O que está havendo?
O tópico de atos fraudulentos cometidos com a ajuda de um certificado de assinatura eletrônica recebeu ampla publicidade recentemente. A mídia federal estabeleceu como regra contar periodicamente histórias assustadoras sobre casos de uso indevido de assinaturas eletrônicas. O crime mais comum nessa área é o registro de pessoas jurídicas. pessoa ou indivíduo em nome de um cidadão inocente da Federação Russa. Outra maneira popular de fraude é uma transação com uma mudança na propriedade imobiliária (é quando alguém vende seu apartamento em seu nome a alguém, mas você não sabe).
Mas não vamos nos deixar levar pela descrição de possíveis ações ilegais com a EDS, para não dar idéias criativas aos golpistas. Vamos tentar entender melhor por que esse problema adquiriu tais proporções e o que realmente precisa ser feito para erradicá-lo. E, para isso, precisamos entender claramente o que são os centros de certificação, como exatamente eles funcionam e se são tão assustadores quanto somos pintados na mídia e nas declarações das partes interessadas.
De onde vêm as assinaturas?
Então, você é um usuário. Você precisa de um certificado de assinatura eletrônica. Não importa para quais tarefas e em que status você é (empresa, indivíduo, empresário) - o algoritmo para obter um certificado é padrão. E você entra em contato com o centro de certificação para adquirir um certificado de assinatura eletrônica.
Uma autoridade de certificação é uma empresa à qual a lei russa impõe vários requisitos rigorosos.
Para ter o direito de emitir uma assinatura eletrônica qualificada aprimorada, o centro de certificação deve passar por um procedimento de credenciamento especial com o Ministério das Comunicações. O procedimento de credenciamento envolve a implementação de várias regras estritas que nem toda empresa é capaz de cumprir.
Em particular, a CA é obrigada a ter uma licença que lhe conceda o direito de desenvolver, fabricar, distribuir meios de criptografia (criptográficos), sistemas de informação e telecomunicações. Esta licença é emitida pelo FSB após uma série de inspeções rigorosas pelo requerente.
Os funcionários da CA devem ter uma educação profissional superior no campo da tecnologia da informação ou segurança da informação.
A lei também obriga a CA a garantir sua responsabilidade por "perdas incorridas por terceiros como resultado de sua confiança nas informações especificadas no certificado da chave de verificação de assinatura eletrônica emitida por essa CA ou nas informações contidas no registro de certificado mantido por essa CA" no valor não inferior a 30 milhões de rublos.
Como você pode ver, nem tudo é tão simples.
No total, existem atualmente cerca de 500 CAs no país com o direito de emitir UKEP (certificado de assinatura eletrônica qualificada aprimorada). Isso inclui não apenas os centros de certificação privados, mas também a CA com todos os tipos de agências governamentais (incluindo o Serviço Fiscal Federal, PRF etc.), bancos, pregões, incluindo os estaduais.
Um certificado de assinatura eletrônica é criado usando algoritmos de criptografia certificados pelo Serviço de Segurança Federal da Federação Russa. Ele permite que pessoas jurídicas e indivíduos troquem documentos legalmente relevantes em formato eletrônico. Segundo dados oficiais da CA, a maioria (95%) do CEP é emitida pelo jur. pessoas, o resto - físico. pessoas.
Depois de entrar em contato com a CA, ocorre o seguinte:
- A CA certifica a identidade da pessoa que solicitou um certificado de assinatura eletrônica;
Somente após a confirmação da identidade e verificação de todos os documentos a CA produz e emite um certificado que inclui informações sobre o titular do certificado e sua chave de verificação pública; - A CA gerencia o ciclo de vida do certificado: garante sua emissão, suspensão (inclusive a pedido do proprietário), renovação e vencimento.
- Outra função da CA é serviço. Não basta apenas emitir um certificado. Os usuários precisam regularmente de todos os tipos de consultas sobre o procedimento para emitir e usar uma assinatura, consultas sobre a aplicação e seleção do tipo de certificado. As grandes CAs, como as CAs da Business Network, fornecem serviços de suporte técnico, criam vários softwares, melhoram os processos de negócios, monitoram as mudanças no escopo da aplicação dos certificados, etc. Competindo entre si, as CAs trabalham na qualidade dos serviços de TI, desenvolvimento desta área.
Cossaco maltratado!
Considere a página 1 do algoritmo acima para obter EP. O que significa "verificar a identidade" de uma pessoa que solicitou um certificado? Isso significa que a pessoa em cujo nome o certificado é emitido deve comparecer pessoalmente no escritório da CA ou no ponto de emissão que possui um contrato de parceria com a CA e apresentar lá os originais de seus documentos. Em particular, um passaporte de um cidadão da Federação Russa. Em alguns casos, quando se trata de assinaturas para jur. pessoas e empreendedores individuais, o procedimento de certificação é ainda mais complicado e requer a apresentação de documentos adicionais.
É precisamente nesta fase, isto é, no início, quando a questão da assinatura de um certificado ainda não chegou, e o problema mais importante está. E a palavra-chave aqui é "passaporte".
O vazamento de dados pessoais no país adquiriu uma escala verdadeiramente industrial. Existem recursos on-line onde você pode obter cópias digitalizadas de passaportes válidos de cidadãos da Federação Russa por pouco dinheiro ou mesmo gratuitamente. Mas as varreduras de passaporte em nosso país, oprimidas por uma herança pós-soviética no estilo de "documentos atuais", podem ser coletadas de cidadãos de todos os lugares - não apenas em bancos ou outras instituições financeiras, mas também em hotéis, escolas, universidades, bilheteiras aéreas e ferroviárias, centros infantis, pontos de serviço de assinantes de celular - onde quer que eles precisem apresentar um passaporte para serviço, ou seja, quase todos os lugares. Com o desenvolvimento das tecnologias digitais, esse amplo canal de acesso a dados pessoais foi assumido por trabalhadores criminosos.
Também é muito comum "serviços" roubo de dados pessoais de pessoas específicas.
Além disso, existe todo um exército dos chamados. “Denominações” - pessoas, geralmente muito jovens, ou muito pobres e com baixa escolaridade ou baixa escolaridade, a quem os atacantes prometem uma recompensa modesta por virem à CA ou ao ponto de problema com seu passaporte e pedirem uma assinatura em seu nome em como, por exemplo, o diretor da empresa. Escusado será dizer que essa pessoa não tem nada a ver com as atividades da empresa e não pode prestar assistência real à investigação quando um golpe é aberto.
Portanto, digitalizar um passaporte não é um problema. Mas você precisa de um passaporte original para verificá-lo, como um leitor atento pode perguntar? E para contornar esse problema, no mundo existem pontos de questão inescrupulosos. Apesar do rigoroso processo de seleção, o status do ponto de emissão é obtido periodicamente por personagens criminosos e começa a cometer ações ilegais com os dados pessoais dos cidadãos.
Esses dois fatores combinados nos dão todo o eixo de problemas com a criminalização do uso de armas eletrônicas que temos agora.
Sozinho no campo não é um guerreiro?
Tudo isso, sem exagero, o exército de fraudadores agora é filtrado apenas por centros de certificação. Qualquer CA possui seus próprios serviços de segurança. Todos os que solicitam uma assinatura são cuidadosamente verificados no estágio de identificação. Todo mundo que deseja cooperar no status de um ponto de problema para uma CA específica também é cuidadosamente verificado tanto na fase de conclusão de um contrato de parceria, quanto posteriormente no processo de interação comercial.
Não pode ser de outra forma, porque um certificado inescrupuloso ameaça o fechamento da CA - a legislação nessa área é dura.
Mas é impossível compreender a imensidão, e parte dos pontos de entrega inescrupulosos ainda “infiltra-se” nos parceiros da CA. E o "valor nominal" pode até não ser um motivo para se recusar a emitir um certificado - afinal, ele se aplica à CA completamente legalmente.
Além disso, caso um golpe seja aberto com uma assinatura em nome de uma pessoa específica, apenas o centro de certificação ajudará a resolver o problema. Como o centro de certificação neste caso retira o certificado de assinatura, realiza uma investigação interna, acompanhando toda a cadeia de emissão do certificado e pode fornecer ao tribunal os documentos necessários sobre ações fraudulentas na emissão da chave de assinatura eletrônica. Somente materiais do centro de certificação ajudarão o tribunal a decidir o caso em favor da parte realmente ferida: a pessoa em cujo nome a assinatura foi enganada.
No entanto, o analfabetismo digital geral também não funciona em benefício das vítimas. Nem todo mundo vai até o fim, protegendo seus interesses. Mas ações ilegais com a EDS devem ser contestadas judicialmente. E centros de certificação neste - a principal ajuda.
Matar todos os CAs?
E assim, em nosso estado, foi decidido fazer alterações no procedimento operacional da CA e nos requisitos para eles. Um grupo de deputados e senadores desenvolveu um projeto de lei correspondente, que foi adotado pela Duma do Estado em primeira leitura em 7 de novembro de 2019.
O documento prevê uma grande reforma do sistema de certificados de assinaturas eletrônicas. Em particular, ele sugere que as pessoas jurídicas e os empresários individuais (IPs) poderão receber uma assinatura eletrônica qualificada aprimorada (UKEP) apenas no Serviço Fiscal Federal e organizações financeiras no Banco Central. Os centros de certificação (CAs) credenciados pelo Ministério das Comunicações e Meios de Comunicação de Massa, que estão emitindo certificados eletrônicos agora, poderão emiti-los somente para indivíduos.
Ao mesmo tempo, os requisitos para essas CAs estão planejados para serem significativamente reforçados. A quantidade mínima de ativos líquidos de um centro de certificação credenciado deve ser aumentada de 7 milhões de rublos. até 1 bilhão de rublos e a quantidade mínima de segurança financeira - de 30 milhões de rublos. até 200 milhões de rublos. Se o centro de certificação tiver filiais em pelo menos dois terços das regiões russas, a quantidade mínima de ativos líquidos poderá ser reduzida para 500 milhões de rublos.
O período de credenciamento dos centros de certificação é reduzido de cinco para três anos. Para violações no trabalho de centros de certificação de natureza técnica, é introduzida uma responsabilidade administrativa.
Tudo isso deve reduzir a quantidade de fraudes com assinaturas eletrônicas, acreditam os autores do projeto.
Qual é o resultado?
Como você pode ver facilmente, o novo projeto de lei não trata de forma alguma o problema do uso criminoso de documentos de cidadãos da Federação Russa e o roubo de dados pessoais. Não importa quem emitirá a assinatura da CA ou do Serviço Fiscal Federal, a identidade do proprietário da assinatura ainda terá que ser verificada e a fatura não fornece nenhuma inovação sobre esse assunto. Se um ponto de questão inescrupuloso funcionasse sob esquemas criminais para uma CA convencional, o que impediria que ela fizesse o mesmo pelo Estado?
A versão atual do projeto de lei não especifica quem e o que será responsabilizado pela emissão do UKEC se essa assinatura for usada em atividades fraudulentas. Além disso, mesmo no Código Penal, não existe um artigo adequado que permita processar a emissão de um certificado de assinatura eletrônica para dados pessoais roubados.
Um problema separado é a sobrecarga de autoridades de certificação estatais, que necessariamente ocorrerão sob as novas regras e tornarão a prestação de serviços a cidadãos e entidades legais muito lenta e difícil.
A função de serviço da CA não é considerada na fatura. Se os departamentos de atendimento ao cliente serão criados sob as grandes CAs estatais propostas, quanto tempo levará e quais investimentos financeiros serão necessários, quem estará envolvido no atendimento ao cliente, enquanto essa infraestrutura estiver sendo criada, não está claro. Obviamente, o desaparecimento da concorrência nessa área pode facilmente levar à estagnação do setor.
Ou seja, na saída, obtemos a monopolização do mercado de CA por agências governamentais, sobrecarregando essas estruturas com uma desaceleração em todas as atividades de EDI, a falta de suporte do usuário final em caso de fraude e a destruição completa do mercado atual de CA juntamente com a infraestrutura existente (cerca de 15.000 empregos em todo o país )
Quem sofrerá? Aqueles que sofrem agora, ou seja, usuários finais e autoridades de certificação, sofrerão como resultado da adoção de tal projeto de lei.
E uma empresa que floresce com o roubo de dados pessoais continuará a florescer. Chegou a hora das agências policiais e legisladores voltarem sua atenção para este problema e responderem seriamente aos desafios da era digital? As possibilidades de roubo de dados pessoais e seu subsequente uso criminoso nos últimos 10 a 15 anos aumentaram muitas vezes. Aumento e nível de treinamento dos criminosos. Você precisa responder a isso introduzindo medidas estritas de responsabilidade por quaisquer ações ilegais com dados pessoais de outras pessoas, tanto para empresas quanto para seus funcionários e para indivíduos. E, para realmente resolver o problema do uso criminal de certificados de assinatura eletrônica, é necessário criar um projeto de lei que preveja a responsabilidade, inclusive a responsabilidade criminal, por essas ações. E não um projeto de lei que simplesmente redistribua os fluxos financeiros, complique o procedimento para o usuário final e não proteja ninguém no final.