Was ist los?
Das Thema betrügerischer Handlungen, die mit Hilfe eines elektronischen Signaturzertifikats begangen wurden, hat in letzter Zeit eine breite Öffentlichkeit erhalten. Die föderalen Medien machten es zur Regel, regelmäßig Gruselgeschichten über Fälle von Missbrauch elektronischer Signaturen zu erzählen. Die häufigste Straftat in diesem Bereich ist die Registrierung von juristischen Personen. Person oder Einzelperson im Namen eines ahnungslosen Bürgers der Russischen Föderation. Eine andere beliebte Art des Betrugs ist eine Transaktion mit einem Eigentümerwechsel (wenn jemand Ihre Wohnung in Ihrem Namen an jemanden verkauft, Sie es aber nicht wissen).
Aber lassen Sie uns die Beschreibung möglicher illegaler Handlungen mit EDS nicht mitreißen, um Betrügern keine kreativen Ideen zu geben. Versuchen wir besser zu verstehen, warum dieses Problem solche Ausmaße angenommen hat und was wirklich getan werden muss, um es zu beseitigen. Und dafür müssen wir klar verstehen, was Zertifizierungsstellen sind, wie genau sie funktionieren und ob sie so beängstigend sind, wie wir in den Medien und Aussagen von Interessenten dargestellt werden.
Woher kommen die Unterschriften?
Sie sind also ein Benutzer. Sie benötigen ein elektronisches Signaturzertifikat. Es spielt keine Rolle, für welche Aufgaben und in welchem Status Sie sich befinden (Unternehmen, Einzelperson, Einzelunternehmer) - der Algorithmus zur Erlangung eines Zertifikats ist Standard. Und Sie wenden sich an die Zertifizierungsstelle, um ein Zertifikat für die elektronische Signatur zu erwerben.
Eine Zertifizierungsstelle ist ein Unternehmen, an das das russische Recht eine Reihe strenger Anforderungen stellt.
Um das Recht zur Ausstellung einer erweiterten qualifizierten elektronischen Signatur zu erhalten, muss die Zertifizierungsstelle ein spezielles Akkreditierungsverfahren beim Ministerium für Kommunikation durchlaufen. Das Akkreditierungsverfahren beinhaltet die Umsetzung einer Reihe strenger Regeln, die nicht jedes Unternehmen einhalten kann.
Insbesondere muss die Zertifizierungsstelle über eine Lizenz verfügen, die ihr das Recht einräumt, Verschlüsselungs- (kryptografische) Mittel, Informations- und Telekommunikationssysteme zu entwickeln, herzustellen und zu vertreiben. Diese Lizenz wird vom FSB nach einer Reihe strenger Inspektionen durch den Antragsteller ausgestellt.
CA-Mitarbeiter müssen über eine höhere Berufsausbildung im Bereich Informationstechnologie oder Informationssicherheit verfügen.
Das Gesetz verpflichtet die Zertifizierungsstelle auch, ihre Haftung für "Verluste Dritter aufgrund ihres Vertrauens in die im Zertifikat des von dieser Zertifizierungsstelle ausgestellten elektronischen Signaturprüfschlüssels oder in dem von dieser Zertifizierungsstelle geführten Zertifikatregister enthaltenen Informationen angegebenen Informationen" in Höhe von mindestens zu versichern 30 Millionen Rubel.
Wie Sie sehen, ist nicht alles so einfach.
Insgesamt gibt es derzeit etwa 500 CAs im Land, die berechtigt sind, UKEP (Certificate of Enhanced Qualified Electronic Signature) auszustellen. Dies umfasst nicht nur private Zertifizierungsstellen, sondern auch die zuständige Behörde mit allen möglichen staatlichen Stellen (einschließlich des Federal Tax Service, PRF usw.), Banken und Börsen, einschließlich staatlicher Stellen.
Ein elektronisches Signaturzertifikat wird unter Verwendung von Verschlüsselungsalgorithmen erstellt, die vom Bundessicherheitsdienst der Russischen Föderation zertifiziert wurden. Es ermöglicht juristischen Personen und Personen, rechtsrelevante Dokumente in elektronischer Form auszutauschen. Nach offiziellen Angaben der CA wird die Mehrheit (95%) der CEP von der jur. Personen, der Rest - physisch. Personen.
Nachdem Sie die Zertifizierungsstelle kontaktiert haben, geschieht Folgendes:
- Die Zertifizierungsstelle bestätigt die Identität der Person, die ein Zertifikat für die elektronische Signatur beantragt hat.
Erst nach Bestätigung der Identität und Überprüfung aller Dokumente erstellt und stellt die Zertifizierungsstelle ein Zertifikat aus, das Informationen über den Zertifikatsinhaber und seinen öffentlichen Überprüfungsschlüssel enthält. - Die Zertifizierungsstelle verwaltet den Lebenszyklus des Zertifikats: stellt dessen Ausstellung, Aussetzung (auch auf Anforderung des Besitzers), Erneuerung und Ablauf sicher.
- Eine weitere Funktion der CA ist der Service. Es reicht nicht aus, nur ein Zertifikat auszustellen. Benutzer benötigen regelmäßig alle Arten von Konsultationen zum Verfahren für die Ausstellung und Verwendung einer Signatur, Konsultationen zur Beantragung und Auswahl der Art des Zertifikats. Große Zertifizierungsstellen, wie z. B. Business Network-Zertifizierungsstellen, bieten technischen Support, erstellen verschiedene Software, verbessern Geschäftsprozesse, überwachen Änderungen im Anwendungsbereich von Zertifikaten usw. Im Wettbewerb arbeiten Zertifizierungsstellen an der Qualität von IT-Diensten. Entwicklung dieses Bereichs.
Kosaken misshandelt!
Betrachten Sie Seite 1 des obigen Algorithmus, um EP zu erhalten. Was bedeutet es, die Identität einer Person zu überprüfen, die ein Zertifikat beantragt hat? Dies bedeutet, dass die Person, auf deren Namen das Zertifikat ausgestellt wird, entweder persönlich in der CA-Niederlassung oder an der Ausstellungsstelle, die eine Partnerschaftsvereinbarung mit der CA geschlossen hat, erscheinen und die Originale ihrer Dokumente dort vorlegen muss. Insbesondere ein Reisepass eines Bürgers der Russischen Föderation. In einigen Fällen, wenn es um Unterschriften für jur geht. Personen und Einzelunternehmer ist das Zertifizierungsverfahren noch komplizierter und erfordert die Vorlage zusätzlicher Unterlagen.
Genau in diesem Stadium, also ganz am Anfang, ist das Problem der Unterzeichnung eines Zertifikats noch nicht gelöst, und das wichtigste Problem liegt darin. Und das Schlüsselwort hier ist "Reisepass".
Der Verlust personenbezogener Daten im Land hat einen wirklich industriellen Umfang erreicht. Es gibt Online-Ressourcen, in denen Sie gescannte Kopien von gültigen Pässen von Bürgern der Russischen Föderation für wenig Geld oder sogar kostenlos erhalten können. Pass-Scans in unserem Land, die durch ein postsowjetisches Erbe im Stil von „vorliegenden Dokumenten“ belastet sind, können jedoch von Bürgern überall gesammelt werden - nicht nur bei Banken oder anderen Finanzinstituten, sondern auch in Hotels, Schulen, Universitäten, Flug- und Bahnkassen, Kinderzentren. Servicestellen von Mobilfunkteilnehmern - überall dort, wo sie einen Reisepass vorlegen müssen, also fast überall. Mit der Entwicklung digitaler Technologien wurde dieser breite Zugangskanal zu personenbezogenen Daten von kriminellen Arbeitnehmern übernommen.
Es ist auch sehr häufig "Dienste" Diebstahl personenbezogener Daten bestimmter Personen.
Darüber hinaus gibt es eine ganze Armee von sogenannten. „Konfessionen“ - Personen, die in der Regel sehr jung oder sehr arm und schlecht ausgebildet oder einfach nur erniedrigt sind und denen Angreifer eine bescheidene Belohnung dafür versprechen, dass sie mit ihrem Pass zur CA oder zur Ausgabestelle kommen und eine Unterschrift in ihrem Namen unter bestellen als zum Beispiel der Direktor des Unternehmens. Selbstverständlich hat eine solche Person dann nichts mit den Aktivitäten des Unternehmens zu tun und kann die Ermittlungen bei Eröffnung eines Betrugs nicht wirklich unterstützen.
Das Scannen eines Reisepasses ist also kein Problem. Sie benötigen jedoch einen Originalpass, um diesen zu überprüfen. Wie kann ein aufmerksamer Leser dies verlangen? Und um dieses Problem zu umgehen, gibt es in der Welt skrupellose Punkte. Trotz des strengen Auswahlverfahrens wird der Status der Problemstelle in regelmäßigen Abständen von kriminellen Personen ermittelt und beginnt dann, mit den personenbezogenen Daten der Bürger illegale Handlungen zu begehen.
Diese beiden Faktoren zusammen geben uns den ganzen Schacht an Problemen bei der Kriminalisierung des Einsatzes elektronischer Waffen, die wir jetzt haben.
Allein auf dem Feld ist kein Krieger?
All dies, ohne Übertreibung, wird die Armee der Betrüger nur noch von Zertifizierungsstellen gefiltert. Jede Zertifizierungsstelle verfügt über eigene Sicherheitsdienste. Alle, die eine Unterschrift beantragen, werden bei der Identifizierung sorgfältig geprüft. Jeder, der bei einer bestimmten Zertifizierungsstelle im Status einer Problemstelle zusammenarbeiten möchte, wird sowohl beim Abschluss einer Partnerschaftsvereinbarung als auch anschließend bei der Geschäftsinteraktion sorgfältig überprüft.
Es kann nicht anders sein, denn ein skrupelloses Zertifikat droht der CA die Schließung - die Gesetzgebung in diesem Bereich ist hart.
Aber es ist unmöglich, die Unermesslichkeit zu erfassen, und ein Teil der skrupellosen Zustellungspunkte „sickert“ immer noch in die Partner der CA. Und der „Nennwert“ darf nicht einmal ein Grund sein, die Ausstellung eines Zertifikats abzulehnen - schließlich gilt er für die CA ganz legal.
Auch wenn ein Betrug mit einer Unterschrift im Namen einer bestimmten Person geöffnet wird, hilft nur das Zertifizierungszentrum bei der Lösung des Problems. Da die Zertifizierungsstelle in diesem Fall das Signaturzertifikat zurückzieht, eine interne Untersuchung durchführt, die gesamte Ausstellungskette des Zertifikats überwacht, und dem Gericht die erforderlichen Dokumente über betrügerische Handlungen bei der Ausstellung des elektronischen Signaturschlüssels zur Verfügung stellen kann. Nur Materialien aus der Zertifizierungsstelle helfen dem Gericht, den Fall zugunsten des tatsächlich Geschädigten zu entscheiden: der Person, in deren Namen die Unterschrift ausgetrickst wurde.
Allgemeiner digitaler Analphabetismus wirkt sich jedoch auch nicht zum Wohle der Opfer aus. Nicht jeder geht ans Ende und schützt seine Interessen. Rechtswidrige Handlungen mit EDS müssen jedoch vor Gericht angefochten werden. Und Zertifizierungsstellen dabei - die Haupthilfe.
Alle CAs töten?
Aus diesem Grund wurde in unserem Land beschlossen, Änderungen an der Arbeitsweise der Zertifizierungsstelle und deren Anforderungen vorzunehmen. Eine Gruppe von Abgeordneten und Senatoren erarbeitete einen entsprechenden Gesetzesentwurf, der am 7. November 2019 sogar von der Staatsduma in erster Lesung verabschiedet wurde.
Das Dokument sieht eine umfassende Reform des Systems der Zertifikate für elektronische Signaturen vor. Insbesondere schlägt er vor, dass juristische Personen und Einzelunternehmer (IPs) eine erweiterte qualifizierte elektronische Signatur (UKEP) nur beim Federal Tax Service und bei Finanzorganisationen bei der Zentralbank erhalten können. Vom Ministerium für Kommunikation und Massenmedien akkreditierte Zertifizierungsstellen, die derzeit elektronische Zertifikate ausstellen, können diese nur an Einzelpersonen ausstellen.
Gleichzeitig sollen die Anforderungen an solche CAs deutlich verschärft werden. Der Mindestbetrag des Nettovermögens eines akkreditierten Zertifizierungszentrums sollte von 7 Millionen Rubel erhöht werden. bis zu 1 Milliarde Rubel, und der Mindestbetrag der finanziellen Sicherheit - von 30 Millionen Rubel. bis zu 200 Millionen Rubel. Wenn das Zertifizierungszentrum Zweigniederlassungen in mindestens zwei Dritteln der russischen Regionen hat, kann der Mindestbetrag des Nettovermögens auf 500 Millionen Rubel reduziert werden.
Die Akkreditierungsdauer von Zertifizierungsstellen wird von fünf auf drei Jahre verkürzt. Bei Verstößen gegen die Arbeit von Zertifizierungsstellen technischer Art wird die Verwaltungshaftung eingeführt.
All dies dürfte das Ausmaß des Betrugs bei elektronischen Signaturen verringern, glauben die Verfasser des Gesetzesentwurfs.
Was ist das ergebnis
Wie Sie leicht sehen können, behandelt die neue Gesetzesvorlage in keiner Weise das Problem der kriminellen Verwendung von Dokumenten von Bürgern der Russischen Föderation und des Diebstahls personenbezogener Daten. Es spielt keine Rolle, wer die Unterschrift der CA oder des Federal Tax Service herausgibt, die Identität des Inhabers der Unterschrift muss noch überprüft werden, und die Rechnung enthält keine Neuerungen zu diesem Thema. Wenn eine skrupellose Angelegenheit für eine konventionelle CA kriminell war, was würde sie dann davon abhalten, dasselbe für den Staat zu tun?
In der aktuellen Fassung des Gesetzentwurfs ist nicht festgelegt, wer und was für die Ausstellung der UKEC verantwortlich ist, wenn diese Unterschrift bei betrügerischen Aktivitäten verwendet wurde. Darüber hinaus gibt es auch im Strafgesetzbuch keinen geeigneten Artikel, der es ermöglichen würde, die Ausstellung eines Zertifikats mit elektronischer Signatur für gestohlene personenbezogene Daten strafrechtlich zu verfolgen.
Ein besonderes Problem ist die Überlastung staatseigener Zertifizierungsstellen, die nach den neuen Vorschriften zwangsläufig auftreten und die Bereitstellung von Diensten für Bürger und juristische Personen sehr langsam und schwierig machen wird.
Die Servicefunktion der CA wird in der Rechnung überhaupt nicht berücksichtigt. Ob die Abteilungen für Abonnementservices im Rahmen der vorgeschlagenen großen staatlichen Zertifizierungsstellen eingerichtet werden, wie viel Zeit und welche finanziellen Investitionen erforderlich sind, wer während der Einrichtung einer solchen Infrastruktur am Kundenservice beteiligt sein wird, ist unklar. Offensichtlich kann das Verschwinden des Wettbewerbs in diesem Bereich leicht zu einer Stagnation in der Branche führen.
Das heißt, dass wir am Ende eine Monopolisierung des CA-Marktes durch Regierungsbehörden erhalten, die diese Strukturen mit einer Verlangsamung aller EDI-Aktivitäten, dem Mangel an Endbenutzerunterstützung im Falle von Betrug und der vollständigen Zerstörung des aktuellen CA-Marktes zusammen mit der vorhandenen Infrastruktur überlastet (dies sind etwa 15.000 Arbeitsplätze im ganzen Land) )
Wer wird leiden? Diejenigen, die jetzt darunter leiden, dh Endbenutzer und Zertifizierungsstellen, werden unter der Annahme eines solchen Gesetzes leiden.
Und ein Geschäft, das durch den Diebstahl personenbezogener Daten floriert, wird weiter aufblühen. Ist es an der Zeit, dass Strafverfolgungsbehörden und Gesetzgeber ihre Aufmerksamkeit auf dieses Problem lenken und ernsthaft auf die Herausforderungen des digitalen Zeitalters reagieren? Die Möglichkeiten für den Diebstahl personenbezogener Daten und deren anschließende kriminelle Verwendung in den letzten 10 bis 15 Jahren haben um ein Vielfaches zugenommen. Erhöhte und das Niveau der Ausbildung von Kriminellen. Sie müssen darauf reagieren, indem Sie strenge Verantwortungsmaßnahmen für illegale Handlungen mit personenbezogenen Daten anderer Personen einführen, sowohl für Unternehmen und deren Mitarbeiter als auch für Einzelpersonen. Und um das Problem der kriminellen Verwendung elektronischer Signaturzertifikate wirklich zu lösen, muss ein Gesetzesentwurf erstellt werden, der die Haftung, einschließlich der strafrechtlichen Verantwortlichkeit, für solche Handlungen vorsieht. Und keine Rechnung, die lediglich die Finanzströme umverteilt, das Verfahren für den Endbenutzer kompliziert und letztendlich niemanden schützt.