Kaj se dogaja?
Tema goljufij, storjenih z uporabo potrdila o elektronskem podpisu, je v zadnjem času dobila široko pozornost javnosti. Zvezni mediji so sprejeli pravilo, da občasno pripovedujejo grozljive zgodbe o primerih zlorabe elektronskih podpisov. Najpogostejše kaznivo dejanje na tem področju je registracija pravne osebe. osebe ali samostojni podjetniki v imenu nič hudega slutečega državljana Ruske federacije. Drug priljubljen način goljufije je transakcija, ki vključuje spremembo lastništva nepremičnine (to je, ko nekdo v vašem imenu proda vaše stanovanje nekomu drugemu, pa vi sploh ne veste).
A ne zapuščajmo se z opisovanjem morebitnih nezakonitih dejanj z digitalnimi podpisi, da prevarantom ne damo kreativnih idej. Poskusimo bolje ugotoviti, zakaj je ta težava postala tako razširjena in kaj je resnično treba storiti, da jo izkoreninimo. In za to moramo jasno razumeti, kaj so certifikacijski centri, kako točno delujejo in ali so tako strašni, kot nam jih prikazujejo mediji in izjave zainteresiranih strani.
Od kod podpisi?
Torej, vi ste uporabnik. Potrebujete potrdilo o elektronskem podpisu. Ni pomembno, za katere naloge in v kakšnem statusu ste (podjetje, posameznik, samostojni podjetnik) - algoritem za pridobitev certifikata je standarden. In se obrnete na certifikacijski center za nakup potrdila o elektronskem podpisu.
Certifikacijski center je podjetje, ki mu ruska zakonodaja nalaga številne stroge zahteve.
Za pridobitev pravice do izdaje izboljšanega kvalificiranega elektronskega podpisa mora certifikacijski center opraviti poseben postopek akreditacije pri Ministrstvu za telekomunikacije in množične komunikacije. Postopek akreditacije zahteva upoštevanje številnih strogih pravil, ki jih ne more upoštevati vsako podjetje.
Zlasti mora CA imeti licenco, ki ji daje pravico do razvoja, proizvodnje in distribucije šifrirnih (kriptografskih) orodij, informacijskih in telekomunikacijskih sistemov. To dovoljenje izda FSB, potem ko prosilec opravi vrsto strogih pregledov.
Zaposleni v CA morajo imeti visoko strokovno izobrazbo s področja informacijske tehnologije oziroma informacijske varnosti.
Zakon tudi zavezuje CA, da zavarujejo svojo odgovornost za »izgube, povzročene tretjim osebam zaradi njihovega zaupanja v informacije, določene v potrdilu ključa za preverjanje elektronskega podpisa, ki ga je izdal tak CA, ali informacije v registru potrdil, ki ga vodi tak CA. ” v znesku najmanj 30 milijonov rubljev.
Kot lahko vidite, ni vse tako preprosto.
Skupno je trenutno v državi okoli 500 CA, ki imajo pravico izdajati ECES (izboljšano kvalificirano potrdilo za elektronski podpis). To ne vključuje le zasebnih certifikacijskih centrov, temveč tudi CA v okviru različnih vladnih agencij (vključno z Zvezno davčno službo, Rusko federacijo itd.), Banke, trgovalne platforme, vključno z državnimi.
Potrdilo o elektronskem podpisu je ustvarjeno z algoritmi šifriranja, ki jih je potrdil FSB Ruske federacije. Pravnim in fizičnim osebam omogoča elektronsko izmenjavo pravno pomembnih dokumentov. Po uradnih podatkih CA večino (95 %) CEP izdajo pravne osebe. osebe, ostalo - posamezniki. osebe.
Ko stopite v stik s CA, se zgodi naslednje:
- CA preveri istovetnost osebe, ki je zaprosila za potrdilo o elektronskem podpisu;
Šele po potrditvi identitete in preverjanju vseh dokumentov CA izdela in izda potrdilo, ki vsebuje podatke o lastniku potrdila in njegovem javnem verifikacijskem ključu; - CA upravlja življenjski cikel potrdila: zagotavlja njegovo izdajo, začasno ukinitev (tudi na zahtevo lastnika), obnovo in potek.
- Druga funkcija CA je storitev. Ni dovolj le izdati potrdilo. Uporabniki redno potrebujejo vse vrste nasvetov o postopku izdaje in uporabe podpisa, nasvete o prijavi in izbiri vrste potrdila. Veliki CA-ji, kot so CA-ji podjetja Business Network, zagotavljajo storitve tehnične podpore, izdelujejo različno programsko opremo, izboljšujejo poslovne procese, spremljajo spremembe na področjih uporabe certifikatov itd. CA-ji med seboj tekmujejo s kakovostjo IT. storitve, razvijanje tega področja.
Kozak je bil poslan!
Oglejmo si 1. korak zgornjega algoritma za pridobivanje elektronskih podpisov. Kaj pomeni "potrditi identiteto" osebe, ki je zaprosila za potrdilo? To pomeni, da se mora oseba, na ime katere je izdano potrdilo, osebno zglasiti v pisarni CA ali na mestu izdaje, ki ima s CA sklenjeno partnersko pogodbo, in tam predložiti izvirnike svojih dokumentov. Zlasti potni list državljana Ruske federacije. V nekaterih primerih, ko gre za podpise za pravne osebe. posamezniki in podjetniki posamezniki, je postopek identifikacije še bolj zapleten in zahteva predložitev dodatnih dokumentov.
Ravno v tej fazi, torej na samem začetku, ko stvari še niso prišle do izdaje potrdila o podpisu, je najpomembnejši problem. In ključna beseda tukaj je "potni list".
Uhajanje osebnih podatkov v državi je doseglo prave industrijske razsežnosti. Obstajajo spletni viri, kjer lahko dobite skenirane kopije veljavnih potnih listov ruskih državljanov za malo denarja ali celo brezplačno. Toda skene potnih listov v naši državi, obremenjeni s postsovjetsko dediščino sloga "pokaži dokumente", je mogoče zbirati od državljanov povsod - ne le v bankah ali drugih finančnih institucijah, ampak tudi v hotelih, šolah, univerzah, letalskih in železniške blagajne, otroški centri, storitvena mesta za mobilne naročnike - povsod, kjer zahtevajo, da predložite potni list za storitev, torej skoraj povsod. Z razvojem digitalnih tehnologij so ta širok kanal dostopa do osebnih podatkov prevzeli kriminalni delavci.
Zelo pogoste so tudi »storitve« za krajo osebnih podatkov določenih oseb.
Poleg tega obstaja še cela vojska t.i. »nominalnosti« - ljudje, praviloma zelo mladi ali zelo revni in slabo izobraženi ali preprosto izrojeni, ki jim kriminalci obljubijo skromno nagrado, če prinesejo njihov potni list na CA ali na mesto izdaje in naročijo podpis v ime kot na primer direktor podjetja. Ni treba posebej poudarjati, da taka oseba potem nima nič opraviti z dejavnostmi podjetja in ne more nuditi nobene prave pomoči preiskavi, ko se prevara razkrije.
Torej skeniranje potnega lista ni problem. Toda za identifikacijo potrebujete originalni potni list, kako je to mogoče, se bo vprašal pozoren bralec? In da bi se izognili tej težavi, na svetu obstajajo brezvestne dostavne točke. Kljub strogemu izbirnemu postopku kriminalci občasno dobijo status problematične točke in nato začnejo izvajati nezakonita dejanja z osebnimi podatki državljanov.
Ta dva dejavnika v kombinaciji nam povzročata cel val težav s kriminalizacijo uporabe elektronskih naprav, ki jih imamo zdaj.
Je varnost v številkah?
Celotno, brez pretiravanja, vojsko prevarantov zdaj filtrirajo samo certifikacijski centri. Vsak CA ima svoje varnostne službe. Vse, ki zaprosijo za podpis, skrbno preverijo v fazi identifikacije. Vsakdo, ki želi sodelovati v statusu izdajne točke za določen CA, je prav tako skrbno preverjen tako v fazi sklenitve partnerske pogodbe kot pozneje v procesu poslovne interakcije.
Drugače ne more biti, saj nepošteno certificiranje grozi CA z zaprtjem - zakonodaja na tem področju je stroga.
Toda neizmernosti je nemogoče sprejeti in nekatere brezobzirne točke izdaje še vedno "puščajo" v partnerje CA. In "imenovani" morda sploh nima razloga, da bi zavrnil izdajo potrdila - navsezadnje se pri CA prijavi popolnoma zakonito.
Tudi, če se odkrije goljufija s podpisom v imenu določene osebe, bo težavo rešil le certifikacijski center. Ker certifikacijski center v tem primeru prekliče podpisni certifikat, izvede interno preiskavo, spremlja celotno verigo izdaje certifikata in lahko sodišču posreduje potrebne dokumente o goljufivih dejanjih pri izdaji ključa elektronskega podpisa. Samo materiali certifikacijskega centra bodo na sodišču pomagali rešiti zadevo v korist resnično oškodovane stranke: osebe, v imenu katere je bil podpis izdan goljufivo.
Vendar splošna digitalna nepismenost tudi tukaj ne deluje v korist žrtev. Vsi ne gredo do konca, da bi zaščitili svoje interese. Toda nezakonita dejanja z digitalnim podpisom je treba izpodbijati na sodišču. In certifikacijski centri so pri tem glavna pomoč.
Ubiti vse CA?
In tako je bilo v naši državi odločeno spremeniti postopek delovanja CA in zahteve zanje. Skupina poslancev in senatorjev je razvila ustrezen predlog zakona, ki ga je državna duma že sprejela v prvi obravnavi 7. novembra 2019.
Dokument predvideva obsežno reformo sistema potrdil elektronskega podpisa. Zlasti predvideva, da bodo pravne osebe in samostojni podjetniki (IP) lahko prejeli izboljšan kvalificirani elektronski podpis (ECES) samo od Zvezne davčne službe, finančne organizacije pa od Centralne banke. Certifikacijski centri (CA) z akreditacijo Ministrstva za telekomunikacije, ki zdaj izdajajo elektronske podpise, jih bodo lahko izdajali le fizičnim osebam.
Hkrati se načrtuje, da se bodo zahteve za takšne CA močno zaostrile. Najmanjši znesek čistih sredstev akreditiranega certifikacijskega centra je treba povečati s 7 milijonov rubljev. do 1 milijarde rubljev, minimalni znesek finančne podpore pa od 30 milijonov rubljev. do 200 milijonov rubljev. Če ima certifikacijski center podružnice v vsaj dveh tretjinah ruskih regij, se lahko minimalni znesek čistih sredstev zmanjša na 500 milijonov rubljev.
Obdobje akreditacije certifikacijskih centrov se skrajšuje s petih na tri leta. Uvedena je upravna odgovornost za kršitve pri delu certifikacijskih centrov tehnične narave.
Vse to naj bi zmanjšalo obseg goljufij z elektronskim podpisom, menijo avtorji predloga zakona.
Kakšen je rezultat?
Kot lahko vidite, novi predlog zakona na noben način ne obravnava problema kriminalne uporabe dokumentov državljanov Ruske federacije in kraje osebnih podatkov. Ni pomembno, kdo bo izdal podpis CA ali Zvezne davčne službe, identiteto lastnika podpisa bo še vedno treba potrditi, predlog zakona pa ne predvideva nobenih novosti glede tega vprašanja. Če je brezvestna izdajateljska točka delovala po kriminalnih shemah za navadno CA, kaj vam bo potem preprečilo, da bi storili enako za državno?
Trenutna različica predloga zakona trenutno ne določa, kdo bo nosil kakšno odgovornost za izdajo UKEP, če je bil ta podpis uporabljen pri goljufivih dejanjih. Še več, niti v Kazenskem zakoniku ni ustreznega člena, ki bi omogočal kazenski pregon za izdajo potrdila o elektronskem podpisu na podlagi ukradenih osebnih podatkov.
Poseben problem je preobremenjenost državnih CA, ki bo po novih pravilih zagotovo nastala in bo zelo upočasnila in otežila opravljanje storitev za državljane in pravne osebe.
Storitvena funkcija CA v predlogu zakona sploh ni obravnavana. Ni jasno, ali bodo pri predlaganih velikih CA v državni lasti oblikovani oddelki za pomoč strankam, koliko časa bo to trajalo in kakšne materialne naložbe bo zahtevalo ter kdo bo zagotavljal storitve za stranke v času ustvarjanja take infrastrukture. Očitno je, da lahko izginotje konkurence na tem področju hitro povzroči stagnacijo industrije.
To pomeni, da je rezultat monopolizacija trga CA s strani vladnih agencij, preobremenitev teh struktur z upočasnitvijo vseh dejavnosti EDI, pomanjkanje podpore končnim uporabnikom v primeru goljufije in popolno uničenje trenutnega trga CA skupaj z obstoječo infrastrukturo. (to je približno 15 delovnih mest v celi državi).
Kdo se bo poškodoval? Zaradi sprejetja takšnega predloga zakona bodo trpeli tisti, ki sedaj trpijo, torej končni uporabniki in overitelji.
In podjetje, ki uspeva s krajo identitete, bo še naprej cvetelo. Ali ni čas, da se organi pregona in zakonodajalci posvetijo temu problemu in se resnično resno odzovejo na izzive digitalne dobe? Priložnosti za krajo osebnih podatkov in njihovo kasnejšo kriminalno uporabo so se v zadnjih 10–15 letih večkrat povečale. Povečala se je tudi stopnja usposobljenosti kriminalcev. Na to se je treba odzvati z uvedbo strogih ukrepov odgovornosti za morebitna nezakonita dejanja z osebnimi podatki drugih ljudi, tako za podjetja in njihove zaposlene kot za posameznike. In da bi resnično rešili problem kriminalne uporabe potrdil za elektronski podpis, je treba oblikovati predlog zakona, ki bi predvidel odgovornost, tudi kazensko, za takšna dejanja. In ne predlog zakona, ki zgolj prerazporeja finančne tokove, otežuje postopek končnemu uporabniku in na koncu nikomur ne daje nobene zaščite.
Vir: www.habr.com