IT-инфраструктура
Законодательство в IT
IT-компании
26 декабря 2019

Хищник или жертва? Кто защитит удостоверяющие центры

Из песочницы

Что происходит?


Тема мошеннических действий, совершаемых при помощи сертификата электронной подписи, получила широкий общественный резонанс в последнее время. Федеральные СМИ взяли себе за правило периодически рассказывать страшные истории о случаях неправомерного использования электронной подписи. Самое распространенное преступление в этой сфере – регистрация юр. лица или ИП на имя ничего не подозревающего гражданина РФ. Также популярным способом мошенничества является сделка с изменением прав собственности на недвижимость (это когда вашу квартиру от вашего имени кто-то продаёт кому-то, а вы и не знаете).

Но не будем увлекаться описанием возможных противоправных действий с ЭЦП, чтобы не подавать творческих идей мошенникам. Давайте лучше попробуем разобраться, почему эта проблема приобрела такие масштабы, и что реально нужно делать для ее искоренения. А для этого нам необходимо четко понимать, что такое удостоверяющие центры, как именно они работают и так ли они страшны, как нам их малюют в СМИ и высказываниях заинтересованных лиц.

Откуда берутся подписи?




Итак, вы – пользователь. Вам нужен сертификат электронной подписи. Неважно для каких задач, и в каком вы статусе (компания, физлицо, ИП) – алгоритм получения сертификата стандартный. И вы обращаетесь в удостоверяющий центр с целью покупки сертификата ЭП.

Удостоверяющий центр – это компания, к которой российское законодательство предъявляет ряд жестких требований.

Чтобы иметь право выпускать усиленную квалифицированную электронную подпись, удостоверяющий центр должен пройти специальную процедуру аккредитации в Минкомсвязи. Процедура аккредитации предполагает выполнение ряда строгих правил, которые в состоянии выполнить не каждая компания.

В частности, УЦ обязан иметь лицензию, предоставляющую ему право на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем. Эта лицензия выдается ФСБ после прохождения претендентом серии строгих проверок.

Работники УЦ должны иметь высшее профессиональное образование в области информационных технологий или информационной безопасности.

Также закон обязывает УЦ застраховать свою ответственность за «убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданного таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ» в сумме не менее чем 30 миллионов рублей.

Как видите, не все так просто.

Всего в стране в настоящий момент существует около 500 УЦ, обладающих правом выдавать УКЭП (сертификат усиленной квалифицированной электронной подписи). Сюда входят не только частные удостоверяющие центры, но и УЦ при всевозможных госструктурах (включая ФНС, ПРФ и проч.), банках, торговых площадках, в том числе государственных.

Сертификат электронной подписи создается с помощью алгоритмов шифрования, сертифицированных ФСБ РФ. Он позволяет юридическим и физическим лицам обмениваться юридически значимыми документами в электронном виде. По официальным данным УЦ, большая часть (95%) КЭП выдается юр. лицам, остальное – физ. лицам.

После того, как вы обратились в УЦ, происходит следующее:

  1. УЦ удостоверяет личность человека, который обратился за сертификатом электронной подписи;
    Только после подтверждения личности и проверки всех документов УЦ изготавливает и выдает сертификат, в который включены данные о владельце сертификата и его открытый ключ проверки;
  2. УЦ управляет жизненным циклом сертификата: обеспечивает его выпуск, приостановление (в том числе по просьбе владельца), возобновление, завершение срока действия.
  3. Еще одна функция УЦ – сервисная. Мало просто выпустить сертификат. Пользователям регулярно требуются всевозможные консультации по процедуре выпуска и использования подписи, консультации по применению и выбору типа сертификата. Крупные УЦ, такие как УЦ компании «Деловая сеть», оказывают услуги технической поддержки, создают различное ПО, улучшают бизнес-процессы, мониторят изменения в сферах применения сертификатов и т. п. Конкурируя между собой, УЦ работают над качеством оказания IT-услуг, развивая эту сферу.

Казачок-то засланный!




Рассмотрим п. 1 приведенного выше алгоритма получения ЭП. Что значит «удостоверить личность» человека, который обратился за сертификатом? Это значит, что человек, на чье имя выпускается сертификат, должен лично явиться либо в офис УЦ, либо в точку выдачи, имеющую партнерское соглашение с УЦ, и предъявить там подлинники своих документов. В частности – паспорт гражданина РФ. В некоторых случаях, когда речь идет о подписях для юр. лиц и ИП, процедура удостоверения еще более сложная и требует предъявления дополнительных документов.

Вот именно в этом этапе, то есть в самом начале, когда до выпуска сертификата подписи дело еще даже не дошло, и кроется самая главная проблема. И ключевое слово здесь: «паспорт».

Утечка персональных данных в стране приобрела поистине промышленные масштабы. Существуют интернет-ресурсы, где вы можете за небольшие деньги или вовсе бесплатно получить скан-копии действующих паспортов граждан РФ. А ведь сканы паспортов в нашей стране, отягощенной постсоветским наследием в стиле «предъявите документики», можно собирать от граждан повсеместно – не только в банках или других финансовых учреждениях, но и в гостиницах, школах, вузах, авиа и ЖД кассах, детских центрах, точках обслуживания абонентов сотовой связи – везде, где требуют предъявить паспорт для обслуживания, то есть практически вообще везде. С развитием цифровых технологий этот широченный канал доступа к персональным данным взяли в оборот труженики криминальной сферы.

Также очень распространены «сервисы» краж персональных данных конкретных людей.

Помимо этого, существует целая армия т. н. «номиналов» – людей, как правило очень молодых, или очень бедных и малообразованных, или просто опустившихся, которым злоумышленники обещают скромное вознаграждение за то, чтобы они со своим паспортом явились в УЦ или в точку выдачи и заказали бы там подпись на свое имя в качестве, например, директора фирмы. Надо ли говорить, что такой человек не имеет потом никакого отношения к деятельности фирмы и никакой реальной помощи следствию оказать не может, когда афера вскрывается.

Итак, скан паспорта – не проблема. Но ведь для удостоверения нужен подлинник паспорта, как же так, спросит внимательный читатель? А чтобы обойти эту проблему, на свете существуют недобросовестные точки выдачи. Несмотря на жесткую процедуру отбора, статус точки выдачи периодически получают криминальные персонажи и начинают потом совершать противоправные действия с персональными данными граждан.

Два этих фактора в сочетании и дают нам весь тот вал проблем с криминализацией использования ЭП, что мы сейчас имеем.

Один в поле не воин?




Всю эту, без преувеличения, армию мошенников сейчас фильтруют только удостоверяющие центры. В любом УЦ существуют собственные службы безопасности. Всех, кто обращается за подписью, тщательно проверяют на этапе удостоверения личности. Всех, кто хочет сотрудничать в статусе точки выдачи для конкретного УЦ также тщательно проверяют как на этапе заключения партнерского договора, так и впоследствии, в процессе делового взаимодействия.

Никак иначе быть не может, ибо недобросовестное удостоверение грозит УЦ закрытием – законодательство в этой сфере жесткое.

Но объять необъятное невозможно, и часть недобросовестных точек выдачи все равно «просачивается» в партнеры к УЦ. А «номиналу» и вовсе может не быть повода отказать в выдаче сертификата – ведь он обращается в УЦ совершенно легально.

Также, в случае, если вскрывается афера с подписью на имя конкретного лица, только удостоверяющий центр поможет решить проблему. Так как удостоверяющий центр в этом случае отзывает сертификат подписи, проводит служебное расследование, отслеживая всю цепочку выпуска сертификата, и может предоставить суду необходимые документы о мошеннических действиях при выпуске ключа электронной подписи. Только материалы от удостоверяющего центра помогут в суде решить дело в пользу реально пострадавшей стороны: человека, на имя которого обманом выпустили подпись.

Однако, общая цифровая неграмотность и здесь работает не на пользу пострадавшим. Не все идут до конца, защищая свои интересы. А ведь противоправные действия с ЭЦП обязательно нужно оспаривать в суде. И удостоверяющие центры в этом – главное подспорье.

Убить всех УЦ?




И вот, в нашем государстве было решено внести изменения в порядок работы УЦ и требования к ним. Группой депутатов и сенаторов был разработан соответствующий законопроект, который уже даже был принят Госдумой в первом чтении 7 ноября 2019 года.

Документ предусматривает масштабную реформу системы сертификатов электронных подписей. Он, в частности, предполагает, что юридические лица и индивидуальные предприниматели (ИП) смогут получать усиленную квалифицированную электронную подпись (УКЭП) только в ФНС, а финансовые организации – в ЦБ. Аккредитованные Минкомсвязью удостоверяющие центры (УЦ), которые выдают ЭП сейчас, смогут выдавать их только физическим лицам.

При этом требования для таких УЦ планируют сильно ужесточить. Минимальный размер чистых активов аккредитованного удостоверяющего центра должен быть увеличен с 7 млн руб. до 1 млрд руб., а минимальный размер финансового обеспечения – с 30 млн руб. до 200 млн руб. Если у удостоверяющего центра есть филиалы в как минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн руб.

Срок аккредитации удостоверяющих центров сокращается с пяти до трех лет. За нарушения в работе удостоверяющих центров технического характера вводится административная ответственность.

Все это должно сократить количество мошенничества с электронными подписями, полагают авторы законопроекта.

Что в результате?




Как легко можно видеть, новый законопроект никаким образом не рассматривает проблему криминального использования документов граждан РФ и краж персональных данных. Неважно, кто будет выпускать подпись УЦ или ФНС, личность владельца подписи по-прежнему придется удостоверять, а никаких нововведений по этому вопросу законопроект не предусматривает. Если недобросовестная точка выдачи работала по криминальным схемам для обычного УЦ, то что помешает делать то же самое для государственного?

В текущей версии законопроекта сейчас не прописано, кто и какую понесет ответственность за выдачу УКЭП, если эта подпись была использована в мошеннических действиях. Мало того, даже в Уголовном Кодексе нет подходящей статьи, которая позволяла бы привлекать к уголовной ответственности за выпуск сертификата электронной подписи по краденым персональным данным.

Отдельная проблема – перегрузка государственных УЦ, которая обязательно возникнет при новых правилах и сделает предоставление услуг гражданам и юридическим лицам очень медленным и сложным.

Сервисная функция УЦ вообще не рассматривается в законопроекте. Будут ли созданы отделы абонентского обслуживания при предлагаемых государственных крупных УЦ, сколько времени это займет и каких материальных вложений потребует, кто будет заниматься обслуживанием клиентов, пока такая инфраструктура будет создаваться – не ясно. Очевидно, что исчезновение конкуренции в этой сфере легко может привести к стагнации в отрасли.

То есть на выходе мы получаем монополизацию рынка УЦ государственными структурами, перегрузку данных структур с замедлением всей деятельности по ЭДО, отсутствие поддержки конечного пользователя в случае мошенничества и полное разрушение текущего рынка УЦ вместе с имеющейся инфраструктурой (это около 15 000 рабочих мест в целом по стране).

Кто же пострадает? Пострадают в результате принятия такого законопроекта те же, кто страдает и сейчас, то есть конечные пользователи и удостоверяющие центры.

А бизнес, цветущий на кражах персональных данных, так и будет цвести пышным цветом. Не пора ли правоохранительным органам и законодателям обратить свое внимание на эту проблему и по-настоящему серьезно ответить на вызовы цифровой эпохи? Возможности для краж персональных данных и их последующего криминального применения за последние 10-15 лет возросли многократно. Возрос и уровень подготовки преступников. На это нужно реагировать, вводя жесткие меры ответственности за любые противоправные действия с чужими персональными данными как для компаний и их сотрудников, так и для частных лиц. И для того, чтобы реально решить проблему криминального использования сертификатов электронной подписи, необходимо создать законопроект, который предусматривал бы ответственность, в том числе и уголовную, за подобные действия. А не законопроект, который просто перераспределяет финансовые потоки, усложняет процедуру для конечного пользователя и не дает никому никакой защиты в итоге.

+4
6,1k 21
Комментарии 25

Рекомендуем