Ano kaya ang nangyari?
Ang paksa ng mga mapanlinlang na aktibidad na ginagawa gamit ang mga sertipiko ng elektronikong lagda ay nakatanggap ng malawakang atensyon ng publiko kamakailan. Nakagawian na ng mga pambansang media na pana-panahong mag-ulat ng mga nakakatakot na kuwento tungkol sa mga kaso ng maling paggamit ng elektronikong lagda. Ang pinakakaraniwang krimen sa larangang ito ay ang pagpaparehistro ng isang legal na entity o indibidwal na negosyante sa pangalan ng isang walang kamalay-malay na mamamayan ng Russia. Ang isa pang sikat na paraan ng pandaraya ay ang paglilipat ng pagmamay-ari ng real estate (kapag may nagbenta ng iyong apartment sa iyong pangalan, nang hindi mo nalalaman).
Ngunit huwag tayong magpadala sa paglalarawan ng mga posibleng ilegal na aksyon gamit ang mga digital na lagda, dahil baka mabigyan natin ng mga malikhaing ideya ang mga manloloko. Sa halip, subukang unawain kung bakit naging laganap ang problemang ito at kung ano talaga ang kailangang gawin upang maalis ito. Upang magawa ito, kailangan nating malinaw na maunawaan kung ano ang mga awtoridad sa sertipikasyon, kung paano sila gumagana, at kung ang mga ito ay kasing nakakatakot ng paglalarawan sa kanila sa media at ng mga interesadong partido.
Saan nanggagaling ang mga lagda?
Kaya, isa kang user. Kailangan mo ng electronic signature certificate. Hindi mahalaga kung ano ang layunin o kung ano ang iyong katayuan (kumpanya, indibidwal, o sole proprietorship)—karaniwan ang proseso para sa pagkuha ng sertipiko. Kaya, makikipag-ugnayan ka sa isang certification authority upang bumili ng electronic signature certificate.
Ang isang awtoridad sa sertipikasyon ay isang kumpanya kung saan ang batas ng Russia ay nagpapataw ng ilang mahigpit na kinakailangan.
Upang maging awtorisado na mag-isyu ng pinahusay na kwalipikadong elektronikong lagda, ang isang awtoridad sa sertipikasyon ay dapat sumailalim sa isang espesyal na pamamaraan ng akreditasyon sa Ministry of Communications. Ang prosesong ito ng akreditasyon ay nangangailangan ng pagsunod sa ilang mahigpit na kinakailangan na hindi kayang matugunan ng bawat kumpanya.
Sa partikular, ang isang CA ay dapat may lisensya na nagbibigay dito ng karapatang bumuo, gumawa, at mamahagi ng mga kagamitan sa pag-encrypt (cryptographic), impormasyon, at mga sistema ng telekomunikasyon. Ang lisensyang ito ay inilalabas ng FSB pagkatapos makapasa ang aplikante sa isang serye ng mahigpit na pagsusuri.
Ang mga empleyado ng Sentro ng Sertipikasyon ay dapat magkaroon ng mas mataas na propesyonal na edukasyon sa larangan ng teknolohiya ng impormasyon o seguridad ng impormasyon.
Inaatasan din ng batas ang mga CA na iseguro ang kanilang pananagutan para sa "mga pinsalang dulot sa mga ikatlong partido bilang resulta ng kanilang pag-asa sa impormasyong tinukoy sa electronic signature verification key certificate na inisyu ng naturang CA, o ang impormasyong nakapaloob sa certificate registry na pinapanatili ng naturang CA" sa halagang hindi bababa sa 30 milyong rubles.
Gaya ng nakikita mo, hindi ganoon kasimple.
Sa kasalukuyan, mayroong humigit-kumulang 500 CA sa bansa na awtorisadong mag-isyu ng mga pinahusay na kwalipikadong elektronikong lagda (EQES). Kabilang dito hindi lamang ang mga pribadong awtoridad sa sertipikasyon kundi pati na rin ang mga CA na kaakibat ng iba't ibang ahensya ng gobyerno (kabilang ang Federal Tax Service, ang Russian Federation, atbp.), mga bangko, at mga plataporma ng pangangalakal, kabilang ang mga pag-aari ng estado.
Ang isang sertipiko ng elektronikong lagda ay ginagawa gamit ang mga algorithm ng pag-encrypt na sertipikado ng Federal Security Service ng Russian Federation. Pinapayagan nito ang mga legal na entity at indibidwal na makipagpalitan ng mga legal na mahahalagang dokumento sa elektronikong paraan. Ayon sa opisyal na datos ng CA, ang karamihan (95%) ng mga elektronikong lagda ay ibinibigay sa mga legal na entity, habang ang natitira ay ibinibigay sa mga indibidwal.
Kapag nakipag-ugnayan ka na sa Certification Authority, ang mga sumusunod ang mangyayari:
- Bineberipika ng CA ang pagkakakilanlan ng taong nag-aplay para sa isang sertipiko ng elektronikong lagda;
Pagkatapos lamang ng beripikasyon ng pagkakakilanlan at beripikasyon ng lahat ng dokumento, saka lamang gagawa at mag-iisyu ang CA ng sertipiko, na kinabibilangan ng impormasyon tungkol sa may-ari ng sertipiko at ng kanyang pampublikong susi sa beripikasyon; - Pinamamahalaan ng CA ang siklo ng buhay ng sertipiko: tinitiyak ang pag-isyu nito, pagsuspinde (kabilang ang sa kahilingan ng may-ari), pag-renew, at pag-expire.
- Ang isa pang tungkulin ng isang CA ay ang serbisyo. Hindi sapat ang simpleng pag-isyu ng sertipiko. Regular na nangangailangan ang mga gumagamit ng lahat ng uri ng konsultasyon sa proseso ng pag-isyu at paggamit ng lagda, pati na rin ang payo sa aplikasyon at pagpili ng mga uri ng sertipiko. Ang malalaking CA, tulad ng sa Delovaya Set, ay nagbibigay ng teknikal na suporta, bumubuo ng iba't ibang software, nagpapabuti ng mga proseso ng negosyo, sinusubaybayan ang mga pagbabago sa mga lugar ng aplikasyon ng sertipiko, at marami pang iba. Habang nakikipagkumpitensya sa isa't isa, sinisikap ng mga CA na mapabuti ang kalidad ng kanilang mga serbisyo sa IT, na pinapaunlad ang lugar na ito.
Ang Cossack ay isang halaman!
Tingnan natin ang punto 1 ng nabanggit na pamamaraan para sa pagkuha ng elektronikong lagda. Ano ang ibig sabihin ng "beripikahin ang pagkakakilanlan" ng taong nag-aaplay para sa sertipiko? Nangangahulugan ito na ang taong nag-isyu ng sertipiko sa pangalan ay dapat humarap nang personal sa opisina ng CA o sa isang lokasyon na nag-isyu na may kasunduan sa pakikipagsosyo sa CA at magpakita ng mga orihinal na dokumento. Partikular, isang pasaporte ng Russia. Sa ilang mga kaso, pagdating sa mga lagda para sa mga legal na entity at indibidwal na negosyante, ang pamamaraan ng beripikasyon ay mas kumplikado at nangangailangan ng mga karagdagang dokumento.
Sa mismong yugtong ito—sa pinakasimula pa lang, bago pa man mailabas ang sertipiko ng lagda—naroon ang pangunahing problema. At ang pangunahing salita rito ay "pasaporte."
Ang mga pagtagas ng personal na datos sa bansa ay umabot na sa tunay na antas ng industriya. May mga online na mapagkukunan kung saan makakakuha ka ng mga na-scan na kopya ng mga wastong pasaporte ng Russia sa maliit o walang bayad. At sa ating bansa, na nabibigatan ng pamana ng post-Soviet na "ipakita mo sa akin ang iyong mga dokumento," ang mga pag-scan ng pasaporte ay maaaring kolektahin mula sa mga mamamayan kahit saan—hindi lamang sa mga bangko at iba pang institusyong pinansyal, kundi pati na rin sa mga hotel, paaralan, unibersidad, mga opisina ng tiket sa eroplano at tren, mga sentro ng pangangalaga sa bata, mga service point ng mobile phone—kahit saan na nangangailangan ng pasaporte para sa serbisyo—sa madaling salita, halos kahit saan. Sa pag-unlad ng digital na teknolohiya, ang malawak na channel na ito ng pag-access sa personal na datos ay sinamantala ng mga kriminal.
Karaniwan din ang mga "serbisyo" para sa pagnanakaw ng personal na data ng mga partikular na tao.
Bukod pa rito, mayroong isang buong hukbo ng mga tinatawag na "nominees"—mga taong karaniwang napakabata, napakahirap, hindi nakapag-aral nang maayos, o sadyang kapus-palad—na pinapangako ng mga manloloko ng katamtamang gantimpala kung magpapakita sila sa isang certification center o issuing point kasama ng kanilang pasaporte at lalagyan ng lagda sa kanilang pangalan, halimbawa, bilang isang direktor ng kumpanya. Hindi na kailangang sabihin pa, ang gayong tao ay walang anumang koneksyon sa mga aktibidad ng kumpanya at hindi makapag-aalok ng tunay na tulong sa imbestigasyon kapag nabunyag ang scam.
Kaya, hindi problema ang pag-scan ng pasaporte. Ngunit kailangan ng authenticator ang orihinal na pasaporte. Paano iyon posible, maaaring itanong ng isang masusing mambabasa? Upang maiwasan ang problemang ito, mayroong mga walang prinsipyong ahensyang nag-isyu. Sa kabila ng mahigpit na proseso ng pagpili, pana-panahong nakukuha ng mga kriminal ang katayuan bilang ahensyang nag-isyu at pagkatapos ay nagsisimulang gumawa ng mga ilegal na gawain gamit ang personal na datos ng mga mamamayan.
Ang pinagsamang dalawang salik na ito ay nagbibigay sa atin ng buong alon ng mga problema sa kriminalisasyon ng paggamit ng mga elektronikong lagda na mayroon tayo ngayon.
May kaligtasan ba sa mga numero?
Ang buong hukbo ng mga manloloko na ito, sa literal na pananalita, ay sinasala na lamang ngayon ng mga awtoridad sa sertipikasyon. Ang bawat CA ay may sariling mga serbisyo sa seguridad. Ang bawat isa na nag-aaplay para sa isang lagda ay masusing sinusuri sa yugto ng pag-verify ng pagkakakilanlan. Ang sinumang nagnanais na makipagtulungan bilang isang issuing point para sa isang partikular na CA ay masusing sinusuri rin kapwa sa yugto ng kasunduan sa pakikipagsosyo at kasunod nito, sa mga pakikipag-ugnayan sa negosyo.
Hindi maaaring iba ang mangyari, dahil ang hindi tapat na sertipikasyon ay nagbabanta sa pagsasara ng CA – mahigpit ang batas sa aspetong ito.
Ngunit imposibleng yakapin ang kalawakan nito, at ang ilang mga walang prinsipyong isyu ay "nakakapasok" pa rin sa mga kasosyong organisasyon ng CA. At ang "nominado" ay maaaring walang dahilan para tumanggi sa isang sertipiko, dahil sila ay ganap na legal na nag-aaplay sa CA.
Gayundin, kung ang isang mapanlinlang na lagda sa pangalan ng isang partikular na indibidwal ay matuklasan, tanging ang isang awtoridad sa sertipikasyon ang makakalutas sa isyu. Sa kasong ito, binawi ng awtoridad sa sertipikasyon ang sertipiko ng lagda, nagsasagawa ng panloob na imbestigasyon, sinusubaybayan ang buong kadena ng pag-isyu ng sertipiko, at maaaring magbigay sa korte ng mga kinakailangang dokumento sa mapanlinlang na aktibidad sa panahon ng pag-isyu ng elektronikong susi ng lagda. Tanging ang mga materyales mula sa awtoridad sa sertipikasyon ang makakatulong sa korte na lutasin ang kaso pabor sa aktwal na napinsalang partido: ang taong sa pangalan ay mapanlinlang na inisyu ang lagda.
Gayunpaman, ang pangkalahatang digital illiteracy ay hindi rin para sa kapakinabangan ng mga biktima dito. Hindi lahat ay gumagawa ng lahat ng paraan upang protektahan ang kanilang mga interes. Tutal, ang mga ilegal na aksyon na kinasasangkutan ng mga digital na lagda ay dapat hamunin sa korte. At ang mga awtoridad sa sertipikasyon ay isang mahalagang suporta sa bagay na ito.
Patayin lahat ng UC?
Kaya naman, sa ating bansa, napagpasyahan na amyendahan ang mga pamamaraan ng pagpapatakbo at mga kinakailangan para sa mga sentro ng sertipikasyon. Isang grupo ng mga kinatawan at senador ang bumuo ng katumbas na panukalang batas, na naipasa na ng State Duma sa unang pagbasa nito noong Nobyembre 7, 2019.
Nakasaad sa dokumento ang isang malawakang reporma sa sistema ng sertipiko ng elektronikong lagda. Partikular na itinatakda nito na ang mga legal na entidad at mga nag-iisang may-ari ay makakakuha lamang ng mga pinahusay na kwalipikadong elektronikong lagda (EQES) mula sa Federal Tax Service, habang ang mga institusyong pinansyal ay makakakuha ng mga ito mula sa Central Bank. Ang mga awtoridad sa sertipikasyon (CA) na kinikilala ng Ministry of Communications and Mass Media, na kasalukuyang nag-iisyu ng EQES, ay makakapag-isyu lamang ng mga ito sa mga indibidwal.
Kasabay nito, ang mga kinakailangan para sa mga naturang CA ay pinaplanong higpitan nang malaki. Ang minimum na net asset ng isang akreditadong awtoridad sa sertipikasyon ay dapat dagdagan mula 7 milyong rubles hanggang 1 bilyong rubles, at ang minimum na seguridad sa pananalapi ay dapat dagdagan mula 30 milyong rubles hanggang 200 milyong rubles. Kung ang isang awtoridad sa sertipikasyon ay may mga sangay sa hindi bababa sa dalawang-katlo ng mga rehiyon ng Russia, ang minimum na net asset ay maaaring mabawasan sa 500 milyong rubles.
Ang panahon ng akreditasyon para sa mga awtoridad sa sertipikasyon ay babawasan mula lima patungong tatlong taon. Magpapataw ng mga parusang administratibo para sa mga teknikal na paglabag ng mga awtoridad sa sertipikasyon.
Naniniwala ang mga may-akda ng panukalang batas na dapat nitong mabawasan ang bilang ng mga pandaraya na kinasasangkutan ng mga elektronikong lagda.
Ano ang resulta?
Gaya ng madaling makita, hindi tinutugunan ng bagong panukalang batas ang isyu ng kriminal na maling paggamit ng mga dokumento ng mga mamamayan ng Russia at pagnanakaw ng personal na datos. Sinuman ang nag-isyu ng lagda—ang CA o ang Federal Tax Service—kailangan pa ring beripikahin ang pagkakakilanlan ng may-ari ng lagda, at walang ibinibigay na mga bagong probisyon ang panukalang batas sa isyung ito. Kung ang isang walang prinsipyong ahensyang nag-isyu ay gumamit ng mga kriminal na pakana para sa isang regular na CA, ano ang pipigil sa kanila na gawin din ito para sa isang CA na pag-aari ng estado?
Hindi tinukoy sa kasalukuyang bersyon ng panukalang batas kung sino ang mananagot sa pag-isyu ng pinahusay na elektronikong lagda kung ang lagdang iyon ay ginamit nang mapanlinlang. Bukod pa rito, kahit ang Kodigo Kriminal ay walang angkop na artikulo na magpapahintulot sa kriminal na pananagutan para sa pag-isyu ng sertipiko ng elektronikong lagda gamit ang ninakaw na personal na datos.
Ang isang hiwalay na isyu ay ang labis na karga ng mga sentro ng sertipikasyon ng estado, na hindi maiiwasang lilitaw sa ilalim ng mga bagong patakaran at gagawing napakabagal at mahirap ang pagkakaloob ng mga serbisyo sa mga indibidwal at legal na entidad.
Hindi talaga tinatalakay ng panukalang batas ang tungkulin ng mga CA sa serbisyo. Hindi pa malinaw kung ang mga departamento ng serbisyo sa customer ay lilikhain sa mga iminungkahing malalaking CA na pag-aari ng estado, gaano katagal ito aabutin, anong mga pamumuhunan sa pananalapi ang kakailanganin nito, at kung sino ang hahawak sa serbisyo sa customer habang ginagawa ang imprastrakturang ito. Maliwanag, ang pagkawala ng kompetisyon sa larangang ito ay madaling humantong sa pagtigil sa industriya.
Ang resulta ay ang monopolyo ng mga ahensya ng gobyerno sa merkado ng CA, labis na pag-apaw ng mga ahensyang ito na may kasamang paghina sa lahat ng aktibidad sa pamamahala ng elektronikong dokumento, kakulangan ng suporta ng mga end-user kung sakaling magkaroon ng pandaraya, at ang ganap na pagkawasak ng kasalukuyang merkado ng CA kasama ang umiiral na imprastraktura (ito ay humigit-kumulang 15,000 trabaho sa buong bansa).
Sino ang magdurusa? Ang mga taong nagdurusa na rin—mga end user at mga awtoridad sa sertipikasyon—ang siyang magdurusa bilang resulta ng pagpapatibay ng panukalang batas na ito.
Ang mga negosyong umuunlad sa pagnanakaw ng personal na datos ay patuloy na uunlad. Hindi ba't panahon na para tugunan ng mga ahensya ng pagpapatupad ng batas at mga mambabatas ang problemang ito at tunay na tugunan ang mga hamon ng digital na panahon? Ang mga pagkakataon para sa pagnanakaw ng personal na datos at ang kasunod na paggamit nito bilang kriminal ay tumaas nang husto sa nakalipas na 10-15 taon. Ang antas ng pagsasanay sa kriminal ay tumaas din. Dapat itong tugunan sa pamamagitan ng pagpapakilala ng mahigpit na parusa para sa anumang ilegal na aksyon gamit ang personal na datos ng ibang tao, kapwa para sa mga kumpanya at kanilang mga empleyado, at para sa mga indibidwal. At upang tunay na matugunan ang problema ng kriminal na paggamit ng mga sertipiko ng elektronikong lagda, kinakailangang bumuo ng batas na magtatatag ng pananagutan, kabilang ang mga parusang kriminal, para sa mga naturang aksyon. Hindi ito isang panukalang batas na muling namamahagi lamang ng mga daloy ng pananalapi, nagpapakomplikado sa pamamaraan para sa end user, at sa huli ay hindi nagbibigay ng proteksyon para sa sinuman.
Pinagmulan: www.habr.com
