Çfarë po ndodh?
Tema e veprimeve mashtruese të kryera duke përdorur një certifikatë nënshkrimi elektronik ka marrë vëmendjen e gjerë të publikut kohët e fundit. Mediat federale e kanë bërë rregull rrëfimin periodik të historive të frikshme për rastet e keqpërdorimit të nënshkrimeve elektronike. Krimi më i zakonshëm në këtë fushë është regjistrimi i një personi juridik. personat ose sipërmarrësit individualë në emër të një qytetari të paditur të Federatës Ruse. Një metodë tjetër e njohur e mashtrimit është një transaksion që përfshin një ndryshim në pronësinë e pasurive të paluajtshme (kjo është kur dikush shet apartamentin tuaj në emrin tuaj dikujt tjetër, por ju as nuk e dini).
Por le të mos tërhiqemi duke përshkruar veprime të mundshme të paligjshme me nënshkrime dixhitale, për të mos u dhënë ide kreative mashtruesve. Le të përpiqemi më mirë të kuptojmë pse ky problem është bërë kaq i përhapur dhe çfarë duhet bërë në të vërtetë për ta zhdukur atë. Dhe për këtë duhet të kuptojmë qartë se çfarë janë qendrat e certifikimit, si funksionojnë saktësisht dhe nëse janë aq të frikshme sa na paraqiten në media dhe deklarata të palëve të interesuara.
Nga vijnë nënshkrimet?
Pra, ju jeni përdoruesi. Ju duhet një certifikatë nënshkrimi elektronik. Nuk ka rëndësi për cilat detyra dhe në çfarë statusi jeni (kompani, individ, sipërmarrës individual) - algoritmi për marrjen e një certifikate është standard. Dhe ju kontaktoni qendrën e certifikimit për të blerë një certifikatë nënshkrimi elektronik.
Një qendër certifikimi është një kompani, së cilës legjislacioni rus vendos një numër kërkesash strikte.
Për të patur të drejtën për të lëshuar një nënshkrim elektronik të kualifikuar të zgjeruar, qendra e certifikimit duhet t'i nënshtrohet një procedure të veçantë akreditimi pranë Ministrisë së Telekomit dhe Komunikimeve Masive. Procedura e akreditimit kërkon respektimin e një numri rregullash strikte që jo çdo kompani është në gjendje t'i zbatojë.
Në veçanti, AK-së i kërkohet të ketë një licencë që i jep të drejtën për të zhvilluar, prodhuar dhe shpërndarë mjete enkriptuese (kriptografike), sisteme informacioni dhe telekomunikacioni. Kjo licencë lëshohet nga FSB pasi aplikanti kalon një sërë kontrollesh të rrepta.
Punonjësit e AK-së duhet të kenë arsim të lartë profesional në fushën e teknologjisë së informacionit ose sigurisë së informacionit.
Ligji gjithashtu i detyron AK-të të sigurojnë përgjegjësinë e tyre për “humbjet e shkaktuara palëve të treta si rezultat i besimit të tyre në informacionin e specifikuar në certifikatën e çelësit të verifikimit të nënshkrimit elektronik të lëshuar nga AK-ja e tillë, ose informacionin e përfshirë në regjistrin e certifikatave të mbajtura nga AK-ja e tillë. " në një shumë prej jo më pak se 30 milion rubla.
Siç mund ta shihni, jo gjithçka është aq e thjeshtë.
Në total, aktualisht ka rreth 500 AK në vend që kanë të drejtë të lëshojnë ECES (certifikatë e përmirësuar e kualifikuar e nënshkrimit elektronik). Kjo përfshin jo vetëm qendrat private të certifikimit, por edhe CA-të nën agjenci të ndryshme qeveritare (përfshirë Shërbimin Federal të Taksave, Federatën Ruse, etj.), Bankat, platformat tregtare, përfshirë ato shtetërore.
Certifikata e nënshkrimit elektronik krijohet duke përdorur algoritme kriptimi të certifikuara nga FSB e Federatës Ruse. Ai lejon personat juridikë dhe individët të shkëmbejnë dokumente të rëndësishme ligjore në mënyrë elektronike. Sipas të dhënave zyrtare të AK-së, shumica (95%) e KEP-së lëshohet nga persona juridikë. persona, pjesa tjetër - individë. persona.
Pasi të keni kontaktuar AK-në, ndodh si më poshtë:
- AK verifikon identitetin e personit që ka aplikuar për një certifikatë nënshkrimi elektronik;
Vetëm pas konfirmimit të identitetit dhe verifikimit të të gjitha dokumenteve, AK-ja prodhon dhe lëshon një certifikatë, e cila përfshin informacione për pronarin e certifikatës dhe çelësin e tij publik të verifikimit; - AK menaxhon ciklin e jetës së certifikatës: siguron lëshimin, pezullimin (përfshirë kërkesën e pronarit), rinovimin dhe skadimin e saj.
- Një funksion tjetër i AK-së është shërbimi. Nuk mjafton thjesht lëshimi i një certifikate. Përdoruesit kërkojnë rregullisht të gjitha llojet e këshillave për procedurën e lëshimit dhe përdorimit të nënshkrimit, këshilla për aplikimin dhe përzgjedhjen e llojit të certifikatës. AK-të e mëdha, si AK-të e kompanisë Business Network, ofrojnë shërbime të mbështetjes teknike, krijojnë softuer të ndryshëm, përmirësojnë proceset e biznesit, monitorojnë ndryshimet në fushat e aplikimit të certifikatave, etj. Duke konkurruar me njëri-tjetrin, AK-të punojnë në cilësinë e TI-së. shërbime, duke zhvilluar këtë zonë.
Kozaku është dërguar!
Le të shqyrtojmë hapin 1 të algoritmit të mësipërm për marrjen e nënshkrimeve elektronike. Çfarë do të thotë të vërtetosh identitetin e personit që ka aplikuar për certifikatën? Kjo do të thotë që personi në emër të të cilit lëshohet certifikata duhet të paraqitet personalisht ose në zyrën e AK-së ose në pikën e lëshimit që ka një marrëveshje partneriteti me AK-në dhe të paraqesë origjinalet e dokumenteve të tyre atje. Në veçanti, një pasaportë e një qytetari të Federatës Ruse. Në disa raste, kur bëhet fjalë për nënshkrime për personat juridikë. individët dhe sipërmarrësit individualë, procedura e identifikimit është edhe më e ndërlikuar dhe kërkon paraqitjen e dokumenteve shtesë.
Pikërisht në këtë fazë, pra në fillim, kur gjërat nuk kanë arritur as në lëshimin e një certifikate nënshkrimi, qëndron problemi më i rëndësishëm. Dhe fjala kyçe këtu është "pasaportë".
Rrjedhja e të dhënave personale në vend ka marrë përmasa vërtet industriale. Ka burime në internet ku mund të merrni kopje të skanuara të pasaportave të vlefshme të qytetarëve rusë për pak para ose edhe pa pagesë. Por skanimet e pasaportave në vendin tonë, të ngarkuara nga trashëgimia post-sovjetike e stilit "tregoni dokumente", mund të mblidhen nga qytetarët kudo - jo vetëm në banka apo institucione të tjera financiare, por edhe në hotele, shkolla, universitete, ajër dhe bileta hekurudhore, qendra për fëmijë, pika shërbimi për abonentët celularë - kudo që ju kërkojnë të paraqisni pasaportën tuaj për shërbim, domethënë pothuajse kudo. Me zhvillimin e teknologjive dixhitale, ky kanal i gjerë aksesi në të dhënat personale është vënë në qarkullim nga punëtorët kriminalë.
Shumë të zakonshme janë edhe “shërbimet” për vjedhjen e të dhënave personale të personave të caktuar.
Përveç kësaj, ekziston një ushtri e tërë e të ashtuquajturve. "nominalitete" - njerëz, si rregull, shumë të rinj, ose shumë të varfër dhe me arsim të dobët, ose thjesht të degjeneruar, të cilëve kriminelët u premtojnë një shpërblim modest për sjelljen e pasaportës së tyre në AK ose në pikën e lëshimit dhe urdhërimin e një firme në to. emri atje si, për shembull, një drejtor i një kompanie. Eshtë e panevojshme të thuhet se një person i tillë nuk ka asnjë lidhje me aktivitetet e kompanisë dhe nuk mund të ofrojë asnjë ndihmë reale për hetimin kur zbulohet mashtrimi.
Pra, skanimi i pasaportës suaj nuk është problem. Por për identifikimin ju duhet një pasaportë origjinale, si mund të jetë kjo, do të pyesë lexuesi i vëmendshëm? Dhe për të kapërcyer këtë problem, ka pika të paskrupullta të dorëzimit në botë. Pavarësisht procedurës së rreptë të përzgjedhjes, personazhet kriminale marrin periodikisht statusin e pikës së emetimit dhe më pas fillojnë të kryejnë veprime të paligjshme me të dhënat personale të qytetarëve.
Këta dy faktorë në kombinim na japin të gjithë valën e problemeve me kriminalizimin e përdorimit të pajisjeve elektronike që kemi tani.
A ka siguri në numra?
E gjithë kjo ushtri, pa ekzagjerim, mashtruesish tashmë filtrohet vetëm nga qendrat e certifikimit. Çdo AK ka shërbimet e veta të sigurisë. Të gjithë ata që aplikojnë për një nënshkrim kontrollohen me kujdes në fazën e identifikimit. Kushdo që dëshiron të bashkëpunojë në statusin e një pike emetimi për një AK specifike kontrollohet gjithashtu me kujdes si në fazën e lidhjes së një marrëveshjeje partneriteti dhe më pas, në procesin e ndërveprimit biznesor.
Nuk mund të jetë ndryshe, sepse certifikimi i pandershëm kërcënon AK-në me mbyllje - legjislacioni në këtë fushë është i rreptë.
Por është e pamundur të përqafosh pafundësinë dhe disa nga pikat e paskrupullta të lëshimit ende “rrjedhin” te partnerët e AK-së. Dhe "i emëruari" mund të mos ketë fare arsye të refuzojë të lëshojë një certifikatë - në fund të fundit, ai aplikon në AK plotësisht ligjërisht.
Gjithashtu, nëse zbulohet një mashtrim që përfshin një nënshkrim në emër të një personi specifik, vetëm një qendër certifikimi do të ndihmojë në zgjidhjen e problemit. Meqenëse qendra e certifikimit në këtë rast revokon certifikatën e nënshkrimit, kryen një hetim të brendshëm, duke ndjekur të gjithë zinxhirin e lëshimit të certifikatës dhe mund t'i sigurojë gjykatës dokumentet e nevojshme për veprimet mashtruese kur lëshon një çelës elektronik të nënshkrimit. Vetëm materialet nga qendra e certifikimit do të ndihmojnë në gjykatë për të zgjidhur çështjen në favor të palës me të vërtetë të dëmtuar: personit në emër të të cilit është lëshuar nënshkrimi me mashtrim.
Megjithatë, analfabetizmi i përgjithshëm dixhital nuk funksionon në dobi të viktimave as këtu. Jo të gjithë shkojnë deri në fund për të mbrojtur interesat e tyre. Por veprimet e paligjshme me nënshkrim dixhital duhet të kundërshtohen në gjykatë. Dhe qendrat e certifikimit janë ndihma kryesore në këtë.
Të vrasin të gjitha CA-të?
Dhe kështu, në shtetin tonë u vendos që të bëhen ndryshime në procedurën e funksionimit të AK-ve dhe kërkesat për to. Një grup deputetësh dhe senatorë hartuan një projektligj përkatës, i cili u miratua tashmë nga Duma e Shtetit në leximin e parë më 7 nëntor 2019.
Dokumenti parashikon një reformë në shkallë të gjerë të sistemit të certifikatës së nënshkrimit elektronik. Në veçanti, ai supozon se personat juridikë dhe sipërmarrësit individualë (IP) do të jenë në gjendje të marrin një nënshkrim elektronik të kualifikuar të përmirësuar (ECES) vetëm nga Shërbimi Federal i Taksave dhe organizatat financiare nga Banka Qendrore. Qendrat e certifikimit (CA) të akredituara nga Ministria e Telekomit dhe Komunikimeve Masive, të cilat lëshojnë nënshkrime elektronike tani, do të mund t'i lëshojnë ato vetëm për individët.
Në të njëjtën kohë, kërkesat për AK të tilla janë planifikuar të shtrëngohen shumë. Shuma minimale e aktiveve neto të një qendre certifikimi të akredituar duhet të rritet nga 7 milion rubla. deri në 1 miliard rubla, dhe shuma minimale e mbështetjes financiare - nga 30 milion rubla. deri në 200 milion rubla. Nëse qendra e certifikimit ka degë në të paktën dy të tretat e rajoneve ruse, atëherë shuma minimale e aktiveve neto mund të reduktohet në 500 milion rubla.
Periudha e akreditimit për qendrat e certifikimit po zvogëlohet nga pesë në tre vjet. Përgjegjësia administrative futet për shkeljet në punën e qendrave të certifikimit të natyrës teknike.
E gjithë kjo duhet të zvogëlojë sasinë e mashtrimit me nënshkrime elektronike, mendojnë autorët e projektligjit.
Cili është rezultati?
Siç mund ta shihni lehtësisht, projektligji i ri nuk trajton në asnjë mënyrë problemin e përdorimit kriminal të dokumenteve të qytetarëve të Federatës Ruse dhe vjedhjen e të dhënave personale. Nuk ka rëndësi se kush do të lëshojë nënshkrimin e AK-së ose të Shërbimit Federal të Taksave, identiteti i pronarit të nënshkrimit do të duhet ende të vërtetohet, dhe projektligji nuk parashikon ndonjë risi për këtë çështje. Nëse një pikë emetimi e paskrupullt ka funksionuar sipas skemave kriminale për një AK të zakonshme, atëherë çfarë do t'ju pengojë të bëni të njëjtën gjë për një shtetërore?
Versioni aktual i projektligjit aktualisht nuk parashikon se kush do të mbajë çfarë përgjegjësie për lëshimin e UKEP nëse ky nënshkrim është përdorur në aktivitete mashtruese. Për më tepër, edhe në Kodin Penal nuk ka një nen të përshtatshëm që do të lejonte ndjekjen penale për lëshimin e një certifikate të nënshkrimit elektronik bazuar në të dhënat personale të vjedhura.
Problem më vete është mbingarkesa e AK-ve shtetërore, e cila sigurisht që do të lindë sipas rregullave të reja dhe do ta bëjë shumë të ngadaltë dhe të vështirë ofrimin e shërbimeve për qytetarët dhe subjektet juridike.
Në faturë nuk merret fare funksioni i shërbimit të AK-së. Nuk është e qartë nëse departamentet e shërbimit ndaj klientit do të krijohen në AK-të e mëdha shtetërore të propozuara, sa kohë do të zgjasë dhe çfarë investimesh materiale do të kërkojë, dhe kush do të ofrojë shërbimin ndaj klientit ndërsa krijohet një infrastrukturë e tillë. Është e qartë se zhdukja e konkurrencës në këtë fushë mund të çojë lehtësisht në stanjacion në industri.
Kjo do të thotë, rezultati është monopolizimi i tregut të AK-së nga agjencitë qeveritare, mbingarkesa e këtyre strukturave me një ngadalësim në të gjitha aktivitetet e EDI-së, mungesa e mbështetjes së përdoruesit fundor në rast mashtrimi dhe shkatërrimi i plotë i tregut aktual të AK-së së bashku me infrastrukturën ekzistuese. (Kjo është rreth 15 vende pune në të gjithë vendin).
Kush do të lëndohet? Si rezultat i miratimit të një projektligji të tillë, do të vuajnë ata që po vuajnë tani, pra përdoruesit përfundimtarë dhe autoritetet e certifikimit.
Dhe një biznes që lulëzon me vjedhjen e identitetit do të vazhdojë të lulëzojë. A nuk është koha që agjencitë e zbatimit të ligjit dhe ligjvënësit të kthejnë vëmendjen e tyre ndaj këtij problemi dhe t'i përgjigjen vërtet seriozisht sfidave të epokës dixhitale? Mundësitë për vjedhjen e të dhënave personale dhe përdorimin e mëpasshëm kriminal të tyre janë rritur shumëfish gjatë 10-15 viteve të fundit. Është rritur edhe niveli i trajnimit të kriminelëve. Kjo duhet t'i përgjigjet duke futur masa të rrepta përgjegjësie për çdo veprim të paligjshëm me të dhënat personale të njerëzve të tjerë, si për kompanitë dhe punonjësit e tyre, ashtu edhe për individët. Dhe për të zgjidhur realisht problemin e përdorimit kriminal të certifikatave të nënshkrimit elektronik, është e nevojshme të krijohet një projektligj që do të parashikonte përgjegjësi, përfshirë përgjegjësinë penale, për veprime të tilla. Dhe jo një faturë që thjesht rishpërndan flukset financiare, komplikon procedurën për përdoruesin fundor dhe nuk i jep askujt asnjë mbrojtje në fund.
Burimi: www.habr.com