Что происходит?
Тема мошеннических действий, совершаемых при помощи сертификата электронной подписи, получила широкий общественный резонанс в последнее время. Федеральные СМИ взяли себе за правило периодически рассказывать страшные истории о случаях неправомерного использования электронной подписи. Самое распространенное преступление в этой сфере – регистрация юр. лица или ИП на имя ничего не подозревающего гражданина РФ. Также популярным способом мошенничества является сделка с изменением прав собственности на недвижимость (это когда вашу квартиру от вашего имени кто-то продаёт кому-то, а вы и не знаете).
Но не будем увлекаться описанием возможных противоправных действий с ЭЦП, чтобы не подавать творческих идей мошенникам. Давайте лучше попробуем разобраться, почему эта проблема приобрела такие масштабы, и что реально нужно делать для ее искоренения. А для этого нам необходимо четко понимать, что такое удостоверяющие центры, как именно они работают и так ли они страшны, как нам их малюют в СМИ и высказываниях заинтересованных лиц.
Откуда берутся подписи?
Итак, вы – пользователь. Вам нужен сертификат электронной подписи. Неважно для каких задач, и в каком вы статусе (компания, физлицо, ИП) – алгоритм получения сертификата стандартный. И вы обращаетесь в удостоверяющий центр с целью покупки сертификата ЭП.
Удостоверяющий центр – это компания, к которой российское законодательство предъявляет ряд жестких требований.
Чтобы иметь право выпускать усиленную квалифицированную электронную подпись, удостоверяющий центр должен пройти специальную процедуру аккредитации в Минкомсвязи. Процедура аккредитации предполагает выполнение ряда строгих правил, которые в состоянии выполнить не каждая компания.
В частности, УЦ обязан иметь лицензию, предоставляющую ему право на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем. Эта лицензия выдается ФСБ после прохождения претендентом серии строгих проверок.
Работники УЦ должны иметь высшее профессиональное образование в области информационных технологий или информационной безопасности.
Также закон обязывает УЦ застраховать свою ответственность за «убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданного таким УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ» в сумме не менее чем 30 миллионов рублей.
Как видите, не все так просто.
Всего в стране в настоящий момент существует около 500 УЦ, обладающих правом выдавать УКЭП (сертификат усиленной квалифицированной электронной подписи). Сюда входят не только частные удостоверяющие центры, но и УЦ при всевозможных госструктурах (включая ФНС, ПРФ и проч.), банках, торговых площадках, в том числе государственных.
Сертификат электронной подписи создается с помощью алгоритмов шифрования, сертифицированных ФСБ РФ. Он позволяет юридическим и физическим лицам обмениваться юридически значимыми документами в электронном виде. По официальным данным УЦ, большая часть (95%) КЭП выдается юр. лицам, остальное – физ. лицам.
После того, как вы обратились в УЦ, происходит следующее:
- УЦ удостоверяет личность человека, который обратился за сертификатом электронной подписи;
Только после подтверждения личности и проверки всех документов УЦ изготавливает и выдает сертификат, в который включены данные о владельце сертификата и его открытый ключ проверки; - УЦ управляет жизненным циклом сертификата: обеспечивает его выпуск, приостановление (в том числе по просьбе владельца), возобновление, завершение срока действия.
- Еще одна функция УЦ – сервисная. Мало просто выпустить сертификат. Пользователям регулярно требуются всевозможные консультации по процедуре выпуска и использования подписи, консультации по применению и выбору типа сертификата. Крупные УЦ, такие как УЦ компании «Деловая сеть», оказывают услуги технической поддержки, создают различное ПО, улучшают бизнес-процессы, мониторят изменения в сферах применения сертификатов и т. п. Конкурируя между собой, УЦ работают над качеством оказания IT-услуг, развивая эту сферу.
Казачок-то засланный!
Рассмотрим п. 1 приведенного выше алгоритма получения ЭП. Что значит «удостоверить личность» человека, который обратился за сертификатом? Это значит, что человек, на чье имя выпускается сертификат, должен лично явиться либо в офис УЦ, либо в точку выдачи, имеющую партнерское соглашение с УЦ, и предъявить там подлинники своих документов. В частности – паспорт гражданина РФ. В некоторых случаях, когда речь идет о подписях для юр. лиц и ИП, процедура удостоверения еще более сложная и требует предъявления дополнительных документов.
Вот именно в этом этапе, то есть в самом начале, когда до выпуска сертификата подписи дело еще даже не дошло, и кроется самая главная проблема. И ключевое слово здесь: «паспорт».
Утечка персональных данных в стране приобрела поистине промышленные масштабы. Существуют интернет-ресурсы, где вы можете за небольшие деньги или вовсе бесплатно получить скан-копии действующих паспортов граждан РФ. А ведь сканы паспортов в нашей стране, отягощенной постсоветским наследием в стиле «предъявите документики», можно собирать от граждан повсеместно – не только в банках или других финансовых учреждениях, но и в гостиницах, школах, вузах, авиа и ЖД кассах, детских центрах, точках обслуживания абонентов сотовой связи – везде, где требуют предъявить паспорт для обслуживания, то есть практически вообще везде. С развитием цифровых технологий этот широченный канал доступа к персональным данным взяли в оборот труженики криминальной сферы.
Также очень распространены «сервисы» краж персональных данных конкретных людей.
Помимо этого, существует целая армия т. н. «номиналов» – людей, как правило очень молодых, или очень бедных и малообразованных, или просто опустившихся, которым злоумышленники обещают скромное вознаграждение за то, чтобы они со своим паспортом явились в УЦ или в точку выдачи и заказали бы там подпись на свое имя в качестве, например, директора фирмы. Надо ли говорить, что такой человек не имеет потом никакого отношения к деятельности фирмы и никакой реальной помощи следствию оказать не может, когда афера вскрывается.
Итак, скан паспорта – не проблема. Но ведь для удостоверения нужен подлинник паспорта, как же так, спросит внимательный читатель? А чтобы обойти эту проблему, на свете существуют недобросовестные точки выдачи. Несмотря на жесткую процедуру отбора, статус точки выдачи периодически получают криминальные персонажи и начинают потом совершать противоправные действия с персональными данными граждан.
Два этих фактора в сочетании и дают нам весь тот вал проблем с криминализацией использования ЭП, что мы сейчас имеем.
Один в поле не воин?
Всю эту, без преувеличения, армию мошенников сейчас фильтруют только удостоверяющие центры. В любом УЦ существуют собственные службы безопасности. Всех, кто обращается за подписью, тщательно проверяют на этапе удостоверения личности. Всех, кто хочет сотрудничать в статусе точки выдачи для конкретного УЦ также тщательно проверяют как на этапе заключения партнерского договора, так и впоследствии, в процессе делового взаимодействия.
Никак иначе быть не может, ибо недобросовестное удостоверение грозит УЦ закрытием – законодательство в этой сфере жесткое.
Но объять необъятное невозможно, и часть недобросовестных точек выдачи все равно «просачивается» в партнеры к УЦ. А «номиналу» и вовсе может не быть повода отказать в выдаче сертификата – ведь он обращается в УЦ совершенно легально.
Также, в случае, если вскрывается афера с подписью на имя конкретного лица, только удостоверяющий центр поможет решить проблему. Так как удостоверяющий центр в этом случае отзывает сертификат подписи, проводит служебное расследование, отслеживая всю цепочку выпуска сертификата, и может предоставить суду необходимые документы о мошеннических действиях при выпуске ключа электронной подписи. Только материалы от удостоверяющего центра помогут в суде решить дело в пользу реально пострадавшей стороны: человека, на имя которого обманом выпустили подпись.
Однако, общая цифровая неграмотность и здесь работает не на пользу пострадавшим. Не все идут до конца, защищая свои интересы. А ведь противоправные действия с ЭЦП обязательно нужно оспаривать в суде. И удостоверяющие центры в этом – главное подспорье.
Убить всех УЦ?
И вот, в нашем государстве было решено внести изменения в порядок работы УЦ и требования к ним. Группой депутатов и сенаторов был разработан соответствующий законопроект, который уже даже был принят Госдумой в первом чтении 7 ноября 2019 года.
Документ предусматривает масштабную реформу системы сертификатов электронных подписей. Он, в частности, предполагает, что юридические лица и индивидуальные предприниматели (ИП) смогут получать усиленную квалифицированную электронную подпись (УКЭП) только в ФНС, а финансовые организации – в ЦБ. Аккредитованные Минкомсвязью удостоверяющие центры (УЦ), которые выдают ЭП сейчас, смогут выдавать их только физическим лицам.
При этом требования для таких УЦ планируют сильно ужесточить. Минимальный размер чистых активов аккредитованного удостоверяющего центра должен быть увеличен с 7 млн руб. до 1 млрд руб., а минимальный размер финансового обеспечения – с 30 млн руб. до 200 млн руб. Если у удостоверяющего центра есть филиалы в как минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн руб.
Срок аккредитации удостоверяющих центров сокращается с пяти до трех лет. За нарушения в работе удостоверяющих центров технического характера вводится административная ответственность.
Все это должно сократить количество мошенничества с электронными подписями, полагают авторы законопроекта.
Что в результате?
Как легко можно видеть, новый законопроект никаким образом не рассматривает проблему криминального использования документов граждан РФ и краж персональных данных. Неважно, кто будет выпускать подпись УЦ или ФНС, личность владельца подписи по-прежнему придется удостоверять, а никаких нововведений по этому вопросу законопроект не предусматривает. Если недобросовестная точка выдачи работала по криминальным схемам для обычного УЦ, то что помешает делать то же самое для государственного?
В текущей версии законопроекта сейчас не прописано, кто и какую понесет ответственность за выдачу УКЭП, если эта подпись была использована в мошеннических действиях. Мало того, даже в Уголовном Кодексе нет подходящей статьи, которая позволяла бы привлекать к уголовной ответственности за выпуск сертификата электронной подписи по краденым персональным данным.
Отдельная проблема – перегрузка государственных УЦ, которая обязательно возникнет при новых правилах и сделает предоставление услуг гражданам и юридическим лицам очень медленным и сложным.
Сервисная функция УЦ вообще не рассматривается в законопроекте. Будут ли созданы отделы абонентского обслуживания при предлагаемых государственных крупных УЦ, сколько времени это займет и каких материальных вложений потребует, кто будет заниматься обслуживанием клиентов, пока такая инфраструктура будет создаваться – не ясно. Очевидно, что исчезновение конкуренции в этой сфере легко может привести к стагнации в отрасли.
То есть на выходе мы получаем монополизацию рынка УЦ государственными структурами, перегрузку данных структур с замедлением всей деятельности по ЭДО, отсутствие поддержки конечного пользователя в случае мошенничества и полное разрушение текущего рынка УЦ вместе с имеющейся инфраструктурой (это около 15 000 рабочих мест в целом по стране).
Кто же пострадает? Пострадают в результате принятия такого законопроекта те же, кто страдает и сейчас, то есть конечные пользователи и удостоверяющие центры.
А бизнес, цветущий на кражах персональных данных, так и будет цвести пышным цветом. Не пора ли правоохранительным органам и законодателям обратить свое внимание на эту проблему и по-настоящему серьезно ответить на вызовы цифровой эпохи? Возможности для краж персональных данных и их последующего криминального применения за последние 10-15 лет возросли многократно. Возрос и уровень подготовки преступников. На это нужно реагировать, вводя жесткие меры ответственности за любые противоправные действия с чужими персональными данными как для компаний и их сотрудников, так и для частных лиц. И для того, чтобы реально решить проблему криминального использования сертификатов электронной подписи, необходимо создать законопроект, который предусматривал бы ответственность, в том числе и уголовную, за подобные действия. А не законопроект, который просто перераспределяет финансовые потоки, усложняет процедуру для конечного пользователя и не дает никому никакой защиты в итоге.
Комментарии (25)
Rohan66
26.12.2019 16:04Забавно получается. УЦ получает лицензию от ФСБ, а «точка выдачи»
имеющую партнерское соглашение с УЦ
может быть зарегистрирована вообще на бомжа!
Что-то слабо верится.AlexeyD85
27.12.2019 05:53Так ведь отсюда и вопрос: почему на бомжа можно что-то зарегистрировать. Ведь ЭЦП может получить только зареганная компания. Значит бомж пришел в полицию чтобы получить паспорт и его ему там выдали. Потом он пошел в ФНС и ему там все зарегистрировали и ни у кого подозрений не вызвал. Если два огромных государственных ведомства с огромными ресурсами по безопасности пропустили такую фирму в жизнь, то почему тогда частным компаниям задают вопрос почему они с этой фирмой сотрудничают.
var
26.12.2019 16:07+3Вероятно в проблемах УЦ, немного виновато множество этих самих УЦ не готовых предоставлять качественный и надёжный сервис.
Личный опыт:
Сценарий раз: был выдан ЭЦП 2.0 просто по заявлению мной подписанному + моему скану паспорта, от лица компании (т.е. мне лично никуда с оригиналом паспорта не пришлось ходить и меня в УЦ никто не видел).
Сценарий два: после того, как носитель был утерян у меня было очень сильное желание отозвать ЭЦП, но ничего не помогало, вроде бы в достаточно простой процедуре отзыва ЭЦП.
Ни несколько личных визитов, ни оформленное заявление по всем правилам УЦ на отзыв ЭЦП, ни какие-то разумные доводы.
Единственное что желал представитель УЦ заявление генерального директора компании (!!!) и его личный визит с изъявлением данного желания, что мне требуется отозвать мою ЭЦП.
Представителям УЦ совершенно не было интересно, что утеряна была ЭЦП на моё имя и оформленная от лица компании на меня, а что заявление уже подписано в том числе и генеральным директором.
Более того, в самом представителе УЦ меня пытались попросить сделать фотографию + разворот паспорта (отличный план, ребята, но нет).
Я специально не буду называть УЦ, но сразу скажу, что это один из крупнейших в нашей стране.
На этом фоне, работа государственных учреждений (например Мои документы, ФНС или Госуслуг) почему-то выглядит безопаснее, эффективнее и лучше, учитывая их массовость (но боюсь, схема мошенничества может упростится. Например можно попытаться и саму подпись получить через недобросовестного сотрудника, например Госуслуг и через него же провести какую-либо сделку, схема упростилась, убрали УЦ из схемы)
Да. Не все УЦ такие. Есть нормальные, кто делает ЭЦП быстро и эффективно и хорошо их сопровождает, но сама отрасль, очень сильно оставляет желать лучшего.
Всё написанное исключительно мой личный опыт и ИМХО. :)
AdmAlexus
26.12.2019 20:49Более того, в самом представителе УЦ меня пытались попросить сделать фотографию + разворот паспорта (отличный план, ребята, но нет).
Название УЦ, вероятно, очень похоже на «Периметр»?
Да, у них сейчас такие правила. Либо владелец (доверенное лицо) едет непосредственно в УЦ, для удостоверения личности, либо, обращаясь в партнёрский офис, идентифицируется фото с паспортом.var
27.12.2019 12:28Не, не Периметр, но похоже многие партнёрские офисы вынуждены так делать.
Я понимаю, зачем УЦ может хотеть подобной сверки, но выглядит она в наше время — очень плохо с точки зрения безопасности.
Если такие фотографии утекут — это идеальная подборка по получению денег через микрофинансовые организации.
И мы получаем ещё один способ заработка для сотрудников неблагонадёжного партнёрского офиса — хороший пул «благонадёжных потенциальных заёмщиков».
pyrk2142
26.12.2019 17:23+1Но объять необъятное невозможно, и часть недобросовестных точек выдачи все равно «просачивается» в партнеры к УЦ.
Выглядит так, словно УЦ добились именно того, к чему шли. Не проверяешь партнёров и пытаешься оказывать критически важные услуги? Через год будешь ныть в интернете, что ты такой хороший, а тебя давят. Не можешь проверить партнёров? Тогда делай все сам. Не получается? До свидания.
AlexeyD85
27.12.2019 05:48Здесь дело даже не в партнерах. Ведь если к вам на работу приходит сотрудник, вы же на этапе приема не можете проверить через год возьмет ли он взятку или нет. Так и с партнерством. У вас идут переговоры. Организация по документам легальная. Но в какой-то момент какой-то сотрудник партнера решает подзаработать. И пошло поехало. И такая проблема не только в ЭЦП. У нас так товар пытались перепродавать по второму кругу и навариваться на скидках. Так что проблема в самих людях. Пока есть возможность украсть, не украдет только ленивый. Поэтому реформа нужна в первую очередь правовая в отношении новых ит технологий и в отношении ответственности за те или иные нарушения в этой сфере.
pyrk2142
27.12.2019 20:14+2Здесь дело даже не в партнерах.
Здесь дело как раз в партнерах. Если компания доверяет партнерам настолько, что позволяет им выполнять критичные действия без проверки, то это проблемы именно компании. Есть различные системы удаленного контроля, видеонаблюдения, которые не дают возможности кому-то проводить операции мимо компании. Естественно, это дороже. Компании решили сэкономить и обойтись без этого, показав этим, что коммерческим организациям нельзя доверять настолько критические действия. Если после ужесточения правил сохранятся проблемы, то и оставшиеся центры вышибут с рынка.
ZekaVasch
27.12.2019 01:12Материал понятный. И как вижу из имени автора бизнес уплывает из рук компании Атлас. Это их и волнует, а не то что продолжится левый выпуск подписей по звонку.
Viliy
27.12.2019 07:22Если Вы рассматриваете материал публикации в этом контексте, то стоит упомянуть, что Владельцы систем удостоверения вложили в них немалые инвестиции с момента выхода 1-ФЗ в 2001 году и по сути сформировали пространство доверия в РФ. Государство, вместо того, чтобы формировать законодательную базу, преследующую мошенников в цифровом мире, формирует правовое поле по разделению пространства доверия и созданию преференций своим корпорациям.
Может напомните мне примеры наказания мошенников (с примерами статей УК РФ) за такие действия как
— создание цифрового профиля другого человека без его ведома;
— создание закрытого ключа ЭП без согласия владельца;
— использование закрытого ключа ЭП без согласия владельца;
Я уже не говорю про подставные мобильные телефоны, попытки взлома информационных систем УЦ.
Информационная система УЦ — это не помойка, за ними стоят реальные коллективы и инвесторы. И этих Людей государство не защищает!
Люди пострадали не от действий УЦ, а от действий мошенников, которых не наказывают, потому что государство для их наказания статьи в УК РФ не придумало!
Интересно Вы так ввернули про плавание бизнеса, не упомянув, что этот бизнес Инвестирует, Платит налоги по полной, Участвует в развитии ИТ отрасли страны и является по сути пострадавшей стороной как со стороны мошенников так и со стороны (теперь уже) ГОСУДАРСТВА!
Так, что публикация не про воду и плавание, а про то, что в принятом законе ГОСУДАРСТВО не отвечает на вопрос: «Как защитить Людей и УЦ от мошенников»?
Tester02
27.12.2019 05:19Ну конечно «лучше отдать все ФНС», а куда смотрит антимонопольная служба, уж очень это т монополизмом попахивает. Да УЦ работает сейчас не идеально, но может стоит увеличить к ним требования, и к их партнерам то же? Зачем решать проблемы с мошенниками? А потом будут ходить к друзьям из ФНС с денежкой и выпускать сертификаты там, данное решение не закроет криминалистической ситуации. Просто это будет проще скрывать для государства, сейчас УЦ коммерческие и они все на виду, а вот ФНС уже вам не даст никакой информации, будут увольнять одних мошенников, а на замен придут другие. Проблему таким образом не решить.
AlexeyD85
27.12.2019 05:41Ну здесь проблема даже не в ФНС, а в целом то, что тебе за мошенничество по факту, ничего не будет. Много репортажей про мошенничество, но практически нигде не описывают какой срок выдали мошенникам. А если ты с гос.структур, так вообще можно не бояться. Сердюков тому пример. И вообще взгляд направлен не в ту сторону. Борются с теми, кто выдает данные, а не с теми, кто ими махинирует. В России полно дел по махинациям с паспортами. Но почему никто не поднимает вопрос о закрытии отделений полици. Ведь они паспорт выдали, а безопасность данных не обеспечили. И уже как следствие, криминальные структуры и пользуются этими данными. Есть случаи, когда сотрудники банков не просто данные, а сканы паспортов сливают. Поэтому к проблеме надо подходить со стороны утечки. Ужесточить наказание любому кто так или иначе будет причастен к передаче персональных данных. А к организациям, через которые прошел слив, тоже применять санкции. Если уж поднимаем вопрос об отзывах лицензиу у УЦ, то тогда и банков тоже справедливо отзывать, если они не обеспечили достойную безопасность данных. Наложить ответственность на самих владельцев паспортов за участие в номинальном директорстве. Стал директором-неси полную ответственность.
brake
27.12.2019 10:24+1Только мне показалось, что ключевая проблема, по материалам статьи, это "партнеры УЦ"?
Просто получается, что УЦ все такие профи и соответствуют жесточайшим требованиям (это ОК), но, как только получают полномочия, начинают набирать себе в партнерывсякую шелупонького угодно (видимо, чтобы отбить стоимость всех жестких сертификаций и проверок). По сути, высокопрофессиональный УЦ становится просто витриной, за которой прячутся эти разные партнеры.
Т.е. уберите "партнеров" из бизнеса и он оздоровится. Останутся только те, для кого криминал превратится в
потерю бабланастоящие издержки.
Methos
27.12.2019 10:29И это только начало.
Люди думают, как все просто, когда все электронное и никуда не нужно ходить.
Вот и получайте.
rsashka
ivan386
Точка выдачи. На ней должны проверить документы получателя и если всё верно выдать сертификат сгенерированный удостоверяющим центром. Криминальные точки выдачи вероятно за плату могут не проверять документы и отдать сертификат кому попало.
rsashka
Как это связано с ФНС? Или по вашему налоговая будет создавать отдельные точки выдачи ЭП?
ivan386
Скорей всего будут работать через МФЦ.
rsashka
Они и сейчас работают через МФЦ
AlexeyD85
Здравствуйте. А вы лично давно посещали ФНС как налогоплательщик? Иногда под сомнение встает компетентность инспектора в области налогообложения, а тут еще на ведомство передается IT-Tехнологии. И конечно все инспектора с их небольшими зп будут ответсвенно и тщательно подходить к каждому документу. Ведь у нас в России нет ни одного случая, когда инспектора ФНС были причастны к криминальным действиям по мошеничеству. Мало того, вы думаете ФНС будет открывать новые филиалы? Иногда в коридоре приходится стоять плечом к плечу, ожидая своей электронной очереди. А теперь еще 5 милионов граждан будут приходять за ЭЦП для физ.лиц.
rsashka
А вы хорошо прочитали статью? В ней написано, что ФНС будет выдавать ЭП для юрлиц, а обычным гражданам, как и прежде, обычные УЦ.
var
А зачем физическому лицу посещать ФНС как налогоплательщику?
У них шикарный личный кабинет, который решает рядовые вопросы обычного налогоплательщика на все 100% (подчёркиваю, говорю про опыт физического лица, про юридических лиц, ничего сказать не могу).
Из последнего личного опыта — вопрос с налоговым вычетом не потребовал от меня ни одного визита в ФНС.
curious_person
Видимо, автор хотел сказать, что мошенники и продажа сканов паспортов никуда не денутся. И без разницы, что это будет: УЦ или ФНС. Корень проблемы то в мошенниках.
var
Хочется верить, что в ФНС (а скорее всего они целиком это делегируют МФЦ) хотя-бы по скану паспорта не будут оформлять ЭЦП. :)
Сейчас УЦ иногда так делают, увы.