Apa yang berlaku?
Topik aktiviti penipuan yang dilakukan menggunakan sijil tandatangan elektronik telah mendapat perhatian umum yang meluas baru-baru ini. Media nasional telah menjadikan ia satu kebiasaan untuk melaporkan secara berkala kisah-kisah seram tentang kes penyalahgunaan tandatangan elektronik. Jenayah yang paling biasa dalam bidang ini ialah mendaftarkan entiti sah atau usahawan individu atas nama warganegara Rusia yang tidak curiga. Satu lagi kaedah penipuan yang popular ialah pemindahan pemilikan hartanah (apabila seseorang menjual apartmen anda kepada orang lain atas nama anda, tanpa pengetahuan anda).
Tetapi janganlah kita terlalu asyik dengan menggambarkan kemungkinan tindakan haram dengan tandatangan digital, agar tidak memberi idea kreatif kepada penipu. Sebaliknya, mari kita cuba memahami mengapa masalah ini menjadi begitu berleluasa dan apa yang sebenarnya perlu dilakukan untuk membasminya. Untuk melakukan ini, kita perlu memahami dengan jelas apa itu pihak berkuasa pensijilan, bagaimana ia berfungsi, dan sama ada ia menakutkan seperti yang digambarkan dalam media dan oleh pihak yang berkepentingan.
Dari manakah datangnya tandatangan?
Jadi, anda seorang pengguna. Anda memerlukan sijil tandatangan elektronik. Tidak kira apa tujuannya atau status anda (syarikat, individu atau pemilikan tunggal)—proses untuk mendapatkan sijil adalah standard. Jadi, anda menghubungi pihak berkuasa pensijilan untuk membeli sijil tandatangan elektronik.
Pihak berkuasa pensijilan ialah syarikat yang mana undang-undang Rusia mengenakan beberapa keperluan ketat.
Untuk dibenarkan mengeluarkan tandatangan elektronik yang dipertingkatkan dan layak, pihak berkuasa pensijilan mesti menjalani prosedur akreditasi khas dengan Kementerian Perhubungan. Proses akreditasi ini memerlukan pematuhan kepada beberapa keperluan ketat yang tidak dapat dipenuhi oleh setiap syarikat.
Khususnya, CA mesti mempunyai lesen yang memberikannya hak untuk membangun, menghasilkan dan mengedarkan alat penyulitan (kriptografi), maklumat dan sistem telekomunikasi. Lesen ini dikeluarkan oleh FSB selepas pemohon lulus beberapa siri pemeriksaan yang ketat.
Pekerja Pusat Persijilan mesti mempunyai pendidikan profesional yang lebih tinggi dalam bidang teknologi maklumat atau keselamatan maklumat.
Undang-undang ini juga mewajibkan CA untuk menginsuranskan liabiliti mereka atas "kerosakan yang disebabkan kepada pihak ketiga akibat pergantungan mereka pada maklumat yang dinyatakan dalam sijil kunci pengesahan tandatangan elektronik yang dikeluarkan oleh CA tersebut, atau maklumat yang terkandung dalam pendaftaran sijil yang diselenggarakan oleh CA tersebut" dalam jumlah tidak kurang daripada 30 juta rubel.
Seperti yang anda lihat, ia tidak semudah itu.
Pada masa ini terdapat kira-kira 500 CA di negara ini yang dibenarkan untuk mengeluarkan tandatangan elektronik berkelayakan yang dipertingkatkan (EQES). Ini bukan sahaja termasuk pihak berkuasa pensijilan swasta tetapi juga CA yang bergabung dengan pelbagai agensi kerajaan (termasuk Perkhidmatan Cukai Persekutuan, Persekutuan Rusia, dll.), bank dan platform perdagangan, termasuk yang dimiliki oleh kerajaan.
Sijil tandatangan elektronik dicipta menggunakan algoritma penyulitan yang diperakui oleh Perkhidmatan Keselamatan Persekutuan Persekutuan Rusia. Ia membolehkan entiti sah dan individu bertukar dokumen yang penting secara sah secara elektronik. Menurut data rasmi CA, majoriti (95%) tandatangan elektronik dikeluarkan kepada entiti sah, manakala selebihnya dikeluarkan kepada individu.
Sebaik sahaja anda menghubungi Pihak Berkuasa Persijilan, perkara berikut akan berlaku:
- CA mengesahkan identiti orang yang memohon sijil tandatangan elektronik;
Hanya selepas pengesahan identiti dan pengesahan semua dokumen, CA menghasilkan dan mengeluarkan sijil, yang merangkumi maklumat tentang pemilik sijil dan kunci pengesahan awamnya; - CA menguruskan kitaran hayat sijil: memastikan pengeluarannya, penggantungan (termasuk atas permintaan pemilik), pembaharuan dan tamat tempoh.
- Satu lagi fungsi CA ialah perkhidmatan. Hanya mengeluarkan sijil tidak mencukupi. Pengguna kerap memerlukan semua jenis rundingan mengenai proses pengeluaran dan penggunaan tandatangan, serta nasihat mengenai permohonan dan pemilihan jenis sijil. CA besar, seperti CA Delovaya Set, menyediakan sokongan teknikal, membangunkan pelbagai perisian, menambah baik proses perniagaan, memantau perubahan dalam bidang permohonan sijil dan banyak lagi. Sambil bersaing antara satu sama lain, CA berusaha untuk meningkatkan kualiti perkhidmatan IT mereka, membangunkan bidang ini.
Cossack ialah tumbuhan!
Mari kita lihat perkara 1 prosedur yang dinyatakan di atas untuk mendapatkan tandatangan elektronik. Apakah maksud "mengesahkan identiti" orang yang memohon sijil tersebut? Ini bermakna orang yang atas namanya sijil dikeluarkan mesti hadir sendiri sama ada di pejabat CA atau di lokasi penerbit yang mempunyai perjanjian perkongsian dengan CA dan mengemukakan dokumen asal. Khususnya, pasport Rusia. Dalam beberapa kes, apabila melibatkan tandatangan untuk entiti sah dan usahawan individu, prosedur pengesahan adalah lebih rumit dan memerlukan dokumen tambahan.
Tepat pada peringkat inilah—pada permulaannya, sebelum sijil tandatangan dikeluarkan—masalah utamanya terletak. Dan kata kuncinya di sini ialah "pasport".
Kebocoran data peribadi di negara ini telah mencapai tahap perindustrian yang sebenar. Terdapat sumber dalam talian di mana anda boleh mendapatkan salinan imbasan pasport Rusia yang sah dengan sedikit atau tanpa sebarang wang. Dan di negara kita, yang dibebani oleh legasi pasca-Soviet iaitu "tunjukkan dokumen anda," imbasan pasport boleh dikumpulkan daripada rakyat di mana-mana sahaja—bukan sahaja di bank dan institusi kewangan lain, tetapi juga di hotel, sekolah, universiti, pejabat tiket syarikat penerbangan dan kereta api, pusat penjagaan kanak-kanak, pusat perkhidmatan telefon bimbit—di mana-mana sahaja yang memerlukan pasport untuk perkhidmatan—dalam erti kata lain, hampir di mana-mana sahaja. Dengan perkembangan teknologi digital, saluran akses yang luas kepada data peribadi ini telah dieksploitasi oleh penjenayah.
"Perkhidmatan" untuk mencuri data peribadi orang tertentu juga sangat biasa.
Di samping itu, terdapat sekumpulan besar orang yang dipanggil "calon"—orang yang biasanya sangat muda, sangat miskin, kurang berpendidikan, atau hanya kurang bernasib baik—yang dijanjikan oleh penipu ganjaran yang sederhana untuk hadir di pusat pensijilan atau pusat pengeluaran pasport mereka dan tandatangan diletakkan atas nama mereka, contohnya, sebagai pengarah syarikat. Tidak perlu dikatakan, orang sedemikian tidak mempunyai kaitan langsung dengan aktiviti syarikat dan tidak boleh menawarkan bantuan sebenar kepada siasatan sebaik sahaja penipuan itu terbongkar.
Jadi, imbasan pasport bukanlah masalah. Tetapi pengesah memerlukan pasport asal. Bagaimanakah itu mungkin berlaku, pembaca yang prihatin mungkin bertanya? Untuk mengelakkan masalah ini, agensi penerbit yang tidak bertanggungjawab wujud. Walaupun proses pemilihan yang ketat, penjenayah secara berkala mendapat status agensi penerbit dan kemudian mula melakukan tindakan haram dengan data peribadi warganegara.
Gabungan kedua-dua faktor ini memberikan kita gelombang masalah dengan penjenayahkan penggunaan tandatangan elektronik yang kita alami sekarang.
Terdapat keselamatan dalam nombor?
Seluruh tentera penipu ini, secara literalnya, kini hanya ditapis oleh pihak berkuasa pensijilan. Setiap CA mempunyai perkhidmatan keselamatannya sendiri. Setiap orang yang memohon tandatangan diperiksa dengan teliti pada peringkat pengesahan identiti. Sesiapa yang ingin bekerjasama sebagai titik pengeluaran untuk CA tertentu juga diperiksa dengan teliti pada peringkat perjanjian perkongsian dan seterusnya, semasa interaksi perniagaan.
Tidak boleh sebaliknya, kerana pensijilan yang tidak jujur mengancam CA dengan penutupan – perundangan dalam bidang ini adalah ketat.
Tetapi mustahil untuk menerima keluasannya, dan beberapa perkara yang tidak bertanggungjawab masih "tergelincir" ke dalam organisasi rakan kongsi CA. Dan "calon" mungkin tidak mempunyai sebab untuk menolak sijil sama sekali, memandangkan mereka memohon kepada CA secara sah sepenuhnya.
Selain itu, jika tandatangan palsu atas nama individu tertentu terbongkar, hanya pihak berkuasa pensijilan sahaja yang boleh menyelesaikan isu tersebut. Dalam kes ini, pihak berkuasa pensijilan akan membatalkan sijil tandatangan, menjalankan siasatan dalaman, mengesan keseluruhan rantaian pengeluaran sijil dan boleh menyediakan dokumen yang diperlukan kepada mahkamah mengenai aktiviti penipuan semasa pengeluaran kunci tandatangan elektronik. Hanya bahan daripada pihak berkuasa pensijilan sahaja yang akan membantu mahkamah menyelesaikan kes yang memihak kepada pihak yang cedera: orang yang atas namanya tandatangan itu dikeluarkan secara palsu.
Walau bagaimanapun, buta huruf digital secara amnya juga tidak memberi manfaat kepada mangsa di sini. Tidak semua orang berusaha sedaya upaya untuk melindungi kepentingan mereka. Lagipun, tindakan haram yang melibatkan tandatangan digital mesti dicabar di mahkamah. Dan pihak berkuasa pensijilan merupakan sokongan utama dalam hal ini.
Bunuh semua UC?
Oleh itu, di negara kita, telah diputuskan untuk meminda prosedur operasi dan keperluan untuk pusat pensijilan. Sekumpulan timbalan dan senator telah membangunkan rang undang-undang yang sepadan, yang telah diluluskan oleh Duma Negeri dalam bacaan pertamanya pada 7 November 2019.
Dokumen ini membayangkan pembaharuan besar-besaran sistem sijil tandatangan elektronik. Secara khususnya, ia menetapkan bahawa entiti sah dan pemilik tunggal hanya boleh mendapatkan tandatangan elektronik berkelayakan yang dipertingkatkan (EQES) daripada Perkhidmatan Cukai Persekutuan, manakala institusi kewangan hanya boleh mendapatkannya daripada Bank Pusat. Pihak berkuasa pensijilan (CA) yang diiktiraf oleh Kementerian Komunikasi dan Media Massa, yang kini mengeluarkan EQES, hanya akan dapat mengeluarkannya kepada individu.
Pada masa yang sama, keperluan untuk CA sedemikian dirancang untuk diperketatkan dengan ketara. Aset bersih minimum pihak berkuasa pensijilan yang diiktiraf harus ditingkatkan daripada 7 juta rubel kepada 1 bilion rubel, dan keselamatan kewangan minimum harus ditingkatkan daripada 30 juta rubel kepada 200 juta rubel. Sekiranya pihak berkuasa pensijilan mempunyai cawangan di sekurang-kurangnya dua pertiga wilayah Rusia, aset bersih minimum boleh dikurangkan kepada 500 juta rubel.
Tempoh akreditasi untuk pihak berkuasa pensijilan dikurangkan daripada lima kepada tiga tahun. Penalti pentadbiran akan diperkenalkan bagi pelanggaran teknikal oleh pihak berkuasa pensijilan.
Semua ini sepatutnya dapat mengurangkan bilangan penipuan yang melibatkan tandatangan elektronik, kata penulis rang undang-undang itu.
Apakah keputusannya?
Seperti yang jelas, rang undang-undang baharu ini sama sekali tidak menangani isu penyalahgunaan jenayah dokumen warga Rusia dan kecurian data peribadi. Tidak kira siapa yang mengeluarkan tandatangan—CA atau Perkhidmatan Cukai Persekutuan—identiti pemegang tandatangan masih perlu disahkan, dan rang undang-undang ini tidak menyediakan peruntukan baharu mengenai isu ini. Jika agensi penerbit yang tidak bertanggungjawab menggunakan skim jenayah untuk CA biasa, apakah yang menghalang mereka daripada melakukan perkara yang sama untuk CA milik negara?
Versi rang undang-undang semasa tidak menyatakan siapa yang akan bertanggungjawab mengeluarkan tandatangan elektronik yang dipertingkatkan jika tandatangan itu digunakan secara palsu. Tambahan pula, Kanun Jenayah pun tidak mempunyai artikel yang sesuai yang akan membenarkan liabiliti jenayah kerana mengeluarkan sijil tandatangan elektronik menggunakan data peribadi yang dicuri.
Isu berasingan ialah beban pusat pensijilan negeri, yang pasti akan timbul di bawah peraturan baharu dan akan menjadikan penyediaan perkhidmatan kepada individu dan entiti undang-undang sangat perlahan dan sukar.
Rang undang-undang ini langsung tidak membincangkan fungsi perkhidmatan CA. Tidak jelas sama ada jabatan khidmat pelanggan akan diwujudkan di CA milik kerajaan yang besar yang dicadangkan, berapa lama masa yang diperlukan untuk ini, pelaburan kewangan yang diperlukan, dan siapa yang akan mengendalikan khidmat pelanggan semasa infrastruktur ini sedang diwujudkan. Jelas sekali, kehilangan persaingan dalam bidang ini boleh menyebabkan industri ini menjadi lembap dengan mudah.
Hasil akhirnya adalah monopoli pasaran CA oleh agensi kerajaan, beban agensi-agensi ini dengan kelembapan dalam semua aktiviti pengurusan dokumen elektronik, kekurangan sokongan pengguna akhir sekiranya berlaku penipuan, dan kemusnahan sepenuhnya pasaran CA semasa bersama-sama dengan infrastruktur sedia ada (ini adalah kira-kira 15,000 pekerjaan di seluruh negara).
Siapa yang akan menderita? Orang yang sama yang sudah menderita—pengguna akhir dan pihak berkuasa pensijilan—akan menderita akibat daripada penerimaan rang undang-undang ini.
Perniagaan yang berkembang maju dalam kecurian data peribadi akan terus berkembang maju. Bukankah sudah tiba masanya untuk agensi penguatkuasaan undang-undang dan penggubal undang-undang menangani masalah ini dan benar-benar menangani cabaran era digital? Peluang untuk kecurian data peribadi dan penggunaan jenayah berikutnya telah meningkat secara eksponen sejak 10-15 tahun yang lalu. Tahap latihan jenayah juga telah meningkat. Ini mesti ditangani dengan memperkenalkan hukuman yang tegas bagi sebarang tindakan haram dengan data peribadi orang lain, baik untuk syarikat dan pekerja mereka, mahupun untuk individu. Dan untuk benar-benar menangani masalah penggunaan sijil tandatangan elektronik secara jenayah, adalah perlu untuk merangka undang-undang yang akan menetapkan liabiliti, termasuk hukuman jenayah, untuk tindakan sedemikian. Ini bukanlah rang undang-undang yang hanya mengagihkan semula aliran kewangan, merumitkan prosedur untuk pengguna akhir, dan akhirnya tidak memberikan perlindungan kepada sesiapa pun.
Sumber: www.habr.com
