Що відбувається?
Тема шахрайських дій, які здійснюються за допомогою сертифіката електронного підпису, набула широкого суспільного резонансу останнім часом. Федеральні ЗМІ взяли собі за правило періодично розповідати страшні історії про випадки неправомірного використання електронного підпису. Найпоширеніший злочин у цій сфері – реєстрація юр. особи або ІП на ім'я громадянина РФ, який нічого не підозрює. Також популярним способом шахрайства є правочин зі зміною прав власності на нерухомість (це коли вашу квартиру від вашого імені хтось продає комусь, а ви й не знаєте).
Але не захоплюватимемося описом можливих протиправних дій з ЕЦП, щоб не подавати творчих ідей шахраям. Давайте краще спробуємо розібратися, чому ця проблема набула таких масштабів і що реально потрібно робити для її викорінення. А для цього нам необхідно чітко розуміти, що таке центри, що засвідчують, як саме вони працюють і чи такі вони страшні, як нам їх малюють у ЗМІ та висловлюваннях зацікавлених осіб.
Звідки беруться підписи?
Отже, ви – користувач. Вам потрібний сертифікат електронного підпису. Не має значення для яких завдань, і в якому ви статусі (компанія, фізособа, ІП) – алгоритм отримання сертифіката стандартний. І ви звертаєтеся до посвідчувального центру з метою покупки сертифіката ЕП.
Центр, що засвідчує, - це компанія, до якої російське законодавство пред'являє ряд жорстких вимог.
Щоб мати право випускати посилений кваліфікований електронний підпис, центр, що посвідчує, повинен пройти спеціальну процедуру акредитації в Мінкомзв'язку. Процедура акредитації передбачає виконання низки суворих правил, які може виконати кожна компанія.
Зокрема, УЦ зобов'язаний мати ліцензію, яка надає йому право на діяльність з розробки, виробництва, розповсюдження шифрувальних (криптографічних) засобів, інформаційних та телекомунікаційних систем. Ця ліцензія видається ФСБ після проходження претендентом серії суворих перевірок.
Працівники УЦ повинні мати вищу професійну освіту у галузі інформаційних технологій чи інформаційної безпеки.
Також закон зобов'язує УЦ застрахувати свою відповідальність за «збитки, заподіяні третім особам внаслідок їх довіри до інформації, зазначеної в сертифікаті ключа перевірки електронного підпису, виданого таким УЦ, або інформації, яка міститься в реєстрі сертифікатів, який веде такий УЦ» у сумі не менш як 30 мільйонів карбованців.
Як бачите, не все так просто.
Загалом у країні зараз існує близько 500 УЦ, які мають право видавати УКЕП (сертифікат посиленого кваліфікованого електронного підпису). Сюди входять не лише приватні центри, що засвідчують, а й УЦ при всіляких держструктурах (включаючи ФНП, ПРФ та ін.), банках, торгових майданчиках, у тому числі державних.
Сертифікат електронного підпису створюється з допомогою алгоритмів шифрування, сертифікованих ФСБ РФ. Він дозволяє юридичним та фізичним особам обмінюватись юридично значущими документами в електронному вигляді. За офіційними даними УЦ, більшість (95%) КЕП видається юр. особам, інше – фіз. особам.
Після того, як ви звернулися до УЦ, відбувається таке:
- УЦ засвідчує особу людини, яка звернулася за сертифікатом електронного підпису;
Тільки після підтвердження особи та перевірки всіх документів УЦ виготовляє та видає сертифікат, до якого включено дані про власника сертифіката та його відкритий ключ перевірки; - УЦ управляє життєвим циклом сертифікату: забезпечує його випуск, призупинення (у тому числі на прохання власника), поновлення, завершення терміну дії.
- Ще одна функція УЦ – сервісна. Мало просто випустити сертифікат. Користувачам регулярно потрібні всілякі консультації щодо процедури випуску та використання підпису, консультації із застосування та вибору типу сертифікату. Великі УЦ, такі як УЦ компанії «Ділова мережа», надають послуги технічної підтримки, створюють різне ПЗ, покращують бізнес-процеси, моніторять зміни у сферах застосування сертифікатів тощо. Конкуруючи між собою, УЦ працюють над якістю надання IT-послуг, розвиваючи цю галузь.
Козачок-то засланий!
Розглянемо п. 1 наведеного вище алгоритму одержання ЕП. Що означає «засвідчити особу» людини, яка звернулася за сертифікатом? Це означає, що людина, на ім'я якої випускається сертифікат, повинна особисто з'явитися або в офіс УЦ, або в точку видачі, що має партнерську угоду з УЦ, і пред'явити там оригінали своїх документів. Зокрема – паспорт громадянина РФ. У деяких випадках, коли йдеться про підписи для юр. осіб та ІП, процедура посвідчення ще складніша і вимагає пред'явлення додаткових документів.
Саме в цьому етапі, тобто на самому початку, коли до випуску сертифіката підпису справа ще навіть не дійшла, і криється найголовніша проблема. І ключове слово тут: паспорт.
Витік персональних даних у країні набув справді промислових масштабів. Існують інтернет-ресурси, де ви можете за невеликі гроші або безкоштовно отримати скан-копії діючих паспортів громадян РФ. Адже скани паспортів у нашій країні, обтяженій пострадянською спадщиною в стилі «покажіть документи», можна збирати від громадян повсюдно – не тільки в банках чи інших фінансових установах, а й у готелях, школах, вузах, авіа та залізничних касах, дитячих центрах, точках обслуговування абонентів стільникового зв'язку – скрізь, де вимагають пред'явити паспорт обслуговування, тобто практично взагалі скрізь. З розвитком цифрових технологій цей широчений канал доступу до персональних даних взяли в обіг працівники кримінальної сфери.
Також дуже поширені «сервіси» крадіжок персональних даних конкретних людей.
Крім цього, існує ціла армія т.з. «номіналів» – людей, як правило дуже молодих, або дуже бідних і малоосвічених, або тих, що просто опустилися, яким зловмисники обіцяють скромну винагороду за те, щоб вони зі своїм паспортом з'явилися в УЦ або в точку видачі і замовили б там підпис на своє ім'я якості, наприклад, директора фірми. Чи треба говорити, що така людина не має потім ніякого відношення до діяльності фірми і ніякої реальної допомоги слідству надати не може, коли розкривається афера.
Отже, скан паспорта – не проблема. Але для посвідчення потрібен оригінал паспорта, як же так, запитає уважний читач? А щоб оминути цю проблему, у світі існують недобросовісні точки видачі. Незважаючи на жорстку процедуру відбору, статус точки видачі періодично набувають кримінальних персонажів і починають потім здійснювати протиправні дії з персональними даними громадян.
Два цих фактори у поєднанні і дають нам весь той вал проблем із криміналізацією використання ЕП, що ми зараз маємо.
Один в полі не воїн?
Всю цю, без перебільшення, армію шахраїв зараз фільтрують лише центри, що засвідчують. У будь-якому УЦ існують власні служби безпеки. Усіх, хто звертається за підписом, ретельно перевіряють на етапі посвідчення особи. Усіх, хто хоче співпрацювати у статусі точки видачі для конкретного УЦ, також ретельно перевіряють як на етапі укладання партнерського договору, так і згодом у процесі ділової взаємодії.
Ніяк інакше не може бути, бо недобросовісне посвідчення загрожує УЦ закриттям – законодавство у цій сфері жорстке.
Але осягнути неосяжне неможливо, і частина несумлінних точок видачі все одно «просочується» у партнери до УЦ. А «номіналу» взагалі не може бути приводу відмовити у видачі сертифікату – адже він звертається до УЦу абсолютно легально.
Також, якщо розкривається афера з підписом на ім'я конкретної особи, тільки центр, що засвідчує, допоможе вирішити проблему. Оскільки центр, що засвідчує, у цьому випадку відкликає сертифікат підпису, проводить службове розслідування, відстежуючи весь ланцюжок випуску сертифіката, і може надати суду необхідні документи про шахрайські дії при випуску ключа електронного підпису. Тільки матеріали від центру, що засвідчує, допоможуть у суді вирішити справу на користь реально постраждалої сторони: людину, на ім'я якої обманом випустили підпис.
Проте загальна цифрова неграмотність і тут працює не на користь потерпілим. Не всі йдуть до кінця, боронячи свої інтереси. Але ж протиправні дії з ЕЦП обов'язково треба заперечувати в суді. І центри, що засвідчують, у цьому – головна підмога.
Вбити всіх УЦ?
І ось, у нашій державі було вирішено внести зміни до порядку роботи УЦ та вимог до них. Групою депутатів та сенаторів було розроблено відповідний законопроект, який вже навіть був прийнятий Держдумою у першому читанні 7 листопада 2019 року.
Документ передбачає масштабну реформу системи сертифікатів електронних підписів. Він, зокрема, передбачає, що юридичні особи та індивідуальні підприємці (ІП) зможуть отримувати посилений кваліфікований електронний підпис (УКЕП) лише у ФНП, а фінансові організації – до ЦП. Акредитовані Мінкомзв'язком центри, що засвідчують (УЦ), які видають ЕП зараз, зможуть видавати їх тільки фізичним особам.
При цьому вимоги для таких УЦ планують значно посилити. Мінімальний розмір чистих активів акредитованого центру, що посвідчує, повинен бути збільшений з 7 млн руб. до 1 млрд руб., А мінімальний розмір фінансового забезпечення - з 30 млн руб. до 200 млн руб. Якщо у посвідчувального центру є філії як мінімум двох третин російських регіонів, то мінімальний розмір чистих активів може бути скорочений до 500 млн руб.
Термін акредитації центрів, що засвідчують, скорочується з п'яти до трьох років. За порушення в роботі центрів технічного характеру, що посвідчують, вводиться адміністративна відповідальність.
Все це має скоротити кількість шахрайства з електронними підписами, вважають автори законопроекту.
Що в результаті?
Як легко можна бачити, новий законопроект аж ніяк не розглядає проблему кримінального використання документів громадян РФ та крадіжок персональних даних. Не має значення, хто випускатиме підпис УЦ чи ФНП, особистість власника підпису, як і раніше, доведеться засвідчувати, а жодних нововведень з цього питання законопроект не передбачає. Якщо недобросовісна точка видачі працювала за кримінальними схемами для звичайного УЦ, то що завадить робити те саме для державного?
У поточній версії законопроекту зараз не прописано, хто і яку понесе відповідальність за видачу УКЕП, якщо цей підпис був використаний у шахрайських діях. Мало того, навіть у Кримінальному Кодексі немає відповідної статті, яка б дозволяла притягувати до кримінальної відповідальності за випуск сертифікату електронного підпису за краденими персональними даними.
Окрема проблема – перевантаження державних УЦ, яке обов'язково виникне за нових правил і зробить надання послуг громадянам та юридичним особам дуже повільним та складним.
Сервісна функція УЦ взагалі не розглядається у законопроекті. Чи будуть створені відділи абонентського обслуговування при пропонованих державних великих УЦ, скільки часу це займе і яких матеріальних вкладень вимагатиме, хто займатиметься обслуговуванням клієнтів, доки така інфраструктура створюватиметься – не зрозуміло. Очевидно, що зникнення конкуренції у цій сфері може призвести до стагнації в галузі.
Тобто на виході ми отримуємо монополізацію ринку УЦ державними структурами, перевантаження даних структур із уповільненням усієї діяльності з ЕДО, відсутність підтримки кінцевого користувача у разі шахрайства та повне руйнування поточного ринку УЦ разом із наявною інфраструктурою (це близько 15 000 робочих місць загалом по країні) ).
Хто ж постраждає? Постраждають в результаті ухвалення такого законопроекту ті ж, хто страждає і зараз, тобто кінцеві користувачі та центри, що засвідчують.
А бізнес, що цвіте на крадіжках персональних даних, так і цвістиме пишним кольором. Чи не час правоохоронним органам та законодавцям звернути свою увагу на цю проблему та по-справжньому серйозно відповісти на виклики цифрової доби? Можливості для крадіжок персональних даних та їх подальшого кримінального застосування за останні 10-15 років зросли багаторазово. Зріс рівень підготовки злочинців. На це потрібно реагувати, запроваджуючи жорсткі заходи відповідальності за будь-які протиправні дії з чужими персональними даними як для компаній та їхніх співробітників, так і для приватних осіб. І для того, щоб реально вирішити проблему кримінального використання сертифікатів електронного підпису, необхідно створити законопроект, який би передбачав відповідальність, у тому числі й кримінальну, за подібні дії. А не законопроект, який просто перерозподіляє фінансові потоки, ускладнює процедуру для кінцевого користувача і не дає жодному захисту в результаті.
Джерело: habr.com