Проверять – значит защищать. Кто ты, клиент УЦ?

Проверять – значит защищать. Кто ты, клиент УЦ?

Мы живем в удивительное время, в многообразном, быстро меняющемся мире. Каждый день приносит новые открытия. Развитие технологий воплощает в жизнь самые смелые мечты человечества. И стоит ли удивляться тому, что наравне с идеями, как улучшить нашу жизнь и повысить ее качество, ежедневно рождаются и идеи о том, как именно можно улучшить чью-то отдельно взятую жизнь за счет других людей? Криминальный ум также развивается и оперативно подхватывает новые разработки, изобретая все новые способы отъема денег у соседей по государству.

Вот, например, цифровизация. Удобная вещь, облегчает жизнь, экономит время, бережет огромное количество ресурсов – от бумаги до человекочасов. Что же может пойти не так? Ну, это приличные люди могут задавать такие наивные вопросы и изумляться. А криминальный мир сориентировался быстро, и мошенники наловчились красть персональные данные честных граждан и использовать их к своей выгоде самыми разными способами. Можем ли мы что-нибудь противопоставить криминальному миру в сфере цифровизации, чтобы обычные люди могли жить спокойно, не боясь кибер-угроз? И если нам есть что противопоставить – почему мы этого не делаем?

Например, в настоящее время существует конкретная проблема, которая позволяет мошенникам пользоваться чужими данными для создания и последующего использования сертификатов электронной подписи в меру своей преступной фантазии.

В своей работе удостоверяющие центры – компании, которые осуществляют деятельность по выдаче сертификатов усиленной квалифицированной электронной подписи на основании Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи» – пользуются вторичной системой аутентификации пользователя средствами СМС подтверждения.

Как это работает? Пользователь обращается в удостоверяющий центр с целью покупки сертификата ЭП. При первичном обращении личность каждого клиента УЦ удостоверяется – проводится проверка соответствия личности и предъявленных документов. Также проверяется подлинность предъявленных документов. Однако, согласно утвержденной законодательством процедуре, проверяется лишь валидность паспорта обратившегося человека. То есть, если предъявленный паспорт реально существует, и его номер не подделан, он преодолевает такую проверку. И, если, например, мошенники сумели качественно заменить фотографию в украденном реальном паспорте, он такую проверку может и пройти.

Исключать такую возможность мог бы заключительный этап процедуры: при выпуске сертификата электронной подписи гражданина используется вторичная система аутентификации по средствам СМС подтверждения. На первый взгляд данная система аутентификации и должна гарантировать возможность окончательной проверки принадлежности документов конкретному человеку. Однако, этого не происходит. Так как мошенник в этом случае указывает номер телефона, который находится у него в личном доступе. И проверочное СМС-сообщение приходит опять-таки не к настоящему хозяину документов.

Для того, чтобы гарантированно предотвращать мошеннические действия при выпуске сертификата электронной подписи требуется проверка принадлежности указанного при регистрации номера мобильного телефона конкретному гражданину. Однако, сейчас этой возможности у УЦ не существует. Такого рода взаимодействие с операторами мобильной связи не предусмотрено текущим законодательством. Также, в стране отсутствует законодательно утвержденная система проверки принадлежности абонентского номера конкретному лицу.

О масштабах неприятностей свидетельствуют и официальным данные Роскомнадзора, согласно которым указанная проблема имеет системный характер.  Ежемесячно заключаются тысячи договоров об оказании услуг связи неуполномоченным лицом. Продается огромное количество SIM-карт без заключения договора и предъявления покупателем документа, удостоверяющего личность. Всё это – потенциальная угроза безопасной работе операторов персональных данных.

В целях решения указанных проблем группой депутатов Государственной Думы разработан проект Федерального закона «О внесении изменений в Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма» и иные законодательные акты Российской Федерации». В марте 2019 года этот законопроект был принят в 1 чтении и в настоящее время находится на доработке.

Законопроектом предусматривается создание Единой информационной системы проверки сведений об абоненте. Пользователи системы с её помощью смогут получать информацию о соответствия сведений об абонентском номере документу, удостоверяющему личность абонента.

Однако, данный законопроект разрабатывался для решения проблем кредитных организаций и не рассматривает операторов персональных данных иного типа – в частности, удостоверяющие центры.

Дальневосточные операторы персональных данных озабочены данной проблематикой и выступали с инициативой расширить сферу действия законопроекта на всех операторов персональных данных вообще и на удостоверяющие центры в частности. Ведь совершенно очевидно, что в этом случае удастся перекрыть весьма мощный канал неправомерного использования персональных данных и предотвратить большое количество правонарушений.

Мониторинг номеров нужен и операторам личных данных, и клиентам. Не нужен он только криминальным структурам. Очень бы хотелось увидеть законопроект доработанным и принятым в самом скором времени. А также, чтобы сфера действия данного законопроекта не ограничивалась кредитными организациями, а была бы распространена на всех операторов персональных данных, включая удостоверяющие центры.

Наша цифровая окружающая среда нуждается в защите, охране и соблюдении чистоты не меньше, чем реальная природа. И для поддержания её в надлежащем состоянии нужны умные законы и дальновидные управленческие решения, которые позволяют предвосхищать появление проблем и предупреждать действия «сил зла», до того, как начнут появляться и нарастать те или иные системные проблемы в цифровой плоскости нашего многогранного мира.

Текст: Виктория Румянцева

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *