ProHoster > Blogs > Administrācija > Plēsējs vai upuris? Kas aizsargās sertifikācijas centrus

Plēsējs vai upuris? Kas aizsargās sertifikācijas centrus

Kas notiek?

Tēma par krāpnieciskām darbÄ«bām, kas veiktas, izmantojot elektroniskā paraksta sertifikātu, pēdējā laikā ir izpelnÄ«jusies plaÅ”u sabiedrÄ«bas uzmanÄ«bu. Federālie mediji ir ieviesuÅ”i noteikumu periodiski stāstÄ«t Å”ausmu stāstus par elektroniskā paraksta ļaunprātÄ«gas izmantoÅ”anas gadÄ«jumiem. VisizplatÄ«tākais noziegums Å”ajā jomā ir juridiskas personas reÄ£istrācija. personas vai individuālie uzņēmēji nenojauÅ”ama Krievijas Federācijas pilsoņa vārdā. Vēl viena populāra krāpÅ”anas metode ir darÄ«jums, kas saistÄ«ts ar nekustamā Ä«paÅ”uma Ä«paÅ”umtiesÄ«bu maiņu (tas ir, kad kāds pārdod jÅ«su dzÄ«vokli jÅ«su vārdā citam, bet jÅ«s pat nezināt).

Bet neaizraujieties ar iespējamu pretlikumÄ«gu darbÄ«bu aprakstÄ«Å”anu ar ciparparakstiem, lai nedotu radoÅ”as idejas krāpniekiem. Labāk mēģināsim noskaidrot, kāpēc Ŕī problēma ir kļuvusi tik plaÅ”i izplatÄ«ta un kas Ä«sti ir jādara, lai to izskaustu. Un tam mums ir skaidri jāsaprot, kas ir sertifikācijas centri, kā tieÅ”i tie strādā un vai tie ir tik biedējoÅ”i, kā mums tiek attēloti medijos un interesentu izteikumos.

No kurienes nāk paraksti?

Plēsējs vai upuris? Kas aizsargās sertifikācijas centrus

Tātad jÅ«s esat lietotājs. Jums ir nepiecieÅ”ams elektroniskā paraksta sertifikāts. Nav svarÄ«gi, kādiem uzdevumiem un kādā statusā esat (uzņēmums, privātpersona, individuālais uzņēmējs) - sertifikāta iegÅ«Å”anas algoritms ir standarta. Un jÅ«s sazināties ar sertifikācijas centru, lai iegādātos elektroniskā paraksta sertifikātu.

Sertifikācijas centrs ir uzņēmums, kuram Krievijas tiesību akti nosaka vairākas stingras prasības.

Lai sertifikācijas centram bÅ«tu tiesÄ«bas izsniegt pastiprinātu kvalificētu elektronisko parakstu, tam ir jāiziet Ä«paÅ”a akreditācijas procedÅ«ra Telekomunikāciju un masu komunikāciju ministrijā. Akreditācijas procedÅ«rā ir jāievēro vairāki stingri noteikumi, kurus ne katrs uzņēmums spēj ievērot.

Konkrēti, CA ir nepiecieÅ”ama licence, kas tai pieŔķir tiesÄ«bas izstrādāt, ražot un izplatÄ«t Å”ifrÄ“Å”anas (kriptogrāfijas) rÄ«kus, informācijas un telekomunikāciju sistēmas. Å o licenci izsniedz FSB pēc tam, kad pretendents ir izturējis vairākas stingras pārbaudes.

CA darbiniekiem jābūt ar augstāko profesionālo izglītību informācijas tehnoloģiju vai informācijas droŔības jomā.

Likums arÄ« uzliek SI pienākumu apdroÅ”ināt savu atbildÄ«bu par ā€œzaudējumiem, kas nodarÄ«ti treÅ”ajām personām, to uzticÄ“Å”anās informācijai, kas norādÄ«ta Ŕādas CA izsniegtajā elektroniskā paraksta pārbaudes atslēgas sertifikātā, vai informācijai, kas atrodas Ŕādas SI uzturētajā sertifikātu reÄ£istrā. ā€ ne mazāk kā 30 miljonu rubļu apmērā.

Kā redzat, ne viss ir tik vienkārŔi.

Kopumā Å”obrÄ«d valstÄ« ir aptuveni 500 CA, kurām ir tiesÄ«bas izsniegt ECES (uzlabotā kvalificētā elektroniskā paraksta sertifikātu). Tas ietver ne tikai privātos sertifikācijas centrus, bet arÄ« dažādu valsts aÄ£entÅ«ru (tostarp Federālā nodokļu dienesta, Krievijas Federācijas uc), bankas, tirdzniecÄ«bas platformas, tostarp valsts iestādes.

Elektroniskā paraksta sertifikāts tiek izveidots, izmantojot Krievijas Federācijas FSB sertificētus Å”ifrÄ“Å”anas algoritmus. Tas ļauj juridiskām un fiziskām personām elektroniski apmainÄ«ties ar juridiski nozÄ«mÄ«giem dokumentiem. Saskaņā ar oficiālajiem CA datiem lielāko daļu (95%) CEP izsniedz juridiskas personas. personas, pārējie - indivÄ«di. personām.

Pēc sazināŔanās ar CA notiek tālāk norādÄ«tais.

  1. SI pārbauda tās personas identitāti, kura pieteicās elektroniskā paraksta sertifikātam;
    Tikai pēc identitātes apstiprināŔanas un visu dokumentu pārbaudes CA izgatavo un izsniedz sertifikātu, kurā ir iekļauta informācija par sertifikāta Ä«paÅ”nieku un viņa publisko verifikācijas atslēgu;
  2. SI pārvalda sertifikāta dzÄ«ves ciklu: nodroÅ”ina tā izsniegÅ”anu, apturÄ“Å”anu (tai skaitā pēc Ä«paÅ”nieka pieprasÄ«juma), atjaunoÅ”anu un derÄ«guma termiņa beigas.
  3. Vēl viena CA funkcija ir apkalpoÅ”ana. Nepietiek tikai ar sertifikāta izsniegÅ”anu. Lietotāji regulāri pieprasa visa veida konsultācijas par paraksta izsniegÅ”anas un lietoÅ”anas kārtÄ«bu, konsultācijas par pieteikÅ”anos un sertifikāta veida izvēli. Lielās CA, piemēram, uzņēmuma Business Network CA, sniedz tehniskā atbalsta pakalpojumus, veido dažādas programmatÅ«ras, uzlabo biznesa procesus, uzrauga izmaiņas sertifikātu pielietoÅ”anas jomās u.c. SacenÅ”oties savā starpā, CA strādā pie IT kvalitātes. pakalpojumus, attÄ«stot Å”o jomu.

Kazaks ir nosūtīts!

Plēsējs vai upuris? Kas aizsargās sertifikācijas centrus

ApskatÄ«sim iepriekÅ” minētā algoritma 1. darbÄ«bu elektronisko parakstu iegÅ«Å”anai. Ko nozÄ«mē ā€œapliecināt identitātiā€ personai, kura pieteicās sertifikātam? Tas nozÄ«mē, ka personai, uz kuras vārda ir izsniegts sertifikāts, ir personÄ«gi jāierodas vai nu CA birojā, vai izsniegÅ”anas punktā, kuram ir partnerÄ«bas lÄ«gums ar SI, un tajā jāuzrāda savu dokumentu oriÄ£ināli. Jo Ä«paÅ”i Krievijas Federācijas pilsoņa pase. Dažos gadÄ«jumos, kad runa ir par parakstiem juridiskām personām. privātpersonām un individuālajiem uzņēmējiem, identifikācijas procedÅ«ra ir vēl sarežģītāka un prasa uzrādÄ«t papildu dokumentus.

TieÅ”i Å”ajā posmā, tas ir, paŔā sākumā, kad lietas nav nonākuÅ”as pat lÄ«dz parakstÄ«Å”anas sertifikāta izsniegÅ”anai, slēpjas bÅ«tiskākā problēma. Un atslēgas vārds Å”eit ir ā€œpaseā€.

Personas datu noplÅ«de valstÄ« ir sasniegusi patiesi industriālus apmērus. Ir tieÅ”saistes resursi, kur par nelielu naudu vai pat bez maksas var iegÅ«t skenētas Krievijas pilsoņu derÄ«gu pasu kopijas. Bet pasu skenējumus mÅ«su valstÄ«, ko noslogo pēcpadomju laika mantojums ā€œrādÄ«t dokumentusā€ stilā, var savākt no pilsoņiem visur - ne tikai bankās vai citās finanÅ”u iestādēs, bet arÄ« viesnÄ«cās, skolās, universitātēs, gaisa un dzelzceļa biļeÅ”u kases, bērnu centri, mobilo sakaru abonentu apkalpoÅ”anas punkti - visur, kur viņi pieprasa, lai jÅ«s apkalpotu pase, tas ir, gandrÄ«z visur. AttÄ«stoties digitālajām tehnoloÄ£ijām, Å”o plaÅ”o piekļuves kanālu personas datiem ir pārņēmuÅ”i apritē noziedznieki.

Ä»oti izplatÄ«ti ir arÄ« ā€œpakalpojumiā€ konkrētu cilvēku personas datu zādzÄ«bām.

Turklāt ir vesela armija t.s. "nominalitātes" - cilvēki, kā likums, ļoti jauni vai ļoti nabadzÄ«gi un slikti izglÄ«toti, vai vienkārÅ”i deÄ£enerāti, kuriem noziedznieki sola nelielu atlÄ«dzÄ«bu par pases nogādāŔanu SI vai izdoÅ”anas punktā un paraksta pasÅ«tÄ«Å”anu nosauciet tur, piemēram, uzņēmuma direktoru. Lieki piebilst, ka Ŕādai personai tad nav nekāda sakara ar uzņēmuma darbÄ«bu un, atklājoties krāpniecÄ«bai, viņa nevar sniegt nekādu reālu palÄ«dzÄ«bu izmeklÄ“Å”anai.

Tātad pases skenÄ“Å”ana nav problēma. Bet identifikācijai ir nepiecieÅ”ama pases oriÄ£ināls, kā tas var bÅ«t, jautās vērÄ«gais lasÄ«tājs? Un, lai apietu Å”o problēmu, pasaulē ir negodÄ«gi piegādes punkti. Neskatoties uz stingro atlases procedÅ«ru, noziedznieki periodiski saņem izdoÅ”anas punkta statusu un pēc tam sāk veikt pretlikumÄ«gas darbÄ«bas ar pilsoņu personas datiem.

Å ie divi faktori kopā rada mums visu problēmu vilni saistÄ«bā ar elektronisko ierīču lietoÅ”anas kriminālatbildÄ«bu, kas mums tagad ir.

Vai skaitļos ir droŔība?

Plēsējs vai upuris? Kas aizsargās sertifikācijas centrus

Visu Å”o, bez pārspÄ«lējuma, krāpnieku armiju tagad filtrē tikai sertifikācijas centri. Jebkurai CA ir savi droŔības pakalpojumi. Ikviens, kurÅ” piesakās parakstam, tiek rÅ«pÄ«gi pārbaudÄ«ts identifikācijas posmā. Ikviens, kurÅ” vēlas sadarboties konkrētas SI izdoÅ”anas punkta statusā, tiek arÄ« rÅ«pÄ«gi pārbaudÄ«ts gan partnerÄ«bas lÄ«guma slēgÅ”anas stadijā, gan pēc tam biznesa mijiedarbÄ«bas procesā.

Savādāk nevar bÅ«t, jo negodÄ«ga sertifikācija draud SI ar slēgÅ”anu - likumdoÅ”ana Å”ajā jomā ir strikta.

Bet nav iespējams aptvert milzÄ«gumu, un daži negodÄ«gie izdoÅ”anas punkti joprojām ā€œnoplÅ«stā€ SI partneros. Un ā€œnominētajamā€ var nebÅ«t iemesla atteikties izsniegt sertifikātu - galu galā viņŔ vērÅ”as CA pilnÄ«gi likumÄ«gi.

Tāpat, ja tiek atklāta krāpniecÄ«ba, kas saistÄ«ta ar parakstu uz konkrētas personas vārda, problēmu palÄ«dzēs atrisināt tikai sertifikācijas centrs. Tā kā sertifikācijas centrs Å”ajā gadÄ«jumā anulē paraksta sertifikātu, veic iekŔējo izmeklÄ“Å”anu, izsekojot visu sertifikātu izsniegÅ”anas ķēdi un var sniegt tiesai nepiecieÅ”amos dokumentus par krāpnieciskām darbÄ«bām, izsniedzot elektroniskā paraksta atslēgu. Tikai materiāli no sertifikācijas centra palÄ«dzēs tiesā atrisināt lietu par labu patieŔām cietuÅ”ajai pusei: personai, uz kuras vārda krāpnieciski izsniegts paraksts.

Taču arÄ« Å”eit vispārējais digitālais analfabētisms nenāk par labu upuriem. Ne visi aiziet lÄ«dz galam, lai aizstāvētu savas intereses. Bet prettiesiskas darbÄ«bas ar ciparparakstu ir jāapstrÄ«d tiesā. Un sertifikācijas centri ir galvenais palÄ«gs Å”ajā jautājumā.

Nogalināt visas CA?

Plēsējs vai upuris? Kas aizsargās sertifikācijas centrus

Un tā mÅ«su valstÄ« tika nolemts veikt izmaiņas SI darbÄ«bas kārtÄ«bā un prasÄ«bās tām. Deputātu un senatoru grupa izstrādāja atbilstoÅ”u likumprojektu, ko Valsts dome jau pieņēma pirmajā lasÄ«jumā 7. gada 2019. novembrÄ«.

Dokuments paredz vērienÄ«gu elektroniskā paraksta sertifikātu sistēmas reformu. Jo Ä«paÅ”i tiek pieņemts, ka juridiskās personas un individuālie uzņēmēji (IP) varēs saņemt uzlabotu kvalificētu elektronisko parakstu (ECES) tikai no Federālā nodokļu dienesta, bet finanÅ”u organizācijas no Centrālās bankas. Telekomunikāciju un masu komunikāciju ministrijas akreditētie sertifikācijas centri (CA), kas Å”obrÄ«d izsniedz elektroniskos parakstus, tos varēs izsniegt tikai privātpersonām.

Vienlaikus prasÄ«bas Ŕādām CA plānots krietni stingrāk. Akreditēta sertifikācijas centra minimālā neto aktÄ«vu summa ir jāpalielina no 7 miljoniem rubļu. lÄ«dz 1 miljardam rubļu, bet minimālā finansiālā atbalsta summa ā€“ no 30 miljoniem rubļu. lÄ«dz 200 miljoniem rubļu. Ja sertifikācijas centram ir filiāles vismaz divās treÅ”daļās Krievijas reÄ£ionu, tad minimālo neto aktÄ«vu summu var samazināt lÄ«dz 500 miljoniem rubļu.

Sertifikācijas centru akreditācijas termiņŔ tiek samazināts no pieciem uz trim gadiem. Par tehniska rakstura pārkāpumiem sertifikācijas centru darbā tiek noteikta administratÄ«vā atbildÄ«ba.

Tam visam būtu jāsamazina krāpŔanās ar elektroniskajiem parakstiem apjoms, uzskata likumprojekta autori.

Kāds ir rezultāts?

Plēsējs vai upuris? Kas aizsargās sertifikācijas centrus

Kā jÅ«s viegli varat redzēt, jaunais likumprojekts nekādā veidā nerisina Krievijas Federācijas pilsoņu dokumentu noziedzÄ«gas izmantoÅ”anas un personas datu zādzÄ«bas problēmu. Nav svarÄ«gi, kurÅ” izsniegs CA vai Federālā nodokļu dienesta parakstu, paraksta Ä«paÅ”nieka identitāte joprojām bÅ«s jāapliecina, un likumprojektā nav paredzēti jauninājumi Å”ajā jautājumā. Ja parastai CA darbojās negodprātÄ«gs izdoÅ”anas punkts pēc noziedzÄ«gām shēmām, tad kas jums traucēs to darÄ«t arÄ« valstij piederoÅ”ajam?

PaÅ”reizējā likumprojekta redakcijā paÅ”laik nav noteikts, kurÅ” uzņemsies atbildÄ«bu par UKEP izdoÅ”anu, ja Å”is paraksts izmantots krāpnieciskās darbÄ«bās. Turklāt pat Kriminālkodeksā nav piemērota panta, kas ļautu saukt pie kriminālatbildÄ«bas par elektroniskā paraksta sertifikāta izsniegÅ”anu, pamatojoties uz zagtiem personas datiem.

AtseviŔķa problēma ir valsts SI pārslodze, kas noteikti radÄ«sies saskaņā ar jaunajiem noteikumiem un padarÄ«s pakalpojumu sniegÅ”anu iedzÄ«votājiem un juridiskām personām ļoti lēnu un apgrÅ«tinātu.

SI apkalpoÅ”anas funkcija rēķinā vispār nav aplÅ«kota. Nav skaidrs, vai plānotajās lielajās valstij piederoÅ”ajās CA tiks izveidotas klientu apkalpoÅ”anas nodaļas, cik ilgi tas prasÄ«s un kādus materiālos ieguldÄ«jumus tas prasÄ«s un kas nodroÅ”inās klientu apkalpoÅ”anu, kamēr Ŕāda infrastruktÅ«ra tiks veidota. Ir acÄ«mredzams, ka konkurences izzuÅ”ana Å”ajā jomā var viegli novest pie nozares stagnācijas.

Tas nozÄ«mē, ka rezultāts ir valsts aÄ£entÅ«ru veiktā CA tirgus monopolizācija, Å”o struktÅ«ru pārslodze ar visu EDI darbÄ«bu palēnināŔanos, galalietotāju atbalsta trÅ«kums krāpÅ”anas gadÄ«jumā un paÅ”reizējā CA tirgus pilnÄ«ga iznÄ«cināŔana kopā ar esoÅ”o infrastruktÅ«ru. (tas ir aptuveni 15 000 darbavietu visā valstÄ«).

KurÅ” tiks ievainots? Šāda likumprojekta pieņemÅ”anas rezultātā cietÄ«s tie, kas tagad cieÅ”, tas ir, galalietotāji un sertifikācijas iestādes.

Un bizness, kas plaukst ar identitātes zādzÄ«bām, turpinās plaukt. Vai nav pienācis laiks tiesÄ«bsargājoÅ”ajām iestādēm un likumdevējiem pievērst uzmanÄ«bu Å”ai problēmai un patiesi nopietni reaģēt uz digitālā laikmeta izaicinājumiem? Personas datu zādzÄ«bas un to turpmākās noziedzÄ«gās izmantoÅ”anas iespējas pēdējo 10ā€“15 gadu laikā ir palielinājuŔās daudzkārt. Pieaudzis arÄ« noziedznieku sagatavotÄ«bas lÄ«menis. Uz to ir jāreaģē, ievieÅ”ot stingras atbildÄ«bas pasākumus par jebkādām nelikumÄ«gām darbÄ«bām ar citu personu personas datiem gan uzņēmumiem un to darbiniekiem, gan privātpersonām. Un, lai patieŔām atrisinātu elektroniskā paraksta sertifikātu noziedzÄ«gas izmantoÅ”anas problēmu, ir jāizveido likumprojekts, kas paredzētu atbildÄ«bu, tajā skaitā kriminālatbildÄ«bu, par Ŕādām darbÄ«bām. Un nevis likumprojekts, kas vienkārÅ”i pārdala finanÅ”u plÅ«smas, sarežģī procedÅ«ru gala lietotājam un nevienam galu galā nedod nekādu aizsardzÄ«bu.

Avots: www.habr.com

Pievieno komentāru