Que esta pasando
El tema de los actos fraudulentos cometidos con la ayuda de un certificado de firma electrónica ha recibido una amplia publicidad últimamente. Los medios federales establecieron como norma contar periódicamente historias de miedo sobre casos de mal uso de firmas electrónicas. El delito más común en esta área es el registro de personas jurídicas. persona o individuo a nombre de un ciudadano desprevenido de la Federación Rusa. Otra forma popular de fraude es una transacción con un cambio en la propiedad de bienes inmuebles (esto es cuando alguien vende su departamento en su nombre a alguien, pero usted no lo sabe).
Pero no nos dejemos llevar por la descripción de posibles acciones ilegales con EDS para no dar ideas creativas a los estafadores. Intentemos comprender mejor por qué este problema ha adquirido tales proporciones y qué es lo que realmente se necesita hacer para erradicarlo. Y para esto, necesitamos comprender claramente qué son los centros de certificación, cómo funcionan exactamente y si dan tanto miedo como estamos pintados en los medios y las declaraciones de las partes interesadas.
¿De dónde vienen las firmas?
Entonces, eres un usuario. Necesita un certificado de firma electrónica. No importa para qué tareas y en qué estado se encuentre (empresa, individuo, empresario individual): el algoritmo para obtener un certificado es estándar. Y se contacta con el centro de certificación para comprar un certificado de firma electrónica.
Una autoridad de certificación es una compañía para la cual la ley rusa establece una serie de requisitos estrictos.
Para tener derecho a emitir una firma electrónica calificada mejorada, el centro de certificación debe someterse a un procedimiento especial de acreditación con el Ministerio de Comunicaciones. El procedimiento de acreditación implica la implementación de una serie de reglas estrictas que no todas las empresas pueden cumplir.
En particular, se requiere que la CA tenga una licencia que le otorgue el derecho de desarrollar, fabricar, distribuir medios de cifrado (criptográficos), sistemas de información y telecomunicaciones. Esta licencia es emitida por el FSB después de una serie de rigurosas inspecciones por parte del solicitante.
Los empleados de CA deben tener una educación profesional superior en el campo de la tecnología de la información o la seguridad de la información.
La ley también obliga a la CA a asegurar su responsabilidad por "pérdidas incurridas por terceros como resultado de su confianza en la información especificada en el certificado de la clave de verificación de firma electrónica emitida por dicha CA o la información contenida en el registro del certificado mantenido por dicha CA" por un monto no inferior a 30 millones de rublos.
Como puede ver, no todo es tan simple.
En total, actualmente hay alrededor de 500 AC en el país con derecho a emitir UKEP (certificado de firma electrónica calificada mejorada). Esto incluye no solo centros de certificación privados, sino también CA con varias agencias gubernamentales (incluido el Servicio de Impuestos Federales, PRF, etc.), bancos, pisos comerciales, incluidos los estatales.
Se crea un certificado de firma electrónica utilizando algoritmos de cifrado certificados por el Servicio Federal de Seguridad de la Federación Rusa. Permite a las personas jurídicas e individuos intercambiar documentos legalmente relevantes en forma electrónica. Según los datos oficiales de la CA, la mayoría (95%) del CEP es emitida por el jur. personas, el resto - físicas. personas.
Después de contactar a la CA, ocurre lo siguiente:
- La CA certifica la identidad de la persona que solicitó un certificado de firma electrónica;
Solo después de la confirmación de la identidad y la verificación de todos los documentos, la CA produce y emite un certificado que incluye información sobre el titular del certificado y su clave de verificación pública; - La CA gestiona el ciclo de vida del certificado: garantiza su emisión, suspensión (incluso a solicitud del propietario), renovación y caducidad.
- Otra función de la CA es el servicio. No basta con emitir un certificado. Los usuarios necesitan regularmente todo tipo de consultas sobre el procedimiento para emitir y usar una firma, consultas sobre la solicitud y la selección del tipo de certificado. Las grandes CA, como las CA de Business Network, brindan servicios de soporte técnico, crean diversos software, mejoran los procesos comerciales, monitorean los cambios en el alcance de la aplicación de certificados, etc. Compitiendo entre sí, las CA trabajan en la calidad de los servicios de TI, desarrollando esta área.
¡Cosaco maltratado!
Considere la página 1 del algoritmo anterior para obtener EP. ¿Qué significa "verificar la identidad" de una persona que solicitó un certificado? Esto significa que la persona en cuyo nombre se emite el certificado debe presentarse personalmente en la oficina de CA o en el punto de emisión que tiene un acuerdo de asociación con la CA, y presentar allí los originales de sus documentos. En particular, un pasaporte de un ciudadano de la Federación Rusa. En algunos casos, cuando se trata de firmas para jur. personas y empresarios individuales, el procedimiento de certificación es aún más complicado y requiere la presentación de documentos adicionales.
Es precisamente en esta etapa, es decir, al principio, cuando aún no se ha alcanzado la cuestión de firmar un certificado, y el problema más importante radica. Y la palabra clave aquí es "pasaporte".
La filtración de datos personales en el país ha adquirido una escala verdaderamente industrial. Hay recursos en línea donde puede obtener copias escaneadas de pasaportes válidos de ciudadanos de la Federación de Rusia por poco dinero o incluso de forma gratuita. Pero los escaneos de pasaportes en nuestro país, agobiados por una herencia postsoviética en el estilo de "documentos actuales", se pueden obtener de los ciudadanos de todas partes, no solo en bancos u otras instituciones financieras, sino también en hoteles, escuelas, universidades, oficinas de boletos aéreos y ferroviarios, centros infantiles, puntos de servicio de suscriptores celulares, donde sea que necesiten presentar un pasaporte para el servicio, es decir, en casi todas partes. Con el desarrollo de tecnologías digitales, este amplio canal de acceso a datos personales ha sido asumido por trabajadores criminales.
También es muy común el "robo de servicios" de datos personales de personas específicas.
Además, hay todo un ejército de los llamados. “Denominaciones”: personas, generalmente muy jóvenes, muy pobres y con poca educación, o simplemente rebajadas, a quienes los atacantes les prometen una modesta recompensa para que vengan a la CA o al punto de emisión con su pasaporte y soliciten una firma a su nombre en como, por ejemplo, el director de la empresa. No hace falta decir que esa persona no tiene nada que ver con las actividades de la empresa y no puede proporcionar ninguna asistencia real a la investigación cuando se abre una estafa.
Por lo tanto, escanear un pasaporte no es un problema. Pero necesita un pasaporte original para verificarlo, ¿cómo puede preguntar un lector atento? Y para sortear este problema, en el mundo hay puntos de problema sin escrúpulos. A pesar del estricto procedimiento de selección, el estado del punto de emisión se obtiene periódicamente por personajes criminales y luego comienza a cometer acciones ilegales con los datos personales de los ciudadanos.
Estos dos factores combinados nos dan toda la serie de problemas con la criminalización del uso de armas electrónicas que ahora tenemos.
¿Solo en el campo no es un guerrero?
Todo esto, sin exagerar, el ejército de estafadores ahora es filtrado solo por los centros de certificación. Cualquier CA tiene sus propios servicios de seguridad. Todos los que solicitan una firma son revisados cuidadosamente en la etapa de identificación. Todos los que quieran cooperar en el estado de un punto de problema para una CA en particular también se verifican cuidadosamente tanto en la etapa de concluir un acuerdo de asociación como, posteriormente, en el proceso de interacción comercial.
No puede ser de otra manera, porque un certificado sin escrúpulos amenaza a la AC con el cierre; la legislación en esta área es dura.
Pero es imposible comprender la inmensidad, y parte de los puntos de entrega sin escrúpulos todavía "se filtra" en los socios de la AC. Y el "valor nominal" puede que ni siquiera sea una razón para negarse a emitir un certificado; después de todo, se aplica a la CA completamente legalmente.
Además, en caso de que se abra una estafa con una firma a nombre de una persona específica, solo el centro de certificación ayudará a resolver el problema. Dado que el centro de certificación en este caso retira el certificado de firma, lleva a cabo una investigación interna, supervisa toda la cadena de emisión del certificado y puede proporcionar al tribunal los documentos necesarios sobre acciones fraudulentas al emitir la clave de firma electrónica. Solo los materiales del centro de certificación ayudarán al tribunal a decidir el caso a favor de la parte realmente lesionada: la persona en cuyo nombre se engañó la firma.
Sin embargo, el analfabetismo digital general tampoco funciona en beneficio de las víctimas. No todos van al final, protegiendo sus intereses. Pero las acciones ilegales con EDS deben ser impugnadas en los tribunales. Y los centros de certificación en esto - la ayuda principal.
¿Matar a todas las AC?
Y así, en nuestro estado, se decidió realizar cambios en el procedimiento operativo de la AC y los requisitos para ellos. Un grupo de diputados y senadores desarrolló un proyecto de ley correspondiente, que incluso fue aprobado por la Duma del Estado en primera lectura el 7 de noviembre de 2019.
El documento prevé una reforma importante del sistema de certificados de firmas electrónicas. En particular, sugiere que las personas jurídicas y los empresarios individuales (IP) podrán recibir una firma electrónica calificada mejorada (UKEP) solo en el Servicio de Impuestos Federales y las organizaciones financieras en el Banco Central. Los centros de certificación (CA) acreditados por el Ministerio de Comunicaciones y Medios de Comunicación, que ahora emiten certificados electrónicos, podrán emitirlos solo a individuos.
Al mismo tiempo, se planifica que los requisitos para tales AC se ajusten significativamente. La cantidad mínima de activos netos de un centro de certificación acreditado debe aumentarse de 7 millones de rublos. hasta 1 mil millones de rublos, y la cantidad mínima de seguridad financiera, de 30 millones de rublos. hasta 200 millones de rublos. Si el centro de certificación tiene sucursales en al menos dos tercios de las regiones rusas, la cantidad mínima de activos netos se puede reducir a 500 millones de rublos.
El período de acreditación de los centros de certificación se reduce de cinco a tres años. Para las infracciones en el trabajo de los centros de certificación de naturaleza técnica, se introduce la responsabilidad administrativa.
Todo esto debería reducir la cantidad de fraude de firma electrónica, creen los autores del proyecto de ley.
Cual es el resultado?
Como puede ver fácilmente, el nuevo proyecto de ley no aborda de ninguna manera el problema del uso criminal de documentos de ciudadanos de la Federación de Rusia y el robo de datos personales. No importa quién emitirá la firma de la CA o del Servicio de Impuestos Federales, la identidad del propietario de la firma aún tendrá que verificarse, y la factura no proporciona ninguna innovación sobre este tema. Si un punto de problema inescrupuloso funcionara bajo esquemas criminales para una AC convencional, entonces, ¿qué evitaría que hiciera lo mismo para el estado?
La versión actual del proyecto de ley no detalla quién y qué será responsable de emitir UKEC si esta firma se utilizó en actividades fraudulentas. Además, incluso en el Código Penal no existe un artículo adecuado que permita enjuiciar por la emisión de un certificado de firma electrónica para datos personales robados.
Otro problema es la sobrecarga de las AC estatales, lo que necesariamente ocurrirá bajo las nuevas reglas y hará que la prestación de servicios a ciudadanos y entidades legales sea muy lenta y difícil.
La función de servicio de la CA no se considera en absoluto en la factura. No está claro si los departamentos de servicio de suscripción se crearán bajo las grandes AC propuestas por el estado, cuánto tiempo llevará y qué inversiones financieras se requerirán, quién participará en el servicio al cliente, mientras se crea dicha infraestructura. Obviamente, la desaparición de la competencia en esta área puede conducir fácilmente al estancamiento en la industria.
Es decir, a la salida obtenemos la monopolización del mercado de CA por parte de las agencias gubernamentales, sobrecargando estas estructuras con una desaceleración en todas las actividades de EDI, la falta de soporte para el usuario final en caso de fraude y la destrucción completa del mercado actual de CA junto con la infraestructura existente (esto es aproximadamente 15,000 empleos en todo el país )
¿Quién sufrirá? Aquellos que sufren ahora, es decir, los usuarios finales y las autoridades de certificación, sufrirán como resultado de la adopción de dicha ley.
Y un negocio que florece en el robo de datos personales continuará floreciendo. ¿Es hora de que los organismos encargados de hacer cumplir la ley y los legisladores centren su atención en este problema y respondan realmente a los desafíos de la era digital? Las posibilidades de robo de datos personales y su posterior uso criminal en los últimos 10-15 años han aumentado muchas veces. Aumento y el nivel de formación de los delincuentes. Debe responder a esto introduciendo medidas estrictas de responsabilidad por cualquier acción ilegal con los datos personales de otras personas, tanto para las empresas y sus empleados, como para las personas. Y para resolver realmente el problema del uso criminal de los certificados de firma electrónica, es necesario crear un proyecto de ley que proporcione responsabilidad, incluida la responsabilidad penal, por tales acciones. Y no un proyecto de ley que simplemente redistribuya los flujos financieros, complica el procedimiento para el usuario final y al final no brinda protección a nadie.