh CA tersebut. ” dalam jumlah tidak kurang dari 30 juta rubel.
Seperti yang Anda lihat, tidak semuanya sesederhana itu.
Secara total, saat ini ada sekitar 500 CA di negara tersebut yang memiliki hak untuk menerbitkan ECES (enhanced Qualified Electronic Signature Certificate). Ini tidak hanya mencakup pusat sertifikasi swasta, tetapi juga CA di bawah berbagai lembaga pemerintah (termasuk Layanan Pajak Federal, Federasi Rusia, dll.), bank, platform perdagangan, termasuk lembaga negara.
Sertifikat tanda tangan elektronik dibuat menggunakan algoritma enkripsi yang disertifikasi oleh FSB Federasi Rusia. Hal ini memungkinkan badan hukum dan individu untuk bertukar dokumen penting secara hukum secara elektronik. Menurut data resmi CA, mayoritas (95%) CEP diterbitkan oleh badan hukum. orang, sisanya - individu. orang.
Setelah Anda menghubungi CA, hal berikut terjadi:
- CA memverifikasi identitas orang yang mengajukan permohonan sertifikat tanda tangan elektronik;
Hanya setelah mengkonfirmasi identitas dan memverifikasi semua dokumen barulah CA menghasilkan dan menerbitkan sertifikat, yang mencakup informasi tentang pemilik sertifikat dan kunci verifikasi publiknya; - CA mengelola siklus hidup sertifikat: memastikan penerbitan, penangguhan (termasuk atas permintaan pemilik), pembaruan, dan kedaluwarsa.
- Fungsi lain dari CA adalah layanan. Tidak cukup hanya sekedar menerbitkan sertifikat. Pengguna secara teratur memerlukan segala macam saran tentang prosedur penerbitan dan penggunaan tanda tangan, saran tentang penerapan dan pemilihan jenis sertifikat. CA besar, seperti CA perusahaan Jaringan Bisnis, menyediakan layanan dukungan teknis, membuat berbagai perangkat lunak, meningkatkan proses bisnis, memantau perubahan di bidang penerapan sertifikat, dll. Bersaing satu sama lain, CA bekerja pada kualitas TI jasa, mengembangkan daerah ini.
Cossack sesuatu yang salah ditangani!
Mari kita pertimbangkan langkah 1 dari algoritma di atas untuk mendapatkan tanda tangan elektronik. Apa yang dimaksud dengan “menyatakan identitas” orang yang mengajukan permohonan sertifikat? Artinya, orang yang atas namanya diterbitkan sertifikat tersebut harus hadir sendiri di kantor CA atau di tempat penerbitan yang memiliki perjanjian kemitraan dengan CA, dan menunjukkan dokumen asli mereka di sana. Khususnya, paspor warga negara Federasi Rusia. Dalam beberapa kasus, jika menyangkut tanda tangan untuk badan hukum. perorangan dan pengusaha perorangan, prosedur identifikasinya pun lebih rumit dan memerlukan penyerahan dokumen tambahan.
Justru pada tahap inilah, yaitu pada tahap awal, ketika segala sesuatunya belum sampai pada penerbitan akta penandatanganan, di situlah letak persoalan yang paling penting. Dan kata kuncinya di sini adalah “paspor”.
Kebocoran data pribadi di negara ini telah mencapai proporsi yang sangat besar. Ada sumber online di mana Anda bisa mendapatkan salinan pindaian paspor warga negara Rusia yang masih berlaku dengan sedikit uang atau bahkan gratis. Namun pindaian paspor di negara kita, yang terbebani oleh gaya “tunjukkan dokumen” warisan pasca-Soviet, dapat dikumpulkan dari warga di mana pun - tidak hanya di bank atau lembaga keuangan lainnya, tetapi juga di hotel, sekolah, universitas, udara dan kantor tiket kereta api, pusat anak-anak, titik layanan untuk pelanggan seluler - di mana pun mereka mengharuskan Anda menunjukkan paspor untuk layanan, hampir di mana saja. Dengan berkembangnya teknologi digital, saluran akses data pribadi yang luas ini telah dimanfaatkan oleh para pekerja kriminal.
“Layanan” pencurian data pribadi orang tertentu juga sangat umum terjadi.
Selain itu, ada seluruh pasukan yang disebut. “nominalitas” - orang-orang, pada umumnya, sangat muda, atau sangat miskin dan berpendidikan rendah, atau sekadar mengalami kemunduran, kepada siapa penjahat menjanjikan hadiah kecil karena membawa paspor mereka ke CA atau ke tempat penerbitan dan memerintahkan tanda tangan di paspor mereka. sebutkan di sana sebagai, misalnya, direktur sebuah perusahaan. Tentu saja, orang tersebut tidak ada hubungannya dengan aktivitas perusahaan dan tidak dapat memberikan bantuan nyata apa pun dalam penyelidikan ketika penipuan tersebut terungkap.
Jadi, memindai paspor Anda tidak menjadi masalah. Tetapi untuk identifikasi Anda memerlukan paspor asli, bagaimana mungkin, pembaca yang penuh perhatian akan bertanya? Dan untuk mengatasi masalah ini, ada titik pengiriman yang tidak bermoral di dunia. Meskipun prosedur seleksinya ketat, karakter kriminal secara berkala menerima status titik masalah dan kemudian mulai melakukan tindakan ilegal dengan data pribadi warga negara.
Kombinasi kedua faktor ini memberi kita seluruh gelombang masalah kriminalisasi penggunaan perangkat elektronik yang kita miliki sekarang.
Ada keamanan dalam angka?
Seluruh pasukan penipu ini, tanpa berlebihan, kini hanya disaring oleh pusat sertifikasi. Setiap CA memiliki layanan keamanannya sendiri. Setiap orang yang mengajukan permohonan tanda tangan diperiksa secara cermat pada tahap identifikasi. Siapa pun yang ingin bekerja sama dalam status titik masalah untuk CA tertentu juga diperiksa secara cermat baik pada tahap pembuatan perjanjian kemitraan maupun selanjutnya, dalam proses interaksi bisnis.
Tidak ada cara lain, karena sertifikasi yang tidak jujur mengancam penutupan CA - undang-undang di bidang ini sangat ketat.
Namun tidak mungkin untuk menerima besarnya hal ini, dan beberapa poin penerbitan yang tidak bermoral masih “bocor” ke mitra CA. Dan "calon" mungkin tidak memiliki alasan sama sekali untuk menolak menerbitkan sertifikat - lagipula, ia mengajukan permohonan ke CA sepenuhnya secara legal.
Selain itu, jika penipuan yang melibatkan tanda tangan atas nama orang tertentu ditemukan, hanya pusat sertifikasi yang akan membantu menyelesaikan masalah tersebut. Karena pusat sertifikasi dalam hal ini mencabut sertifikat tanda tangan, melakukan penyelidikan internal, melacak seluruh rantai penerbitan sertifikat, dan dapat memberikan dokumen yang diperlukan kepada pengadilan tentang tindakan penipuan saat mengeluarkan kunci tanda tangan elektronik. Hanya materi dari pusat sertifikasi yang akan membantu di pengadilan untuk menyelesaikan kasus ini demi pihak yang benar-benar dirugikan: orang yang namanya ditandatangani secara curang.
Namun, buta huruf digital secara umum juga tidak memberikan manfaat bagi para korban di sini. Tidak semua orang berusaha sekuat tenaga untuk melindungi kepentingan mereka. Namun tindakan ilegal dengan tanda tangan digital harus ditentang di pengadilan. Dan pusat sertifikasi adalah bantuan utama dalam hal ini.
Bunuh semua CA?
Jadi, di negara bagian kami, diputuskan untuk melakukan perubahan pada prosedur operasi CA dan persyaratannya. Sekelompok deputi dan senator mengembangkan rancangan undang-undang terkait, yang telah diadopsi oleh Duma Negara pada pembacaan pertama pada 7 November 2019.
Dokumen tersebut mengatur reformasi besar-besaran pada sistem sertifikat tanda tangan elektronik. Secara khusus, ini mengasumsikan bahwa badan hukum dan pengusaha perorangan (IP) akan dapat menerima tanda tangan elektronik yang ditingkatkan (ECES) hanya dari Layanan Pajak Federal, dan organisasi keuangan dari Bank Sentral. Pusat Sertifikasi (CA) yang diakreditasi oleh Kementerian Telekomunikasi dan Komunikasi Massa, yang saat ini menerbitkan tanda tangan elektronik, hanya dapat menerbitkannya kepada perorangan.
Pada saat yang sama, persyaratan untuk CA tersebut direncanakan akan diperketat secara signifikan. Jumlah minimum aset bersih pusat sertifikasi terakreditasi harus ditingkatkan dari 7 juta rubel. hingga 1 miliar rubel, dan jumlah minimum dukungan keuangan – dari 30 juta rubel. hingga 200 juta rubel. Jika pusat sertifikasi memiliki cabang di setidaknya dua pertiga wilayah Rusia, maka jumlah minimum aset bersih dapat dikurangi menjadi 500 juta rubel.
Masa akreditasi pusat sertifikasi dikurangi dari lima menjadi tiga tahun. Tanggung jawab administratif dikenakan atas pelanggaran dalam pekerjaan pusat sertifikasi yang bersifat teknis.
Semua ini akan mengurangi jumlah penipuan dengan tanda tangan elektronik, menurut penulis RUU tersebut.
Apa hasilnya?
Seperti yang dapat Anda lihat dengan mudah, RUU baru ini sama sekali tidak menyelesaikan masalah penggunaan kriminal dokumen warga negara Federasi Rusia dan pencurian data pribadi. Tidak masalah siapa yang akan mengeluarkan tanda tangan CA atau Layanan Pajak Federal, identitas pemilik tanda tangan tetap harus disertifikasi, dan RUU tersebut tidak mengatur inovasi apa pun mengenai masalah ini. Jika titik penerbit yang tidak bermoral bekerja sesuai dengan skema kriminal untuk CA biasa, lalu apa yang mencegah Anda melakukan hal yang sama untuk perusahaan milik negara?
RUU versi saat ini tidak mengatur siapa yang akan memikul tanggung jawab penerbitan UKEP jika tanda tangan tersebut digunakan untuk kegiatan penipuan. Apalagi, dalam KUHP pun tidak ada pasal yang sesuai yang membolehkan tuntutan pidana atas penerbitan sertifikat tanda tangan elektronik berdasarkan data pribadi yang dicuri.
Masalah tersendiri adalah kelebihan beban CA negara, yang tentunya akan timbul berdasarkan peraturan baru dan akan membuat penyediaan layanan kepada warga negara dan badan hukum menjadi sangat lambat dan sulit.
Fungsi pelayanan CA tidak dipertimbangkan sama sekali dalam RUU. Tidak jelas apakah departemen layanan pelanggan akan dibentuk di CA besar milik negara yang diusulkan, berapa lama waktu yang dibutuhkan dan investasi material apa yang diperlukan, dan siapa yang akan menyediakan layanan pelanggan ketika infrastruktur tersebut sedang dibangun. Jelaslah bahwa hilangnya persaingan di bidang ini dapat dengan mudah menyebabkan stagnasi dalam industri ini.
Artinya, akibatnya adalah monopoli pasar CA oleh lembaga pemerintah, kelebihan beban struktur ini dengan perlambatan semua aktivitas EDI, kurangnya dukungan pengguna akhir jika terjadi penipuan dan kehancuran total pasar CA saat ini beserta infrastruktur yang ada. (ini berarti sekitar 15 pekerjaan di seluruh negeri).
Siapa yang akan terluka? Sebagai akibat dari penerapan undang-undang tersebut, mereka yang menderita saat ini, yaitu pengguna akhir dan otoritas sertifikasi, akan menderita.
Dan bisnis yang mengandalkan pencurian identitas akan terus berkembang. Bukankah sudah saatnya aparat penegak hukum dan legislator mengalihkan perhatiannya terhadap permasalahan ini dan benar-benar menyikapi tantangan era digital dengan serius? Peluang pencurian data pribadi dan penggunaan kriminal selanjutnya telah meningkat berkali-kali lipat selama 10-15 tahun terakhir. Tingkat pelatihan penjahat juga meningkat. Hal ini perlu direspon dengan menerapkan langkah-langkah pertanggungjawaban yang ketat terhadap setiap tindakan ilegal terhadap data pribadi orang lain, baik bagi perusahaan, karyawannya, maupun individu. Dan untuk benar-benar menyelesaikan permasalahan pidana penggunaan sertifikat tanda tangan elektronik, perlu dibuat undang-undang yang mengatur pertanggungjawaban, termasuk pertanggungjawaban pidana, atas tindakan tersebut. Dan bukan RUU yang hanya mendistribusikan kembali arus keuangan, memperumit prosedur bagi pengguna akhir dan pada akhirnya tidak memberikan perlindungan apa pun kepada siapa pun.
Sumber: www.habr.com