Kas vyksta?
Nesąžiningų veiksmų, atliekamų naudojant elektroninio parašo sertifikatą, tema pastaruoju metu sulaukė didelio visuomenės dėmesio. Federalinė žiniasklaida nustatė taisyklę periodiškai pasakoti siaubo istorijas apie netinkamo elektroninio parašo naudojimo atvejus. Dažniausias nusikaltimas šioje srityje – juridinio asmens registravimas. asmenys ar individualūs verslininkai nieko neįtariančio Rusijos Federacijos piliečio vardu. Kitas populiarus sukčiavimo būdas yra sandoris, susijęs su nekilnojamojo turto nuosavybės pasikeitimu (tai yra tada, kai kažkas jūsų vardu parduoda jūsų butą kitam asmeniui, bet jūs to net nežinote).
Tačiau neapsikentime aprašydami galimus neteisėtus veiksmus su skaitmeniniais parašais, kad nesuteiktume kūrybinių idėjų sukčiams. Geriau pabandykime išsiaiškinti, kodėl ši problema taip išplito ir ką iš tikrųjų reikia padaryti, kad ją panaikintume. Ir tam turime aiškiai suprasti, kas yra sertifikavimo centrai, kaip tiksliai jie veikia ir ar jie tokie baisūs, kaip mums vaizduojama žiniasklaidoje ir suinteresuotų šalių pareiškimuose.
Iš kur atsiranda parašai?
Taigi, jūs esate vartotojas. Jums reikia elektroninio parašo sertifikato. Nesvarbu, kokias užduotis atlikti ir kokio statuso esate (įmonė, individualus, individualus verslininkas) - sertifikato gavimo algoritmas yra standartinis. Norėdami įsigyti elektroninio parašo sertifikatą, susisiekite su sertifikavimo centru.
Sertifikavimo centras yra įmonė, kuriai Rusijos teisės aktai nustato daugybę griežtų reikalavimų.
Kad sertifikavimo centras turėtų teisę išduoti sustiprintą kvalifikuotą elektroninį parašą, jam turi būti atlikta speciali Telekomunikacijų ir masinių komunikacijų ministerijos akreditavimo procedūra. Akreditavimo procedūra reikalauja laikytis daugybės griežtų taisyklių, kurių gali laikytis ne kiekviena įmonė.
Visų pirma, CA privalo turėti licenciją, suteikiančią teisę kurti, gaminti ir platinti šifravimo (kriptografinius) įrankius, informacijos ir telekomunikacijų sistemas. Šią licenciją išduoda FSB po to, kai pareiškėjas praeina daugybę griežtų patikrinimų.
CA darbuotojai privalo turėti aukštąjį profesinį išsilavinimą informacinių technologijų ar informacijos saugos srityje.
Įstatymas taip pat įpareigoja CA apdrausti savo atsakomybę už „nuostolius, padarytus trečiosioms šalims dėl jų pasitikėjimo informacija, nurodyta tokios CA išduotame elektroninio parašo tikrinimo rakto sertifikate, arba informacija, esančia tokios CA tvarkomame sertifikatų registre. “ ne mažiau kaip 30 milijonų rublių.
Kaip matote, ne viskas taip paprasta.
Iš viso šiuo metu šalyje yra apie 500 CA, turinčių teisę išduoti ECES (patobulintą kvalifikuoto elektroninio parašo sertifikatą). Tai apima ne tik privačius sertifikavimo centrus, bet ir CA prie įvairių vyriausybinių agentūrų (įskaitant Federalinę mokesčių tarnybą, Rusijos Federaciją ir kt.), bankus, prekybos platformas, įskaitant valstybines.
Elektroninio parašo sertifikatas sukurtas naudojant šifravimo algoritmus, patvirtintus Rusijos Federacijos FSB. Tai leidžia juridiniams ir fiziniams asmenims elektroniniu būdu keistis teisiškai reikšmingais dokumentais. Oficialiais CA duomenimis, didžiąją dalį (95 proc.) CEP išduoda juridiniai asmenys. asmenys, likusieji – asmenys. asmenų.
Susisiekus su CA, įvyksta taip:
- CA patikrina asmens, kuris kreipėsi dėl elektroninio parašo sertifikato, tapatybę;
Tik patvirtinusi tapatybę ir patikrinusi visus dokumentus CA parengia ir išduoda sertifikatą, kuriame yra informacija apie sertifikato savininką ir jo viešąjį patvirtinimo raktą; - CA tvarko sertifikato gyvavimo ciklą: užtikrina jo išdavimą, sustabdymą (taip pat ir savininko prašymu), atnaujinimą, galiojimo pabaigą.
- Kita CA funkcija yra aptarnavimas. Vien išduoti pažymą neužtenka. Vartotojai nuolat reikalauja visų patarimų dėl parašo išdavimo ir naudojimo tvarkos, patarimų dėl paraiškos ir sertifikato tipo pasirinkimo. Didelės CA, tokios kaip „Business Network“ įmonės CA, teikia techninės pagalbos paslaugas, kuria įvairią programinę įrangą, tobulina verslo procesus, stebi pokyčius sertifikatų taikymo srityse ir kt. Konkuruodami tarpusavyje CA dirba dėl IT kokybės. plėtojant šią sritį.
Kazokas išsiųstas!
Panagrinėkime pirmiau pateikto elektroninio parašo gavimo algoritmo 1 veiksmą. Ką reiškia „patvirtinti asmens, kuris kreipėsi dėl pažymėjimo“, tapatybę? Tai reiškia, kad asmuo, kurio vardu išduotas sertifikatas, turi asmeniškai atvykti arba į CA įstaigą, arba į išdavimo punktą, kuris yra sudaręs bendradarbiavimo sutartį su CA, ir ten pateikti savo dokumentų originalus. Visų pirma, Rusijos Federacijos piliečio pasas. Kai kuriais atvejais, kai kalbama apie parašus juridiniams asmenims. fiziniams asmenims ir individualiems verslininkams, tapatybės nustatymo procedūra yra dar sudėtingesnė ir reikalauja papildomų dokumentų.
Būtent šiame etape, tai yra pačioje pradžioje, kai reikalai net nepasiekė pasirašymo pažymėjimo išdavimo, ir slypi svarbiausia problema. Ir pagrindinis žodis čia yra „pasas“.
Asmens duomenų nutekėjimas šalyje pasiekė išties pramoninį mastą. Yra internetinių išteklių, kur už nedidelius pinigus ar net nemokamai galite gauti nuskaitytas galiojančių Rusijos piliečių pasų kopijas. Tačiau pasų skenuotus mūsų šalyje, apsunkusius posovietiniu „rodyti dokumentus“ stiliaus palikimu, galima rinkti iš piliečių visur - ne tik bankuose ar kitose finansų įstaigose, bet ir viešbučiuose, mokyklose, universitetuose, oro ir oro erdvėse. geležinkelio bilietų kasos, vaikų centrai, mobiliojo ryšio abonentų aptarnavimo punktai - visur, kur jie reikalauja, kad pateiktumėte pasą aptarnavimui, tai yra, beveik visur. Tobulėjant skaitmeninėms technologijoms, šį platų prieigos prie asmens duomenų kanalą pradėjo naudoti nusikaltėlių darbuotojai.
Taip pat labai paplitusios konkrečių asmenų asmens duomenų vagystės „paslaugos“.
Be to, yra visa armija vadinamųjų. „nominalumas“ - žmonės, paprastai labai jauni arba labai neturtingi ir menkai išsilavinę, arba tiesiog išsigimę, kuriems nusikaltėliai žada nedidelį atlygį už paso atnešimą į CA ar išdavimo punktą ir parašo nurodymą. įvardykite ten, pavyzdžiui, įmonės direktorių. Savaime suprantama, toks asmuo tada neturi nieko bendra su įmonės veikla ir, išaiškėjus sukčiai, negali suteikti jokios realios pagalbos tyrimui.
Taigi, nuskaityti pasą nėra problema. Tačiau norint atpažinti reikia originalaus paso, kaip tai gali būti, paklaus dėmesingas skaitytojas? Ir norint išspręsti šią problemą, pasaulyje yra nesąžiningų pristatymo punktų. Nepaisant griežtos atrankos procedūros, nusikalstami veikėjai periodiškai gauna išdavimo taško statusą, o vėliau pradeda daryti neteisėtus veiksmus su piliečių asmens duomenimis.
Šie du veiksniai kartu sukelia visą problemų, susijusių su elektroninių prietaisų naudojimo nusikaltimu, bangą, kurią dabar turime.
Ar yra skaičiai saugumo?
Šią visą, be perdėto, sukčių armiją dabar filtruoja tik sertifikavimo centrai. Bet kuri CA turi savo saugumo tarnybas. Kiekvienas, kuris kreipiasi dėl parašo, yra kruopščiai tikrinamas identifikavimo etape. Kiekvienas, norintis bendradarbiauti dėl konkrečios CA išdavimo taško statuso, taip pat yra kruopščiai tikrinamas tiek partnerystės sutarties sudarymo etape, tiek vėliau verslo sąveikos procese.
Kitaip ir būti negali, nes dėl nesąžiningo sertifikavimo CA gresia uždarymas – teisės aktai šioje srityje griežti.
Tačiau aprėpti neaprėptį neįmanoma, o kai kurie nesąžiningi išdavimo punktai vis tiek „nuteka“ į CA partnerius. O „nominuotasis“ gali visai neturėti pagrindo atsisakyti išduoti sertifikatą – juk jis į CA kreipiasi visiškai teisėtai.
Taip pat, jei apgaulė, susijusi su parašu konkretaus asmens vardu, bus aptikta, problemą padės išspręsti tik sertifikavimo centras. Kadangi sertifikavimo centras tokiu atveju panaikina parašo sertifikatą, atlieka vidinį tyrimą, seka visą sertifikato išdavimo grandinę ir gali pateikti teismui reikiamus dokumentus apie nesąžiningus veiksmus išduodant elektroninio parašo raktą. Tik medžiaga iš sertifikavimo centro padės teisme išspręsti bylą tikrai nukentėjusios šalies naudai: asmens, kurio vardu parašas buvo išduotas apgaule.
Tačiau ir čia bendras skaitmeninis neraštingumas aukoms neduoda naudos. Ne visi imasi iki galo ginti savo interesus. Bet neteisėti veiksmai su skaitmeniniu parašu turi būti skundžiami teisme. Ir sertifikavimo centrai yra pagrindinė pagalba.
Nužudyti visas CA?
Taigi mūsų valstybėje buvo nuspręsta keisti CA veiklos tvarką ir joms keliamus reikalavimus. Deputatų ir senatorių grupė parengė atitinkamą įstatymo projektą, kurį Valstybės Dūma jau priėmė per pirmąjį svarstymą 7 m. lapkričio 2019 d.
Dokumente numatyta plataus masto elektroninio parašo sertifikatų sistemos reforma. Visų pirma daroma prielaida, kad juridiniai asmenys ir individualūs verslininkai (IP) patobulintą kvalifikuotą elektroninį parašą (ECES) galės gauti tik iš Federalinės mokesčių tarnybos, o finansinės organizacijos – iš centrinio banko. Telekomunikacijų ir masinių ryšių ministerijos akredituoti sertifikavimo centrai (CA), kurie dabar išduoda elektroninius parašus, galės juos išduoti tik fiziniams asmenims.
Kartu planuojama labai sugriežtinti ir reikalavimus tokioms CA. Minimali akredituoto sertifikavimo centro grynojo turto suma turėtų būti padidinta nuo 7 milijonų rublių. iki 1 milijardo rublių, o minimali finansinės paramos suma – nuo 30 milijonų rublių. iki 200 milijonų rublių. Jei sertifikavimo centras turi filialus bent dviejuose trečdaliuose Rusijos regionų, minimali grynojo turto suma gali būti sumažinta iki 500 milijonų rublių.
Sertifikavimo centrų akreditavimo laikotarpis sutrumpinamas nuo penkerių iki trejų metų. Už techninio pobūdžio pažeidimus sertifikavimo centrų darbe įvedama administracinė atsakomybė.
Visa tai turėtų sumažinti sukčiavimo elektroniniais parašais skaičių, mano įstatymo projekto autoriai.
Koks rezultatas?
Kaip nesunkiai matote, naujasis įstatymo projektas jokiu būdu nesprendžia Rusijos Federacijos piliečių dokumentų nusikalstamo panaudojimo ir asmens duomenų vagystės problemos. Nesvarbu, kas išduos CA ar Federalinės mokesčių tarnybos parašą, parašo savininko tapatybė vis tiek turės būti patvirtinta, o sąskaitoje nenumatyta jokių naujovių šiuo klausimu. Jei nesąžiningas išdavimo punktas veikė pagal nusikalstamas schemas eiliniam CA, tai kas jums neleis to padaryti valstybei?
Dabartinėje įstatymo projekto redakcijoje šiuo metu nenumatyta, kas prisiims kokią atsakomybę už UKEP išdavimą, jei šis parašas buvo panaudotas nesąžiningoje veikloje. Be to, net Baudžiamajame kodekse nėra tinkamo straipsnio, kuris leistų patraukti baudžiamojon atsakomybėn už elektroninio parašo sertifikato išdavimą pagal pavogtus asmens duomenis.
Atskira problema – valstybinių CA perkrova, kuri neabejotinai atsiras pagal naujas taisykles ir labai lėtai bei apsunkins paslaugų teikimą piliečiams ir juridiniams asmenims.
Į CA paslaugų funkciją sąskaitoje visiškai neatsižvelgta. Ar prie siūlomų didžiųjų valstybinių CA bus kuriami klientų aptarnavimo skyriai, kiek tai užtruks ir kokių materialinių investicijų tai pareikalaus, kas aptarnaus klientus, kol tokia infrastruktūra bus kuriama. Akivaizdu, kad konkurencijos išnykimas šioje srityje gali lengvai sukelti pramonės stagnaciją.
Tai reiškia, kad rezultatas yra vyriausybinių agentūrų vykdomas CA rinkos monopolizavimas, šių struktūrų perkrova sulėtėjus visai EDI veiklai, galutinio vartotojo pagalbos trūkumas sukčiavimo atveju ir visiškas dabartinės CA rinkos sunaikinimas kartu su esama infrastruktūra. (tai yra apie 15 000 darbo vietų visoje šalyje).
Kas nukentės? Priėmus tokį įstatymo projektą, nukentės tie, kurie dabar kenčia, tai yra galutiniai vartotojai ir sertifikavimo institucijos.
Ir verslas, klestintis dėl tapatybės vagystės, toliau klestės. Ar ne laikas teisėsaugos institucijoms ir įstatymų leidėjams atkreipti dėmesį į šią problemą ir tikrai rimtai reaguoti į skaitmeninio amžiaus iššūkius? Asmens duomenų vagystės ir vėlesnio jų nusikalstamo panaudojimo galimybės per pastaruosius 10–15 metų išaugo įvairiais būdais. Taip pat pakilo nusikaltėlių rengimo lygis. Į tai reikia reaguoti įvedant griežtos atsakomybės priemones už bet kokius neteisėtus veiksmus su kitų asmenų asmens duomenimis tiek įmonėms ir jų darbuotojams, tiek asmenims. O norint realiai išspręsti nusikalstamo elektroninio parašo sertifikatų panaudojimo problemą, būtina sukurti įstatymo projektą, kuris už tokius veiksmus numatytų atsakomybę, įskaitant ir baudžiamąją atsakomybę. Ir ne sąskaita, kuri tiesiog perskirsto finansinius srautus, apsunkina procedūrą galutiniam vartotojui ir galiausiai niekam nesuteikia jokios apsaugos.
Šaltinis: www.habr.com