Nima bo'lyapti?
So'nggi paytlarda elektron imzo sertifikatidan foydalangan holda sodir etilgan firibgarlik harakatlari mavzusiga keng jamoatchilik e'tibor qaratilmoqda. Federal ommaviy axborot vositalari vaqti-vaqti bilan elektron imzolardan noto'g'ri foydalanish holatlari haqida dahshatli voqealarni aytib berishni qoidaga aylantirdi. Bu sohada eng keng tarqalgan jinoyat yuridik shaxsni ro'yxatdan o'tkazishdir. shaxslar yoki yakka tartibdagi tadbirkorlar Rossiya Federatsiyasining shubhasiz fuqarosi nomidan. Firibgarlikning yana bir mashhur usuli - bu ko'chmas mulkka egalik huquqini o'zgartirish bilan bog'liq bitim (bu sizning nomingizdan kimdir sizning kvartirangizni boshqa birovga sotadi, lekin siz buni hatto bilmaysiz).
Ammo firibgarlarga ijodiy g'oyalarni bermaslik uchun raqamli imzolar bilan mumkin bo'lgan noqonuniy xatti-harakatlarni tasvirlash bilan shug'ullanmaylik. Keling, nima uchun bu muammo juda keng tarqalganligini va uni yo'q qilish uchun nima qilish kerakligini tushunishga harakat qilaylik. Va buning uchun biz sertifikatlashtirish markazlari nima ekanligini, ular qanday aniq ishlashini va ular ommaviy axborot vositalarida va manfaatdor tomonlarning bayonotlarida bizga tasvirlanganidek qo'rqinchlimi yoki yo'qligini aniq tushunishimiz kerak.
Imzolar qayerdan keladi?
Demak, siz foydalanuvchisiz. Sizga elektron imzo sertifikati kerak. Qaysi vazifalar va qanday maqomda ekanligingiz muhim emas (kompaniya, yakka tartibdagi tadbirkor, yakka tartibdagi tadbirkor) - sertifikat olish algoritmi standartdir. Va siz elektron imzo sertifikatini sotib olish uchun sertifikatlashtirish markaziga murojaat qilasiz.
Sertifikatlash markazi - bu Rossiya qonunchiligi bir qator qat'iy talablarni qo'yadigan kompaniya.
Kuchaytirilgan malakali elektron imzoni berish huquqiga ega boʻlish uchun sertifikatlashtirish markazi Telekommunikatsiya va ommaviy kommunikatsiyalar vazirligida maxsus akkreditatsiyadan oʻtishi kerak. Akkreditatsiya tartibi bir qator qat'iy qoidalarga rioya qilishni talab qiladi, ularni har bir kompaniya ham bajara olmaydi.
Xususan, CA shifrlash (kriptografik) vositalari, axborot va telekommunikatsiya tizimlarini ishlab chiqish, ishlab chiqarish va tarqatish huquqini beruvchi litsenziyaga ega bo'lishi kerak. Ushbu litsenziya FSB tomonidan ariza beruvchi bir qator qattiq tekshiruvlardan o'tgandan keyin beriladi.
CA xodimlari axborot texnologiyalari yoki axborot xavfsizligi sohasida oliy kasbiy ma'lumotga ega bo'lishi kerak.
Qonun, shuningdek, CAlarni bunday CA tomonidan berilgan elektron imzoni tekshirish kaliti sertifikatida ko'rsatilgan ma'lumotlarga yoki bunday CA tomonidan yuritiladigan sertifikatlar reestridagi ma'lumotlarga ishonish natijasida uchinchi shaxslarga etkazilgan zararlar uchun javobgarlikni sug'urta qilishga majbur qiladi. ” 30 million rubldan kam bo'lmagan miqdorda.
Ko'rib turganingizdek, hamma narsa juda oddiy emas.
Umuman olganda, hozirda mamlakatda ECES (kengaytirilgan malakali elektron imzo sertifikati) berish huquqiga ega 500 ga yaqin CA mavjud. Bunga nafaqat xususiy sertifikatlashtirish markazlari, balki turli davlat organlari (jumladan, Federal Soliq xizmati, Rossiya Federatsiyasi va boshqalar) qoshidagi CAlar, banklar, savdo maydonchalari, shu jumladan davlat kiradi.
Elektron imzo sertifikati Rossiya Federatsiyasi FSB tomonidan tasdiqlangan shifrlash algoritmlari yordamida yaratiladi. Bu yuridik va jismoniy shaxslarga yuridik ahamiyatga molik hujjatlarni elektron shaklda almashish imkonini beradi. CAning rasmiy ma'lumotlariga ko'ra, CEPning asosiy qismi (95%) yuridik shaxslar tomonidan chiqariladi. shaxslar, qolganlari - jismoniy shaxslar. shaxslar.
CA bilan bog'langaningizdan so'ng, quyidagilar sodir bo'ladi:
- CA elektron imzo sertifikatini olish uchun ariza bergan shaxsning shaxsini tekshiradi;
Faqatgina shaxsni tasdiqlaganidan va barcha hujjatlarni tekshirgandan so'ng, CA sertifikat egasi va uning umumiy tekshirish kaliti to'g'risidagi ma'lumotlarni o'z ichiga olgan sertifikat ishlab chiqaradi va beradi; - CA sertifikatning hayot aylanishini boshqaradi: uni berish, to'xtatib turish (shu jumladan egasining iltimosiga binoan), yangilanishi va amal qilish muddatini ta'minlaydi.
- CA ning yana bir vazifasi xizmatdir. Faqatgina sertifikat berishning o'zi etarli emas. Foydalanuvchilar doimiy ravishda imzo berish va undan foydalanish tartibi, ariza berish va sertifikat turini tanlash bo‘yicha maslahatlar bo‘yicha barcha turdagi maslahatlarni talab qiladi. Yirik CAlar, masalan, Business Network kompaniyasining CAlari texnik yordam xizmatlarini ko'rsatadi, turli dasturiy ta'minotni yaratadi, biznes jarayonlarini yaxshilaydi, sertifikatlarni qo'llash sohalaridagi o'zgarishlarni nazorat qiladi va hokazo. Bir-biri bilan raqobatlashadigan CAlar AT sifati ustida ishlaydi. xizmatlar, bu sohani rivojlantirish.
Kazak yuborildi!
Elektron imzolarni olish uchun yuqoridagi algoritmning 1-bosqichini ko'rib chiqamiz. Sertifikat olish uchun ariza bergan shaxsning "shaxsni tasdiqlash" nimani anglatadi? Bu shuni anglatadiki, nomiga sertifikat berilgan shaxs CA ofisiga yoki CA bilan hamkorlik shartnomasiga ega bo'lgan berish punktiga shaxsan kelishi va u erda o'z hujjatlarining asl nusxalarini taqdim etishi kerak. Xususan, Rossiya Federatsiyasi fuqarosining pasporti. Ba'zi hollarda, yuridik shaxslar uchun imzolar haqida gap ketganda. jismoniy shaxslar va yakka tartibdagi tadbirkorlar, identifikatsiya qilish tartibi yanada murakkab va qo'shimcha hujjatlarni taqdim etishni talab qiladi.
Aynan shu bosqichda, ya'ni eng boshida, ishlar hatto imzolash guvohnomasini berishgacha etib bormagan paytda, eng muhim muammo yotadi. Va bu erda asosiy so'z "pasport".
Mamlakatda shaxsiy ma'lumotlarning tarqalishi haqiqatan ham sanoat darajasiga yetdi. Rossiya fuqarolarining amaldagi pasportlarining skanerlangan nusxalarini ozgina pul evaziga yoki hatto bepul olishingiz mumkin bo'lgan onlayn resurslar mavjud. Ammo bizning mamlakatimizda "hujjatlarni ko'rsatish" uslubidagi postsovet merosi bilan yuklangan pasportlarning skanerlarini hamma joyda fuqarolardan olish mumkin - nafaqat banklar yoki boshqa moliya muassasalarida, balki mehmonxonalar, maktablar, universitetlar, havo va havoda ham. temir yo'l kassalari, bolalar markazlari, uyali aloqa abonentlari uchun xizmat ko'rsatish punktlari - ular sizga xizmat ko'rsatish uchun pasportingizni taqdim etishingizni talab qiladigan joyda, ya'ni deyarli hamma joyda. Raqamli texnologiyalarning rivojlanishi bilan shaxsiy ma'lumotlarga kirishning ushbu keng kanali jinoiy ishchilar tomonidan muomalaga kiritildi.
Muayyan shaxslarning shaxsiy ma'lumotlarini o'g'irlash bo'yicha "xizmatlar" ham juda keng tarqalgan.
Bundan tashqari, deb atalmish butun bir armiya mavjud. "nominalliklar" - qoida tariqasida, juda yosh yoki juda kambag'al va kam ma'lumotli yoki shunchaki tanazzulga uchragan odamlar, jinoyatchilar pasportlarini CAga yoki berish joyiga olib kelish va imzo qo'yish uchun buyurtma berish uchun kamtarona mukofot va'da qiladilar. u erda, masalan, kompaniya direktori sifatida nom bering. Aytish kerakki, bunday shaxs keyinchalik kompaniya faoliyatiga hech qanday aloqasi yo'q va firibgarlik fosh etilganda tergovga hech qanday haqiqiy yordam bera olmaydi.
Shunday qilib, pasportingizni skanerlash muammo emas. Ammo identifikatsiya qilish uchun sizga asl pasport kerak, bu qanday bo'lishi mumkin, diqqatli o'quvchi so'raydi? Va bu muammoni hal qilish uchun dunyoda vijdonsiz etkazib berish punktlari mavjud. Qattiq tanlash tartibiga qaramay, jinoiy shaxslar vaqti-vaqti bilan masala maqomiga ega bo'lib, keyin fuqarolarning shaxsiy ma'lumotlari bilan noqonuniy xatti-harakatlar qilishni boshlaydilar.
Ushbu ikki omil birgalikda bizda mavjud bo'lgan elektron qurilmalardan foydalanishni kriminallashtirish bilan bog'liq muammolarning to'liq to'lqinini beradi.
Raqamlarda xavfsizlik bormi?
Bu to'liq, mubolag'asiz, firibgarlar armiyasi endi faqat sertifikatlashtirish markazlari tomonidan filtrlanadi. Har qanday CA o'zining xavfsizlik xizmatlariga ega. Imzo uchun murojaat qilgan har bir shaxs identifikatsiya bosqichida sinchiklab tekshiriladi. Muayyan CA uchun masala maqomida hamkorlik qilmoqchi bo'lgan har bir kishi sheriklik shartnomasini tuzish bosqichida ham, keyinchalik biznesning o'zaro hamkorligi jarayonida ham diqqat bilan tekshiriladi.
Boshqa yo'l bo'lishi mumkin emas, chunki insofsiz sertifikatlash CAni yopish bilan tahdid qiladi - bu sohadagi qonunchilik qat'iydir.
Ammo cheksizlikni qabul qilishning iloji yo'q va ba'zi vijdonsiz emissiya nuqtalari hali ham CA sheriklariga "oqishadi". Va "nomzod" ning sertifikat berishdan bosh tortishi uchun hech qanday sabab bo'lmasligi mumkin - axir u CAga to'liq qonuniy ravishda murojaat qiladi.
Bundan tashqari, agar ma'lum bir shaxs nomiga imzo qo'yish bilan bog'liq firibgarlik aniqlansa, faqat sertifikatlash markazi muammoni hal qilishga yordam beradi. Sertifikatlashtirish markazi bu holatda imzo sertifikatini bekor qilganligi sababli, sertifikat berishning butun zanjirini kuzatib, ichki tekshiruv o'tkazadi va elektron imzo kalitini berishda soxta harakatlar to'g'risida sudga zarur hujjatlarni taqdim etishi mumkin. Ishni haqiqatan ham jabrlangan tomonning foydasiga hal qilish uchun faqat sertifikatlashtirish markazining materiallari sudda yordam beradi: imzo firibgarlik bilan berilgan shaxs.
Biroq, umumiy raqamli savodsizlik bu erda ham qurbonlar foydasiga ishlamaydi. Hamma ham o'z manfaatlarini himoya qilish uchun hamma yo'ldan boravermaydi. Ammo elektron raqamli imzo bilan noqonuniy xatti-harakatlar sudga shikoyat qilinishi kerak. Sertifikatlash markazlari esa bunda asosiy yordamdir.
Barcha CAlarni o'ldirasizmi?
Shunday qilib, bizning davlatimizda CA larning ishlash tartibi va ularga qo'yiladigan talablarga o'zgartirishlar kiritishga qaror qilindi. Bir guruh deputatlar va senatorlar tegishli qonun loyihasini ishlab chiqdilar, u Davlat Dumasi tomonidan 7-yil 2019-noyabrda birinchi o‘qishda qabul qilingan edi.
Hujjatda elektron imzo sertifikati tizimini keng ko‘lamli isloh qilish ko‘zda tutilgan. Xususan, yuridik shaxslar va yakka tartibdagi tadbirkorlar (IP) kengaytirilgan malakali elektron imzoni (ECES) faqat Federal Soliq xizmatidan, moliya tashkilotlari esa Markaziy bankdan olishlari mumkin bo'ladi. Hozirda elektron imzolarni chiqaradigan Telekommunikatsiya va ommaviy kommunikatsiyalar vazirligi tomonidan akkreditatsiya qilingan sertifikatlashtirish markazlari (CA) ularni faqat jismoniy shaxslarga berishi mumkin bo‘ladi.
Shu bilan birga, bunday CA larga qo'yiladigan talablarni sezilarli darajada kuchaytirish rejalashtirilgan. Akkreditatsiya qilingan sertifikatlashtirish markazining sof aktivlarining minimal miqdori 7 million rubldan oshirilishi kerak. 1 milliard rublgacha, eng kam moliyaviy yordam miqdori esa 30 million rubldan. 200 million rublgacha. Agar sertifikatlashtirish markazining Rossiya hududlarining kamida uchdan ikki qismida filiallari bo'lsa, unda sof aktivlarning minimal miqdori 500 million rublgacha kamayishi mumkin.
Sertifikatlashtirish markazlarini akkreditatsiya qilish muddati besh yildan uch yilgacha qisqartirilmoqda. Sertifikatlashtirish markazlari faoliyatida texnik xususiyatga ega boʻlgan huquqbuzarliklar uchun maʼmuriy javobgarlik joriy etiladi.
Bularning barchasi elektron imzolar bilan firibgarlik miqdorini kamaytirishi kerak, deb hisoblaydi qonun loyihasi mualliflari.
Natijada nima bo'ladi?
Ko'rib turganingizdek, yangi qonun loyihasi hech qanday tarzda Rossiya Federatsiyasi fuqarolarining hujjatlaridan jinoiy foydalanish va shaxsiy ma'lumotlarni o'g'irlash muammosini hal qilmaydi. CA yoki Federal Soliq xizmati imzosini kim berishi muhim emas, imzo egasining shaxsi hali ham tasdiqlanishi kerak va qonun loyihasida bu masala bo'yicha hech qanday yangilik ko'zda tutilmagan. Agar vijdonsiz emissiya punkti oddiy CA uchun jinoiy sxemalar bo'yicha ishlagan bo'lsa, unda davlatga tegishli bo'lgan narsaga nima to'sqinlik qiladi?
Qonun loyihasining amaldagi tahririda, agar ushbu imzo firibgarlik faoliyatida foydalanilgan bo'lsa, UKEPni chiqarish uchun kim qanday javobgarlikni o'z zimmasiga olishini belgilamaydi. Bundan tashqari, hatto Jinoyat kodeksida ham o'g'irlangan shaxsiy ma'lumotlar asosida elektron imzo sertifikatini berganlik uchun jinoiy javobgarlikka tortilishi mumkin bo'lgan tegishli modda yo'q.
Alohida muammo - bu yangi qoidalar bo'yicha paydo bo'ladigan va fuqarolar va yuridik shaxslarga xizmatlar ko'rsatishni juda sekin va qiyinlashtiradigan davlat CAlarining ortiqcha yuklanishi.
CAning xizmat ko'rsatish funktsiyasi qonun loyihasida umuman ko'rib chiqilmagan. Taklif etilayotgan yirik davlat KA’larida mijozlarga xizmat ko‘rsatish bo‘limlari yaratiladimi yoki yo‘qmi, buning uchun qancha vaqt va qanday moddiy investitsiyalar talab qilinishi, bunday infratuzilma yaratilayotgan vaqtda mijozlarga xizmat ko‘rsatishni kim ko‘rsatishi aniq emas. O‘z-o‘zidan ko‘rinib turibdiki, bu sohada raqobatning yo‘qolishi sanoatda bemalol turg‘unlikka olib kelishi mumkin.
Ya'ni, natijada CA bozorining davlat organlari tomonidan monopollashtirilishi, ushbu tuzilmalarning barcha EDI faoliyatining sekinlashishi bilan ortiqcha yuklanishi, firibgarlik holatlarida oxirgi foydalanuvchi tomonidan qo'llab-quvvatlanmasligi va mavjud infratuzilma bilan birga mavjud CA bozorining to'liq yo'q qilinishi. (Bu butun mamlakat bo'yicha taxminan 15 000 ish o'rni).
Kim jarohat oladi? Bunday qonun loyihasining qabul qilinishi natijasida hozir jabr ko'rayotganlar, ya'ni oxirgi foydalanuvchilar va sertifikatlashtirish organlari zarar ko'radi.
Va shaxsiy ma'lumotlarni o'g'irlash bilan gullab-yashnagan biznes gullashda davom etadi. Huquq-tartibot idoralari va qonun chiqaruvchilarning e’tiborini ushbu muammoga qaratib, raqamli davr muammolariga chinakam munosabatda bo‘lish vaqti kelmadimi? So'nggi 10-15 yil ichida shaxsiy ma'lumotlarni o'g'irlash va ulardan jinoiy foydalanish imkoniyatlari ko'p marta oshdi. Jinoyatchilarning tayyorgarlik darajasi ham oshdi. Bunga boshqa shaxslarning shaxsiy ma'lumotlari bilan bog'liq har qanday noqonuniy xatti-harakatlar uchun kompaniyalar, ularning xodimlari va jismoniy shaxslar uchun qat'iy javobgarlik choralarini joriy etish orqali javob berish kerak. Elektron imzo sertifikatlaridan jinoiy foydalanish muammosini haqiqatdan ham hal qilish uchun bunday harakatlar uchun javobgarlikni, shu jumladan jinoiy javobgarlikni nazarda tutuvchi qonun loyihasini yaratish kerak. Va moliyaviy oqimlarni shunchaki qayta taqsimlaydigan, oxirgi foydalanuvchi uchun protsedurani murakkablashtiradigan va oxir-oqibat hech kimga hech qanday himoya bermaydigan qonun loyihasi emas.
Manba: www.habr.com