捕食者か獲物か？ 誰が認証センターを守るのか

どうなってるの？

最近、電子署名証明書を利用した不正行為が大きな注目を集めています。 連邦メディアは、電子署名の悪用事件に関する恐ろしい話を定期的に伝えることにしている。 この分野で最も多い犯罪は法人の登録です。 疑いを持たないロシア連邦国民の名による個人または個人の起業家。 もう XNUMX つのよくある詐欺手口は、不動産の所有権変更を伴う取引です (これは、誰かがあなたの代わりにあなたのアパートを他の人に売却しますが、あなたはそれを知りません)。

ただし、詐欺師に独創的なアイデアを与えないように、デジタル署名を使用して違法行為の可能性を説明することに夢中にならないようにしましょう。 なぜこの問題がこれほど蔓延しているのか、そしてそれを根絶するために本当に何をする必要があるのか​​を理解してみましょう。 そのためには、認証センターとは何なのか、正確にどのように機能するのか、そしてメディアや利害関係者の声明で私たちに描かれているほど恐ろしいものなのかどうかを明確に理解する必要があります。

署名はどこから来ますか?

つまり、あなたはユーザーです。 電子署名証明書が必要です。 どのようなタスクや、どのような立場にあるか (会社、個人、個人起業家) は関係ありません。証明書を取得するためのアルゴリズムは標準です。 そして、認証センターに連絡して電子署名証明書を購入します。

認証センターは、ロシアの法律により多くの厳しい要件が課される企業です。

強化された適格な電子署名を発行する権利を得るには、認証センターは電気通信・マスコミュニケーション省による特別な認定手続きを受ける必要があります。 認定手続きでは、多くの厳格な規則を遵守する必要がありますが、すべての企業が遵守できるわけではありません。

特に、CA は、暗号化 (暗号化) ツール、情報および通信システムを開発、生産、配布する権利を付与するライセンスを取得する必要があります。 このライセンスは、申請者が一連の厳しい検査に合格した後、FSB によって発行されます。

CA の従業員は、情報テクノロジーまたは情報セキュリティの分野で高等専門教育を受けている必要があります。

この法律はまた、CA に対し、「CA が発行した電子署名検証キー証明書に指定された情報、または CA が管理する証明書の登録簿に含まれる情報を信頼した結果、第三者に生じた損失」に対する責任を保証することを義務付けています。 」 30万ルーブル以上の金額。

ご覧のとおり、すべてがそれほど単純ではありません。

現在、国内には ECES (拡張適格電子署名証明書) を発行する権利を持つ CA が合計で約 500 社あります。 これには、民間の認証センターだけでなく、さまざまな政府機関（連邦税務局、ロシア連邦などを含む）の CA、銀行、国家機関を含む取引プラットフォームも含まれます。

電子署名証明書は、ロシア連邦の FSB によって認定された暗号化アルゴリズムを使用して作成されます。 これにより、法人と個人が法的に重要な文書を電子的に交換できるようになります。 CA の公式データによると、CEP の大部分 (95%) は法人によって発行されています。 人、残りは個人です。 人。

CA に連絡すると、次のことが起こります。

1. CA は、電子署名証明書を申請した人の身元を確認します。
   身元を確認し、すべての文書を検証した後でのみ、CA は証明書を作成して発行します。証明書には、証明書の所有者とその公開検証キーに関する情報が含まれています。
2. CA は証明書のライフサイクルを管理し、証明書の発行、一時停止 (所有者の要求を含む)、更新、および有効期限を保証します。
3. CA のもう XNUMX つの機能はサービスです。 証明書を発行するだけでは十分ではありません。 ユーザーは定期的に、署名の発行と使用の手順、申請に関するアドバイス、証明書の種類の選択など、あらゆる種類のアドバイスを求めています。 Business Network 社の CA などの大手 CA は、技術サポート サービスの提供、さまざまなソフトウェアの作成、ビジネス プロセスの改善、証明書適用分野の変更の監視などを行っています。CA は互いに競い合いながら、IT の品質向上に取り組んでいます。サービス、この領域を開発しています。

コサックの扱いを間違えた！

電子署名を取得するための上記のアルゴリズムのステップ 1 を考えてみましょう。 証明書申請者の「本人性を証明する」とはどういう意味ですか？ これは、証明書を発行する本人の名前が CA オフィスまたは CA とパートナーシップ契約を結んでいる発行ポイントに直接出頭し、そこで文書の原本を提示する必要があることを意味します。 特に、ロシア連邦国民のパスポート。 場合によっては、法人の署名の場合もあります。 個人や個人起業家の場合、本人確認手続きはさらに複雑になり、追加の書類の提示が必要になります。

まさにこの段階、つまり署名証明書の発行にすら至っていない最初の段階に最も重要な問題がある。 そして、ここでのキーワードは「パスポート」です。

この国における個人データの漏洩は、まさに産業規模に達しています。 ロシア国民の有効なパスポートのスキャンされたコピーを少額のお金で、または無料で入手できるオンライン リソースがあります。 しかし、我が国のパスポートのスキャンは、ソ連崩壊後の「見せしめ文書」スタイルの遺産を重んじており、銀行やその他の金融機関だけでなく、ホテル、学校、大学、飛行機、空港など、あらゆる場所の国民から収集することができます。鉄道の切符売り場、児童センター、携帯電話加入者向けのサービスポイントなど、サービスを受けるためにパスポートの提示が必要な場所はどこでも、つまりほぼどこでもです。 デジタル技術の発展に伴い、個人データへのこの広範なアクセス経路が犯罪者によって流通されるようになりました。

特定の人物の個人データを盗むための「サービス」も非常に一般的です。

さらに、いわゆる軍隊全体があります。 「名目」 - 原則として、非常に若い人、または非常に貧しく低学歴の人々、または単に堕落した人々で、犯罪者はパスポートを CA または発行所に持参し、パスポートに署名を命令することでささやかな報酬を約束します。たとえば、会社の取締役として名前を付けます。 言うまでもなく、そのような人物は会社の活動とは何の関係もなく、詐欺が明らかになったときに調査に実質的に協力することはできません。

したがって、パスポートのスキャンは問題ありません。 しかし、本人確認のためにはパスポートの原本が必要ですが、注意深い読者はどうしてそんなことがあり得るのでしょうか?と尋ねるでしょう。 そして、この問題を回避するために、世界には悪徳な配送ポイントが存在します。 厳格な選考手順にもかかわらず、犯罪者は定期的に問題点のステータスを取得し、国民の個人データを使って違法行為を開始します。

これら XNUMX つの要因が組み合わさって、私たちが現在所有している電子機器の使用の犯罪化に関する一連の問題を引き起こしています。

数字に安全性はあるのか？

誇張ではなく、この詐欺師の軍隊全体は現在、認証センターによってのみフィルタリングされています。 どの CA にも独自のセキュリティ サービスがあります。 署名を申請した人は全員、本人確認の段階で慎重にチェックされます。 特定の CA の問題点への協力を希望する者についても、パートナーシップ契約の締結段階およびその後のビジネス交流の過程で慎重にチェックされます。

不正な認証は CA を閉鎖する恐れがあるため、他の方法はあり得ません。この分野の法律は厳格です。

しかし、その巨大さを受け入れることは不可能であり、悪徳発行ポイントの一部は依然として CA のパートナーに「漏洩」しています。 そして、「被指名者」には証明書の発行を拒否する理由が全くないかもしれません。結局のところ、彼は完全に合法的に CA に申請します。

また、特定の個人の名前の署名を伴う詐欺が発見された場合、問題の解決に役立つのは認証センターのみです。 この場合、認証センターは署名証明書を失効させ、内部調査を実施して証明書発行の一連の流れを追跡し、電子署名キー発行時の不正行為に関する必要な文書を裁判所に提供することができる。 認証センターからの資料のみが、法廷で実際に被害を受けた当事者、つまり署名が不正に発行された名前の当事者に有利に訴訟を解決するのに役立ちます。

しかし、ここでも一般的なデジタル文盲は被害者の利益にはなりません。 誰もが自分の利益を守るために全力を尽くすわけではありません。 ただし、デジタル署名を使用した違法行為には法廷で異議を申し立てる必要があります。 そして、認証センターはこれを主に支援します。

CAを全員殺す？

そこで、私たちの州では、CA の運用手順とその要件を変更することが決定されました。 下院議員と上院議員のグループが対応する法案を作成し、7年2019月XNUMX日の第一読会で国家院によってすでに採択された。

この文書は電子署名証明書システムの大規模な改革を規定している。 特に、法人および個人起業家 (IP) は連邦税務局から、金融機関は中央銀行からのみ拡張適格電子署名 (ECES) を受け取ることができると想定しています。 現在電子署名を発行している電気通信・マス通信省認定の認証センター（CA）は、個人にのみ電子署名を発行できるようになる。

同時に、このような CA の要件は大幅に強化される予定です。 認定された認証センターの純資産の最低額は 7 万ルーブルから増加する必要があります。 最大 1 億ルーブル、および最低額の財政支援 - 30 万ルーブルから。 最大200億ルーブル。 認証センターがロシア地域の少なくとも500分のXNUMXに支店を持っている場合、純資産の最低額はXNUMX億ルーブルに削減される可能性があります。

認証センターの認定期間は XNUMX 年から XNUMX 年に短縮されます。 技術的な性質を持つ認証センターの業務における違反に対しては、行政責任が課せられます。

これらすべてにより、電子署名による詐欺の量は減少するはずである、と法案の起草者らは信じている。

結果は何ですか？

簡単にわかるように、新しい法案はロシア連邦国民の文書の犯罪的使用と個人データの盗難の問題にまったく対処していません。 CA または連邦税務局の署名を誰が発行するかは問題ではなく、署名の所有者の身元が証明される必要があり、法案はこの問題に関する革新を提供していません。 悪徳発行ポイントが通常の CA に対して犯罪計画に従って機能した場合、国営 CA に対して同じことを行うことを何が妨げるのでしょうか?

法案の現行版では、この署名が不正行為に使用された場合、UKEPの発行について誰がどのような責任を負うのかについては現時点で規定されていない。 さらに、刑法にも、盗まれた個人データに基づく電子署名証明書の発行を刑事訴追する適切な条文はない。

別の問題は、州 CA の過負荷です。これは新しい規則の下では確実に発生し、国民や法人へのサービスの提供が非常に遅くなり困難になります。

CA のサービス機能は法案ではまったく考慮されていません。 提案されている大規模な国営 CA に顧客サービス部門が創設されるかどうか、それにどれくらいの時間がかかり、どのような重要な投資が必要になるか、そのようなインフラストラクチャが構築されている間誰が顧客サービスを提供するのかは明らかではありません。 この分野での競争の消滅が業界の停滞につながりやすいのは明らかです。

つまり、その結果は、政府機関による CA 市場の独占、すべての EDI 活動の減速によるこれらの構造の過負荷、不正行為の場合のエンドユーザー サポートの欠如、そして既存のインフラストラクチャとともに現在の CA 市場の完全な破壊です。 (これは全国で約 15 件の雇用に相当します)。

誰が怪我をするでしょうか？ このような法案が可決された結果、今苦しんでいるのはエンドユーザーと認証局です。

そして、個人情報の盗難で成功するビジネスは今後も繁栄し続けるでしょう。 法執行機関や立法者がこの問題に目を向け、デジタル時代の課題に真に真剣に対応する時期が来ているのではないでしょうか？ 個人データの盗難とその後の犯罪利用の機会は、過去 10 ～ 15 年間で大幅に増加しました。 犯罪者の訓練レベルも向上しました。 これには、企業とその従業員、および個人の両方に対して、他人の個人データを用いた違法行為に対する厳格な責任措置を導入することで対応する必要があります。 そして、電子署名証明書の犯罪利用問題を真に解決するには、そのような行為に対する刑事責任を含む責任を規定する法案を作成する必要がある。 また、単に資金の流れを再分配し、エンドユーザーの手続きを複雑にし、最終的には誰にも何の保護も与えない法案ではありません。

出所： habr.com