Hva skjer?
Temaet uredelige handlinger begått ved hjelp av et elektronisk signatursertifikat har fått bred offentlig oppmerksomhet nylig. Føderale medier har gjort det til en regel å med jevne mellomrom fortelle skrekkhistorier om tilfeller av misbruk av elektroniske signaturer. Den vanligste forbrytelsen på dette området er registrering av en juridisk enhet. personer eller individuelle gründere i navnet til en intetanende statsborger i den russiske føderasjonen. En annen populær metode for svindel er en transaksjon som involverer endring i eierskap av eiendom (dette er når noen selger leiligheten din på dine vegne til noen andre, men du vet ikke engang).
Men la oss ikke la oss rive med av å beskrive mulige ulovlige handlinger med digitale signaturer, for ikke å gi kreative ideer til svindlere. La oss prøve å finne ut hvorfor dette problemet har blitt så utbredt og hva som virkelig må gjøres for å utrydde det. Og for dette må vi tydelig forstå hva sertifiseringssentre er, nøyaktig hvordan de fungerer og om de er så skumle som de blir fremstilt for oss i media og uttalelser fra interesserte parter.
Hvor kommer signaturene fra?
Så du er brukeren. Du trenger et elektronisk signatursertifikat. Det spiller ingen rolle for hvilke oppgaver og hvilken status du er i (selskap, individuell, individuell gründer) - algoritmen for å få et sertifikat er standard. Og du kontakter sertifiseringssenteret for å kjøpe et elektronisk signatursertifikat.
Et sertifiseringssenter er et selskap der russisk lovgivning stiller en rekke strenge krav.
For å ha rett til å utstede en forbedret kvalifisert elektronisk signatur, må sertifiseringssenteret gjennomgå en spesiell akkrediteringsprosedyre hos departementet for tele- og massekommunikasjon. Akkrediteringsprosedyren krever overholdelse av en rekke strenge regler som ikke alle bedrifter er i stand til å overholde.
Spesielt er CA pålagt å ha en lisens som gir den rett til å utvikle, produsere og distribuere krypteringsverktøy, informasjons- og telekommunikasjonssystemer. Denne lisensen utstedes av FSB etter at søkeren har bestått en rekke strenge kontroller.
CA-ansatte skal ha høyere faglig utdanning innen informasjonsteknologi eller informasjonssikkerhet.
Loven forplikter også CAer til å forsikre sitt ansvar for "tap forårsaket av tredjeparter som følge av deres tillit til informasjonen spesifisert i det elektroniske signaturverifiseringsnøkkelsertifikatet utstedt av slik CA, eller informasjon i sertifikatregisteret som vedlikeholdes av slik CA. ” i et beløp på ikke mindre enn 30 millioner rubler.
Som du kan se, er ikke alt så enkelt.
Totalt er det i dag ca. 500 CAer i landet som har rett til å utstede ECES (enhanced qualified electronic signatur certificate). Dette inkluderer ikke bare private sertifiseringssentre, men også CA-er under forskjellige offentlige etater (inkludert den føderale skattetjenesten, den russiske føderasjonen, etc.), banker, handelsplattformer, inkludert statlige.
Det elektroniske signatursertifikatet er opprettet ved hjelp av krypteringsalgoritmer sertifisert av FSB i Den russiske føderasjonen. Den lar juridiske personer og enkeltpersoner utveksle juridisk viktige dokumenter elektronisk. I følge offisielle data fra CA er majoriteten (95%) av CEP utstedt av juridiske enheter. personer, resten - individer. personer.
Etter at du har kontaktet CA, skjer følgende:
- CA verifiserer identiteten til personen som søkte om et elektronisk signatursertifikat;
Først etter å ha bekreftet identiteten og verifisert alle dokumenter, produserer og utsteder CA et sertifikat, som inkluderer informasjon om sertifikateieren og hans offentlige verifikasjonsnøkkel; - CA administrerer livssyklusen til sertifikatet: sikrer utstedelse, suspensjon (inkludert på forespørsel fra eier), fornyelse og utløp.
- En annen funksjon av CA er service. Det er ikke nok å bare utstede et sertifikat. Brukere krever jevnlig alle slags råd om prosedyren for utstedelse og bruk av en signatur, råd om søknad og valg av type sertifikat. Store CA-er, som CA-ene til Business Network-selskapet, leverer tekniske støttetjenester, lager ulike programvarer, forbedrer forretningsprosesser, overvåker endringer i bruksområdene for sertifikater osv. CA-er konkurrerer med hverandre og jobber med kvaliteten på IT tjenester, utvikle dette området.
Kosaken er sendt!
La oss vurdere trinn 1 i algoritmen ovenfor for å skaffe elektroniske signaturer. Hva vil det si å "attestere identiteten" til personen som søkte om sertifikatet? Dette betyr at den som sertifikatet er utstedt i skal personlig møte enten ved CA-kontoret eller ved utstedelsesstedet som har en partnerskapsavtale med CA, og fremvise originalene av dokumentene sine der. Spesielt et pass til en statsborger i den russiske føderasjonen. I noen tilfeller når det gjelder signaturer for juridiske personer. enkeltpersoner og individuelle gründere, er identifiseringsprosedyren enda mer komplisert og krever presentasjon av ytterligere dokumenter.
Det er nettopp på dette stadiet, det vil si helt i begynnelsen, når ting ikke en gang har nådd utstedelsen av et signeringssertifikat, at det viktigste problemet ligger. Og nøkkelordet her er "pass".
Lekkasjen av personopplysninger i landet har nådd virkelig industrielle proporsjoner. Det er nettressurser der du kan få skannede kopier av gyldige pass fra russiske statsborgere for lite penger eller til og med gratis. Men skanninger av pass i landet vårt, tynget av den post-sovjetiske arven etter "vis dokumenter"-stilen, kan samles inn fra innbyggere overalt - ikke bare i banker eller andre finansinstitusjoner, men også på hoteller, skoler, universiteter, fly og jernbanebillettkontorer, barnesentre, servicepunkter for mobilabonnenter - uansett hvor de krever at du presenterer passet ditt for service, det vil si nesten overalt. Med utviklingen av digitale teknologier har denne brede kanalen for tilgang til personopplysninger blitt tatt i sirkulasjon av kriminelle arbeidere.
"Tjenester" for tyveri av personopplysninger til bestemte personer er også svært vanlig.
I tillegg er det en hel hær av såkalte. "nominalitet" - mennesker, som regel, veldig unge, eller svært fattige og dårlig utdannede, eller rett og slett degenererte, som de kriminelle lover en beskjeden belønning for å bringe passet sitt til CA eller til utstedelsesstedet og bestille en signatur i deres navn der som for eksempel en direktør i et selskap. Unødvendig å si at en slik person da ikke har noe med virksomheten til selskapet å gjøre og kan ikke gi noen reell bistand til etterforskningen når svindelen avsløres.
Så det er ikke noe problem å skanne passet ditt. Men for identifikasjon trenger du et originalt pass, hvordan kan dette være, vil den oppmerksomme leseren spørre? Og for å omgå dette problemet er det skruppelløse leveringssteder i verden. Til tross for den strenge utvelgelseprosedyren, mottar kriminelle karakterer med jevne mellomrom status som et problempunkt og begynner deretter å begå ulovlige handlinger med innbyggernes personlige data.
Disse to faktorene i kombinasjon gir oss hele bølgen av problemer med kriminaliseringen av bruken av elektroniske enheter som vi nå har.
Er det sikkerhet i tall?
Hele denne, uten overdrivelse, hæren av svindlere filtreres nå kun av sertifiseringssentre. Enhver CA har sine egne sikkerhetstjenester. Alle som søker om signatur blir nøye sjekket på identifiseringsstadiet. Alle som ønsker å samarbeide om statusen til et sakspunkt for en spesifikk CA, blir også nøye sjekket både på stadiet for inngåelse av en partnerskapsavtale og deretter i prosessen med forretningssamhandling.
Det kan ikke være noen annen måte, for uærlig sertifisering truer CA med nedleggelse – lovverket på dette området er strengt.
Men det er umulig å omfavne enormheten, og noen av de skruppelløse utstedelsespunktene "lekker" fortsatt inn i CAs partnere. Og "nominerte" har kanskje ingen grunn til å nekte å utstede et sertifikat - han søker tross alt til CA helt lovlig.
Dessuten, hvis en svindel som involverer en signatur i navnet til en bestemt person oppdages, vil bare et sertifiseringssenter hjelpe til med å løse problemet. Siden sertifiseringssenteret i dette tilfellet tilbakekaller signatursertifikatet, gjennomfører en intern undersøkelse, sporer hele kjeden med sertifikatutstedelse og kan gi retten de nødvendige dokumentene om uredelige handlinger ved utstedelse av en elektronisk signaturnøkkel. Bare materialer fra sertifiseringssenteret vil hjelpe i retten for å løse saken til fordel for den virkelig skadelidte: personen i hvis navn signaturen ble utstedt på uredelig vis.
Men generell digital analfabetisme fungerer heller ikke her til fordel for ofrene. Ikke alle går hele veien for å beskytte sine interesser. Men ulovlige handlinger med digital signatur må utfordres i retten. Og sertifiseringssentre er hovedhjelpen i dette.
Drepe alle CAer?
Og så, i vår stat ble det besluttet å gjøre endringer i driftsprosedyren til CA-er og kravene til dem. En gruppe varamedlemmer og senatorer utviklet et tilsvarende lovforslag, som allerede ble vedtatt av statsdumaen i første lesning 7. november 2019.
Dokumentet legger opp til en omfattende reform av det elektroniske signatursertifikatsystemet. Spesielt forutsetter den at juridiske enheter og individuelle gründere (IP) vil kunne motta en forbedret kvalifisert elektronisk signatur (ECES) bare fra Federal Tax Service, og finansielle organisasjoner fra sentralbanken. Sertifiseringssentre (CA) akkreditert av departementet for telekom og massekommunikasjon, som utsteder elektroniske signaturer nå, vil kun kunne utstede dem til enkeltpersoner.
Samtidig planlegges kravene til slike CAer kraftig skjerpet. Minimumsbeløpet for netto eiendeler til et akkreditert sertifiseringssenter bør økes fra 7 millioner rubler. opptil 1 milliard rubler, og minimumsbeløpet for økonomisk støtte – fra 30 millioner rubler. opptil 200 millioner rubler. Hvis sertifiseringssenteret har filialer i minst to tredjedeler av russiske regioner, kan minimumsbeløpet av netto eiendeler reduseres til 500 millioner rubler.
Akkrediteringsperioden for sertifiseringssentre reduseres fra fem til tre år. Det innføres forvaltningsansvar for brudd i arbeidet til sertifiseringssentre av teknisk karakter.
Alt dette bør redusere mengden svindel med elektroniske signaturer, mener lovforslagets forfattere.
Hva er resultatet?
Som du lett kan se, adresserer det nye lovforslaget ikke på noen måte problemet med kriminell bruk av dokumenter fra borgere i Den russiske føderasjonen og tyveri av personopplysninger. Det spiller ingen rolle hvem som vil utstede signaturen til CA eller Federal Tax Service, identiteten til eieren av signaturen vil fortsatt måtte sertifiseres, og regningen gir ingen innovasjoner på dette problemet. Hvis et skruppelløst utstedelsespunkt fungerte i henhold til kriminelle ordninger for en vanlig CA, hva vil da hindre deg i å gjøre det samme for en statseid?
Den nåværende versjonen av lovforslaget angir foreløpig ikke hvem som skal bære hvilket ansvar for å utstede UKEP hvis denne signaturen ble brukt i uredelige aktiviteter. Dessuten, selv i straffeloven er det ingen passende artikkel som vil tillate straffeforfølgelse for utstedelse av et elektronisk signatursertifikat basert på stjålne personopplysninger.
Et eget problem er overbelastningen av statlige CA-er, som helt sikkert vil oppstå under de nye reglene og vil gjøre levering av tjenester til innbyggere og juridiske enheter veldig sakte og vanskelig.
Servicefunksjonen til CA er overhodet ikke vurdert i regningen. Det er ikke klart om det vil bli opprettet kundeserviceavdelinger ved de foreslåtte store statseide CA-ene, hvor lang tid det vil ta og hvilke materielle investeringer det vil kreve, og hvem som skal yte kundeservice mens en slik infrastruktur opprettes. Det er åpenbart at bortfall av konkurranse på dette området lett kan føre til stagnasjon i bransjen.
Det vil si at resultatet er monopolisering av CA-markedet av offentlige etater, overbelastning av disse strukturene med en nedgang i alle EDI-aktiviteter, mangel på sluttbrukerstøtte i tilfelle svindel og fullstendig ødeleggelse av det nåværende CA-markedet sammen med eksisterende infrastruktur (dette er ca. 15 000 arbeidsplasser i landet som helhet).
Hvem vil bli såret? Som følge av vedtakelsen av et slikt lovforslag vil de som lider nå lide, det vil si sluttbrukere og sertifiseringsmyndigheter.
Og en virksomhet som trives med identitetstyveri vil fortsette å blomstre. Er det ikke på tide at rettshåndhevelsesbyråer og lovgivere retter oppmerksomheten mot dette problemet og virkelig reagerer seriøst på utfordringene i den digitale tidsalderen? Mulighetene for tyveri av personopplysninger og deres påfølgende kriminelle bruk har økt mangfoldig de siste 10-15 årene. Nivået på opplæringen av kriminelle har også økt. Dette må reageres på ved å innføre strenge ansvarstiltak for ulovlige handlinger med andres personopplysninger, både for bedrifter og deres ansatte, og for enkeltpersoner. Og for virkelig å løse problemet med kriminell bruk av elektroniske signatursertifikater, er det nødvendig å lage et lovforslag som vil sørge for ansvar, inkludert straffeansvar, for slike handlinger. Og ikke et lovforslag som bare omfordeler økonomiske strømmer, kompliserer prosedyren for sluttbrukeren og ikke gir noen noen beskyttelse til slutt.
Kilde: www.habr.com