这是怎么回事呢?
近期,利用电子签名证书实施欺诈行为的话题受到社会广泛关注。 联邦媒体已规定定期讲述有关滥用电子签名案件的恐怖故事。 该领域最常见的犯罪是法人实体的注册。 以毫无戒心的俄罗斯联邦公民名义的个人或个体企业家。 另一种流行的欺诈方法是涉及房地产所有权变更的交易(即有人代表您将您的公寓出售给其他人,但您甚至不知道)。
但我们不要过分地用数字签名来描述可能的非法行为,以免给骗子提供创意。 让我们更好地尝试找出为什么这个问题变得如此普遍以及真正需要采取什么措施来根除它。 为此,我们需要清楚地了解认证中心是什么,它们到底是如何运作的,以及它们是否像媒体和有关各方的声明中向我们描述的那样可怕。
签名从哪里来?
所以,你就是用户。 您需要电子签名证书。 无论您从事什么任务,处于什么状态(公司、个人、个体企业家),获得证书的算法都是标准的。 并且您联系认证中心购买电子签名证书。
俄罗斯立法对认证中心提出了许多严格的要求。
为了有权颁发增强型合格电子签名,认证中心必须经过电信和大众传播部的特殊认可程序。 认证程序需要遵守许多严格的规则,但并非每个公司都能遵守。
特别是,CA 需要获得许可证,授予其开发、生产和分发加密(密码)工具、信息和电信系统的权利。 该许可证由FSB在申请人通过一系列严格检查后颁发。
CA员工必须接受过信息技术或信息安全领域的高等专业教育。
该法律还要求 CA 承担“因信任该 CA 颁发的电子签名验证密钥证书中指定的信息或该 CA 维护的证书登记册中包含的信息而给第三方造成的损失”的责任。 ”金额不少于30万卢布。
正如您所看到的,并非一切都那么简单。
目前全国共有约500家CA有权颁发ECES(增强型合格电子签名证书)。 这不仅包括私人认证中心,还包括各个政府机构(包括联邦税务局、俄罗斯联邦等)、银行、交易平台(包括国家机构)下的CA。
电子签名证书是使用俄罗斯联邦FSB认证的加密算法创建的。 它允许法人实体和个人以电子方式交换具有法律意义的文件。 根据CA的官方数据,大部分(95%)的CEP是由法人实体发行的。 个人,其余的——个人。 人。
联系 CA 后,会发生以下情况:
- CA验证电子签名证书申请者的身份;
只有在确认身份并验证所有文件后,CA 才会制作并颁发证书,证书中包含证书所有者的信息及其公共验证密钥; - CA 管理证书的生命周期:确保其颁发、暂停(包括根据所有者的请求)、续订和到期。
- CA的另一个功能是服务。 仅仅颁发证书是不够的。 用户经常需要有关签发和使用签名的程序、有关申请和选择证书类型的建议的各种建议。 大型CA,例如商业网络公司的CA,提供技术支持服务,创建各种软件,改进业务流程,监控证书应用领域的变化等。CA之间相互竞争,致力于IT的质量服务业,发展这一领域。
哥萨克处理不当!
让我们考虑一下上述获取电子签名算法的步骤 1。 “证明申请者的身份”是什么意思? 这意味着以其名义颁发证书的人必须亲自出现在 CA 办公室或与 CA 有合作协议的颁发点,并在那里出示其文件的原件。 特别是俄罗斯联邦公民的护照。 在某些情况下,涉及法人实体的签名。 个人和个体企业家的身份证明程序更加复杂,需要出示额外的文件。
正是在这个阶段,也就是最开始的时候,甚至还没有到颁发签名证书的时候,才是最重要的问题所在。 这里的关键词是“护照”。
该国的个人数据泄露已达到真正的工业规模。 您可以通过在线资源以很少的钱甚至免费获得俄罗斯公民有效护照的扫描件。 但是,在我国,由于受到后苏联遗留的“出示文件”风格的影响,护照扫描可以从世界各地的公民那里收集——不仅在银行或其他金融机构,而且在酒店、学校、大学、航空公司和机场。铁路售票处、儿童中心、手机用户服务点 - 任何需要您出示护照才能获得服务的地方,即几乎所有地方。 随着数字技术的发展,这种获取个人数据的广泛渠道已被犯罪分子利用。
窃取特定人群个人数据的“服务”也很常见。
此外,还有所谓的整军。 “名义上的人”——通常是非常年轻的人,或者非常贫穷、受教育程度低的人,或者只是堕落的人,犯罪分子承诺将他们的护照带到CA或签发点并要求在他们的护照上签名,并给予适度的奖励。例如,将其命名为公司董事。 不用说,这样的人与公司的活动无关,当骗局败露时,无法为调查提供任何真正的帮助。
所以,扫描护照不是问题。 但为了身份证明,你需要护照原件,细心的读者会问,这怎么可能呢? 为了解决这个问题,世界上出现了不择手段的送货点。 尽管有严格的选择程序,犯罪分子还是会定期收到问题点的状态,然后开始利用公民的个人数据实施非法行为。
这两个因素结合在一起,给我们带来了目前将使用电子设备定为犯罪的一系列问题。
人数多就安全吗?
毫不夸张地说,这整个骗子大军现在仅由认证中心过滤。 任何 CA 都有自己的安全服务。 每个申请签名的人都会在身份识别阶段受到仔细检查。 任何想要就特定 CA 的问题点状态进行合作的人,在签订合作协议阶段以及随后的业务交互过程中也会受到仔细检查。
不可能是任何其他方式,因为不诚实的认证会威胁到 CA 的关闭——该领域的立法是严格的。
但拥抱浩瀚是不可能的,一些无良发行点仍然“泄露”到了CA的合作伙伴身上。 而“被提名者”可能根本没有理由拒绝颁发证书——毕竟他是完全合法地向CA申请的。
另外,如果发现涉及特定人签名的诈骗,只有认证中心才能帮助解决问题。 由于本案中的认证中心撤销了签名证书,并进行了内部调查,跟踪证书颁发的整个链条,并且可以向法院提供有关颁发电子签名密钥时存在欺诈行为的必要文件。 只有来自认证中心的材料才能帮助在法庭上解决有利于真正受害方的案件:以欺诈方式签发签名的人。
然而,普遍的数字文盲对这里的受害者也没有好处。 并不是每个人都会竭尽全力保护自己的利益。 但使用数字签名的非法行为必须在法庭上受到质疑。 而认证中心是这方面的主要帮助。
杀死所有 CA?
因此,我们州决定对 CA 的操作程序及其要求进行更改。 一群众议员和参议员制定了一项相应的法案,该法案已于 7 年 2019 月 XNUMX 日在国家杜马一读中获得通过。
该文件规定对电子签名证书制度进行大规模改革。 特别是,它假设法人实体和个体企业家(IP)只能从联邦税务局接收增强型合格电子签名(ECES),而金融组织则只能从中央银行接收增强型合格电子签名(ECES)。 电信和大众传播部认可的认证中心(CA)现在可以颁发电子签名,但只能向个人颁发电子签名。
与此同时,计划大幅收紧对此类 CA 的要求。 经认可的认证中心的最低净资产数额应从7万卢布增加。 最高 1 亿卢布,最低金额 30 万卢布起的财政支持。 高达200亿卢布。 如果认证中心在俄罗斯至少三分之二的地区设有分支机构,那么净资产最低金额可降至500亿卢布。
认证中心的认可期限从五年缩短至三年。 对认证中心技术性工作中的违规行为实行行政责任。
该法案的作者认为,所有这些都应该减少电子签名欺诈的数量。
结果是什么?
正如您所看到的,新法案并没有以任何方式解决犯罪使用俄罗斯联邦公民证件和盗窃个人数据的问题。 无论谁来签发CA或联邦税务局的签名,签名所有者的身份仍然需要经过认证,并且该法案没有在这个问题上提供任何创新。 如果一个不道德的发卡点按照犯罪计划为普通的CA进行工作,那么什么会阻止你为国有的CA做同样的事情呢?
目前版本的法案目前并未规定,如果该签名被用于欺诈活动,谁将承担签发 UKEP 的责任。 此外,即使在《刑法》中,也没有适当的条款允许对基于被盗个人数据颁发电子签名证书进行刑事起诉。
另一个问题是国家 CA 的过载,这在新规则下肯定会出现,并使向公民和法人实体提供服务变得非常缓慢和困难。
法案中完全没有考虑CA的服务功能。 目前尚不清楚拟议的大型国有CA是否会设立客户服务部门、需要多长时间、需要多少实质性投资,以及在创建此类基础设施时由谁来提供客户服务。 显然,该领域竞争的消失很容易导致行业停滞。
也就是说,结果是政府机构垄断 CA 市场、这些结构超负荷、所有 EDI 活动减慢、在欺诈情况下缺乏最终用户支持以及当前 CA 市场和现有基础设施的彻底破坏(这相当于全国约15个工作岗位)。
谁会受伤? 由于这样一项法案的通过,现在受苦的人将会受苦,即最终用户和认证机构。
依靠身份盗窃而蓬勃发展的企业将继续蓬勃发展。 难道执法部门和立法者不应该把注意力转向这个问题,真正严肃地应对数字时代的挑战吗? 在过去 10-15 年中,个人数据被盗及其随后的犯罪利用的机会成倍增加。 对犯罪分子的训练水平也有所提高。 对此,需要对公司及其员工和个人的任何利用他人个人数据的非法行为采取严格的责任措施。 而为了真正解决利用电子签名证书进行犯罪的问题,有必要制定一项法案,规定此类行为的责任,包括刑事责任。 而不是一项简单地重新分配资金流、使最终用户的程序复杂化并且最终不给任何人任何保护的法案。
来源: habr.com