Hvað er að gerast
Efni sviksamlegra aðgerða sem framin eru með rafrænni undirskriftarskírteini hefur fengið mikla athygli almennings að undanförnu. Alríkisfjölmiðlar hafa sett það fyrir reglu að segja reglulega hryllingssögur um tilvik um misnotkun á rafrænum undirskriftum. Algengasta glæpurinn á þessu sviði er skráning lögaðila. einstaklingar eða einstakir frumkvöðlar í nafni grunlauss ríkisborgara Rússlands. Önnur vinsæl aðferð við svik eru viðskipti sem fela í sér breytingu á eignarhaldi á fasteignum (þetta er þegar einhver selur íbúðina þína fyrir þína hönd til einhvers annars, en þú veist það ekki einu sinni).
En við skulum ekki láta okkur bregðast við að lýsa mögulegum ólöglegum aðgerðum með stafrænum undirskriftum, svo að svindlarar fái ekki skapandi hugmyndir. Við skulum betur reyna að átta okkur á hvers vegna þetta vandamál er orðið svona útbreitt og hvað raunverulega þarf að gera til að uppræta það. Og til þess þurfum við að skilja vel hvað vottunarmiðstöðvar eru, hvernig þær starfa nákvæmlega og hvort þær séu eins skelfilegar og þær eru sýndar okkur í fjölmiðlum og yfirlýsingum hagsmunaaðila.
Hvaðan koma undirskriftir?
Svo þú ert notandinn. Þú þarft rafræn undirskriftarskírteini. Það skiptir ekki máli fyrir hvaða verkefni og hvaða stöðu þú ert í (fyrirtæki, einstaklingur, einstaklingur frumkvöðull) - reikniritið til að fá vottorð er staðlað. Og þú hefur samband við vottunarmiðstöðina til að kaupa rafræn undirskriftarvottorð.
Vottunarmiðstöð er fyrirtæki þar sem rússnesk löggjöf gerir ýmsar strangar kröfur.
Til að hafa rétt til að gefa út aukna rafræna undirskrift þarf vottunarmiðstöðin að gangast undir sérstakt faggildingarferli hjá fjarskipta- og fjarskiptaráðuneytinu. Faggildingarferlið krefst þess að farið sé að nokkrum ströngum reglum sem ekki eru öll fyrirtæki fær um að fara eftir.
Sérstaklega þarf CA að hafa leyfi sem veitir því rétt til að þróa, framleiða og dreifa dulkóðunarverkfærum, upplýsinga- og fjarskiptakerfum. Þetta leyfi er gefið út af FSB eftir að umsækjandi hefur staðist röð strangra athugana.
Starfsmenn CA skulu hafa æðri fagmenntun á sviði upplýsingatækni eða upplýsingaöryggis.
Lögin skylda einnig CA til að tryggja skaðabótaábyrgð sína á „tjóni sem þriðju aðilar valda vegna trausts þeirra á þeim upplýsingum sem tilgreindar eru í vottorði rafrænna undirskriftar staðfestingarlykilsins sem slíkt CA gefur út, eða upplýsingum sem er að finna í skírteinaskránni sem slík CA heldur utan um. “ að upphæð ekki minna en 30 milljónir rúblur.
Eins og þú sérð er ekki allt svo einfalt.
Alls eru nú um 500 CA í landinu sem hafa rétt til að gefa út ECES (enhanced qualified electronic signature certificate). Þetta felur ekki aðeins í sér einkavottunarmiðstöðvar, heldur einnig CAs undir ýmsum ríkisstofnunum (þar á meðal alríkisskattaþjónustunni, Rússlandi o.s.frv.), banka, viðskiptavettvangi, þar á meðal ríkis.
Rafræna undirskriftarvottorðið er búið til með dulkóðunaralgrími sem vottað er af FSB í Rússlandi. Það gerir lögaðilum og einstaklingum kleift að skiptast á lagalega mikilvægum skjölum með rafrænum hætti. Samkvæmt opinberum gögnum frá CA er meirihluti (95%) CEP gefinn út af lögaðilum. einstaklingar, restin - einstaklingar. einstaklinga.
Eftir að þú hefur samband við CA gerist eftirfarandi:
- CA sannreynir auðkenni þess sem sótti um rafræna undirskriftarvottorð;
Aðeins eftir að hafa staðfest auðkenni og staðfest öll skjöl framleiðir CA og gefur út vottorð, sem inniheldur upplýsingar um eiganda skírteinisins og opinbera staðfestingarlykil hans; - CA stjórnar líftíma vottorðsins: tryggir útgáfu þess, stöðvun (þar á meðal að beiðni eiganda), endurnýjun og gildistíma þess.
- Annað hlutverk CA er þjónusta. Það er ekki nóg að gefa út skírteini. Notendur krefjast reglulega alls kyns ráðgjafar um verklag við útgáfu og notkun undirskriftar, ráðleggingar um umsókn og val á tegund vottorðs. Stórir CA, eins og CA fyrirtæki Business Network, veita tæknilega stoðþjónustu, búa til ýmsan hugbúnað, bæta viðskiptaferla, fylgjast með breytingum á notkunarsviðum skírteina o.s.frv. Í samkeppni hver við annan vinna CA að gæðum upplýsingatækni. þjónustu, þróa þetta svæði.
Kósakkinn hefur verið sendur!
Við skulum íhuga skref 1 í ofangreindu reikniritinu til að fá rafrænar undirskriftir. Hvað þýðir það að „staðfesta auðkenni“ þess sem sótti um skírteinið? Það þýðir að sá sem skírteinið er gefið út í nafni þarf sjálfur að mæta annaðhvort á skrifstofu CA eða á útgáfustað sem hefur samstarfssamning við CA og framvísa frumritum skjala sinna þar. Einkum vegabréf ríkisborgara í Rússlandi. Í sumum tilfellum þegar kemur að undirskriftum fyrir lögaðila. einstaklinga og einstakra frumkvöðla er auðkenningarferlið enn flóknara og krefst framvísunar viðbótargagna.
Það er einmitt á þessu stigi, það er að segja strax í upphafi, þegar hlutirnir hafa ekki einu sinni náð útgáfu undirritunarskírteinis, sem mestu vandamálið liggur. Og lykilorðið hér er "vegabréf".
Leki persónuupplýsinga í landinu hefur náð raunverulegum iðnaðarhlutföllum. Það eru til úrræði á netinu þar sem þú getur fengið skönnuð afrit af gildum vegabréfum rússneskra ríkisborgara fyrir lítinn pening eða jafnvel ókeypis. En skanna af vegabréfum í okkar landi, hlaðið af arfleifð „sýna skjala“ stílsins eftir Sovétríkin, er hægt að safna frá borgurum alls staðar - ekki aðeins í bönkum eða öðrum fjármálastofnunum, heldur einnig á hótelum, skólum, háskólum, flugi og lestarmiðasölur, barnamiðstöðvar, þjónustustaðir fyrir farsímaáskrifendur - hvar sem þeir krefjast þess að þú framvísir vegabréfinu þínu til þjónustu, það er nánast alls staðar. Með þróun stafrænnar tækni hefur þessi breiði aðgangur að persónuupplýsingum verið tekinn í umferð af glæpamönnum.
„Þjónusta“ við þjófnað á persónuupplýsingum tiltekinna einstaklinga er einnig mjög algeng.
Auk þess er heill her af svokölluðum. „nafnorð“ - fólk, að jafnaði, mjög ungt, eða mjög fátækt og illa menntað, eða einfaldlega úrkynjað, sem glæpamennirnir lofa hóflegum verðlaunum fyrir að koma með vegabréfið sitt til CA eða útgáfustaðarins og panta undirskrift í nefna þar til dæmis stjórnarmann í fyrirtæki. Óþarfi er að taka fram að slíkur einstaklingur hefur þá ekkert með starfsemi fyrirtækisins að gera og getur ekki veitt neina raunverulega aðstoð við rannsóknina þegar svindlið kemur í ljós.
Svo að skanna vegabréfið þitt er ekki vandamál. En til auðkenningar þarftu upprunalegt vegabréf, hvernig getur þetta verið, mun gaumgæfi lesandinn spyrja? Og til að komast hjá þessu vandamáli eru óprúttnir afhendingarstaðir í heiminum. Þrátt fyrir stranga valferli, fá glæpapersónur reglulega stöðu útgáfupunkts og byrja síðan að fremja ólöglegar aðgerðir með persónulegum gögnum borgaranna.
Þessir tveir þættir í sameiningu gefa okkur alla bylgju vandamála við glæpavæðingu á notkun rafeindatækja sem við höfum núna.
Er öryggi í tölum?
Allur þessi, án ýkju, her svindlara er nú aðeins síaður af vottunarmiðstöðvum. Sérhver CA hefur sína eigin öryggisþjónustu. Allir sem sækja um undirskrift eru skoðaðir vandlega á auðkenningarstigi. Allir sem vilja taka þátt í stöðu málamiðlunar fyrir tiltekið CA er einnig athugað vandlega bæði á stigi samstarfssamnings og í kjölfarið í ferli viðskiptasamskipta.
Það getur ekki verið annað því óheiðarleg vottun ógnar CA lokun - löggjöfin á þessu sviði er ströng.
En það er ómögulegt að faðma ómældina og sumir af óprúttnu útgáfupunktunum „leka“ enn inn í samstarfsaðila CA. Og „tilnefndur“ kann að hafa alls enga ástæðu til að neita að gefa út skírteini - þegar allt kemur til alls, þá sækir hann um CA alveg löglega.
Einnig, ef svindl sem felur í sér undirskrift í nafni tiltekins einstaklings uppgötvast, mun aðeins vottunarmiðstöð hjálpa til við að leysa vandamálið. Þar sem vottunarmiðstöðin í þessu tilfelli afturkallar undirskriftarvottorðið, framkvæmir innri rannsókn, rekur alla keðjuna við útgáfu skírteina og getur veitt dómstólnum nauðsynleg skjöl um sviksamlegar aðgerðir við útgáfu rafræns undirskriftarlykils. Aðeins efni frá vottunarmiðstöðinni mun hjálpa fyrir dómstólum að leysa málið í þágu hins raunverulega slasaða: manneskjunnar í nafni sem undirskriftin var gefin út með sviksamlegum hætti.
Hins vegar virkar almennt stafrænt ólæsi ekki heldur til hagsbóta fyrir fórnarlömbin hér. Það fara ekki allir alla leið til að gæta hagsmuna sinna. En ólöglegar aðgerðir með stafrænni undirskrift verður að mótmæla fyrir dómstólum. Og vottunarmiðstöðvar eru aðalhjálpin í þessu.
Drepa alla CA?
Og því var ákveðið í okkar ríki að gera breytingar á starfsferli CAs og kröfum til þeirra. Hópur varaþingmanna og öldungadeildarþingmanna þróaði samsvarandi frumvarp sem var þegar samþykkt af Dúmunni í fyrsta lestri 7. nóvember 2019.
Skjalið gerir ráð fyrir umfangsmiklum umbótum á rafrænum undirskriftarvottorðskerfinu. Sérstaklega er gert ráð fyrir að lögaðilar og einstakir frumkvöðlar (IP) geti aðeins fengið aukna rafræna undirskrift (ECES) frá alríkisskattaþjónustunni og fjármálastofnunum frá Seðlabankanum. Vottunarmiðstöðvar (CA) viðurkenndar af fjarskipta- og fjarskiptaráðuneytinu, sem gefa út rafrænar undirskriftir núna, munu aðeins geta gefið þær út til einstaklinga.
Jafnframt er fyrirhugað að herða mjög kröfur til slíkra CA. Lágmarksfjárhæð hreinnar eigna viðurkenndrar vottunarmiðstöðvar ætti að hækka úr 7 milljónum rúblur. allt að 1 milljarður rúblur, og lágmarksfjárhæð fjárhagsaðstoðar - frá 30 milljón rúblur. allt að 200 milljónir rúblur. Ef vottunarmiðstöðin hefur útibú í að minnsta kosti tveimur þriðju hluta rússneskra svæða, þá er hægt að lækka lágmarksfjárhæð hreinna eigna í 500 milljónir rúblur.
Verið er að stytta löggildingartíma vottunarmiðstöðva úr fimm árum í þrjú ár. Tekin er upp stjórnsýsluábyrgð vegna brota í starfi vottunarmiðstöðva af tæknilegum toga.
Allt ætti þetta að draga úr svikum með rafrænum undirskriftum, telja frumvarpshöfundar.
Hver er útkoman?
Eins og þú getur auðveldlega séð tekur nýja frumvarpið á engan hátt á vandamálinu við glæpsamlega notkun skjala borgara í Rússlandi og þjófnað á persónulegum gögnum. Það skiptir ekki máli hver mun gefa út undirskrift CA eða Federal Tax Service, auðkenni eiganda undirskriftarinnar verður samt að vera vottað og frumvarpið gerir ekki ráð fyrir neinum nýjungum í þessu máli. Ef óprúttinn útgáfustaður virkaði samkvæmt glæpakerfi fyrir venjulegt CA, hvað kemur þá í veg fyrir að þú gerir það sama fyrir ríkiseigu?
Núverandi útgáfa frumvarpsins kveður nú ekki á um hver muni bera hvaða ábyrgð á útgáfu UKEP ef þessi undirskrift var notuð í sviksamlegum athöfnum. Ennfremur, jafnvel í almennum hegningarlögum, er engin viðeigandi grein sem myndi leyfa sakamál vegna útgáfu rafrænnar undirskriftarvottorðs byggt á stolnum persónuupplýsingum.
Sérstakt vandamál er ofhleðsla ríkisstýrimanna, sem mun vissulega koma upp samkvæmt nýju reglum og mun gera þjónustu við borgara og lögaðila mjög hæga og erfiða.
Þjónustuhlutverk stofnunarinnar kemur alls ekki til greina í frumvarpinu. Ekki er ljóst hvort þjónustudeildir verða stofnaðar á fyrirhuguðum stórum ríkisstofnunum, hversu langan tíma það mun taka og hvaða efnisfjárfestingar það mun krefjast, og hverjir munu veita þjónustu við viðskiptavini á meðan slík innviði verður til. Augljóst er að hverfur samkeppni á þessu sviði getur auðveldlega leitt til stöðnunar í greininni.
Það er, afleiðingin er einokun á CA markaði af ríkisstofnunum, ofhleðsla þessara mannvirkja með hægagangi í allri EDI starfsemi, skortur á stuðningi við notendur ef um svik er að ræða og algjör eyðilegging á núverandi CA markaði ásamt núverandi innviðum (þetta eru um 15 störf á landinu öllu).
Hver mun meiðast? Samþykkt slíks frumvarps hefur í för með sér að þeir sem líða nú verða fyrir þjáningum, það er endanotendur og vottunaryfirvöld.
Og fyrirtæki sem þrífst á persónuþjófnaði mun halda áfram að blómstra. Er ekki kominn tími til að löggæslustofnanir og löggjafar beini sjónum sínum að þessu vandamáli og bregðist sannarlega alvarlega við áskorunum stafrænnar aldar? Tækifærin til þjófnaðar á persónuupplýsingum og glæpsamlegri notkun þeirra í kjölfarið hafa aukist margfalt á undanförnum 10-15 árum. Þjálfun glæpamanna hefur einnig aukist. Þessu þarf að bregðast við með því að taka upp stranga ábyrgð á hvers kyns ólögmætum aðgerðum með persónuupplýsingar annarra, bæði fyrir fyrirtæki og starfsmenn þeirra og einstaklinga. Og til þess að leysa raunverulega þann vanda sem felst í refsiverðri notkun rafrænna undirskriftarskírteina er nauðsynlegt að búa til frumvarp sem kveður á um ábyrgð, þar með talið refsiábyrgð, á slíkum aðgerðum. Og ekki frumvarp sem einfaldlega endurdreifir fjárstreymi, flækir málsmeðferðina fyrir endanotandann og veitir engum neina vernd á endanum.
Heimild: www.habr.com