المفترس أم الفريسة؟ الذي سيحمي سلطات التصديق

ما الذي يحدث؟

تلقى موضوع الأعمال الاحتيالية المرتكبة بمساعدة شهادة التوقيع الإلكتروني في الآونة الأخيرة دعاية واسعة النطاق. جعلت وسائل الإعلام الفيدرالية من الروايات الدورية قصصًا مخيفة حول حالات إساءة استخدام التوقيعات الإلكترونية. أكثر الجرائم شيوعًا في هذا المجال هي تسجيل الكيانات القانونية. شخص أو فرد باسم المواطن المطمئن في الاتحاد الروسي. هناك طريقة شائعة أخرى للاحتيال وهي عبارة عن معاملة مع تغيير في ملكية العقارات (هذا عندما يقوم شخص ما ببيع شقتك نيابة عنك لشخص ما ، لكنك لا تعرف ذلك).

ولكن دعونا لا ننفذ مع وصف الإجراءات غير القانونية المحتملة باستخدام EDS حتى لا نعطي الأفكار الإبداعية للمحتالين. دعونا نحاول أن نفهم لماذا اكتسبت هذه المشكلة مثل هذه النسب ، وما الذي يجب فعله فعلاً للقضاء عليها. ولهذا ، نحن بحاجة إلى أن نفهم بوضوح ما هي مراكز إصدار الشهادات ، وكيف تعمل بالضبط وما إذا كانت مخيفة بقدر ما نرسمها في وسائل الإعلام وبيانات الأطراف المعنية.

من أين تأتي التواقيع؟

لذلك أنت مستخدم. تحتاج إلى شهادة توقيع إلكتروني. لا يهم ما هي المهام ، وفي أي وضع أنت (شركة ، فرد ، رجل أعمال فردي) - تعد خوارزمية الحصول على الشهادة قياسية. ويمكنك الاتصال بمركز الشهادات من أجل شراء شهادة التوقيع الإلكتروني.

سلطة التصديق هي شركة يضع القانون الروسي عليها عددًا من المتطلبات الصارمة.

من أجل الحصول على الحق في إصدار توقيع إلكتروني مؤهل معزز ، يجب أن يخضع مركز إصدار الشهادات لإجراءات اعتماد خاصة مع وزارة الاتصالات. ينطوي إجراء الاعتماد على تنفيذ عدد من القواعد الصارمة التي لا تستطيع كل شركة الامتثال لها.

على وجه الخصوص ، يُطلب من المرجع المصدق الحصول على ترخيص يمنحها الحق في تطوير وتصنيع وتوزيع وسائل التشفير وأنظمة المعلومات والاتصالات السلكية واللاسلكية. يتم إصدار هذا الترخيص من قبل FSB بعد سلسلة من عمليات التفتيش الصارمة من قبل مقدم الطلب.

يجب أن يكون موظفو CA حاصلين على تعليم مهني عالٍ في مجال تكنولوجيا المعلومات أو أمن المعلومات.

يُلزم القانون أيضًا المرجع المصدق (CA) بالتأكد من مسؤوليته عن "الخسائر التي تتكبدها أطراف ثالثة نتيجة ثقتهم في المعلومات المحددة في شهادة مفتاح التحقق من التوقيع الإلكتروني الصادر عن هذه المرجع المصدق أو المعلومات الواردة في سجل الشهادة الذي تحتفظ به هذه المرجع المصدق" بمبلغ لا يقل عن 30 مليون روبل.

كما ترون ، ليس كل شيء في غاية البساطة.

في المجموع ، يوجد حاليًا حوالي 500 شهادة مصادقة في البلد لها الحق في إصدار UKEP (شهادة التوقيع الإلكتروني المؤهل المعزز). لا يشمل ذلك مراكز الاعتماد الخاصة فحسب ، بل يشمل أيضًا المرجع المصدق (CA) الذي يضم جميع أنواع الوكالات الحكومية (بما في ذلك مصلحة الضرائب الفيدرالية ، PRF ، وما إلى ذلك) ، البنوك ، قاعات التداول ، بما في ذلك الدوائر الحكومية.

يتم إنشاء شهادة توقيع إلكتروني باستخدام خوارزميات تشفير معتمدة من قبل خدمة الأمن الفيدرالية في الاتحاد الروسي. وهو يسمح للكيانات والأفراد القانونيين بتبادل الوثائق ذات الصلة قانونيا في شكل إلكتروني. وفقا للبيانات الرسمية لل CA ، تصدر الغالبية العظمى (95 ٪) من CEP من قبل هيئة المحلفين. الأشخاص ، والباقي - المادية. الأشخاص.

بعد الاتصال بـ CA ، يحدث ما يلي:

1. تشهد CA على هوية الشخص الذي تقدم بطلب للحصول على شهادة توقيع إلكتروني ؛
   فقط بعد تأكيد الهوية والتحقق من جميع الوثائق تصدر المرجع المصدق (CA) ويصدر شهادة تتضمن معلومات حول صاحب الشهادة ومفتاح التحقق العام الخاص بها ؛
2. يدير CA دورة حياة الشهادة: يضمن إصدارها وتعليقها (بما في ذلك بناءً على طلب المالك) والتجديد وانتهاء الصلاحية.
3. وظيفة أخرى من CA هي الخدمة. لا يكفي مجرد إصدار شهادة. يحتاج المستخدمون بانتظام إلى جميع أنواع المشاورات بشأن إجراءات إصدار واستخدام التوقيع ، والمشاورات حول الطلب واختيار نوع الشهادة. توفر المراجع المصدقة الكبيرة ، مثل CA Business Network ، خدمات الدعم الفني ، وإنشاء برامج متنوعة ، وتحسين العمليات التجارية ، ورصد التغييرات في نطاق تطبيق الشهادات ، وما إلى ذلك. المنافسة مع بعضها البعض ، تعمل CA على جودة خدمات تكنولوجيا المعلومات ، تطوير هذا المجال.

القوزاق أسيء التعامل معها!

النظر في ص 1 من الخوارزمية أعلاه للحصول على EP. ماذا يعني "التحقق من هوية" الشخص الذي تقدم بطلب للحصول على شهادة؟ هذا يعني أن الشخص الذي تم إصدار الشهادة باسمه يجب أن يظهر شخصيًا إما في مكتب المرجع المصدق (CA) أو عند نقطة وجود اتفاقية شراكة مع المرجع المصدق (CA) ، ويعرض المستندات الأصلية لوثائقه هناك. على وجه الخصوص ، جواز سفر مواطن من الاتحاد الروسي. في بعض الحالات ، عندما يتعلق الأمر بالتوقيعات على jur. الأشخاص وأصحاب المشاريع الفردية ، فإن إجراءات إصدار الشهادات أكثر تعقيدًا وتتطلب تقديم مستندات إضافية.

في هذه المرحلة بالتحديد ، أي في البداية ، عندما لم يتم التوصل بعد إلى مسألة توقيع الشهادة ، وتكمن المشكلة الأكثر أهمية. والكلمة الرئيسية هنا هي "جواز السفر".

حصل تسرب البيانات الشخصية في البلاد على نطاق صناعي حقيقي. هناك موارد عبر الإنترنت حيث يمكنك الحصول على نسخ ممسوحة ضوئيًا من جوازات سفر صالحة لمواطني الاتحاد الروسي مقابل القليل من المال أو حتى مجانًا. لكن عمليات فحص جوازات السفر في بلدنا ، التي يثقلها تراث ما بعد الاتحاد السوفيتي بأسلوب "الوثائق الحالية" ، يمكن جمعها من المواطنين في كل مكان - ليس فقط في البنوك أو المؤسسات المالية الأخرى ، ولكن أيضًا في الفنادق والمدارس والجامعات ومكاتب تذاكر السفر بالسكك الحديدية والسكك الحديدية ومراكز الأطفال ، نقاط خدمة المشتركين في الخدمة الخلوية - أينما طلبوا تقديم جواز سفر للخدمة ، أي في كل مكان تقريبًا. مع تطور التقنيات الرقمية ، تم الاستيلاء على هذه القناة الواسعة للوصول إلى البيانات الشخصية من قبل العاملين في مجال الجريمة.

وهي أيضًا سرقة "خدمات" شائعة جدًا للبيانات الشخصية لأشخاص محددين.

بالإضافة إلى ذلك ، هناك جيش كامل لما يسمى. "الطوائف" - الأشخاص ، عادة ما يكونون صغارًا جدًا ، أو فقراء جدًا وذوي مستوى تعليمي ضعيف ، أو يُنقصون ببساطة ، والذين يعد المهاجمون لهم بمكافأة متواضعة بالنسبة لهم للمجيء إلى كاليفورنيا أو إلى جهة الإصدار باستخدام جواز سفرهم وطلب توقيع باسمهم على كما ، على سبيل المثال ، مدير الشركة. وغني عن القول أن مثل هذا الشخص لا علاقة له بأنشطة الشركة ولا يمكنه تقديم أي مساعدة حقيقية للتحقيق عند فتح عملية احتيال.

لذا ، فإن فحص جواز السفر ليس مشكلة. لكنك تحتاج إلى جواز سفر أصلي للتحقق منه ، كيف يمكن للقارئ اليقظ أن يسأل؟ وللتغلب على هذه المشكلة ، توجد في العالم نقاط عديمة الضمير للقضية. على الرغم من إجراءات الاختيار الصارمة ، يتم الحصول على حالة نقطة القضية بشكل دوري من قبل شخصيات إجرامية ، ثم يبدأ في ارتكاب أعمال غير قانونية مع البيانات الشخصية للمواطنين.

يمنحنا هذان العاملان مجتمعين مجموعة كاملة من المشاكل مع تجريم استخدام الأسلحة الإلكترونية التي لدينا الآن.

وحده في هذا المجال ليس محارب؟

كل هذا ، دون مبالغة ، يتم تصفية جيش المحتالين الآن فقط بواسطة مراكز التصديق. أي المرجع المصدق لديه خدمات الأمن الخاصة به. يتم فحص جميع المتقدمين للحصول على توقيع بعناية في مرحلة تحديد الهوية. كل من يرغب في التعاون في حالة نقطة مشكلة في CA معينة يتم فحصه بعناية أيضًا في مرحلة إبرام اتفاقية شراكة ، وبعد ذلك ، في عملية التفاعل التجاري.

لا يمكن أن يكون الأمر خلاف ذلك ، لأن شهادة عديمي الضمير تهدد CA بالإغلاق - التشريعات في هذا المجال صعبة.

ولكن من المستحيل فهم ضخامة ، ولا يزال جزء من نقاط التسليم عديمي الضمير "يتسرب" إلى شركاء إلى كاليفورنيا. وقد لا تكون "القيمة الاسمية" سببًا لرفض إصدار شهادة - بعد كل شيء ، تنطبق على المرجع المصدق قانونيًا تمامًا.

أيضًا ، في حالة فتح عملية احتيال بتوقيع باسم شخص معين ، فإن مركز الشهادات فقط هو الذي سيساعد في حل المشكلة. نظرًا لأن مركز الشهادات في هذه الحالة يسحب شهادة التوقيع ، يجري تحقيقًا داخليًا ، ويتتبع سلسلة إصدار الشهادة بأكملها ، ويمكنه تزويد المحكمة بالمستندات اللازمة حول الإجراءات الاحتيالية في إصدار مفتاح التوقيع الإلكتروني. فقط المواد من مركز الشهادات ستساعد المحكمة في البت في القضية لصالح الطرف المصاب حقًا: الشخص الذي تم توقيع التوقيع باسمه.

ومع ذلك ، فإن الأمية الرقمية العامة لا تعمل أيضًا لصالح الضحايا. ليس الجميع يذهب إلى النهاية ، وحماية مصالحهم. ولكن يجب الطعن في الإجراءات غير القانونية مع EDS في المحكمة. ومراكز التصديق في هذا - المساعدة الرئيسية.

قتل جميع CAs؟

وهكذا ، في ولايتنا ، تقرر إجراء تغييرات على إجراء التشغيل الخاص بـ CA والمتطلبات الخاصة بها. وضعت مجموعة من النواب وأعضاء مجلس الشيوخ مشروع قانون مماثل ، والذي اعتمده مجلس الدوما في القراءة الأولى في 7 نوفمبر 2019.

تنص الوثيقة على إصلاح كبير لنظام شهادات التوقيعات الإلكترونية. على وجه الخصوص ، يفترض أن الكيانات القانونية وأصحاب المشاريع الفردية (IPs) سيكونون قادرين على الحصول على توقيع إلكتروني مؤهل معزز (UKEP) فقط في دائرة الضرائب الفيدرالية ، والمؤسسات المالية في البنك المركزي. مراكز إصدار الشهادات (CA) المعتمدة من قبل وزارة الاتصالات والإعلام ، والتي تصدر الشهادات الإلكترونية الآن ، ستكون قادرة على إصدارها فقط للأفراد.

في الوقت نفسه ، يتم التخطيط لمتطلبات هذه المراجع المصدقة بشكل كبير. يجب زيادة الحد الأدنى لمبلغ صافي الأصول لمركز الشهادات المعتمد من 7 ملايين روبل. ما يصل إلى 1 مليار روبل ، والحد الأدنى لمقدار الأمن المالي - من 30 مليون روبل. ما يصل إلى 200 مليون روبل. إذا كان لدى مركز الشهادات فروع في ثلثي المناطق الروسية على الأقل ، فيمكن تقليل الحد الأدنى لمبلغ صافي الأصول إلى 500 مليون روبل.

يتم تقليل فترة الاعتماد لمراكز التصديق من خمس إلى ثلاث سنوات. بالنسبة للانتهاكات في عمل مراكز إصدار الشهادات ذات الطبيعة الفنية ، يتم تقديم المسؤولية الإدارية.

كل هذا يجب أن يقلل من كمية الاحتيال في التوقيع الإلكتروني ، كما يعتقد مؤلفو القانون.

ما هي النتيجة؟

كما ترون بسهولة ، فإن مشروع القانون الجديد لا يعالج بأي حال مشكلة الاستخدام الجنائي لوثائق مواطني الاتحاد الروسي وسرقة البيانات الشخصية. لا يهم من سيصدر توقيع CA أو دائرة الضرائب الفيدرالية ، وسيظل يتعين التحقق من هوية صاحب التوقيع ، ولا يقدم مشروع القانون أي ابتكارات في هذه المسألة. إذا كانت هناك نقطة بلا ضمير من القضايا عملت في إطار مخططات إجرامية ل CA التقليدية ، فما الذي سيمنعها من فعل الشيء نفسه بالنسبة للدولة؟

لا توضح النسخة الحالية من مشروع القانون من وما الذي سيتحمل مسؤولية إصدار UKEC إذا تم استخدام هذا التوقيع في أنشطة احتيالية. علاوة على ذلك ، حتى في القانون الجنائي ، لا توجد مادة مناسبة تسمح بالمقاضاة لإصدار شهادة توقيع إلكتروني للبيانات الشخصية المسروقة.

هناك مشكلة منفصلة تتمثل في الحمل الزائد للمراجع المصدقة المملوكة للدولة ، والتي ستحدث بالضرورة بموجب القواعد الجديدة وستجعل تقديم الخدمات للمواطنين والكيانات القانونية بطيئًا وصعبًا للغاية.

لا تعتبر وظيفة خدمة المرجع المصدق على الإطلاق في الفاتورة. ما إذا كان سيتم إنشاء إدارات خدمة العملاء بموجب المراجع المصدقة الكبيرة المملوكة للدولة ، وكم من الوقت سيستغرق وما هي الاستثمارات المالية المطلوبة ، والذين سيشاركون في خدمة العملاء ، أثناء إنشاء هذه البنية التحتية ، غير واضح. من الواضح أن اختفاء المنافسة في هذا المجال يمكن أن يؤدي بسهولة إلى الركود في هذه الصناعة.

وهذا هو ، عند الخروج نحصل على احتكار سوق CA من قبل الوكالات الحكومية ، مما يؤدي إلى زيادة تحميل هذه الهياكل مع تباطؤ في جميع أنشطة التبادل الإلكتروني للبيانات ، والافتقار إلى دعم المستخدم النهائي في حالة الاحتيال والتدمير الكامل لسوق CA الحالي جنبًا إلى جنب مع البنية التحتية الحالية (هذا هو حوالي 15000 وظيفة في البلد بأكمله) ).

من سيعاني؟ أولئك الذين يعانون الآن ، أي المستخدمين النهائيين وسلطات التصديق ، سيعانون نتيجة اعتماد مثل هذا القانون.

والأعمال التي تزدهر بسبب سرقة البيانات الشخصية ستستمر في الازدهار. هل حان الوقت لوكالات إنفاذ القانون والمشرعين لتحويل انتباههم إلى هذه المشكلة والاستجابة بجدية حقيقية لتحديات العصر الرقمي؟ زادت احتمالات سرقة البيانات الشخصية واستخدامها الإجرامي اللاحق على مدى السنوات 10-15 الماضية عدة مرات. زيادة ومستوى تدريب المجرمين. تحتاج إلى الرد على ذلك من خلال تقديم تدابير صارمة من المسؤولية عن أي إجراءات غير قانونية مع البيانات الشخصية للأشخاص الآخرين للشركات وموظفيها والأفراد على حد سواء. ومن أجل حل مشكلة الاستخدام الإجرامي لشهادات التوقيع الإلكترونية حقًا ، من الضروري إنشاء مشروع قانون ينص على المسؤولية ، بما في ذلك المسؤولية الجنائية ، عن مثل هذه الإجراءات. وليس مشروع القانون الذي يعيد توزيع التدفقات المالية ببساطة ، يعقد الإجراء الخاص بالمستخدم النهائي ولا يمنح أي شخص أي حماية في النهاية.