Vad händer?
Ämnet om bedrägliga handlingar som begås med hjälp av ett elektroniskt signaturcertifikat har fått stor allmän uppmärksamhet nyligen. Federala medier har gjort det till en regel att med jämna mellanrum berätta skräckhistorier om fall av missbruk av elektroniska signaturer. Det vanligaste brottet inom detta område är registrering av juridisk person. personer eller enskilda företagare i namn av en intet ont anande medborgare i Ryska federationen. En annan populär metod för bedrägeri är en transaktion som involverar en förändring av ägandet av fastigheter (detta är när någon säljer din lägenhet för din räkning till någon annan, men du vet inte ens).
Men låt oss inte ryckas med att beskriva möjliga olagliga handlingar med digitala signaturer, för att inte ge kreativa idéer till bedragare. Låt oss bättre försöka ta reda på varför detta problem har blivit så utbrett och vad som verkligen behöver göras för att utrota det. Och för detta måste vi tydligt förstå vad certifieringscenter är, exakt hur de fungerar och om de är lika skrämmande som de framställs för oss i media och uttalanden från berörda parter.
Var kommer signaturerna ifrån?
Så du är användaren. Du behöver ett elektroniskt signaturcertifikat. Det spelar ingen roll för vilka uppgifter och vilken status du är i (företag, individ, enskild entreprenör) - algoritmen för att få ett certifikat är standard. Och du kontaktar certifieringscentret för att köpa ett elektroniskt signaturcertifikat.
Ett certifieringscenter är ett företag som enligt rysk lagstiftning ställer ett antal strikta krav.
För att ha rätt att utfärda en förstärkt kvalificerad elektronisk signatur måste certifieringscentret genomgå ett särskilt ackrediteringsförfarande hos ministeriet för telekom och masskommunikation. Ackrediteringsförfarandet kräver efterlevnad av ett antal strikta regler som inte alla företag kan följa.
I synnerhet krävs att CA har en licens som ger den rätt att utveckla, producera och distribuera krypteringsverktyg, informations- och telekommunikationssystem. Denna licens utfärdas av FSB efter att sökanden har klarat en rad strikta kontroller.
CA-anställda måste ha högre yrkesutbildning inom området informationsteknologi eller informationssäkerhet.
Lagen ålägger också CA:er att försäkra sitt ansvar för "förluster som orsakas tredje part till följd av deras förtroende för informationen som anges i det elektroniska signaturverifieringsnyckelcertifikatet utfärdat av en sådan CA, eller information som finns i certifikatregistret som förs av en sådan CA. ” i ett belopp av inte mindre än 30 miljoner rubel.
Som du kan se är inte allt så enkelt.
Totalt finns det för närvarande cirka 500 CA:er i landet som har rätt att utfärda ECES (enhanced qualified electronic signature certificate). Detta inkluderar inte bara privata certifieringscenter, utan även CA under olika statliga myndigheter (inklusive den federala skattetjänsten, Ryska federationen, etc.), banker, handelsplattformar, inklusive statliga.
Det elektroniska signaturcertifikatet skapas med hjälp av krypteringsalgoritmer certifierade av FSB i Ryska federationen. Det tillåter juridiska personer och individer att utbyta juridiskt viktiga dokument elektroniskt. Enligt officiella uppgifter från CA utfärdas majoriteten (95 %) av CEP av juridiska personer. personer, resten - fysiska. personer.
När du har kontaktat CA händer följande:
- CA verifierar identiteten på den person som ansökte om ett elektroniskt signaturcertifikat;
Först efter att ha bekräftat identiteten och verifierat alla dokument producerar och utfärdar CA ett certifikat, som innehåller information om certifikatägaren och hans offentliga verifieringsnyckel; - CA hanterar certifikatets livscykel: säkerställer utfärdande, avstängning (inklusive på begäran av ägaren), förnyelse och utgång.
- En annan funktion hos CA är service. Det räcker inte att bara utfärda ett certifikat. Användare kräver regelbundet alla typer av råd om förfarandet för att utfärda och använda en signatur, råd om ansökan och val av typ av certifikat. Stora CA:er, såsom CA:n för Business Network-företaget, tillhandahåller tekniska supporttjänster, skapar olika programvaror, förbättrar affärsprocesser, övervakar förändringar i tillämpningsområdena för certifikat, etc. CA:er konkurrerar med varandra och arbetar med IT-kvaliteten. tjänster, utveckla detta område.
Kosack något misshandlat!
Låt oss överväga steg 1 i ovanstående algoritm för att erhålla elektroniska signaturer. Vad innebär det att "intyga identiteten" för den person som ansökte om certifikatet? Det innebär att den i vars namn certifikatet utfärdas personligen måste infinna sig antingen på CA-kontoret eller vid det utfärdandeställe som har ett partnerskapsavtal med CA och där uppvisa originalen av sina handlingar. I synnerhet ett pass för en medborgare i Ryska federationen. I vissa fall när det gäller signaturer för juridiska personer. individer och enskilda företagare är identifieringsförfarandet ännu mer komplicerat och kräver uppvisande av ytterligare dokument.
Det är just i detta skede, det vill säga i början, när saker och ting inte ens har nått utfärdandet av ett signeringscertifikat, som det viktigaste problemet ligger. Och nyckelordet här är "pass".
Läckaget av personuppgifter i landet har nått verkligt industriella proportioner. Det finns onlineresurser där du kan få skannade kopior av giltiga pass för ryska medborgare för lite pengar eller till och med gratis. Men skanningar av pass i vårt land, belastade av det postsovjetiska arvet från stilen "visa dokument", kan samlas in från medborgare överallt - inte bara i banker eller andra finansiella institutioner, utan också på hotell, skolor, universitet, flyg och järnvägsbiljettkontor, barncenter, serviceställen för mobilabonnenter - varhelst de kräver att du uppvisar ditt pass för service, det vill säga nästan överallt. Med utvecklingen av digital teknik har denna breda kanal för tillgång till personuppgifter tagits i omlopp av kriminella arbetare.
"Tjänster" för stöld av personuppgifter om specifika personer är också mycket vanliga.
Dessutom finns en hel armé av sk. "nominaliteter" - personer, som regel, mycket unga, eller mycket fattiga och dåligt utbildade, eller helt enkelt degenererade, till vilka brottslingarna lovar en blygsam belöning för att de tog med sig sitt pass till CA eller till utfärdandestället och beställer en underskrift i deras benämna där som till exempel en direktör i ett företag. Det behöver inte sägas att en sådan person då inte har något med verksamheten i företaget att göra och kan inte ge någon egentlig hjälp till utredningen när bluffen avslöjas.
Så att skanna ditt pass är inget problem. Men för identifiering behöver du ett originalpass, hur kan det vara, frågar den uppmärksamma läsaren? Och för att komma runt detta problem finns det skrupelfria leveransställen i världen. Trots det strikta urvalsförfarandet får kriminella karaktärer med jämna mellanrum status som en problempunkt och börjar sedan begå olagliga handlingar med medborgarnas personuppgifter.
Dessa två faktorer i kombination ger oss hela den våg av problem med kriminaliseringen av användningen av elektroniska apparater som vi nu har.
Finns det säkerhet i siffror?
Hela denna, utan överdrift, armé av bedragare filtreras nu endast av certifieringscenter. Alla CA har sina egna säkerhetstjänster. Alla som ansöker om signatur kontrolleras noggrant i identifieringsstadiet. Alla som vill samarbeta i statusen för ett ärende för en specifik CA kontrolleras också noggrant både vid ingåendet av ett partnerskapsavtal och därefter i processen för affärsinteraktion.
Det kan inte vara på något annat sätt, eftersom oärlig certifiering hotar CA med stängning - lagstiftningen på detta område är strikt.
Men det är omöjligt att omfamna det oerhörda, och några av de skrupelfria utfärdandepunkterna "läcker" fortfarande in i CA:s partner. Och den "nominerade" kanske inte har någon som helst anledning att vägra att utfärda ett certifikat - trots allt ansöker han till CA helt lagligt.
Dessutom, om en bluff som involverar en signatur i en specifik persons namn upptäcks, kommer bara ett certifieringscenter att hjälpa till att lösa problemet. Eftersom certifieringscentret i detta fall återkallar signaturcertifikatet, genomför en intern utredning, spårar hela kedjan av certifikatutfärdande och kan förse domstolen med nödvändiga dokument om bedrägliga handlingar vid utfärdande av en elektronisk signaturnyckel. Endast material från certifieringscentret hjälper i domstol att lösa ärendet till förmån för den verkligt skadelidande: den person i vars namn signaturen har utfärdats på ett bedrägligt sätt.
Den allmänna digitala analfabetismen fungerar dock inte heller här till förmån för offren. Alla går inte hela vägen för att skydda sina intressen. Men olagliga handlingar med digital signatur måste utmanas i domstol. Och certifieringscenter är den främsta hjälpen i detta.
Döda alla CA?
Och så, i vår stat beslutades det att göra ändringar i operativa procedurer för CA och kraven för dem. En grupp deputerade och senatorer tog fram ett motsvarande lagförslag, som redan antogs av statsduman vid första behandlingen den 7 november 2019.
Dokumentet föreskriver en storskalig reform av systemet för elektroniska signaturcertifikat. I synnerhet antar det att juridiska personer och enskilda företagare (IP) kommer att kunna ta emot en förbättrad kvalificerad elektronisk signatur (ECES) endast från Federal Tax Service och finansiella organisationer från centralbanken. Certifieringscenter (CA) ackrediterade av ministeriet för telekom och masskommunikation, som utfärdar elektroniska signaturer nu, kommer endast att kunna utfärda dem till privatpersoner.
Samtidigt är kraven på sådana CA planerade att skärpas kraftigt. Minimibeloppet för nettotillgångar för ett ackrediterat certifieringscenter bör ökas från 7 miljoner rubel. upp till 1 miljard rubel, och minimibeloppet för ekonomiskt stöd – från 30 miljoner rubel. upp till 200 miljoner rubel. Om certifieringscentret har filialer i minst två tredjedelar av ryska regioner, kan minimibeloppet av nettotillgångar minskas till 500 miljoner rubel.
Ackrediteringstiden för certifieringscentra förkortas från fem till tre år. Administrativt ansvar införs för överträdelser i certifieringscentralernas arbete av teknisk karaktär.
Allt detta borde minska mängden bedrägerier med elektroniska signaturer, anser författarna till lagförslaget.
Vad är resultatet?
Som du lätt kan se tar det nya lagförslaget inte på något sätt upp problemet med kriminell användning av dokument från medborgare i Ryska federationen och stöld av personuppgifter. Det spelar ingen roll vem som kommer att utfärda underskriften av CA eller Federal Tax Service, identiteten för ägaren av signaturen måste fortfarande certifieras, och lagförslaget innehåller inga innovationer i denna fråga. Om en skrupelfri utfärdandepunkt fungerade enligt kriminella system för en vanlig CA, vad kommer då att hindra dig från att göra detsamma för en statligt ägd?
Den nuvarande versionen av lagförslaget anger för närvarande inte vem som ska bära vilket ansvar för att utfärda UKEP om denna signatur användes i bedrägliga aktiviteter. Dessutom finns det inte ens i strafflagen någon lämplig artikel som skulle tillåta åtal för att utfärda ett elektroniskt signaturcertifikat baserat på stulna personuppgifter.
Ett separat problem är överbelastningen av statliga CA, som säkerligen kommer att uppstå under de nya reglerna och kommer att göra tillhandahållandet av tjänster till medborgare och juridiska personer mycket långsamt och svårt.
CA:s servicefunktion beaktas inte alls i propositionen. Det är inte klart om kundtjänstavdelningar kommer att skapas vid de föreslagna stora statligt ägda CA:erna, hur lång tid det kommer att ta och vilka materiella investeringar det kommer att kräva, och vem som kommer att tillhandahålla kundservice medan en sådan infrastruktur skapas. Det är uppenbart att konkurrensens försvinnande på detta område lätt kan leda till stagnation i branschen.
Det vill säga resultatet är monopolisering av CA-marknaden av statliga myndigheter, överbelastning av dessa strukturer med en nedgång i alla EDI-aktiviteter, brist på slutanvändarstöd vid bedrägeri och fullständig förstörelse av den nuvarande CA-marknaden tillsammans med den befintliga infrastrukturen (det handlar om cirka 15 000 jobb i hela landet ).
Vem kommer att skadas? Som ett resultat av antagandet av ett sådant lagförslag kommer de som lider nu att drabbas, det vill säga slutanvändare och certifieringsmyndigheter.
Och en verksamhet som frodas på identitetsstöld kommer att fortsätta att blomstra. Är det inte dags för brottsbekämpande myndigheter och lagstiftare att rikta sin uppmärksamhet mot detta problem och verkligen reagera på allvar på utmaningarna i den digitala tidsåldern? Möjligheterna för stöld av personuppgifter och deras efterföljande kriminella användning har ökat mångfaldigt under de senaste 10-15 åren. Utbildningsnivån för kriminella har också ökat. Detta måste bemötas genom att införa strikt ansvarsåtgärder för alla olagliga handlingar med andras personuppgifter, både för företag och deras anställda och för individer. Och för att verkligen lösa problemet med kriminell användning av elektroniska signaturcertifikat är det nödvändigt att skapa ett lagförslag som skulle sörja för ansvar, inklusive straffrättsligt ansvar, för sådana handlingar. Och inte ett lagförslag som helt enkelt omfördelar ekonomiska flöden, försvårar proceduren för slutanvändaren och inte ger någon något skydd i slutändan.
Källa: will.com