Que se passe-t-il?
Le sujet des actes frauduleux commis à l'aide d'un certificat de signature électronique a récemment fait l'objet d'une large publicité. Les médias fédéraux ont pour règle de raconter périodiquement des histoires effrayantes sur des cas d'utilisation abusive de signatures électroniques. Le crime le plus courant dans ce domaine est l'enregistrement des personnes morales. personne ou individu au nom d'un citoyen russe sans méfiance. Un autre moyen de fraude populaire est une transaction avec un changement de propriétaire d'un bien immobilier (c'est quand quelqu'un vend votre appartement en votre nom à quelqu'un, mais vous ne savez pas).
Mais ne nous laissons pas emporter par la description d'éventuelles actions illégales avec EDS afin de ne pas donner d'idées créatives aux escrocs. Essayons mieux de comprendre pourquoi ce problème a acquis de telles proportions et ce qu'il faut vraiment faire pour l'éradiquer. Et pour cela, nous devons comprendre clairement ce que sont les centres de certification, comment ils fonctionnent exactement et s'ils sont si effrayants que nous sommes peints dans les médias et les déclarations des parties intéressées.
D'où viennent les signatures?
Vous êtes donc un utilisateur. Vous avez besoin d'un certificat de signature électronique. Peu importe pour quelles tâches et dans quel statut vous êtes (entreprise, particulier, entrepreneur individuel) - l'algorithme d'obtention d'un certificat est standard. Et vous contactez le centre de certification afin d'acheter un certificat de signature électronique.
Une autorité de certification est une entreprise à laquelle le droit russe impose un certain nombre d'exigences strictes.
Afin d'avoir le droit d'émettre une signature électronique qualifiée renforcée, le centre de certification doit subir une procédure d'accréditation spéciale auprès du ministère des Communications. La procédure d'accréditation implique la mise en œuvre d'un certain nombre de règles strictes que toutes les entreprises ne sont pas en mesure de respecter.
En particulier, l'AC doit être titulaire d'une licence lui accordant le droit de développer, fabriquer, distribuer des moyens de cryptage (cryptographiques), des systèmes d'information et de télécommunication. Cette licence est délivrée par le FSB après une série d'inspections rigoureuses par le demandeur.
Les employés CA doivent avoir une formation professionnelle supérieure dans le domaine des technologies de l'information ou de la sécurité de l'information.
La loi oblige également l'AC à assurer sa responsabilité pour «les pertes subies par des tiers du fait de leur confiance dans les informations spécifiées dans le certificat de la clé de vérification de signature électronique émise par cette AC ou dans les informations contenues dans le registre des certificats tenu par cette AC» pour un montant non inférieur à 30 millions de roubles.
Comme vous pouvez le voir, tout n'est pas si simple.
Au total, il existe actuellement environ 500 AC dans le pays ayant le droit d'émettre UKEP (certificat de signature électronique qualifiée renforcée). Cela inclut non seulement les centres de certification privés, mais aussi l'AC avec toutes sortes d'agences gouvernementales (y compris le Federal Tax Service, PRF, etc.), les banques, les parquets, y compris les États.
Un certificat de signature électronique est créé à l'aide d'algorithmes de chiffrement certifiés par le Service fédéral de sécurité de la Fédération de Russie. Il permet aux personnes morales et aux particuliers d'échanger des documents juridiquement pertinents sous forme électronique. Selon les données officielles du CA, la majorité (95%) du CEP est délivrée par le jur. personnes, le reste - physique. personnes.
Après avoir contacté l'autorité de certification, les événements suivants se produisent:
- L'AC certifie l'identité de la personne qui a demandé un certificat de signature électronique;
Ce n'est qu'après confirmation de l'identité et vérification de tous les documents que l'AC produit et délivre un certificat comprenant des informations sur le titulaire du certificat et sa clé de vérification publique; - L'AC gère le cycle de vie du certificat: assure sa délivrance, sa suspension (y compris à la demande du propriétaire), son renouvellement et son expiration.
- Une autre fonction de l'AC est le service. Il ne suffit pas de délivrer un certificat. Les utilisateurs ont régulièrement besoin de toutes sortes de consultations sur la procédure de délivrance et d'utilisation d'une signature, de consultations sur l'application et la sélection du type de certificat. Les grandes autorités de certification, telles que les AC de réseau d'entreprise, fournissent des services de support technique, créent divers logiciels, améliorent les processus métier, surveillent les changements dans le champ d'application des certificats, etc. développer ce domaine.
Cosaque mal géré!
Considérez la page 1 de l'algorithme ci-dessus pour obtenir l'EP. Que signifie «vérifier l'identité» d'une personne qui a demandé un certificat? Cela signifie que la personne au nom de laquelle le certificat est délivré doit se présenter personnellement soit au bureau de l'AC, soit au point de délivrance qui a un accord de partenariat avec l'AC, et y présenter les originaux de leurs documents. En particulier, un passeport d'un citoyen de la Fédération de Russie. Dans certains cas, lorsqu'il s'agit de signatures de jur. particuliers et entrepreneurs individuels, la procédure de certification est encore plus compliquée et nécessite la présentation de documents complémentaires.
C'est précisément à ce stade, c'est-à-dire au tout début, que la question de la signature d'un certificat n'est pas encore arrivée et que le problème le plus important se trouve. Et le mot clé ici est «passeport».
La fuite de données personnelles dans le pays a acquis une véritable ampleur industrielle. Il existe des ressources en ligne où vous pouvez obtenir des copies numérisées de passeports valides de citoyens de la Fédération de Russie pour peu d'argent ou même gratuitement. Mais les scans de passeport dans notre pays, alourdis par un héritage post-soviétique dans le style de «documents actuels», peuvent être collectés auprès des citoyens partout - non seulement dans les banques ou autres institutions financières, mais aussi dans les hôtels, les écoles, les universités, les billetteries aériennes et ferroviaires, les centres pour enfants, points de service des abonnés cellulaires - partout où ils ont besoin de présenter un passeport pour le service, c'est-à-dire presque partout. Avec le développement des technologies numériques, ce large canal d'accès aux données personnelles a été repris par les criminels.
Il s'agit également de «services» très courants de vols de données personnelles de personnes spécifiques.
De plus, il y a toute une armée de soi-disant. «Dénominations» - personnes, généralement très jeunes, ou très pauvres et peu instruites, ou simplement abaissées, à qui les agresseurs leur promettent une modeste récompense pour venir à l'AC ou au point de délivrance avec leur passeport et commander une signature en leur nom à comme, par exemple, le directeur de l'entreprise. Il va sans dire qu’une telle personne n’a alors rien à voir avec les activités de l’entreprise et ne peut apporter une véritable aide à l’enquête lorsqu’une arnaque est ouverte.
La numérisation d'un passeport n'est donc pas un problème. Mais vous avez besoin d'un passeport original pour le vérifier, comment un lecteur attentif peut-il demander? Et pour contourner ce problème, il existe dans le monde des points de discussion sans scrupules. Malgré la procédure de sélection stricte, le statut du point de délivrance est périodiquement obtenu par les criminels et commence alors à commettre des actions illégales avec les données personnelles des citoyens.
Ces deux facteurs combinés nous donnent toute la gamme des problèmes liés à la criminalisation de l'utilisation des armes électroniques que nous avons actuellement.
Seul sur le terrain n'est pas un guerrier?
Tout cela, sans exagération, l'armée de fraudeurs n'est désormais filtrée que par les centres de certification. Toute autorité de certification dispose de ses propres services de sécurité. Tous ceux qui demandent une signature sont soigneusement vérifiés au stade de l'identification. Quiconque souhaite coopérer dans le statut d'un point de litige pour une AC particulière est également soigneusement vérifié à la fois au stade de la conclusion d'un accord de partenariat et, par la suite, dans le processus d'interaction commerciale.
Il ne peut en être autrement, car un certificat sans scrupules menace la fermeture de l'AC - la législation dans ce domaine est sévère.
Mais il est impossible de saisir l'immensité, et une partie des points de livraison sans scrupules «s'infiltre» encore dans les partenaires de l'AC. Et la «valeur nominale» n'est peut-être même pas une raison pour refuser de délivrer un certificat - après tout, elle s'applique à l'AC en toute légalité.
De plus, dans le cas où une arnaque est ouverte avec une signature au nom d'une personne spécifique, seul le centre de certification aidera à résoudre le problème. Étant donné que le centre de certification dans ce cas retire le certificat de signature, mène une enquête interne, surveille toute la chaîne de délivrance du certificat et peut fournir au tribunal les documents nécessaires sur les actions frauduleuses lors de l'émission de la clé de signature électronique. Seuls les documents du centre de certification aideront le tribunal à statuer en faveur de la partie réellement lésée: la personne au nom de laquelle la signature a été trompée.
Cependant, l'analphabétisme numérique général ne fonctionne pas non plus au profit des victimes. Tout le monde ne va pas jusqu'au bout, protégeant ses intérêts. Mais les actions illégales avec EDS doivent être contestées devant les tribunaux. Et les centres de certification dans ce domaine - l'aide principale.
Tuer tous les CA?
Et donc, dans notre état, il a été décidé d'apporter des modifications au mode de fonctionnement de l'AC et à ses exigences. Un groupe de députés et de sénateurs a élaboré un projet de loi correspondant, qui a même été adopté par la Douma d'État en première lecture le 7 novembre 2019.
Le document prévoit une réforme majeure du système des certificats de signature électronique. En particulier, il suppose que les personnes morales et les entrepreneurs individuels (IP) ne pourront recevoir une signature électronique qualifiée renforcée (UKEP) qu'au Service fédéral des impôts et aux organisations financières de la Banque centrale. Les centres de certification (CA) accrédités par le ministère des Communications et des Médias de masse, qui délivrent désormais des certificats électroniques, ne pourront les délivrer qu'à des particuliers.
Parallèlement, les exigences relatives à ces autorités de certification devraient être considérablement renforcées. Le montant minimum de l'actif net d'un centre de certification accrédité devrait passer de 7 millions de roubles. jusqu'à 1 milliard de roubles et le montant minimum de sécurité financière - de 30 millions de roubles. jusqu'à 200 millions de roubles. Si le centre de certification a des succursales dans au moins les deux tiers des régions russes, le montant minimal de l'actif net peut être réduit à 500 millions de roubles.
La période d'accréditation des centres de certification est réduite de cinq à trois ans. Pour les violations dans le travail des centres de certification de nature technique, la responsabilité administrative est introduite.
Tout cela devrait réduire le nombre de fraudes à la signature électronique, estiment les auteurs du projet de loi.
Quel est le résultat?
Comme vous pouvez facilement le constater, le nouveau projet de loi ne résout en aucune manière le problème de l'utilisation criminelle des documents des citoyens de la Fédération de Russie et du vol de données personnelles. Peu importe qui émettra la signature de l'AC ou du Federal Tax Service, l'identité du propriétaire de la signature devra encore être vérifiée et le projet de loi ne prévoit aucune innovation à ce sujet. Si un problème sans scrupules fonctionnait dans le cadre de régimes criminels pour une autorité de certification conventionnelle, qu'est-ce qui l'empêcherait de faire de même pour l'État?
La version actuelle du projet de loi ne précise pas qui et quoi sera tenu responsable de la délivrance de l'UKEC si cette signature était utilisée dans des activités frauduleuses. De plus, même dans le Code pénal, aucun article approprié ne permettrait de poursuivre pour la délivrance d'un certificat de signature électronique pour les données personnelles volées.
Un problème distinct est la surcharge des autorités de certification publiques, qui se produira nécessairement en vertu des nouvelles règles et rendra la prestation de services aux citoyens et aux personnes morales très lente et difficile.
La fonction de service de l'AC n'est pas du tout prise en compte dans le projet de loi. Il n'est pas clair si les départements de services d'abonnement seront créés dans le cadre des grandes CA proposées par l'État, combien de temps cela prendra et quels investissements financiers seront nécessaires, qui sera impliqué dans le service à la clientèle pendant la création de cette infrastructure. De toute évidence, la disparition de la concurrence dans ce domaine peut facilement entraîner une stagnation dans l'industrie.
C'est-à-dire qu'à la sortie, nous obtenons la monopolisation du marché de l'AC par les agences gouvernementales, surchargeant ces structures avec un ralentissement de toutes les activités EDI, le manque de soutien des utilisateurs finaux en cas de fraude et la destruction complète du marché actuel de l'AC avec l'infrastructure existante (cela représente environ 15 000 emplois dans tout le pays). )
Qui va souffrir? Ceux qui souffrent actuellement, c'est-à-dire les utilisateurs finaux et les autorités de certification, souffriront de l'adoption d'un tel projet de loi.
Et une entreprise qui prospère grâce au vol de données personnelles continuera de fleurir. Est-il temps que les forces de l'ordre et les législateurs se penchent sur ce problème et répondent vraiment sérieusement aux défis de l'ère numérique? Les possibilités de vol de données personnelles et de leur utilisation criminelle ultérieure au cours des 10 à 15 dernières années se sont multipliées. Augmentation et le niveau de formation des criminels. Vous devez répondre à cela en introduisant des mesures strictes de responsabilité pour toute action illégale avec les données personnelles d'autrui, tant pour les entreprises et leurs employés que pour les particuliers. Et pour vraiment résoudre le problème de l'utilisation criminelle des certificats de signature électronique, il est nécessaire de créer un projet de loi prévoyant la responsabilité, y compris pénale, de telles actions. Et pas un projet de loi qui redistribue simplement les flux financiers, complique la procédure pour l'utilisateur final et n'offre finalement aucune protection à personne.