这是怎么回事?
在电子签名证书的帮助下进行的欺诈行为这一主题最近广为宣传。 联邦媒体规定定期发布有关滥用电子签名的恐怖故事。 该领域最常见的犯罪是法人实体的注册。 以俄罗斯联邦毫无戒心的公民的名义的个人或个人。 另一种流行的欺诈方式是更改房地产所有权的交易(这是有人代您向他人出售您的公寓,但您不知道)。
但是,让我们不要迷惑于EDS可能采取的非法行为,以免给诈骗者以创意。 让我们更好地尝试理解为什么这个问题已达到如此比例,以及真正需要做些什么才能消除它。 为此,我们需要清楚地了解什么是认证中心,认证中心如何工作以及它们是否像媒体和有关方面的言论中所描绘的那样令人恐惧。
签名来自哪里?
因此,您是用户。 您需要电子签名证书。 不管是什么任务,以及您处于何种状态(公司,个人,个人企业家),都没有关系-获取证书的算法是标准的。 然后,您与认证中心联系,以购买电子签名证书。
认证机构是俄罗斯法律对其提出严格要求的公司。
为了有权发布增强的合格电子签名,认证中心必须经过交通部的特殊认证程序。 认证程序涉及并非每个公司都能遵守的许多严格规则的执行。
特别是,要求CA拥有许可证,授予它开发,制造,分发加密(密码)手段,信息和电信系统的权利。 在申请人进行了一系列严格检查之后,该许可证由FSB颁发。
CA员工必须在信息技术或信息安全领域接受更高的专业教育。
法律还要求CA对“第三方因信任该CA颁发的电子签名验证密钥的证书中指定的信息或该CA维护的证书登记册中包含的信息而造成的损失”承担不低于3000万卢布。
如您所见,并非一切都那么简单。
目前,该国总共有大约500个CA有权发布UKEP(增强的合格电子签名证书)。 这不仅包括私人认证中心,还包括具有各种政府机构(包括联邦税务局,PRF等),银行,交易大厅(包括州政府)的CA。
使用由俄罗斯联邦联邦安全局认证的加密算法创建电子签名证书。 它允许法人和个人以电子形式交换法律相关文件。 根据CA的官方数据,CEP的大多数(95%)由法律顾问发行。 人,其余-身体。 人。
与CA联系后,将发生以下情况:
- CA证明申请电子签名证书的人的身份;
仅在确认身份并验证所有文件之后,CA才会生成并颁发包含有关证书持有者及其公共验证密钥信息的证书; - CA管理证书的生命周期:确保证书的颁发,中止(包括在所有者的要求下),更新和过期。
- CA的另一个功能是服务。 仅颁发证书是不够的。 用户经常需要有关发行和使用签名的程序的各种咨询,有关证书的申请和选择的咨询。 大型CA(例如业务网络CA)提供技术支持服务,创建各种软件,改善业务流程,监视证书应用范围的变化等。CA相互竞争,致力于提高IT服务的质量,发展这一领域。
哥萨克处理不当!
考虑上述获得EP的算法的第1页。 “验证申请证书的人的身份”是什么意思? 这意味着以其名义颁发证书的人必须亲自出现在CA办事处或与CA有合伙协议的签发点,并在此出示其文件正本。 特别是俄罗斯联邦公民的护照。 在某些情况下,涉及到陪审签名。 对于个人和企业家,认证程序甚至更加复杂,并且需要提供其他文件。
正是在这个阶段,也就是刚开始时,尚未达成签署证书的问题,而最重要的问题就在于此。 这里的关键词是“护照”。
该国个人数据的泄露已经达到了真正的工业规模。 有在线资源,您可以花很少的钱甚至免费获得俄罗斯联邦公民有效护照的扫描副本。 但是在我国,护照扫描被后苏联遗留下来的“现成文件”样式所压制,可以从世界各地的公民那里收集到,不仅在银行或其他金融机构,而且在酒店,学校,大学,飞机票和铁路售票处,儿童中心,蜂窝用户的服务点-无论他们需要出示护照进行服务,即几乎在任何地方。 随着数字技术的发展,犯罪分子接管了广泛的个人数据访问渠道。
特定人员的个人数据的“服务”盗窃也很常见。
此外,还有一支所谓的全军。 “区别对待”-攻击者向他们许诺适度的奖励,以便他们带着护照来到CA或到发行点并以他们的名字下达签名,通常是很小的人,或非常贫穷的人,受过良好教育的人,或干脆被放低的人。作为公司的董事。 毋庸置疑,这样的人与公司的活动无关,并且在诈骗案开启时无法为调查提供任何真正的帮助。
因此,扫描护照不是问题。 但是,您需要护照原件来进行验证,细心的读者怎么问? 为了避免这个问题,世界上存在不道德的问题。 尽管选择程序很严格,犯罪分子还是会定期获取问题点的状态,然后开始使用公民的个人数据进行非法行为。
这两个因素加在一起,给我们带来了整个问题,而现在我们已经将使用电子武器定为犯罪。
战场上没有一个战士吗?
所有这些,毫不夸张地说,欺诈者大军现在仅由认证中心过滤。 任何CA都有自己的安全服务。 在身份识别阶段,将仔细检查所有申请签名的人。 在达成合伙协议的阶段以及随后的业务交互过程中,还仔细检查了每个希望在特定CA的发行点状态中进行合作的人。
事实并非如此,因为不道德的证书会威胁到CA的关闭,这是很严格的法律。
但是,无法把握其庞大之处,并且某些不道德的交付点仍然“渗入”到CA的合作伙伴中。 而且,“面值”甚至可能不是拒绝颁发证书的理由-毕竟,它完全合法地适用于CA。
另外,如果打开的骗局带有特定人名的签名,则只有认证中心才能帮助解决问题。 由于在这种情况下,认证中心会撤回签名证书,进行内部调查,跟踪证书的整个发行链,并且可以向法院提供有关发布电子签名密钥时欺诈行为的必要文件。 只有认证中心提供的材料才能帮助法院以真正受害的一方为胜诉:被欺骗签名的人。
但是,一般的数字文盲也无法使受害者受益。 并非每个人都走到尽头,保护自己的利益。 但是,必须在法庭上对使用EDS的非法行为提出质疑。 而认证中心在此-主要帮助。
杀死所有CA?
因此,在我们的状态下,决定对CA的操作程序及其要求进行更改。 一群议员和参议员制定了相应的法案,国家杜马甚至在2019年11月7日的一读中通过了该法案。
该文件对电子签名证书制度进行了重大改革。 他特别建议法人和企业家个人(IPs)仅在联邦税务局和中央银行的金融组织中才能获得增强的合格电子签名(UKEP)。 目前已颁发电子证书的,由通讯和大众传媒部认可的认证中心(CA)将只能向个人颁发证书。
同时,计划严格限制此类CA的要求。 认证中心的最低净资产应从700万卢布增加。 最多10亿卢布,以及最低财务担保-从3000万卢布起。 高达2亿卢布。 如果认证中心在俄罗斯至少三分之二的地区设有分支机构,那么最低净资产额可以减少到5亿卢布。
认证中心的认证期限从五年缩短为三年。 对于技术性认证中心工作中的违规行为,引入了行政责任。
该法案的作者认为,所有这些都将减少电子签名欺诈的数量。
结果如何?
正如您可以轻易看到的那样,新法案无论如何都不会解决犯罪使用俄罗斯联邦公民文件和盗窃个人数据的问题。 谁签发CA或联邦税务局的签名都没有关系,签名所有者的身份仍然必须进行验证,并且该法案在此问题上没有提供任何创新。 如果在常规CA的犯罪计划下有不道德的问题要解决,那么什么会阻止它为国家做同样的事情?
当前版本的法律草案并未明确指出,如果该签名用于欺诈活动,将由谁负责签发UKEC。 此外,即使在《刑法典》中,也没有合适的条款允许起诉以针对被盗的个人数据颁发电子签名证书。
另一个问题是国有CA的超载,这必然在新规则下发生,这将使向公民和法人提供服务的速度非常缓慢和困难。
法案中根本没有考虑CA的服务功能。 目前尚不清楚是否将在拟议的国有大型CA下创建客户服务部门,这将花费多少时间以及需要进行哪些金融投资,而在创建此类基础架构的过程中将由谁参与客户服务。 显然,该领域竞争的消失很容易导致行业停滞。
也就是说,在出口处,我们被政府机构垄断了CA市场,使这些结构超负荷运转,导致所有EDI活动减慢,发生欺诈时缺乏最终用户支持,以及现有CA基础设施和现有基础设施的完全破坏(在全国大约有15,000个工作岗位) )
谁会受苦? 通过这项法案将使现在遭受苦难的那些人,即最终用户和证书颁发机构遭受苦难。
随着盗窃个人数据而兴旺的业务将继续蓬勃发展。 执法机构和立法者现在该把注意力转向这个问题,并真正认真地应对数字时代的挑战了吗? 在过去的10到15年中,盗窃个人数据及其随后被犯罪使用的可能性增加了很多倍。 犯罪分子的训练水平提高。 您需要通过对公司及其员工以及个人的他人个人数据采取严格的措施来应对任何非法行为,以对此做出回应。 为了真正解决电子签名证书在犯罪中的使用问题,有必要制定一项法案,规定对此类行为承担包括刑事责任在内的责任。 并不是简单地重新分配资金流量,使最终用户的程序复杂化,最终不会给任何人任何保护的法案。