Apa yang sedang terjadi
Topik tindakan penipuan yang dilakukan dengan bantuan sertifikat tanda tangan elektronik telah menerima publikasi luas akhir-akhir ini. Media federal membuat peraturan untuk secara berkala menceritakan kisah menyeramkan tentang kasus penyalahgunaan tanda tangan elektronik. Kejahatan yang paling umum di daerah ini adalah pendaftaran badan hukum. orang atau perorangan atas nama warga negara Federasi Rusia yang tidak curiga. Cara penipuan populer lainnya adalah transaksi dengan perubahan kepemilikan real estat (ini terjadi ketika seseorang menjual apartemen Anda atas nama Anda kepada seseorang, tetapi Anda tidak tahu).
Tapi jangan terbawa oleh deskripsi kemungkinan tindakan ilegal dengan EDS agar tidak memberikan ide-ide kreatif kepada scammers. Sebaiknya kita mencoba memahami mengapa masalah ini memperoleh proporsi seperti itu, dan apa yang benar-benar perlu dilakukan untuk memberantasnya. Dan untuk ini, kita perlu memahami dengan jelas apa pusat sertifikasi itu, bagaimana tepatnya mereka bekerja dan apakah mereka begitu menakutkan karena kita dilukis di media dan pernyataan pihak-pihak yang berkepentingan.
Dari mana tanda tangan itu berasal?
Jadi, Anda adalah pengguna. Anda memerlukan sertifikat tanda tangan elektronik. Tidak masalah untuk tugas apa, dan dalam status apa Anda (perusahaan, individu, pengusaha individu) - algoritma untuk memperoleh sertifikat adalah standar. Dan Anda menghubungi pusat sertifikasi untuk membeli sertifikat tanda tangan elektronik.
Otoritas sertifikasi adalah perusahaan yang hukum Rusia menempatkan sejumlah persyaratan ketat.
Untuk memiliki hak untuk menerbitkan tanda tangan elektronik berkualitas yang disempurnakan, pusat sertifikasi harus menjalani prosedur akreditasi khusus dengan Kementerian Komunikasi. Prosedur akreditasi melibatkan penerapan sejumlah aturan ketat yang tidak semua perusahaan dapat patuhi.
Secara khusus, CA diharuskan untuk memiliki lisensi yang memberikannya hak untuk mengembangkan, memproduksi, mendistribusikan sarana enkripsi (kriptografi), informasi dan sistem telekomunikasi. Lisensi ini dikeluarkan oleh FSB setelah serangkaian inspeksi ketat oleh pemohon.
Karyawan CA harus memiliki pendidikan profesional yang lebih tinggi di bidang teknologi informasi atau keamanan informasi.
Undang-undang juga mewajibkan CA untuk mengasuransikan tanggung jawabnya atas “kerugian yang ditanggung oleh pihak ketiga sebagai akibat dari kepercayaan mereka pada informasi yang ditentukan dalam sertifikat kunci verifikasi tanda tangan elektronik yang dikeluarkan oleh CA tersebut, atau dalam informasi yang terdapat dalam register sertifikat yang dikelola oleh CA tersebut” dalam jumlah tidak kurang dari 30 juta rubel.
Seperti yang Anda lihat, tidak semuanya begitu sederhana.
Secara total, saat ini ada sekitar 500 CA di negara tersebut dengan hak untuk menerbitkan UKEP (sertifikat tanda tangan elektronik berkualitas yang disempurnakan). Ini tidak hanya mencakup pusat sertifikasi swasta, tetapi juga CA dengan semua jenis lembaga pemerintah (termasuk Layanan Pajak Federal, PRF, dll.), Bank, lantai perdagangan, termasuk yang milik negara.
Sertifikat tanda tangan elektronik dibuat menggunakan algoritma enkripsi yang disertifikasi oleh Layanan Keamanan Federal Federasi Rusia. Ini memungkinkan badan hukum dan individu untuk bertukar dokumen yang relevan secara hukum dalam bentuk elektronik. Menurut data resmi CA, mayoritas (95%) CEP dikeluarkan oleh jur. orang, sisanya - fisik. orang.
Setelah Anda menghubungi CA, hal berikut terjadi:
- CA mengesahkan identitas orang yang mengajukan sertifikat tanda tangan elektronik;
Hanya setelah konfirmasi identitas dan verifikasi semua dokumen, CA membuat dan mengeluarkan sertifikat yang mencakup informasi tentang pemegang sertifikat dan kunci verifikasi publiknya; - CA mengelola siklus hidup sertifikat: memastikan penerbitan, penangguhannya (termasuk atas permintaan pemilik), pembaruan, dan kedaluwarsa.
- Fungsi lain dari CA adalah layanan. Tidak cukup hanya mengeluarkan sertifikat. Pengguna secara teratur membutuhkan semua jenis konsultasi tentang prosedur penerbitan dan penggunaan tanda tangan, konsultasi tentang aplikasi dan pemilihan jenis sertifikat. CA besar, seperti CA Jaringan Bisnis, menyediakan layanan dukungan teknis, membuat berbagai perangkat lunak, meningkatkan proses bisnis, memantau perubahan dalam lingkup aplikasi sertifikat, dll. Bersaing satu sama lain, CA bekerja pada kualitas layanan TI, mengembangkan area ini.
Cossack salah penanganan!
Pertimbangkan hal. 1 dari algoritma di atas untuk mendapatkan EP. Apa artinya “memverifikasi identitas” orang yang mengajukan sertifikat? Ini berarti bahwa orang yang namanya dikeluarkan sertifikat harus secara pribadi muncul di kantor CA atau pada titik penerbitan yang memiliki perjanjian kemitraan dengan CA, dan menunjukkan dokumen asli mereka di sana. Secara khusus, paspor warga negara Federasi Rusia. Dalam beberapa kasus, ketika datang ke tanda tangan untuk jur. orang dan pengusaha perorangan, prosedur sertifikasi bahkan lebih rumit dan memerlukan penyajian dokumen tambahan.
Justru pada tahap ini, yaitu, di awal, ketika masalah penandatanganan sertifikat belum mencapai, dan masalah yang paling penting terletak. Dan kata kuncinya di sini adalah "paspor".
Kebocoran data pribadi di negara ini telah memperoleh skala industri yang benar-benar. Ada sumber daya online di mana Anda bisa mendapatkan salinan paspor yang masih berlaku dari warga Federasi Rusia untuk sedikit uang atau bahkan gratis. Tapi pemindaian paspor di negara kita, yang dibebani oleh warisan pasca-Soviet dengan gaya "dokumen saat ini", dapat dikumpulkan dari warga di mana saja - tidak hanya di bank atau lembaga keuangan lainnya, tetapi juga di hotel, sekolah, universitas, kantor tiket udara dan kereta api, pusat anak-anak, titik layanan pelanggan seluler - di mana pun mereka perlu menunjukkan paspor untuk layanan, yaitu hampir di semua tempat. Dengan perkembangan teknologi digital, saluran akses luas ke data pribadi ini telah diambil alih oleh pekerja kriminal.
Ini juga sangat umum "layanan" pencurian data pribadi orang tertentu.
Selain itu, ada seluruh pasukan yang disebut. "Denominasi" - orang-orang, biasanya sangat muda, atau sangat miskin dan berpendidikan rendah, atau hanya diturunkan, kepada siapa penyerang menjanjikan hadiah sederhana bagi mereka untuk datang ke CA atau ke titik penerbitan dengan paspor mereka dan memesan tanda tangan atas nama mereka di sebagai, misalnya, direktur perusahaan. Tak perlu dikatakan, orang seperti itu kemudian tidak ada hubungannya dengan kegiatan perusahaan dan tidak dapat memberikan bantuan nyata untuk penyelidikan ketika penipuan dibuka.
Jadi, memindai paspor bukan masalah. Tetapi Anda membutuhkan paspor asli untuk memverifikasinya, bagaimana bisa seorang pembaca yang penuh perhatian bertanya? Dan untuk menghindari masalah ini, di dunia ada beberapa poin masalah yang tidak bermoral. Meskipun prosedur seleksi ketat, status titik masalah secara berkala diperoleh oleh karakter kriminal dan kemudian mulai melakukan tindakan ilegal dengan data pribadi warga negara.
Gabungan dua faktor ini memberi kita seluruh masalah dengan kriminalisasi penggunaan senjata elektronik yang sekarang kita miliki.
Sendiri di lapangan bukan seorang pejuang?
Semua ini, tanpa berlebihan, pasukan penipu sekarang hanya disaring oleh pusat sertifikasi. CA mana pun memiliki layanan keamanannya sendiri. Semua yang mengajukan tanda tangan diperiksa dengan teliti pada tahap identifikasi. Setiap orang yang ingin bekerja sama dalam status titik masalah untuk CA tertentu juga diperiksa dengan teliti pada tahap menyimpulkan perjanjian kemitraan, dan kemudian, dalam proses interaksi bisnis.
Tidak bisa sebaliknya, karena sertifikat yang tidak bermoral mengancam CA dengan penutupan - undang-undang di bidang ini sulit.
Tetapi tidak mungkin untuk memahami besarnya, dan bagian dari poin pengiriman yang tidak bermoral masih "merembes" ke dalam mitra CA. Dan "nilai nominal" bahkan mungkin bukan alasan untuk menolak mengeluarkan sertifikat - lagipula, itu berlaku untuk CA yang sepenuhnya secara hukum.
Juga, jika penipuan dibuka dengan tanda tangan atas nama orang tertentu, hanya pusat sertifikasi yang akan membantu menyelesaikan masalah. Karena pusat sertifikasi dalam kasus ini menarik sertifikat tanda tangan, melakukan penyelidikan internal, memantau seluruh rantai masalah sertifikat, dan dapat memberikan pengadilan dengan dokumen yang diperlukan tentang tindakan curang dalam mengeluarkan kunci tanda tangan elektronik. Hanya bahan-bahan dari pusat sertifikasi yang akan membantu pengadilan memutuskan kasus yang menguntungkan pihak yang benar-benar terluka: orang yang namanya ditanda tangani.
Namun, buta huruf digital umum juga tidak berfungsi untuk kepentingan para korban. Tidak semua orang pergi sampai akhir, melindungi kepentingan mereka. Tetapi tindakan melanggar hukum dengan EDS harus ditantang di pengadilan. Dan pusat sertifikasi dalam hal ini - bantuan utama.
Bunuh semua CA?
Jadi, di negara kami, diputuskan untuk membuat perubahan pada prosedur operasi CA dan persyaratan untuk mereka. Sekelompok deputi dan senator mengembangkan RUU yang sesuai, yang bahkan diadopsi oleh Duma Negara dalam bacaan pertama pada 7 November 2019.
Dokumen tersebut memberikan reformasi besar pada sistem sertifikat tanda tangan elektronik. Secara khusus, ia menyarankan bahwa badan hukum dan pengusaha perorangan (IP) akan dapat menerima tanda tangan elektronik berkualitas yang disempurnakan (UKEP) hanya di Layanan Pajak Federal, dan organisasi keuangan di Bank Sentral. Pusat Sertifikasi (CA) yang diakreditasi oleh Kementerian Komunikasi dan Media Massa, yang sekarang mengeluarkan sertifikat elektronik, akan dapat menerbitkannya hanya untuk individu.
Pada saat yang sama, persyaratan untuk CA tersebut direncanakan akan diperketat secara signifikan. Jumlah minimum aset bersih dari pusat sertifikasi terakreditasi harus ditingkatkan dari 7 juta rubel. hingga 1 miliar rubel, dan jumlah minimum keamanan finansial - dari 30 juta rubel. hingga 200 juta rubel. Jika pusat sertifikasi memiliki cabang di setidaknya dua pertiga wilayah Rusia, maka jumlah minimum aset bersih dapat dikurangi menjadi 500 juta rubel.
Periode akreditasi pusat sertifikasi berkurang dari lima menjadi tiga tahun. Untuk pelanggaran dalam pekerjaan pusat sertifikasi yang bersifat teknis, tanggung jawab administratif diperkenalkan.
Semua ini harus mengurangi jumlah penipuan tanda tangan elektronik, penulis percaya.
Apa hasilnya?
Seperti yang dapat Anda lihat dengan mudah, RUU yang baru tidak dengan cara apa pun mengatasi masalah kriminalitas penggunaan dokumen warga Federasi Rusia dan pencurian data pribadi. Tidak masalah siapa yang akan mengeluarkan tanda tangan CA atau Layanan Pajak Federal, identitas pemilik tanda tangan masih harus diverifikasi, dan RUU tidak memberikan inovasi apa pun tentang masalah ini. Jika titik masalah yang tidak bermoral bekerja di bawah skema kriminal untuk CA konvensional, lalu apa yang akan mencegahnya melakukan hal yang sama untuk negara?
Versi rancangan undang-undang saat ini tidak menjelaskan siapa dan apa yang akan bertanggung jawab atas penerbitan UKEC jika tanda tangan ini digunakan dalam kegiatan penipuan. Selain itu, bahkan dalam KUHP tidak ada artikel yang cocok yang akan memungkinkan untuk menuntut untuk penerbitan sertifikat tanda tangan elektronik untuk data pribadi yang dicuri.
Masalah terpisah adalah kelebihan CA milik negara, yang tentu akan terjadi di bawah aturan baru dan akan membuat penyediaan layanan kepada warga negara dan badan hukum sangat lambat dan sulit.
Fungsi layanan CA tidak dianggap sama sekali dalam tagihan. Apakah departemen layanan berlangganan akan dibuat berdasarkan usulan CA besar milik negara, berapa banyak waktu yang dibutuhkan dan investasi finansial apa yang akan dibutuhkan, siapa yang akan terlibat dalam layanan pelanggan, sementara infrastruktur seperti itu sedang dibuat, tidak jelas. Jelas, hilangnya persaingan di bidang ini dapat dengan mudah menyebabkan stagnasi di industri.
Artinya, di pintu keluar kita mendapatkan monopoli pasar CA oleh lembaga pemerintah, membebani struktur ini dengan melambat dalam semua kegiatan EDI, kurangnya dukungan pengguna akhir dalam hal penipuan dan penghancuran total pasar CA saat ini bersama dengan infrastruktur yang ada (ini adalah sekitar 15.000 pekerjaan di seluruh negara) )
Siapa yang akan menderita? Mereka yang menderita sekarang, yaitu, pengguna akhir dan otoritas sertifikasi, akan menderita sebagai akibat dari penerapan RUU tersebut.
Dan bisnis yang berkembang pada pencurian data pribadi akan terus berkembang. Apakah sudah waktunya bagi lembaga penegak hukum dan anggota parlemen untuk mengalihkan perhatian mereka ke masalah ini dan benar-benar menanggapi tantangan era digital? Kemungkinan untuk pencurian data pribadi dan penggunaan kriminal mereka selanjutnya selama 10-15 tahun terakhir telah meningkat berkali-kali. Meningkat dan tingkat pelatihan para penjahat. Anda perlu menanggapi hal ini dengan memperkenalkan langkah-langkah tanggung jawab yang ketat untuk setiap tindakan ilegal dengan data pribadi orang lain baik untuk perusahaan dan karyawan mereka, dan untuk individu. Dan untuk benar-benar menyelesaikan masalah kriminal yang menggunakan sertifikat tanda tangan elektronik, perlu dibuat undang-undang yang akan mengatur tentang pertanggungjawaban, termasuk pertanggungjawaban pidana, atas tindakan tersebut. Dan bukan tagihan yang hanya mendistribusikan kembali aliran keuangan, mempersulit prosedur bagi pengguna akhir dan tidak memberi siapa pun perlindungan pada akhirnya.