Wat is er aan de hand
Het onderwerp van frauduleuze handelingen gepleegd met behulp van een elektronisch handtekeningcertificaat heeft onlangs brede publieke aandacht gekregen. Federale media hebben er een regel van gemaakt om periodiek horrorverhalen te vertellen over gevallen van misbruik van elektronische handtekeningen. Het meest voorkomende misdrijf op dit gebied is de registratie van een rechtspersoon. personen of individuele ondernemers op naam van een nietsvermoedende burger van de Russische Federatie. Een andere populaire fraudemethode is een transactie waarbij de eigendom van onroerend goed wordt gewijzigd (dit is wanneer iemand namens u uw appartement aan iemand anders verkoopt, maar u weet het niet eens).
Maar laten we ons niet laten meeslepen door mogelijke illegale acties met digitale handtekeningen te beschrijven, om oplichters geen creatieve ideeën te geven. Laten we beter proberen uit te zoeken waarom dit probleem zo wijdverbreid is geworden en wat er werkelijk moet worden gedaan om het uit te roeien. En hiervoor moeten we duidelijk begrijpen wat certificeringscentra zijn, hoe ze precies werken en of ze zo eng zijn als ze ons worden voorgesteld in de media en verklaringen van geïnteresseerde partijen.
Waar komen handtekeningen vandaan?
U bent dus de gebruiker. U hebt een certificaat voor elektronische handtekening nodig. Het maakt niet uit voor welke taken en in welke status u zich bevindt (bedrijf, individu, individuele ondernemer) - het algoritme voor het verkrijgen van een certificaat is standaard. En u neemt contact op met het certificeringscentrum om een certificaat voor elektronische handtekeningen aan te schaffen.
Een certificeringscentrum is een bedrijf waaraan de Russische wetgeving een aantal strenge eisen stelt.
Om het recht te hebben een verbeterde gekwalificeerde elektronische handtekening af te geven, moet het certificeringscentrum een speciale accreditatieprocedure ondergaan bij het Ministerie van Telecom en Massacommunicatie. De accreditatieprocedure vereist het voldoen aan een aantal strikte regels waar niet ieder bedrijf aan kan voldoen.
In het bijzonder moet de CA over een licentie beschikken die haar het recht verleent om encryptie- (cryptografische) hulpmiddelen, informatie- en telecommunicatiesystemen te ontwikkelen, produceren en distribueren. Deze licentie wordt afgegeven door de FSB nadat de aanvrager een reeks strenge controles heeft doorstaan.
CA-medewerkers moeten een hbo-opleiding hebben gevolgd op het gebied van informatietechnologie of informatiebeveiliging.
De wet verplicht CA's ook om hun aansprakelijkheid te verzekeren voor "verliezen veroorzaakt aan derden als gevolg van hun vertrouwen in de informatie die is gespecificeerd in het sleutelcertificaat voor elektronische handtekeningverificatie dat is uitgegeven door een dergelijke CA, of informatie die is opgenomen in het register van certificaten dat door een dergelijke CA wordt bijgehouden. ” voor een bedrag van maar liefst 30 miljoen roebel.
Zoals je kunt zien, is niet alles zo eenvoudig.
In totaal zijn er momenteel ongeveer 500 CA's in het land die het recht hebben om ECES (Enhanced Qualified Electronic Signature Certificate) uit te geven. Dit omvat niet alleen particuliere certificeringscentra, maar ook CA's van verschillende overheidsinstanties (waaronder de federale belastingdienst, de Russische Federatie, enz.), banken, handelsplatforms, inclusief staatsplatforms.
Het elektronische handtekeningcertificaat wordt gemaakt met behulp van coderingsalgoritmen die zijn gecertificeerd door de FSB van de Russische Federatie. Hiermee kunnen rechtspersonen en individuen juridisch belangrijke documenten elektronisch uitwisselen. Volgens officiële gegevens van de CA wordt het merendeel (95%) van het CEP uitgegeven door rechtspersonen. personen, de rest - individuen. personen.
Nadat u contact heeft opgenomen met de CA, gebeurt het volgende:
- De CA verifieert de identiteit van de persoon die een certificaat voor elektronische handtekening heeft aangevraagd;
Pas nadat de identiteit is bevestigd en alle documenten zijn geverifieerd, produceert en geeft de CA een certificaat uit, dat informatie bevat over de certificaateigenaar en zijn openbare verificatiesleutel; - De CA beheert de levenscyclus van het certificaat: zorgt voor de uitgifte, opschorting (ook op verzoek van de eigenaar), verlenging en vervaldatum.
- Een andere functie van de CA is dienstverlening. Het simpelweg afgeven van een certificaat is niet voldoende. Gebruikers hebben regelmatig behoefte aan allerlei adviezen over de procedure voor het afgeven en gebruiken van een handtekening, advies over de aanvraag en de keuze van het type certificaat. Grote CA's, zoals de CA's van het bedrijf Business Network, leveren technische ondersteunende diensten, creëren verschillende software, verbeteren bedrijfsprocessen, monitoren veranderingen op het gebied van toepassing van certificaten, etc. CA's werken met elkaar concurrerend aan de kwaliteit van IT diensten, die dit gebied ontwikkelen.
Kozakken iets verkeerd behandeld!
Laten we stap 1 van het bovenstaande algoritme voor het verkrijgen van elektronische handtekeningen bekijken. Wat betekent het om “de identiteit te certificeren” van de persoon die het certificaat heeft aangevraagd? Dit betekent dat de persoon op wiens naam het certificaat is afgegeven persoonlijk moet verschijnen op het CA-kantoor of op het uitgiftepunt dat een samenwerkingsovereenkomst heeft met de CA, en daar de originelen van zijn documenten moet overhandigen. In het bijzonder een paspoort van een staatsburger van de Russische Federatie. In sommige gevallen als het gaat om handtekeningen voor rechtspersonen. particulieren en individuele ondernemers is de identificatieprocedure zelfs nog ingewikkelder en vereist de overlegging van aanvullende documenten.
Juist in dit stadium, dat wil zeggen helemaal aan het begin, wanneer de zaken nog niet eens tot de uitgifte van een handtekeningcertificaat zijn gekomen, ligt het belangrijkste probleem. En het sleutelwoord hier is ‘paspoort’.
Het lekken van persoonlijke gegevens in het land heeft werkelijk industriële proporties aangenomen. Er zijn online bronnen waar u voor weinig geld of zelfs gratis gescande kopieën van geldige paspoorten van Russische staatsburgers kunt krijgen. Maar scans van paspoorten in ons land, belast door de post-Sovjet-erfenis van de ‘showdocumenten’-stijl, kunnen van burgers overal ter wereld worden verzameld – niet alleen bij banken of andere financiële instellingen, maar ook in hotels, scholen, universiteiten, lucht- en treinkaartjes, kindercentra, servicepunten voor mobiele abonnees - overal waar u uw paspoort moet tonen voor service, dat wil zeggen bijna overal. Met de ontwikkeling van digitale technologieën is dit brede kanaal van toegang tot persoonlijke gegevens door criminele werknemers in omloop gebracht.
“Diensten” voor diefstal van persoonlijke gegevens van specifieke mensen zijn ook heel gebruikelijk.
Daarnaast is er een heel leger van zogenaamde. "nominaliteiten" - mensen, in de regel heel jong, of heel arm en laag opgeleid, of gewoon degenererend, aan wie de criminelen een bescheiden beloning beloven voor het brengen van hun paspoort naar de CA of naar het uitgiftepunt en het bestellen van een handtekening in hun paspoort naam daar bijvoorbeeld als directeur van een bedrijf. Zo iemand heeft dan uiteraard niets te maken met de activiteiten van het bedrijf en kan geen echte medewerking verlenen aan het onderzoek als de oplichting aan het licht komt.
Het scannen van uw paspoort is dus geen probleem. Maar voor identificatie heb je een origineel paspoort nodig, hoe kan dit, zal de oplettende lezer vragen? En om dit probleem te omzeilen, zijn er gewetenloze afleverpunten in de wereld. Ondanks de strenge selectieprocedure krijgen criminele karakters periodiek de status van issue point en beginnen vervolgens illegale acties te ondernemen met de persoonsgegevens van burgers.
De combinatie van deze twee factoren bezorgt ons de hele golf van problemen met de criminalisering van het gebruik van elektronische apparaten die we nu hebben.
Zit er veiligheid in cijfers?
Dit hele, zonder overdrijving, leger van oplichters wordt nu alleen gefilterd door certificeringscentra. Elke CA heeft zijn eigen beveiligingsdiensten. Iedereen die een handtekening aanvraagt, wordt in de identificatiefase zorgvuldig gecontroleerd. Ook wie mee wil werken aan de status van een aandachtspunt voor een specifieke CA wordt zorgvuldig gecontroleerd, zowel in de fase van het sluiten van een samenwerkingsovereenkomst als daarna in het proces van zakelijke interactie.
Het kan niet anders, want oneerlijke certificering bedreigt de CA met sluiting - de wetgeving op dit gebied is streng.
Maar het is onmogelijk om de onmetelijkheid te omarmen, en sommige van de gewetenloze uitgiftepunten “lekken” nog steeds naar de partners van de CA. En de "genomineerde" heeft misschien helemaal geen reden om te weigeren een certificaat af te geven - hij solliciteert immers volledig legaal bij de CA.
En als er een oplichting waarbij een handtekening op naam van een specifieke persoon betrokken is, wordt ontdekt, kan alleen een certificeringscentrum het probleem helpen oplossen. Omdat het certificeringscentrum in dit geval het handtekeningcertificaat intrekt, een intern onderzoek uitvoert, de hele keten van certificaatuitgifte volgt en de rechtbank de nodige documenten kan verstrekken over frauduleuze handelingen bij het uitgeven van een elektronische handtekeningsleutel. Alleen materialen van het certificeringscentrum zullen in de rechtszaal helpen om de zaak op te lossen in het voordeel van de werkelijk benadeelde partij: de persoon op wiens naam de handtekening op frauduleuze wijze is geplaatst.
Maar ook hier komt het algemene digitale analfabetisme niet ten goede aan de slachtoffers. Niet iedereen doet er alles aan om zijn belangen te beschermen. Maar illegale handelingen met een digitale handtekening moeten voor de rechter worden aangevochten. En certificeringscentra zijn hierbij de belangrijkste hulp.
Alle CA's doden?
En dus werd in onze staat besloten om wijzigingen aan te brengen in de werkwijze van CA's en de vereisten daarvoor. Een groep afgevaardigden en senatoren ontwikkelde een overeenkomstig wetsvoorstel, dat op 7 november 2019 al in eerste lezing door de Staatsdoema werd aangenomen.
Het document voorziet in een grootschalige hervorming van het certificatensysteem voor elektronische handtekeningen. In het bijzonder wordt ervan uitgegaan dat rechtspersonen en individuele ondernemers (IP) alleen een verbeterde gekwalificeerde elektronische handtekening (ECES) kunnen ontvangen van de Federale Belastingdienst, en financiële organisaties van de Centrale Bank. Certificeringscentra (CA's) geaccrediteerd door het Ministerie van Telecom en Massacommunicatie, die nu elektronische handtekeningen uitgeven, zullen deze alleen aan individuen kunnen afgeven.
Tegelijkertijd zullen de eisen voor dergelijke CA's naar verwachting aanzienlijk worden aangescherpt. Het minimumbedrag aan nettoactiva van een geaccrediteerd certificeringscentrum moet worden verhoogd van 7 miljoen roebel. tot 1 miljard roebel, en het minimale bedrag aan financiële steun – van 30 miljoen roebel. tot 200 miljoen roebel. Als het certificeringscentrum vestigingen heeft in ten minste tweederde van de Russische regio's, kan het minimumbedrag aan nettoactiva worden teruggebracht tot 500 miljoen roebel.
De accreditatietermijn voor certificatiecentra wordt teruggebracht van vijf naar drie jaar. Er wordt administratieve aansprakelijkheid ingevoerd voor overtredingen in het werk van certificeringscentra van technische aard.
Dit alles zou de hoeveelheid fraude met elektronische handtekeningen moeten terugdringen, vinden de opstellers van het wetsvoorstel.
Wat is het resultaat?
Zoals u gemakkelijk kunt zien, pakt het nieuwe wetsvoorstel op geen enkele manier het probleem van het crimineel gebruik van documenten van burgers van de Russische Federatie en de diefstal van persoonlijke gegevens aan. Het maakt niet uit wie de handtekening van de CA of de federale belastingdienst zal afgeven, de identiteit van de eigenaar van de handtekening zal nog steeds moeten worden gecertificeerd, en het wetsvoorstel voorziet niet in enige innovatie op dit gebied. Als een gewetenloos uitgiftepunt volgens criminele plannen werkte voor een gewone CA, wat zal u er dan van weerhouden hetzelfde te doen voor een staatsbedrijf?
De huidige versie van het wetsvoorstel bepaalt momenteel niet wie welke verantwoordelijkheid draagt voor het uitreiken van de UKEP als deze handtekening bij frauduleuze activiteiten wordt gebruikt. Bovendien is er zelfs in het Wetboek van Strafrecht geen geschikt artikel dat strafrechtelijke vervolging mogelijk maakt voor de afgifte van een elektronisch handtekeningcertificaat op basis van gestolen persoonlijke gegevens.
Een apart probleem is de overbelasting van staatsautoriteiten, die onder de nieuwe regels zeker zal ontstaan en de dienstverlening aan burgers en rechtspersonen zeer traag en moeilijk zal maken.
De servicefunctie van de CA komt in het wetsvoorstel helemaal niet aan bod. Het is niet duidelijk of er klantenserviceafdelingen zullen worden opgericht bij de voorgestelde grote CA's in staatseigendom, hoe lang dit zal duren en welke materiële investeringen dit zal vergen, en wie klantenservice zal verlenen terwijl een dergelijke infrastructuur wordt gecreëerd. Het is duidelijk dat het verdwijnen van de concurrentie op dit gebied gemakkelijk tot stagnatie in de sector kan leiden.
Dat wil zeggen, het resultaat is monopolisering van de CA-markt door overheidsinstanties, overbelasting van deze structuren met een vertraging van alle EDI-activiteiten, gebrek aan ondersteuning van eindgebruikers in geval van fraude en volledige vernietiging van de huidige CA-markt samen met de bestaande infrastructuur. (dit zijn ongeveer 15 banen in het hele land).
Wie zal gewond raken? Als gevolg van de aanneming van een dergelijk wetsvoorstel zullen degenen die nu lijden, lijden, dat wil zeggen eindgebruikers en certificeringsinstanties.
En een bedrijf dat gedijt op identiteitsdiefstal zal blijven floreren. Is het niet tijd dat wetshandhavingsinstanties en wetgevers hun aandacht op dit probleem richten en echt serieus reageren op de uitdagingen van het digitale tijdperk? De mogelijkheden voor diefstal van persoonlijke gegevens en het daaropvolgende criminele gebruik zijn de afgelopen tien tot vijftien jaar enorm toegenomen. Ook het opleidingsniveau van criminelen is toegenomen. Hierop moet worden gereageerd door strikte aansprakelijkheidsmaatregelen in te voeren voor illegale handelingen met de persoonsgegevens van anderen, zowel voor bedrijven en hun werknemers als voor individuen. En om het probleem van het crimineel gebruik van certificaten voor elektronische handtekeningen echt op te lossen, is het noodzakelijk een wetsvoorstel op te stellen dat voorziet in aansprakelijkheid, inclusief strafrechtelijke aansprakelijkheid, voor dergelijke acties. En geen wetsvoorstel dat simpelweg de financiële stromen herverdeelt, de procedure voor de eindgebruiker compliceert en uiteindelijk niemand enige bescherming biedt.
Bron: www.habr.com