O que está acontecendo?
O tema das ações fraudulentas cometidas com a ajuda de um certificado de assinatura eletrônica recebeu recentemente ampla atenção do público. A mídia federal estabeleceu como regra contar periodicamente histórias horríveis sobre casos de uso indevido de assinaturas eletrônicas. O crime mais comum nesta área é o registro de pessoa jurídica. pessoas ou empresários individuais em nome de um cidadão inocente da Federação Russa. Outro método popular de fraude é uma transação que envolve uma mudança de propriedade de um imóvel (é quando alguém vende seu apartamento em seu nome para outra pessoa, mas você nem sabe).
Mas não nos empolguemos em descrever possíveis ações ilegais com assinaturas digitais, para não dar ideias criativas aos golpistas. É melhor tentarmos descobrir por que esse problema se tornou tão difundido e o que realmente precisa ser feito para erradicá-lo. E para isso precisamos entender claramente o que são os centros de certificação, como funcionam exatamente e se são tão assustadores quanto nos são retratados na mídia e nas declarações dos interessados.
De onde vêm as assinaturas?
Então, você é o usuário. Você precisa de um certificado de assinatura eletrônica. Não importa quais tarefas e qual status você ocupa (empresa, indivíduo, empresário individual) - o algoritmo para obtenção de um certificado é padrão. E você entra em contato com o centro de certificação para adquirir um certificado de assinatura eletrônica.
Um centro de certificação é uma empresa à qual a legislação russa impõe uma série de requisitos rigorosos.
Para ter o direito de emitir uma assinatura eletrónica qualificada melhorada, o centro de certificação deve passar por um procedimento especial de acreditação junto do Ministério das Telecomunicações e Comunicações de Massa. O procedimento de acreditação exige o cumprimento de uma série de regras rígidas que nem todas as empresas conseguem cumprir.
Em particular, a AC é obrigada a ter uma licença que lhe conceda o direito de desenvolver, produzir e distribuir ferramentas de criptografia (criptográficas), sistemas de informação e telecomunicações. Esta licença é emitida pelo FSB após o requerente passar por uma série de verificações rigorosas.
Os funcionários da CA devem possuir formação profissional superior na área de tecnologia da informação ou segurança da informação.
A lei também obriga as ACs a assegurar a sua responsabilidade por “perdas causadas a terceiros como resultado da sua confiança nas informações especificadas no certificado da chave de verificação de assinatura electrónica emitida por tal AC, ou nas informações contidas no registo de certificados mantido por tal AC”. ”em um valor não inferior a 30 milhões de rublos.
Como você pode ver, nem tudo é tão simples.
No total, existem atualmente cerca de 500 CAs no país que têm o direito de emitir ECES (certificado de assinatura eletrónica qualificada aprimorada). Isso inclui não apenas centros de certificação privados, mas também CAs de várias agências governamentais (incluindo o Serviço Fiscal Federal, a Federação Russa, etc.), bancos, plataformas de negociação, inclusive estatais.
O certificado de assinatura eletrônica é criado usando algoritmos de criptografia certificados pelo FSB da Federação Russa. Ele permite que pessoas físicas e jurídicas troquem documentos juridicamente significativos eletronicamente. Segundo dados oficiais do CA, a maioria (95%) dos CEP é emitida por pessoas jurídicas. pessoas, o resto - indivíduos. pessoas.
Depois de entrar em contato com a CA, acontece o seguinte:
- A CA verifica a identidade da pessoa que solicitou um certificado de assinatura eletrónica;
Só depois de confirmar a identidade e verificar todos os documentos é que a AC produz e emite um certificado, que inclui informações sobre o titular do certificado e a sua chave pública de verificação; - A CA gerencia o ciclo de vida do certificado: garante sua emissão, suspensão (inclusive a pedido do titular), renovação e expiração.
- Outra função da CA é o serviço. Não basta simplesmente emitir um certificado. Os utilizadores necessitam regularmente de todo o tipo de aconselhamento sobre o procedimento de emissão e utilização da assinatura, aconselhamento sobre o pedido e seleção do tipo de certificado. Grandes CAs, como os CAs da empresa Business Network, prestam serviços de suporte técnico, criam diversos softwares, melhoram processos de negócios, monitoram mudanças nas áreas de aplicação de certificados, etc. serviços, desenvolvendo esta área.
Cossaco maltratado!
Consideremos a etapa 1 do algoritmo acima para obtenção de assinaturas eletrônicas. O que significa “certificar a identidade” da pessoa que solicitou o certificado? Isto significa que a pessoa em cujo nome o certificado é emitido deve comparecer pessoalmente no escritório da AC ou no ponto emissor que tenha acordo de parceria com a AC, e aí apresentar os originais dos seus documentos. Em particular, um passaporte de cidadão da Federação Russa. Em alguns casos, quando se trata de assinaturas para pessoas jurídicas. pessoas físicas e empreendedores individuais, o procedimento de identificação é ainda mais complicado e exige a apresentação de documentos adicionais.
É precisamente nesta fase, ou seja, logo no início, quando ainda nem sequer se chegou à emissão do certificado de assinatura, que reside o problema mais importante. E a palavra-chave aqui é “passaporte”.
O vazamento de dados pessoais no país atingiu proporções verdadeiramente industriais. Existem recursos online onde você pode obter cópias digitalizadas de passaportes válidos de cidadãos russos por pouco dinheiro ou até mesmo gratuitamente. Mas as digitalizações de passaportes no nosso país, sobrecarregadas pelo legado pós-soviético do estilo “mostrar documentos”, podem ser recolhidas de cidadãos em qualquer lugar - não apenas em bancos ou outras instituições financeiras, mas também em hotéis, escolas, universidades, companhias aéreas e bilheterias ferroviárias, centros infantis, pontos de atendimento para assinantes de celular - onde quer que exijam a apresentação do passaporte para atendimento, ou seja, em quase todos os lugares. Com o desenvolvimento das tecnologias digitais, este amplo canal de acesso aos dados pessoais foi colocado em circulação por trabalhadores criminosos.
“Serviços” de roubo de dados pessoais de pessoas específicas também são muito comuns.
Além disso, existe todo um exército dos chamados. “nominalidades” - pessoas, em regra, muito jovens, ou muito pobres e pouco instruídas, ou simplesmente degeneradas, a quem os criminosos prometem uma modesta recompensa por levarem o passaporte ao CA ou ao ponto emissor e ordenarem a assinatura no seu nomeie lá como, por exemplo, um diretor de uma empresa. Escusado será dizer que tal pessoa não tem nada a ver com as atividades da empresa e não pode fornecer qualquer assistência real à investigação quando o golpe é revelado.
Portanto, digitalizar o seu passaporte não é um problema. Mas para a identificação é necessário o passaporte original, como pode ser isso, perguntará o leitor atento? E para contornar esse problema, existem pontos de entrega sem escrúpulos no mundo. Apesar do rigoroso processo de seleção, os criminosos recebem periodicamente o status de ponto emissor e passam a cometer atos ilícitos com os dados pessoais dos cidadãos.
A combinação destes dois factores dá-nos toda a onda de problemas com a criminalização do uso de dispositivos electrónicos que temos agora.
Há segurança nos números?
Todo esse exército, sem exagero, de golpistas agora é filtrado apenas por centros de certificação. Qualquer CA possui seus próprios serviços de segurança. Todos os que solicitam uma assinatura são cuidadosamente verificados na fase de identificação. Quem deseja cooperar na situação de um ponto de emissão de uma determinada AC também é cuidadosamente verificado tanto na fase de celebração de um acordo de parceria como posteriormente, no processo de interação comercial.
Não pode ser de outra forma, porque a certificação desonesta ameaça o encerramento da AC - a legislação nesta área é rigorosa.
Mas é impossível abraçar a imensidão, e alguns dos pontos emissores inescrupulosos ainda “vazam” para os parceiros do CA. E o “nomeado” pode não ter nenhum motivo para se recusar a emitir um certificado - afinal, ele se aplica à CA de forma totalmente legal.
Além disso, se for descoberto um golpe envolvendo uma assinatura em nome de uma pessoa específica, apenas um centro de certificação ajudará a resolver o problema. Já que o centro de certificação, neste caso, revoga o certificado de assinatura, realiza uma investigação interna, acompanhando toda a cadeia de emissão do certificado, podendo fornecer ao tribunal os documentos necessários sobre ações fraudulentas na emissão de uma chave de assinatura eletrônica. Somente os materiais do centro de certificação ajudarão no tribunal a resolver o caso em favor da parte realmente lesada: a pessoa em cujo nome a assinatura foi emitida de forma fraudulenta.
No entanto, o analfabetismo digital geral também não beneficia as vítimas aqui. Nem todo mundo faz todo o possível para proteger seus interesses. Mas ações ilegais com assinatura digital devem ser contestadas judicialmente. E os centros de certificação são a principal ajuda nisso.
Matar todos os CAs?
E assim, em nosso estado foi decidido fazer alterações no procedimento de funcionamento das CAs e nos requisitos para elas. Um grupo de deputados e senadores elaborou um projeto de lei correspondente, que já foi aprovado pela Duma em primeira leitura em 7 de novembro de 2019.
O documento prevê uma reforma em grande escala do sistema de certificação de assinatura eletrônica. Em particular, pressupõe que pessoas jurídicas e empreendedores individuais (PI) poderão receber assinatura eletrônica qualificada aprimorada (ECES) apenas da Receita Federal e organizações financeiras do Banco Central. Os centros de certificação (CAs) credenciados pelo Ministério das Telecomunicações e Comunicações de Massa, que agora emitem assinaturas eletrônicas, poderão emiti-las apenas para pessoas físicas.
Ao mesmo tempo, prevê-se que os requisitos para tais CAs sejam bastante mais rigorosos. O valor mínimo dos ativos líquidos de um centro de certificação credenciado deve ser aumentado de 7 milhões de rublos. até 1 bilhão de rublos e o valor mínimo de apoio financeiro – de 30 milhões de rublos. até 200 milhões de rublos. Se o centro de certificação tiver filiais em pelo menos dois terços das regiões russas, o valor mínimo dos ativos líquidos poderá ser reduzido para 500 milhões de rublos.
O período de acreditação dos centros de certificação será reduzido de cinco para três anos. A responsabilidade administrativa é introduzida por violações no trabalho dos centros de certificação de natureza técnica.
Tudo isso deve reduzir o número de fraudes com assinaturas eletrônicas, acreditam os autores do projeto.
Qual o resultado?
Como você pode ver facilmente, o novo projeto de lei não aborda de forma alguma o problema do uso criminoso de documentos de cidadãos da Federação Russa e do roubo de dados pessoais. Não importa quem emitirá a assinatura do CA ou da Receita Federal, a identidade do titular da assinatura ainda terá que ser certificada, e o projeto de lei não prevê inovações nesse assunto. Se um ponto de emissão sem escrúpulos funcionou de acordo com esquemas criminosos para uma CA comum, o que o impedirá de fazer o mesmo para uma estatal?
A versão atual do projeto de lei não estipula quem terá qual responsabilidade pela emissão do UKEP se esta assinatura for usada em atividades fraudulentas. Além disso, mesmo no Código Penal não existe nenhum artigo adequado que permita a ação penal pela emissão de um certificado de assinatura eletrónica com base em dados pessoais roubados.
Um outro problema é a sobrecarga das AC estaduais, que certamente surgirá com as novas regras e tornará a prestação de serviços aos cidadãos e pessoas jurídicas muito lenta e difícil.
A função de serviço do CA não é considerada de forma alguma no projeto de lei. Não está claro se serão criados departamentos de atendimento ao cliente nas grandes AC estatais propostas, quanto tempo levará e que investimentos materiais serão necessários, e quem prestará atendimento ao cliente enquanto tal infra-estrutura estiver sendo criada. É óbvio que o desaparecimento da concorrência nesta área pode facilmente levar à estagnação da indústria.
Ou seja, o resultado é a monopolização do mercado de AC pelas agências governamentais, a sobrecarga destas estruturas com uma desaceleração em todas as actividades de EDI, a falta de apoio ao utilizador final em caso de fraude e a destruição completa do actual mercado de AC juntamente com a infra-estrutura existente. (são cerca de 15 empregos em todo o país).
Quem vai se machucar? Como resultado da aprovação de tal lei, aqueles que estão sofrendo agora sofrerão, isto é, os usuários finais e as autoridades de certificação.
E um negócio que prospera com o roubo de identidade continuará a florescer. Não será altura de as autoridades responsáveis pela aplicação da lei e os legisladores voltarem a sua atenção para este problema e responderem verdadeiramente com seriedade aos desafios da era digital? As oportunidades de roubo de dados pessoais e a sua subsequente utilização criminosa aumentaram muito nos últimos 10-15 anos. O nível de formação dos criminosos também aumentou. Esta situação precisa de ser respondida através da introdução de medidas de responsabilidade estrita para quaisquer ações ilegais com dados pessoais de outras pessoas, tanto para empresas e seus funcionários, como para indivíduos. E para realmente resolver o problema do uso criminoso de certificados de assinatura eletrônica, é necessário criar um projeto de lei que preveja a responsabilidade, inclusive criminal, por tais ações. E não um projeto de lei que simplesmente redistribui os fluxos financeiros, complica o procedimento para o usuário final e não dá proteção a ninguém no final.
Fonte: habr.com