Čo sa deje?
Téma podvodného konania páchaného pomocou certifikátu elektronického podpisu sa v poslednom období teší širokej verejnosti. Federálne médiá zaviedli pravidlo pravidelne rozprávať hororové príbehy o prípadoch zneužitia elektronických podpisov. Najčastejším trestným činom v tejto oblasti je registrácia právnickej osoby. osoby alebo jednotliví podnikatelia v mene nič netušiaceho občana Ruskej federácie. Ďalšou populárnou metódou podvodu je transakcia zahŕňajúca zmenu vlastníctva nehnuteľnosti (to je, keď niekto predá váš byt vo vašom mene niekomu inému, ale ani o tom neviete).
Nenechajme sa však uniesť popisom možných nezákonných akcií pomocou digitálnych podpisov, aby sme podvodníkom nedali kreatívne nápady. Skúsme radšej prísť na to, prečo sa tento problém tak rozšíril a čo je skutočne potrebné urobiť na jeho odstránenie. A na to musíme jasne pochopiť, čo sú certifikačné centrá, ako presne fungujú a či sú také strašidelné, ako nám ich vykresľujú médiá a vyjadrenia zainteresovaných strán.
Odkiaľ pochádzajú podpisy?
Takže ste používateľom. Potrebujete certifikát elektronického podpisu. Nezáleží na tom, pre aké úlohy a v akom stave ste (firma, jednotlivec, individuálny podnikateľ) - algoritmus na získanie certifikátu je štandardný. A kontaktujete certifikačné centrum, aby ste si kúpili certifikát elektronického podpisu.
Certifikačné centrum je spoločnosť, ktorej ruská legislatíva ukladá množstvo prísnych požiadaviek.
Aby malo certifikačné centrum právo vydávať vylepšený kvalifikovaný elektronický podpis, musí prejsť špeciálnym akreditačným konaním s Ministerstvom telekomunikácií a masových komunikácií. Akreditačný proces si vyžaduje dodržiavanie viacerých prísnych pravidiel, ktoré nie každá spoločnosť dokáže splniť.
Od CA sa vyžaduje najmä licencia, ktorá jej udeľuje právo na vývoj, výrobu a distribúciu šifrovacích (kryptografických) nástrojov, informačných a telekomunikačných systémov. Túto licenciu vydáva FSB po tom, čo žiadateľ prejde sériou prísnych kontrol.
Zamestnanci CA musia mať vyššie odborné vzdelanie v oblasti informačných technológií alebo informačnej bezpečnosti.
Zákon tiež ukladá CA poistiť svoju zodpovednosť za „straty spôsobené tretím osobám v dôsledku ich dôvery v informácie uvedené v certifikáte kľúča na overenie elektronického podpisu vydaného takouto CA alebo informácie obsiahnuté v registri certifikátov vedenom takouto CA“. “ vo výške nie menej ako 30 miliónov rubľov.
Ako vidíte, nie všetko je také jednoduché.
Celkovo je v krajine v súčasnosti asi 500 CA, ktoré majú právo vydávať ECES (certifikát vylepšeného kvalifikovaného elektronického podpisu). Patria sem nielen súkromné certifikačné centrá, ale aj CA pod rôznymi vládnymi agentúrami (vrátane Federálnej daňovej služby, Ruskej federácie atď.), Banky, obchodné platformy vrátane štátnych.
Certifikát elektronického podpisu je vytvorený pomocou šifrovacích algoritmov certifikovaných FSB Ruskej federácie. Umožňuje právnickým a fyzickým osobám elektronickú výmenu právne významných dokumentov. Podľa oficiálnych údajov KÚ väčšinu (95 %) CEP vydávajú právnické osoby. osoby, zvyšok - jednotlivci. osôb.
Po kontaktovaní CA sa stane toto:
- CA overuje totožnosť osoby, ktorá požiadala o certifikát elektronického podpisu;
Až po potvrdení identity a overení všetkých dokumentov CA vyrobí a vydá certifikát, ktorý obsahuje informácie o majiteľovi certifikátu a jeho verejnom overovacom kľúči; - CA spravuje životný cyklus certifikátu: zabezpečuje jeho vydanie, pozastavenie (aj na žiadosť vlastníka), obnovenie a ukončenie platnosti.
- Ďalšou funkciou CA je služba. Nestačí len vydať certifikát. Používatelia pravidelne požadujú všetky druhy rád o postupe pri vydávaní a používaní podpisu, rady pri žiadosti a výbere typu certifikátu. Veľké CA, ako sú CA spoločnosti Business Network, poskytujú služby technickej podpory, vytvárajú rôzny softvér, zlepšujú obchodné procesy, sledujú zmeny v oblastiach aplikácie certifikátov a pod. Vzájomne si konkurujú CA na kvalite IT služby, rozvoj tejto oblasti.
Kozák bol poslaný!
Pozrime sa na krok 1 vyššie uvedeného algoritmu na získavanie elektronických podpisov. Čo znamená „osvedčiť totožnosť“ osoby, ktorá požiadala o certifikát? To znamená, že osoba, na meno ktorej je certifikát vydaný, sa musí osobne dostaviť buď do kancelárie CA, alebo na vydávajúce miesto, ktoré má s CA uzatvorenú spoločenskú zmluvu, a tam predložiť originály svojich dokladov. Najmä cestovný pas občana Ruskej federácie. V niektorých prípadoch, keď ide o podpisy pre právnické osoby. fyzických osôb a fyzických osôb podnikateľov, postup identifikácie je ešte komplikovanejší a vyžaduje predloženie ďalších dokladov.
Práve v tejto fáze, teda na samom začiatku, keď veci nedospeli ani k vydaniu podpisového certifikátu, je najdôležitejší problém. A kľúčové slovo je tu „pas“.
Únik osobných údajov v krajine dosiahol skutočne priemyselné rozmery. Existujú online zdroje, kde môžete získať naskenované kópie platných pasov ruských občanov za málo peňazí alebo dokonca zadarmo. Ale skeny pasov v našej krajine, zaťaženej postsovietskym dedičstvom štýlu „ukázať dokumenty“, sa dajú zbierať od občanov všade – nielen v bankách či iných finančných inštitúciách, ale aj v hoteloch, školách, univerzitách, leteckej železničné pokladne, detské centrá, servisné miesta pre mobilných predplatiteľov - všade tam, kde od vás vyžadujú predloženie pasu na službu, teda takmer všade. S rozvojom digitálnych technológií sa tento široký kanál prístupu k osobným údajom dostal do obehu kriminálnymi pracovníkmi.
Veľmi časté sú aj „služby“ na krádež osobných údajov konkrétnych ľudí.
Okrem toho existuje celá armáda tzv. „nominality“ - ľudia spravidla veľmi mladí alebo veľmi chudobní a slabo vzdelaní, alebo jednoducho degenerovaní, ktorým zločinci sľúbia skromnú odmenu za to, že prinesú svoj pas do CA alebo na miesto, kde ho vydali, a objednali si podpis do svojho označte sa tam napríklad ako riaditeľ spoločnosti. Netreba dodávať, že takýto človek potom nemá s činnosťou firmy nič spoločné a pri odhalení podvodu nemôže poskytnúť žiadnu reálnu pomoc vyšetrovaniu.
Takže skenovanie pasu nie je problém. Ale na identifikáciu potrebujete originálny pas, ako je to možné, pýta sa pozorný čitateľ? A na obídenie tohto problému sú na svete bezohľadné doručovacie miesta. Napriek prísnemu výberovému konaniu, kriminálne postavy pravidelne dostávajú štatút problémového miesta a potom začnú páchať nezákonné akcie s osobnými údajmi občanov.
Tieto dva faktory v kombinácii nám spôsobujú celú vlnu problémov s kriminalizáciou používania elektronických zariadení, ktoré teraz máme.
Existuje bezpečnosť v číslach?
Celá táto, bez preháňania, armáda podvodníkov je teraz filtrovaná iba certifikačnými centrami. Každá CA má svoje vlastné bezpečnostné služby. Každý, kto žiada o podpis, je dôkladne skontrolovaný vo fáze identifikácie. Každý, kto chce spolupracovať v stave výdajného bodu pre konkrétnu CA, je tiež dôkladne preverený ako vo fáze uzatvárania spoločenskej zmluvy, tak aj následne v procese obchodnej interakcie.
Inak to ani nemôže byť, pretože nepoctivou certifikáciou hrozí CA zatvorenie – legislatíva v tejto oblasti je prísna.
Je však nemožné obsiahnuť tú nesmiernosť a niektoré z bezohľadných emisných bodov stále „unikajú“ do partnerov CA. A „nominant“ nemusí mať vôbec žiadny dôvod odmietnuť vydať certifikát - koniec koncov, žiada o CA úplne legálne.
Taktiež, ak sa odhalí podvod s podpisom na meno konkrétnej osoby, problém pomôže vyriešiť iba certifikačné centrum. Keďže certifikačné centrum v tomto prípade zruší podpisový certifikát, vykoná interné vyšetrovanie, sleduje celý reťazec vydávania certifikátu a môže súdu poskytnúť potrebné dokumenty o podvodných konaniach pri vydávaní kľúča elektronického podpisu. Len materiály z certifikačného centra pomôžu na súde vyriešiť prípad v prospech skutočne poškodeného: toho, na meno ktorého bol podvodom vystavený podpis.
Ani tu však nefunguje všeobecná digitálna negramotnosť v prospech obetí. Nie každý sa snaží chrániť svoje záujmy. Protizákonné konanie s digitálnym podpisom však treba napadnúť na súde. A v tomto sú hlavnou pomocou certifikačné centrá.
Zabiť všetky CA?
A tak sa v našom štáte rozhodlo o zmenách prevádzkového poriadku VO a požiadaviek na ne. Skupina poslancov a senátorov vypracovala zodpovedajúci návrh zákona, ktorý už 7. novembra 2019 prijala Štátna duma v prvom čítaní.
Dokument predpokladá rozsiahlu reformu systému certifikátov elektronického podpisu. Predovšetkým predpokladá, že právnické osoby a jednotliví podnikatelia (IP) budú môcť získať vylepšený kvalifikovaný elektronický podpis (ECES) len od Federálnej daňovej služby a finančné organizácie od centrálnej banky. Certifikačné centrá (CA) akreditované Ministerstvom telekomunikácií a masových komunikácií, ktoré teraz vydávajú elektronické podpisy, ich budú môcť vydávať iba fyzickým osobám.
Zároveň sa plánuje výrazné sprísnenie požiadaviek na takéto VO. Minimálna výška čistých aktív akreditovaného certifikačného centra by sa mala zvýšiť zo 7 miliónov rubľov. do 1 miliardy rubľov a minimálna výška finančnej podpory - od 30 miliónov rubľov. až 200 miliónov rubľov. Ak má certifikačné centrum pobočky aspoň v dvoch tretinách ruských regiónov, minimálna výška čistých aktív sa môže znížiť na 500 miliónov rubľov.
Doba akreditácie certifikačných centier sa skracuje z piatich na tri roky. Zavádza sa administratívna zodpovednosť za priestupky v práci certifikačných stredísk technického charakteru.
To všetko by malo znížiť množstvo podvodov s elektronickým podpisom, domnievajú sa autori návrhu zákona.
Aký je výsledok?
Ako môžete ľahko vidieť, nový návrh zákona žiadnym spôsobom nerieši problém kriminálneho využívania dokumentov občanov Ruskej federácie a krádeže osobných údajov. Nezáleží na tom, kto vydá podpis CA alebo Federálnej daňovej služby, totožnosť vlastníka podpisu bude musieť byť stále overená a návrh zákona neposkytuje žiadne inovácie v tejto otázke. Ak bezohľadné výdajné miesto fungovalo podľa kriminálnych schém pre bežnú BÚ, čo vám potom bráni urobiť to isté pre štátnu?
Aktuálna verzia návrhu zákona v súčasnosti nestanovuje, kto bude niesť akú zodpovednosť za vydanie UKEP, ak bol tento podpis použitý pri podvodnej činnosti. Navyše ani v Trestnom zákone nie je vhodný článok, ktorý by umožňoval trestné stíhanie za vydanie certifikátu elektronického podpisu na základe odcudzených osobných údajov.
Samostatným problémom je preťaženie štátnych VO, ktoré podľa nových pravidiel určite vznikne a veľmi spomalí a sťaží poskytovanie služieb občanom a právnickým osobám.
Obslužná funkcia BÚ sa vo vyúčtovaní vôbec nezohľadňuje. Nie je jasné, či v navrhovaných veľkých štátnych CA vzniknú oddelenia služieb zákazníkom, ako dlho to bude trvať a aké materiálne investície si to vyžiada a kto bude poskytovať služby zákazníkom pri vytváraní takejto infraštruktúry. Je zrejmé, že zánik konkurencie v tejto oblasti môže ľahko viesť k stagnácii v odvetví.
To znamená, že výsledkom je monopolizácia trhu CA zo strany vládnych agentúr, preťaženie týchto štruktúr so spomalením všetkých EDI aktivít, nedostatočná podpora koncových používateľov v prípade podvodov a úplné zničenie súčasného trhu CA spolu s existujúcou infraštruktúrou. (celkovo ide o 15 000 pracovných miest).
Kto sa zraní? V dôsledku prijatia takéhoto zákona budú trpieť tí, ktorí teraz trpia, teda koncoví používatelia a certifikačné autority.
A biznis, ktorý sa vyžíva v krádežiach identity, bude prekvitať aj naďalej. Nie je načase, aby orgány činné v trestnom konaní a zákonodarcovia obrátili svoju pozornosť na tento problém a skutočne vážne reagovali na výzvy digitálneho veku? Možnosti krádeže osobných údajov a ich následného kriminálneho využitia sa za posledných 10 – 15 rokov mnohonásobne zvýšili. Zvýšila sa aj úroveň výcviku zločincov. Na to je potrebné reagovať zavedením prísnych opatrení týkajúcich sa zodpovednosti za akékoľvek nezákonné konanie s osobnými údajmi iných ľudí, a to pre spoločnosti a ich zamestnancov, ako aj pre jednotlivcov. A aby sa problém s trestnoprávnym využívaním certifikátov elektronického podpisu skutočne vyriešil, je potrebné vypracovať návrh zákona, ktorý by stanovil zodpovednosť, vrátane trestnoprávnej zodpovednosti za takéto konanie. A nie návrh zákona, ktorý jednoducho prerozdelí finančné toky, skomplikuje postup konečnému užívateľovi a nikomu v konečnom dôsledku neposkytne žiadnu ochranu.
Zdroj: hab.com