Chuyện gì đang xảy ra vậy
Chủ đề về các hành vi gian lận sử dụng chứng thư chữ ký điện tử đang nhận được sự quan tâm rộng rãi của dư luận trong thời gian gần đây. Truyền thông liên bang đã đưa ra quy định định kỳ kể những câu chuyện kinh dị về các trường hợp lạm dụng chữ ký điện tử. Tội phạm phổ biến nhất trong lĩnh vực này là đăng ký pháp nhân. các cá nhân hoặc doanh nhân cá nhân nhân danh một công dân không nghi ngờ gì của Liên bang Nga. Một phương thức lừa đảo phổ biến khác là giao dịch liên quan đến việc thay đổi quyền sở hữu bất động sản (đây là khi ai đó thay mặt bạn bán căn hộ của bạn cho người khác nhưng bạn thậm chí không biết).
Nhưng chúng ta đừng quá chú tâm vào việc mô tả các hành động bất hợp pháp có thể xảy ra bằng chữ ký điện tử để không đưa ra những ý tưởng sáng tạo cho những kẻ lừa đảo. Tốt hơn hết chúng ta hãy cố gắng tìm hiểu lý do tại sao vấn đề này lại trở nên phổ biến và những gì thực sự cần phải làm để xóa bỏ nó. Và để làm được điều này, chúng ta cần hiểu rõ ràng các trung tâm chứng nhận là gì, chúng hoạt động chính xác như thế nào và liệu chúng có đáng sợ như những gì chúng được miêu tả trên các phương tiện truyền thông và tuyên bố của các bên quan tâm hay không.
Chữ ký đến từ đâu?
Vì vậy, bạn là người dùng. Bạn cần một chứng chỉ chữ ký điện tử. Không quan trọng nhiệm vụ là gì và bạn đang ở trạng thái nào (công ty, cá nhân, cá nhân doanh nhân) - thuật toán để lấy chứng chỉ là tiêu chuẩn. Và bạn liên hệ với trung tâm chứng nhận để mua chứng chỉ chữ ký điện tử.
Trung tâm chứng nhận là một công ty mà luật pháp Nga áp đặt một số yêu cầu nghiêm ngặt.
Để có quyền cấp chữ ký điện tử đủ tiêu chuẩn nâng cao, trung tâm chứng nhận phải trải qua quy trình công nhận đặc biệt với Bộ Viễn thông và Truyền thông đại chúng. Quy trình công nhận yêu cầu phải tuân thủ một số quy tắc nghiêm ngặt mà không phải công ty nào cũng có thể tuân thủ.
Đặc biệt, CA bắt buộc phải có giấy phép cấp cho nó quyền phát triển, sản xuất và phân phối các công cụ mã hóa (mật mã), hệ thống thông tin và viễn thông. Giấy phép này được FSB cấp sau khi người nộp đơn vượt qua một loạt các cuộc kiểm tra nghiêm ngặt.
Nhân viên CA phải có trình độ học vấn chuyên môn cao hơn trong lĩnh vực công nghệ thông tin hoặc bảo mật thông tin.
Luật cũng bắt buộc CA phải bảo đảm trách nhiệm pháp lý của mình đối với “những tổn thất gây ra cho bên thứ ba do họ tin tưởng vào thông tin được chỉ định trong chứng chỉ khóa xác minh chữ ký điện tử do CA đó cấp hoặc thông tin có trong sổ đăng ký chứng chỉ do CA đó duy trì”. ” với số tiền không dưới 30 triệu rúp.
Như bạn có thể thấy, không phải mọi thứ đều đơn giản như vậy.
Tổng cộng, hiện có khoảng 500 CA trong nước có quyền cấp ECES (chứng chỉ chữ ký điện tử đủ tiêu chuẩn nâng cao). Điều này không chỉ bao gồm các trung tâm chứng nhận tư nhân mà còn bao gồm các CA thuộc nhiều cơ quan chính phủ khác nhau (bao gồm Cơ quan Thuế Liên bang, Liên bang Nga, v.v.), ngân hàng, sàn giao dịch, bao gồm cả các cơ quan nhà nước.
Chứng chỉ chữ ký điện tử được tạo bằng thuật toán mã hóa được FSB của Liên bang Nga chứng nhận. Nó cho phép các pháp nhân và cá nhân trao đổi các tài liệu có ý nghĩa pháp lý bằng điện tử. Theo dữ liệu chính thức từ CA, phần lớn (95%) CEP được cấp bởi các pháp nhân. người, phần còn lại - cá nhân. người.
Sau khi bạn liên hệ với CA, điều sau đây sẽ xảy ra:
- CA xác minh danh tính của người đăng ký chứng chỉ chữ ký điện tử;
Chỉ sau khi xác nhận danh tính và xác minh tất cả tài liệu, CA mới tạo và cấp chứng chỉ, bao gồm thông tin về chủ sở hữu chứng chỉ và khóa xác minh công khai của người đó; - CA quản lý vòng đời của chứng chỉ: đảm bảo việc cấp, đình chỉ (kể cả theo yêu cầu của chủ sở hữu), gia hạn và hết hạn.
- Một chức năng khác của CA là dịch vụ. Nó không đủ để chỉ cấp giấy chứng nhận. Người dùng thường xuyên yêu cầu mọi loại tư vấn về thủ tục cấp và sử dụng chữ ký, tư vấn về việc áp dụng và lựa chọn loại chứng chỉ. Các CA lớn, chẳng hạn như CA của công ty Mạng Doanh nghiệp, cung cấp dịch vụ hỗ trợ kỹ thuật, tạo ra nhiều phần mềm khác nhau, cải thiện quy trình kinh doanh, giám sát các thay đổi trong lĩnh vực ứng dụng chứng chỉ, v.v. Cạnh tranh với nhau, các CA hoạt động dựa trên chất lượng CNTT dịch vụ, phát triển khu vực này.
Cossack một cái gì đó xử lý sai!
Hãy xem xét bước 1 của thuật toán trên để lấy chữ ký điện tử. Việc “chứng nhận danh tính” của người nộp đơn xin giấy chứng nhận có nghĩa là gì? Điều này có nghĩa là người đứng tên được cấp chứng chỉ phải có mặt trực tiếp tại văn phòng CA hoặc tại điểm phát hành có thỏa thuận hợp tác với CA và xuất trình bản gốc tài liệu của họ ở đó. Đặc biệt, hộ chiếu của công dân Liên bang Nga. Trong một số trường hợp, khi nói đến chữ ký của pháp nhân. cá nhân, doanh nhân cá nhân thì thủ tục nhận dạng lại càng phức tạp và phải xuất trình thêm giấy tờ.
Chính ở giai đoạn này, tức là ngay từ đầu, khi mọi việc thậm chí còn chưa đạt đến việc cấp giấy chứng nhận ký kết, vấn đề quan trọng nhất nằm ở đó. Và từ khóa ở đây là “hộ chiếu”.
Sự rò rỉ dữ liệu cá nhân trong nước đã đạt tới quy mô thực sự mang tính công nghiệp. Có các tài nguyên trực tuyến nơi bạn có thể nhận được bản sao quét hộ chiếu hợp lệ của công dân Nga với ít tiền hoặc thậm chí miễn phí. Nhưng bản quét hộ chiếu ở đất nước chúng ta, vốn chịu gánh nặng từ di sản hậu Xô Viết của phong cách “xuất trình giấy tờ”, có thể được thu thập từ công dân ở khắp mọi nơi - không chỉ ở ngân hàng hoặc các tổ chức tài chính khác, mà còn ở các khách sạn, trường học, trường đại học, hãng hàng không và phòng vé đường sắt, trung tâm trẻ em, điểm dịch vụ cho thuê bao di động - bất cứ nơi nào họ yêu cầu bạn xuất trình hộ chiếu để được phục vụ, tức là hầu như ở mọi nơi. Với sự phát triển của công nghệ kỹ thuật số, kênh truy cập dữ liệu cá nhân rộng rãi này đã được các tội phạm tội phạm đưa vào lưu hành.
“Dịch vụ” đánh cắp dữ liệu cá nhân của những người cụ thể cũng rất phổ biến.
Ngoài ra, còn có cả một đội quân được gọi là. “danh nghĩa” - theo quy luật, những người còn rất trẻ, hoặc rất nghèo và có trình độ học vấn thấp, hoặc đơn giản là thoái hóa, mà bọn tội phạm hứa thưởng một phần thưởng khiêm tốn nếu mang hộ chiếu của họ đến CA hoặc đến điểm cấp và yêu cầu chữ ký vào hộ chiếu của họ. ví dụ như đặt tên ở đó là giám đốc của một công ty. Không cần phải nói, người như vậy không liên quan gì đến hoạt động của công ty và không thể cung cấp bất kỳ hỗ trợ thực sự nào cho cuộc điều tra khi vụ lừa đảo bị bại lộ.
Vì vậy, việc quét hộ chiếu của bạn không phải là vấn đề. Nhưng để nhận dạng bạn cần có hộ chiếu gốc, làm sao được, độc giả chú ý sẽ thắc mắc? Và để giải quyết vấn đề này, trên thế giới có những điểm giao hàng vô đạo đức. Bất chấp quy trình lựa chọn nghiêm ngặt, các nhân vật tội phạm định kỳ nhận được trạng thái của một điểm vấn đề và sau đó bắt đầu thực hiện các hành động bất hợp pháp với dữ liệu cá nhân của công dân.
Hai yếu tố này kết hợp với nhau tạo ra cho chúng ta toàn bộ làn sóng vấn đề liên quan đến việc hình sự hóa việc sử dụng các thiết bị điện tử mà chúng ta hiện đang gặp phải.
Có an toàn trong số lượng?
Toàn bộ đội quân lừa đảo này, không hề cường điệu, giờ đây chỉ được lọc bởi các trung tâm chứng nhận. Bất kỳ CA nào cũng có dịch vụ bảo mật riêng. Mọi người xin chữ ký đều được kiểm tra cẩn thận ở giai đoạn nhận dạng. Bất kỳ ai muốn hợp tác với tư cách là một vấn đề đối với một CA cụ thể cũng sẽ được kiểm tra cẩn thận cả ở giai đoạn ký kết thỏa thuận hợp tác và sau đó là trong quá trình tương tác kinh doanh.
Không thể nào khác được, vì chứng nhận không trung thực có nguy cơ đóng cửa CA - luật pháp trong lĩnh vực này rất nghiêm ngặt.
Nhưng không thể ôm nổi sự mênh mông, một số điểm ban hành vô đạo đức vẫn “rò rỉ” vào các đối tác của CA. Và “người được đề cử” có thể không có lý do gì để từ chối cấp giấy chứng nhận - xét cho cùng, anh ta nộp đơn vào CA hoàn toàn hợp pháp.
Ngoài ra, nếu phát hiện ra một vụ lừa đảo liên quan đến chữ ký đứng tên một người cụ thể, chỉ có trung tâm chứng nhận mới giúp giải quyết vấn đề. Vì trung tâm chứng nhận trong trường hợp này thu hồi chứng chỉ chữ ký, tiến hành điều tra nội bộ, theo dõi toàn bộ chuỗi cấp chứng chỉ và có thể cung cấp cho tòa án các tài liệu cần thiết về hành vi gian lận khi cấp khóa chữ ký điện tử. Chỉ những tài liệu từ trung tâm chứng nhận mới giúp tòa giải quyết vụ việc có lợi cho bên thực sự bị thiệt hại: người đứng tên mà chữ ký được cấp một cách gian lận.
Tuy nhiên, tình trạng mù chữ kỹ thuật số nói chung cũng không mang lại lợi ích cho các nạn nhân ở đây. Không phải ai cũng tìm mọi cách để bảo vệ lợi ích của mình. Nhưng những hành động bất hợp pháp với chữ ký số phải bị thách thức trước tòa. Và các trung tâm chứng nhận là trợ giúp chính trong việc này.
Giết tất cả CA?
Và vì vậy, ở tiểu bang của chúng tôi, người ta đã quyết định thực hiện những thay đổi đối với quy trình vận hành của CA và các yêu cầu đối với chúng. Một nhóm đại biểu và thượng nghị sĩ đã xây dựng một dự luật tương ứng, dự luật này đã được Duma Quốc gia thông qua trong lần đọc đầu tiên vào ngày 7 tháng 2019 năm XNUMX.
Văn bản này cung cấp một cuộc cải cách quy mô lớn đối với hệ thống chứng thực chữ ký điện tử. Đặc biệt, nó giả định rằng các pháp nhân và doanh nhân cá nhân (IP) sẽ chỉ có thể nhận được chữ ký điện tử đủ điều kiện (ECES) nâng cao từ Dịch vụ Thuế Liên bang và các tổ chức tài chính từ Ngân hàng Trung ương. Các trung tâm chứng nhận (CA) được Bộ Viễn thông và Truyền thông đại chúng công nhận, hiện đang cấp chữ ký điện tử, sẽ chỉ có thể cấp chúng cho các cá nhân.
Đồng thời, các yêu cầu đối với các CA như vậy dự kiến sẽ được thắt chặt hơn rất nhiều. Số tài sản ròng tối thiểu của một trung tâm chứng nhận được công nhận nên tăng từ 7 triệu rúp. lên tới 1 tỷ rúp và số tiền hỗ trợ tài chính tối thiểu – từ 30 triệu rúp. lên tới 200 triệu rúp. Nếu trung tâm chứng nhận có chi nhánh ở ít nhất 500/XNUMX khu vực của Nga thì số tài sản ròng tối thiểu có thể giảm xuống còn XNUMX triệu rúp.
Thời hạn công nhận của các trung tâm chứng nhận đang được giảm từ XNUMX năm xuống còn XNUMX năm. Trách nhiệm hành chính được đưa ra đối với các vi phạm trong công việc của các trung tâm chứng nhận có tính chất kỹ thuật.
Các tác giả của dự luật tin rằng tất cả điều này sẽ làm giảm số lượng gian lận bằng chữ ký điện tử.
Kết quả là gì?
Như bạn có thể dễ dàng thấy, dự luật mới không giải quyết được vấn đề tội phạm sử dụng tài liệu của công dân Liên bang Nga và đánh cắp dữ liệu cá nhân. Không quan trọng ai sẽ cấp chữ ký của CA hoặc Cơ quan Thuế Liên bang, danh tính của chủ sở hữu chữ ký vẫn phải được chứng nhận và dự luật không đưa ra bất kỳ đổi mới nào về vấn đề này. Nếu một điểm phát hành vô đạo đức hoạt động theo âm mưu tội phạm đối với một CA thông thường, thì điều gì sẽ ngăn cản bạn làm điều tương tự đối với một CA thuộc sở hữu nhà nước?
Phiên bản hiện tại của dự luật hiện không quy định ai sẽ chịu trách nhiệm ban hành UKEP nếu chữ ký này được sử dụng trong các hoạt động gian lận. Hơn nữa, ngay cả trong Bộ luật Hình sự cũng không có điều khoản phù hợp cho phép truy tố hình sự đối với hành vi cấp chứng chỉ chữ ký điện tử dựa trên dữ liệu cá nhân bị đánh cắp.
Một vấn đề riêng là sự quá tải của các CA nhà nước, chắc chắn sẽ phát sinh theo các quy định mới và sẽ khiến việc cung cấp dịch vụ cho công dân và pháp nhân trở nên rất chậm và khó khăn.
Chức năng dịch vụ của CA hoàn toàn không được xem xét trong dự luật. Không rõ liệu các bộ phận dịch vụ khách hàng có được thành lập tại các CA lớn thuộc sở hữu nhà nước được đề xuất hay không, việc này sẽ mất bao lâu và cần những khoản đầu tư vật chất nào và ai sẽ cung cấp dịch vụ khách hàng trong khi cơ sở hạ tầng như vậy đang được tạo ra. Rõ ràng là sự biến mất của cạnh tranh trong lĩnh vực này có thể dễ dàng dẫn đến sự trì trệ trong ngành.
Nghĩa là, kết quả là các cơ quan chính phủ độc quyền thị trường CA, quá tải các cấu trúc này với sự chậm lại trong tất cả các hoạt động EDI, thiếu hỗ trợ người dùng cuối trong trường hợp gian lận và phá hủy hoàn toàn thị trường CA hiện tại cùng với cơ sở hạ tầng hiện có (đây là khoảng 15 việc làm trên cả nước).
Ai sẽ bị tổn thương? Kết quả của việc thông qua dự luật như vậy, những người đang phải chịu thiệt hại hiện nay sẽ phải gánh chịu, đó là người dùng cuối và cơ quan chứng nhận.
Và một doanh nghiệp phát triển mạnh về hành vi trộm cắp danh tính sẽ tiếp tục phát triển. Phải chăng đã đến lúc các cơ quan thực thi pháp luật và lập pháp phải quan tâm đến vấn đề này và thực sự ứng phó nghiêm túc trước những thách thức của thời đại kỹ thuật số? Cơ hội đánh cắp dữ liệu cá nhân và việc sử dụng chúng cho mục đích tội phạm sau đó đã tăng lên rất nhiều trong 10-15 năm qua. Trình độ đào tạo tội phạm cũng tăng lên. Điều này cần được giải quyết bằng cách đưa ra các biện pháp trách nhiệm pháp lý nghiêm ngặt đối với bất kỳ hành động bất hợp pháp nào với dữ liệu cá nhân của người khác, đối với cả công ty và nhân viên của họ cũng như đối với các cá nhân. Và để thực sự giải quyết được vấn đề tội phạm sử dụng chứng chỉ chữ ký điện tử, cần phải xây dựng một dự luật quy định trách nhiệm pháp lý, bao gồm cả trách nhiệm hình sự đối với những hành động như vậy. Và không phải là một dự luật chỉ phân phối lại các dòng tài chính, làm phức tạp thủ tục cho người dùng cuối và cuối cùng không cung cấp bất kỳ sự bảo vệ nào cho bất kỳ ai.
Nguồn: www.habr.com