Co się dzieje?
Temat oszukańczych działań popełnianych przy użyciu certyfikatu podpisu elektronicznego cieszy się ostatnio dużym zainteresowaniem opinii publicznej. Media federalne przyjęły zasadę okresowego opowiadania przerażających historii o przypadkach niewłaściwego użycia podpisów elektronicznych. Najczęstszym przestępstwem w tym obszarze jest rejestracja osoby prawnej. osoby lub indywidualni przedsiębiorcy w imieniu niczego niepodejrzewającego obywatela Federacji Rosyjskiej. Inną popularną metodą oszustwa jest transakcja polegająca na zmianie właściciela nieruchomości (ma to miejsce wtedy, gdy ktoś sprzedaje Twoje mieszkanie w Twoim imieniu komuś innemu, ale Ty nawet o tym nie wiesz).
Ale nie dajmy się zwieść opisywaniem ewentualnych nielegalnych działań za pomocą podpisów cyfrowych, aby nie podsuwać oszustom kreatywnych pomysłów. Spróbujmy lepiej dowiedzieć się, dlaczego problem ten stał się tak powszechny i co naprawdę należy zrobić, aby go wyeliminować. I w tym celu musimy jasno zrozumieć, czym są centra certyfikacji, jak dokładnie działają i czy są tak straszne, jak są nam przedstawiane w mediach i wypowiedziach zainteresowanych stron.
Skąd pochodzą podpisy?
Jesteś więc użytkownikiem. Potrzebujesz certyfikatu podpisu elektronicznego. Nie ma znaczenia, jakie zadania i w jakim statusie się znajdujesz (firma, osoba fizyczna, indywidualny przedsiębiorca) - algorytm uzyskania certyfikatu jest standardowy. I kontaktujesz się z centrum certyfikacji, aby kupić certyfikat podpisu elektronicznego.
Centrum certyfikacji to firma, na którą rosyjskie ustawodawstwo nakłada szereg rygorystycznych wymagań.
Aby mieć prawo do wystawiania wzmocnionego kwalifikowanego podpisu elektronicznego, ośrodek certyfikacji musi przejść specjalną procedurę akredytacyjną w Ministerstwie Telekomunikacji i Komunikacji Masowej. Procedura akredytacyjna wymaga przestrzegania szeregu rygorystycznych zasad, których nie każda firma jest w stanie spełnić.
W szczególności właściwy organ musi posiadać licencję przyznającą mu prawo do opracowywania, produkcji i rozpowszechniania narzędzi szyfrujących (kryptograficznych) oraz systemów informatycznych i telekomunikacyjnych. Licencja ta jest wydawana przez FSB po przejściu przez wnioskodawcę szeregu rygorystycznych kontroli.
Pracownicy CA muszą posiadać wyższe wykształcenie zawodowe w zakresie technologii informatycznych lub bezpieczeństwa informacji.
Ustawa zobowiązuje także urzędy certyfikacji do ubezpieczenia się od odpowiedzialności za „straty wyrządzone osobom trzecim w wyniku zaufania przez nie informacji zawartych w certyfikacie klucza weryfikacji podpisu elektronicznego wystawionym przez ten urząd certyfikacji lub informacjom zawartym w rejestrze certyfikatów prowadzonym przez ten urząd certyfikacji ” w kwocie nie mniejszej niż 30 milionów rubli.
Jak widać nie wszystko jest takie proste.
Łącznie w kraju działa obecnie około 500 urzędów certyfikacji, które posiadają uprawnienia do wydawania certyfikatu ECES (certyfikat ulepszonego kwalifikowanego podpisu elektronicznego). Obejmuje to nie tylko prywatne centra certyfikacji, ale także urzędy certyfikacji podlegające różnym agencjom rządowym (w tym Federalnej Służbie Podatkowej, Federacji Rosyjskiej itp.), Bankom, platformom handlowym, w tym państwowym.
Certyfikat podpisu elektronicznego tworzony jest przy użyciu algorytmów szyfrowania certyfikowanych przez FSB Federacji Rosyjskiej. Umożliwia osobom prawnym i osobom fizycznym wymianę prawnie istotnych dokumentów drogą elektroniczną. Według oficjalnych danych urzędu certyfikacji większość (95%) dokumentów CEP wydawana jest przez osoby prawne. osoby, reszta - osoby fizyczne. osoby.
Po skontaktowaniu się z urzędem certyfikacji dzieje się co następuje:
- Urząd certyfikacji weryfikuje tożsamość osoby składającej wniosek o certyfikat podpisu elektronicznego;
Dopiero po potwierdzeniu tożsamości i sprawdzeniu wszystkich dokumentów urząd certyfikacji generuje i wydaje certyfikat, który zawiera informacje o właścicielu certyfikatu i jego publicznym kluczu weryfikacyjnym; - CA zarządza cyklem życia certyfikatu: zapewnia jego wydanie, zawieszenie (w tym na wniosek właściciela), odnowienie i wygaśnięcie.
- Kolejną funkcją urzędu certyfikacji jest obsługa. Samo wystawienie zaświadczenia nie wystarczy. Użytkownicy regularnie potrzebują wszelkiego rodzaju porad w zakresie procedury wystawienia i posługiwania się podpisem, porad w zakresie stosowania i wyboru rodzaju certyfikatu. Duże urzędy certyfikacji, takie jak urzędy firmy Business Network, świadczą usługi wsparcia technicznego, tworzą różnorodne oprogramowanie, usprawniają procesy biznesowe, monitorują zmiany w obszarach stosowania certyfikatów itp. Konkurując ze sobą urzędy pracują nad jakością IT usług, rozwijając ten obszar.
Kozak coś źle potraktowano!
Rozważmy krok 1 powyższego algorytmu uzyskiwania podpisów elektronicznych. Co oznacza „poświadczenie tożsamości” osoby, która ubiegała się o zaświadczenie? Oznacza to, że osoba, na którą wydawany jest certyfikat, musi osobiście stawić się w biurze CA lub w punkcie wydającym posiadającym umowę partnerską z CA i przedstawić tam oryginały swoich dokumentów. W szczególności paszport obywatela Federacji Rosyjskiej. W niektórych przypadkach, jeśli chodzi o podpisy dla osób prawnych. osób fizycznych i przedsiębiorców indywidualnych, procedura identyfikacji jest jeszcze bardziej skomplikowana i wymaga przedstawienia dodatkowych dokumentów.
Właśnie na tym etapie, czyli na samym początku, kiedy nie doszło jeszcze do wydania certyfikatu podpisu, pojawia się najważniejszy problem. A słowem kluczowym jest tutaj „paszport”.
Wyciek danych osobowych w kraju osiągnął iście przemysłowe rozmiary. Istnieją zasoby internetowe, w których można uzyskać zeskanowane kopie ważnych paszportów obywateli Rosji za niewielkie pieniądze lub nawet bezpłatnie. Ale skany paszportów w naszym kraju, obciążonym poradzieckim dziedzictwem stylu „pokaż dokumenty”, można odebrać od obywateli na całym świecie - nie tylko w bankach czy innych instytucjach finansowych, ale także w hotelach, szkołach, uniwersytetach, samolotach i kasy kolejowe, centra dziecięce, punkty obsługi abonentów telefonii komórkowej – wszędzie tam, gdzie wymagane jest okazanie paszportu do obsługi, czyli prawie wszędzie. Wraz z rozwojem technologii cyfrowych ten szeroki kanał dostępu do danych osobowych został wprowadzony do obiegu przez pracowników przestępczych.
Bardzo powszechne są także „usługi” polegające na kradzieży danych osobowych konkretnych osób.
Poza tym istnieje cała armia tzw. „nominalności” – osoby z reguły bardzo młode lub bardzo biedne i słabo wykształcone lub po prostu zdegenerowane, którym przestępcy obiecują skromną nagrodę za przyniesienie paszportu do urzędu certyfikacji lub punktu wystawienia i zlecenie podpisu w swoim podać tam nazwisko na przykład jako dyrektor firmy. Nie trzeba dodawać, że taka osoba nie ma wówczas nic wspólnego z działalnością firmy i nie może zapewnić żadnej realnej pomocy w dochodzeniu w przypadku ujawnienia oszustwa.
Zatem zeskanowanie paszportu nie stanowi problemu. Ale do identyfikacji potrzebny jest oryginalny paszport, jak to możliwe, zapyta uważny czytelnik? Aby obejść ten problem, na świecie istnieją pozbawione skrupułów punkty dostaw. Pomimo rygorystycznej procedury selekcji postacie przestępcze okresowo otrzymują status punktu problemowego, a następnie zaczynają dopuszczać się nielegalnych działań wykorzystując dane osobowe obywateli.
Te dwa czynniki w połączeniu dają nam całą falę problemów z kryminalizacją korzystania z urządzeń elektronicznych, którą mamy obecnie.
Czy w liczbach jest bezpieczeństwo?
Cała ta, bez przesady, armia oszustów jest obecnie filtrowana wyłącznie przez centra certyfikacyjne. Każdy urząd certyfikacji ma własne usługi bezpieczeństwa. Każdy, kto ubiega się o podpis, jest dokładnie sprawdzany na etapie identyfikacji. Każdy, kto chce współpracować w trybie sprawy dla konkretnego urzędu certyfikacji, jest również dokładnie sprawdzany zarówno na etapie zawierania umowy partnerskiej, jak i później, w procesie interakcji biznesowej.
Nie może być inaczej, bo nieuczciwa certyfikacja grozi zamknięciem urzędu certyfikacji – przepisy w tym zakresie są rygorystyczne.
Nie da się jednak ogarnąć ogromu, a niektóre pozbawione skrupułów punkty wydawania wciąż „przedostają się” do partnerów CA. A „nominowany” może nie mieć żadnego powodu, aby odmówić wydania certyfikatu - w końcu składa wniosek do urzędu certyfikacji całkowicie legalnie.
Ponadto, jeśli zostanie wykryte oszustwo polegające na podpisie w imieniu konkretnej osoby, tylko centrum certyfikacji pomoże rozwiązać problem. Ponieważ centrum certyfikacji w tym przypadku unieważnia certyfikat podpisu, prowadzi wewnętrzne dochodzenie, śledząc cały łańcuch wydawania certyfikatów i może dostarczyć sądowi niezbędne dokumenty dotyczące oszukańczych działań przy wydawaniu klucza podpisu elektronicznego. Tylko materiały z centrum certyfikacji pomogą w sądzie rozstrzygnąć sprawę na korzyść rzeczywiście poszkodowanej: osoby, na którą podpis został oszukańczo złożony.
Jednak i w tym przypadku ogólny analfabetyzm cyfrowy nie działa na korzyść ofiar. Nie każdy dokłada wszelkich starań, aby chronić swoje interesy. Jednak nielegalne działania z podpisem cyfrowym należy zakwestionować w sądzie. A centra certyfikacji są w tym główną pomocą.
Zabić wszystkie urzędy certyfikacji?
I tak w naszym państwie zdecydowano się wprowadzić zmiany w procedurze działania urzędów certyfikacji i wymaganiach dla nich. Odpowiedni projekt ustawy przygotowała grupa posłów i senatorów, który został już przyjęty przez Dumę Państwową w pierwszym czytaniu 7 listopada 2019 r.
Dokument przewiduje zakrojoną na szeroką skalę reformę systemu certyfikatów podpisu elektronicznego. W szczególności zakłada, że osoby prawne i indywidualni przedsiębiorcy (IP) będą mogli otrzymać ulepszony kwalifikowany podpis elektroniczny (ECES) tylko od Federalnej Służby Podatkowej, a organizacje finansowe z Banku Centralnego. Centra certyfikacji (CA) akredytowane przez Ministerstwo Telekomunikacji i Komunikacji Masowej, które obecnie wystawiają podpisy elektroniczne, będą mogły je wystawiać wyłącznie osobom fizycznym.
Jednocześnie planuje się znaczne zaostrzenie wymagań wobec takich właściwych organów. Minimalna kwota aktywów netto akredytowanego centrum certyfikacji powinna zostać zwiększona z 7 milionów rubli. do 1 miliarda rubli, a minimalna kwota wsparcia finansowego – od 30 milionów rubli. do 200 milionów rubli. Jeżeli centrum certyfikacji ma oddziały w co najmniej dwóch trzecich regionów Rosji, minimalną kwotę aktywów netto można zmniejszyć do 500 milionów rubli.
Okres akredytacji ośrodków certyfikujących zostaje skrócony z pięciu do trzech lat. Wprowadza się odpowiedzialność administracyjną za naruszenia w pracy ośrodków certyfikacji o charakterze technicznym.
Wszystko to powinno zmniejszyć liczbę oszustw związanych z podpisami elektronicznymi – uważają autorzy projektu ustawy.
Jaki jest wynik?
Jak łatwo zauważyć, nowa ustawa w żaden sposób nie rozwiązuje problemu przestępczego wykorzystywania dokumentów obywateli Federacji Rosyjskiej i kradzieży danych osobowych. Nie ma znaczenia, kto wystawi podpis urzędu certyfikacji czy Federalnej Służby Podatkowej, tożsamość właściciela podpisu nadal będzie musiała zostać potwierdzona, a projekt ustawy nie przewiduje żadnych innowacji w tej kwestii. Jeśli pozbawiony skrupułów punkt wydawania działał według schematu przestępczego dla zwykłego urzędu certyfikacji, to co stoi na przeszkodzie, aby zrobić to samo w przypadku punktu będącego własnością państwa?
Obecna wersja projektu ustawy nie określa obecnie, kto będzie ponosić odpowiedzialność za wydanie UKEP, jeżeli podpis ten został wykorzystany w działaniach oszukańczych. Co więcej, nawet w Kodeksie karnym nie ma odpowiedniego artykułu, który pozwalałby na ściganie karne za wystawienie certyfikatu podpisu elektronicznego na podstawie skradzionych danych osobowych.
Osobnym problemem jest przeciążenie urzędów państwowych, które z pewnością pojawi się na mocy nowych przepisów i sprawi, że świadczenie usług na rzecz obywateli i osób prawnych będzie bardzo powolne i utrudnione.
Funkcja usługowa urzędu certyfikacji w ogóle nie jest uwzględniana w projekcie ustawy. Nie jest jasne, czy w proponowanych dużych urzędach skarbu państwa powstaną działy obsługi klienta, ile to zajmie i jakich inwestycji materialnych będzie to wymagać oraz kto będzie obsługiwał klientów w trakcie tworzenia takiej infrastruktury. Oczywistym jest, że zanik konkurencji w tym obszarze może łatwo doprowadzić do stagnacji w branży.
Oznacza to, że efektem jest monopolizacja rynku CA przez agencje rządowe, przeciążenie tych struktur ze spowolnieniem wszelkich działań EDI, brak wsparcia użytkownika końcowego w przypadku oszustw i całkowite zniszczenie obecnego rynku CA wraz z istniejącą infrastrukturą (to około 15 000 miejsc pracy w całym kraju).
Kto zostanie ranny? W wyniku przyjęcia takiej ustawy ucierpią ci, którzy obecnie cierpią, czyli użytkownicy końcowi i urzędy certyfikacji.
A firma, która rozwija się na kradzieży tożsamości, będzie nadal się rozwijać. Czy nie nadszedł czas, aby organy ścigania i ustawodawcy zwrócili uwagę na ten problem i naprawdę poważnie zareagowali na wyzwania ery cyfrowej? W ciągu ostatnich 10–15 lat wielokrotnie wzrosły możliwości kradzieży danych osobowych i ich późniejszego wykorzystania w celach przestępczych. Wzrósł także poziom wyszkolenia przestępców. Należy temu zaradzić, wprowadzając rygorystyczne środki w zakresie odpowiedzialności za wszelkie nielegalne działania z wykorzystaniem danych osobowych innych osób, zarówno w przypadku firm i ich pracowników, jak i osób fizycznych. A żeby rzeczywiście rozwiązać problem przestępczego wykorzystania certyfikatów podpisu elektronicznego, konieczne jest stworzenie projektu ustawy, która przewidywałaby odpowiedzialność, w tym odpowiedzialność karną, za takie czyny. I to nie jest ustawa, która po prostu redystrybuuje przepływy finansowe, komplikuje procedurę dla użytkownika końcowego i ostatecznie nie zapewnia nikomu żadnej ochrony.
Źródło: www.habr.com