טורף או טרף? מי יגן על מרכזי הסמכה

מה קורה?

הנושא של פעולות הונאה שבוצעו באמצעות תעודת חתימה אלקטרונית זכה לתשומת לב ציבורית רחבה לאחרונה. התקשורת הפדרלית קבעה כלל לספר מעת לעת סיפורים מפחידים על מקרים של שימוש לרעה בחתימות אלקטרוניות. הפשע השכיח ביותר בתחום זה הוא רישום ישות משפטית. אנשים או יזמים בודדים בשם אזרח תמימים של הפדרציה הרוסית. שיטה פופולרית נוספת להונאה היא עסקה הכרוכה בשינוי בעלות על מקרקעין (זה כשמישהו מוכר את הדירה שלך בשמך למישהו אחר, אבל אתה אפילו לא יודע).

אבל בואו לא נסחף עם תיאור פעולות בלתי חוקיות אפשריות עם חתימות דיגיטליות, כדי לא לתת רעיונות יצירתיים לרמאים. כדאי שננסה להבין מדוע הבעיה הזו נפוצה כל כך ומה באמת צריך לעשות כדי למגר אותה. ולשם כך אנחנו צריכים להבין בבירור מה הם מרכזי הסמכה, איך בדיוק הם עובדים והאם הם מפחידים כמו שהם מצטיירים לנו בתקשורת ובהצהרות של בעלי עניין.

מאיפה החתימות?

אז אתה המשתמש. אתה צריך תעודת חתימה אלקטרונית. זה לא משנה באילו משימות ובאיזה סטטוס אתה נמצא (חברה, יחיד, יזם בודד) - האלגוריתם לקבלת תעודה הוא סטנדרטי. ואתם פונים למרכז ההסמכה לרכישת תעודת חתימה אלקטרונית.

מרכז הסמכה הוא חברה שהחקיקה הרוסית מטילה עליה מספר דרישות מחמירות.

כדי לקבל את הזכות להנפיק חתימה אלקטרונית מוסמכת מוגברת, על מרכז ההסמכה לעבור הליך הסמכה מיוחד במשרד הטלקום ותקשורת ההמונים. הליך ההסמכה מחייב עמידה במספר כללים נוקשים שלא כל חברה מסוגלת לעמוד בהם.

בפרט, ה-CA נדרש להיות בעל רישיון המעניק לו את הזכות לפתח, לייצר ולהפיץ כלי הצפנה (הצפנה), מערכות מידע וטלקומוניקציה. רישיון זה מונפק על ידי ה-FSB לאחר שהמבקש עובר שורה של בדיקות קפדניות.

על עובדי CA להיות בעלי השכלה מקצועית גבוהה בתחום טכנולוגיית המידע או אבטחת מידע.

החוק גם מחייב את CA לבטח את אחריותם ל"הפסדים הנגרמים לצדדים שלישיים כתוצאה מאמון שלהם במידע המצוין בתעודת מפתח אימות החתימה האלקטרונית שהונפקה על ידי CA כזו, או מידע הכלול במרשם התעודות המנוהל על ידי CA כאמור. ” בסכום של לא פחות מ-30 מיליון רובל.

כפי שאתה יכול לראות, לא הכל כל כך פשוט.

בסך הכל, ישנם כיום כ-500 CA במדינה בעלי הזכות להנפיק ECES (תעודת חתימה אלקטרונית מוסמכת). זה כולל לא רק מרכזי הסמכה פרטיים, אלא גם CA תחת סוכנויות ממשלתיות שונות (כולל שירות המס הפדרלי, הפדרציה הרוסית וכו'), בנקים, פלטפורמות מסחר, כולל מדינות.

אישור החתימה האלקטרונית נוצר באמצעות אלגוריתמי הצפנה מאושרים על ידי ה-FSB של הפדרציה הרוסית. היא מאפשרת לישויות משפטיות וליחידים להחליף מסמכים בעלי משמעות משפטית באופן אלקטרוני. על פי נתונים רשמיים של ה-CA, רוב (95%) של ה-CEP מונפקים על ידי ישויות משפטיות. אנשים, השאר - יחידים. אנשים.

לאחר יצירת קשר עם ה-CA, מתרחשים הדברים הבאים:

1. ה-CA מאמת את זהות האדם שהגיש בקשה לאישור חתימה אלקטרונית;
   רק לאחר אישור הזהות ואימות כל המסמכים, ה-CA מפיקה ומנפיק אישור, הכולל מידע על בעל התעודה ומפתח האימות הציבורי שלו;
2. ה-CA מנהל את מחזור החיים של התעודה: מבטיח את הנפקתה, השעייתה (כולל לבקשת הבעלים), חידושה ותפוגה.
3. פונקציה נוספת של ה-CA היא שירות. זה לא מספיק פשוט להוציא תעודה. המשתמשים דורשים באופן שוטף כל מיני ייעוץ לגבי הליך הנפקה ושימוש בחתימה, ייעוץ לגבי הבקשה ובחירת סוג התעודה. CAs גדולים, כמו CAs של חברת Business Network, מספקים שירותי תמיכה טכנית, יוצרים תוכנות שונות, משפרים תהליכים עסקיים, עוקבים אחר שינויים בתחומי היישום של תעודות וכו'. בתחרות זו בזו, CA עובדים על איכות ה-IT שירותים, פיתוח תחום זה.

קוזק משהו לא מטופל!

הבה נשקול את שלב 1 של האלגוריתם לעיל להשגת חתימות אלקטרוניות. מה המשמעות של "אישור זהות" של מי שהגיש בקשה לתעודה? משמעות הדבר היא שמי שעל שמו מונפקת התעודה חייב להתייצב באופן אישי או במשרד ה-CA או בנקודת ההנפקה שיש לה הסכם שותפות עם ה-CA, ולהציג שם את המקור של מסמכיו. בפרט, דרכון של אזרח הפדרציה הרוסית. במקרים מסוימים, כאשר מדובר בחתימות לגופים משפטיים. אנשים פרטיים ויזמים בודדים, הליך הזיהוי מורכב אף יותר ודורש הצגת מסמכים נוספים.

דווקא בשלב הזה, כלומר כבר בהתחלה, כשהדברים אפילו לא הגיעו להוצאת תעודת חתימה, טמונה הבעיה הכי חשובה. ומילת המפתח כאן היא "דרכון".

דליפת הנתונים האישיים בארץ הגיעה לממדים תעשייתיים באמת. ישנם משאבים מקוונים שבהם אתה יכול לקבל עותקים סרוקים של דרכונים תקפים של אזרחים רוסים תמורת מעט כסף או אפילו בחינם. אבל סריקות של דרכונים בארצנו, העולות על ידי המורשת הפוסט-סובייטית של סגנון "הצג מסמכים", ניתנות לאיסוף מאזרחים בכל מקום - לא רק בבנקים או במוסדות פיננסיים אחרים, אלא גם בבתי מלון, בתי ספר, אוניברסיטאות, אוויר ו משרדי כרטיסי רכבת, מרכזי ילדים, נקודות שירות למנויי סלולר - בכל מקום שהם דורשים ממך להציג את הדרכון לשירות, כלומר כמעט בכל מקום. עם התפתחות הטכנולוגיות הדיגיטליות, ערוץ גישה רחב זה לנתונים אישיים נלקח למחזור על ידי עובדים פליליים.

"שירותים" לגניבת נתונים אישיים של אנשים ספציפיים הם גם נפוצים מאוד.

בנוסף, יש צבא שלם של מה שנקרא. "נומינליות" - אנשים, ככלל, צעירים מאוד, או עניים מאוד ובעלי השכלה גרועה, או פשוט מנוונים, שהפושעים מבטיחים להם פרס צנוע על הבאת דרכונם ל-CA או לנקודת ההנפקה והזמנת חתימה בם. שם, למשל, דירקטור בחברה. מיותר לציין כי לאדם כזה אין כל קשר לפעילות החברה ואינו יכול להעניק כל סיוע ממשי לחקירה בעת גילוי ההונאה.

לכן, סריקת הדרכון שלך אינה בעיה. אבל בשביל זיהוי צריך דרכון מקורי, איך זה יכול להיות, ישאל הקורא הקשוב? וכדי לעקוף את הבעיה הזו, יש נקודות משלוח חסרות מצפון בעולם. למרות הליך הבחירה הקפדני, דמויות פליליות מקבלות מעת לעת מעמד של נקודת נושא ואז מתחילות לבצע פעולות לא חוקיות עם הנתונים האישיים של האזרחים.

שני הגורמים הללו בשילוב נותנים לנו את כל גל הבעיות בהפללת השימוש במכשירים אלקטרוניים שיש לנו כעת.

יש בטיחות במספרים?

כל צבא הרמאים הזה, ללא הגזמה, מסונן כעת רק על ידי מרכזי הסמכה. לכל CA יש שירותי אבטחה משלה. כל מי שמבקש חתימה נבדק בקפידה בשלב הזיהוי. מי שרוצה לשתף פעולה בסטטוס של נקודת הנפקה עבור CA ספציפי נבדק גם הוא בקפידה הן בשלב כריתת הסכם שותפות והן לאחר מכן, בתהליך האינטראקציה העסקית.

זה לא יכול להיות אחרת, כי הסמכה לא ישרה מאיימת על ה-CA בסגירה - החקיקה בתחום זה נוקשה.

אבל אי אפשר לאמץ את העצומות, וכמה מנקודות ההנפקה חסרות המצפון עדיין "דולפות" אל השותפים של ה-CA. ול"המועמד" אולי אין סיבה בכלל לסרב להנפיק תעודה - הרי הוא פונה ל-CA באופן חוקי לחלוטין.

כמו כן, אם תתגלה תרמית הכוללת חתימה על שם אדם ספציפי, רק מרכז הסמכה יעזור לפתור את הבעיה. מאחר ומרכז האישורים במקרה זה מבטל את תעודת החתימה, עורך חקירה פנימית, עוקב אחר כל שרשרת הנפקת התעודה, ויכול לספק לבית המשפט את המסמכים הדרושים על פעולות מרמה בעת הוצאת מפתח חתימה אלקטרונית. רק חומרים ממרכז האישורים יסייעו בבית המשפט לפתור את התיק לטובת הנפגע באמת: מי שעל שמו הונפקה החתימה במרמה.

עם זאת, אנאלפביתיות דיגיטלית כללית לא פועלת לטובת הקורבנות גם כאן. לא כולם הולכים עד הסוף כדי להגן על האינטרסים שלהם. אבל יש לערער על פעולות בלתי חוקיות עם חתימה דיגיטלית בבית המשפט. ומרכזי הסמכה הם העזרה העיקרית בכך.

להרוג את כל ה-CAs?

וכך, במדינתנו הוחלט לבצע שינויים בנוהל התפעול של CAs והדרישות עבורם. קבוצה של צירים וסנטורים פיתחה הצעת חוק מקבילה, שכבר אומצה על ידי הדומא הממלכתית בקריאה ראשונה ב-7 בנובמבר 2019.

המסמך קובע רפורמה רחבת היקף במערכת תעודות החתימה האלקטרונית. בפרט, היא מניחה שישויות משפטיות ויזמים בודדים (IP) יוכלו לקבל חתימה אלקטרונית מוסמכת (ECES) מוגברת רק משירות המס הפדרלי, וארגונים פיננסיים מהבנק המרכזי. מרכזי הסמכה (CA) המוסמכים על ידי משרד הטלקום ותקשורת ההמונים, המנפיקים חתימות אלקטרוניות כעת, יוכלו להנפיק אותן ליחידים בלבד.

במקביל, הדרישות עבור CAs כאלה מתוכננות להחמיר מאוד. יש להגדיל את הסכום המינימלי של הנכסים נטו של מרכז הסמכה מוסמך מ-7 מיליון רובל. עד 1 מיליארד רובל, והסכום המינימלי של תמיכה פיננסית - מ -30 מיליון רובל. עד 200 מיליון רובל. אם למרכז ההסמכה יש סניפים לפחות בשני שלישים מהאזורים הרוסיים, ניתן להפחית את הסכום המינימלי של הנכסים נטו ל-500 מיליון רובל.

תקופת ההסמכה למרכזי הסמכה מצטמצמת מחמש לשלוש שנים. מוטלת אחריות מנהלית על הפרות בעבודתם של מרכזי הסמכה בעלות אופי טכני.

כל זה אמור להפחית את כמות ההונאה בחתימות אלקטרוניות, סבורים מחברי הצעת החוק.

מהי התוצאה?

כפי שניתן לראות בקלות, הצעת החוק החדשה אינה מתייחסת בשום אופן לבעיית השימוש הפלילי במסמכים של אזרחי הפדרציה הרוסית וגניבת נתונים אישיים. לא משנה מי יוציא את החתימה של ה-CA או של שירות המס הפדרלי, זהות הבעלים של החתימה עדיין תצטרך להיות מאושרת, והצעת החוק אינה מספקת חידושים בנושא זה. אם נקודת הנפקה חסרת מצפון עבדה על פי תוכניות פליליות עבור CA רגיל, אז מה ימנע ממך לעשות את אותו הדבר עבור אחד בבעלות המדינה?

הגרסה הנוכחית של הצעת החוק אינה קובעת כעת מי יישא באיזו אחריות להנפקת ה-UKEP אם החתימה הזו הייתה בשימוש בפעילויות הונאה. זאת ועוד, גם בחוק הפלילי אין סעיף מתאים שיאפשר העמדה לדין פלילי בגין הוצאת תעודת חתימה אלקטרונית על סמך נתונים אישיים גנובים.

בעיה נפרדת היא עומס יתר של רשויות CA של המדינה, אשר בהחלט יתעורר במסגרת הכללים החדשים ויהפוך את מתן השירותים לאזרחים ולישויות משפטיות לאיטיות וקשות מאוד.

תפקיד השירות של ה-CA אינו נחשב כלל בהצעת החוק. לא ברור אם ייווצרו מחלקות שירות לקוחות ב-CA הגדולות המוצעות בבעלות המדינה, כמה זמן זה ייקח ואילו השקעות מהותיות זה ידרוש, ומי יספק שירות לקוחות בזמן יצירת תשתית כזו. ניכר כי היעלמות התחרות בתחום זה עלולה להוביל בקלות לקיפאון בענף.

כלומר, התוצאה היא מונופוליזציה של שוק ה-CA על ידי סוכנויות ממשלתיות, עומס יתר של מבנים אלו עם האטה בכל פעילויות ה-EDI, היעדר תמיכת משתמש קצה במקרה של הונאה והרס מוחלט של שוק ה-CA הנוכחי יחד עם התשתית הקיימת. (מדובר בכ-15 משרות בכל הארץ).

מי ייפגע? כתוצאה מאימוץ הצעת חוק כזו, מי שסובל כעת יסבול, כלומר משתמשי קצה ורשויות אישורים.

ועסק שמשגשג בגניבת זהות ימשיך לפרוח. האם לא הגיע הזמן שרשויות אכיפת החוק והמחוקקים יפנו את תשומת לבם לבעיה זו ויגיבו באמת ברצינות לאתגרי העידן הדיגיטלי? ההזדמנויות לגניבה של נתונים אישיים והשימוש הפלילי לאחר מכן גדלו רבות במהלך 10-15 השנים האחרונות. גם רמת ההכשרה של עבריינים עלתה. יש להגיב לכך על ידי הנהגת אמצעי אחריות קפדנית לכל פעולה בלתי חוקית עם נתונים אישיים של אנשים אחרים, הן עבור חברות ועובדיהן והן עבור אנשים פרטיים. וכדי לפתור באמת את בעיית השימוש הפלילי בתעודות חתימה אלקטרונית, יש צורך ליצור הצעת חוק שתקבע אחריות, לרבות אחריות פלילית, לפעולות מסוג זה. ולא הצעת חוק שפשוט מחלקת מחדש תזרימי כספים, מסבכת את ההליך למשתמש הקצה ולא נותנת הגנה לאף אחד בסופו של דבר.

מקור: www.habr.com