Правила безопасности ключей электронной подписи: защита от мошенничества

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.840
Реакции
277.292
RUB
0
Процедура получения квалифицированного сертификата максимально ужесточена законодательством. Таким образом государство защищает пользователей от злоумышленников. Если владельцы сертификата ЭП не соблюдают правила цифровой безопасности, мошенники могут украсть ключи электронной подписи и использовать в своих целях.







Правила безопасности ключей электронной подписи: защита от мошенничества
Иллюстрация: Вера Ревина/Клерк.ру
В статье подробно расскажем о том, как обезопасить себя от мошенников при работе с ключами электронной подписи.

Из чего состоит электронная подпись​

Чтобы знать, как мошенники могут использовать электронную подпись, важно понимать, из чего она состоит.
Электронная подпись – это уникальная последовательность символов, которая прикрепляется к электронному документу или сохраняется отдельно от него. Создается с помощью криптографических преобразований. Неразрывно связана с цифровым документом при подписании.
Электронная подпись позволяет определить подписанта электронного документа и неизменность документа после подписания.
Для создания и проверки квалифицированной электронной подписи используются открытый и закрытый ключ, а также сертификат ключа проверки ЭП. Эти файлы находятся в контейнере. Контейнер с ключами хранится на защищенном носителе – токене, сменном носителе, жестком диске компьютера или в реестре ОС.
В случае хранения контейнера ключей на токене для защиты используется пароль токена. В случае хранения ключей на иных носителях пин-код задаётся самому контейнеру ключей или вовсе может не задаваться.
Важно! Квалифицированная электронная подпись, выданная в ФНС, является неэкспортируемой и хранится только на токене.
Саму электронную подпись, то есть отметку на документе, украсть или подделать невозможно. Для мошеннических действий необходимо похитить ключи ЭП и пароль от контейнера или токена. Таким образом, злоумышленники смогут подписать любой электронный документ. Чтобы этого не произошло, необходимо обеспечивать безопасность ключей ЭП.

Кто должен обеспечивать безопасность ключей электронной подписи​

Самая распространенная причина мошенничества с ЭП – это передача ключей третьим лицам. При этом ответственность за совершенные действия будет нести держатель подписи.
Именно владелец должен обеспечивать конфиденциальность личных ключей электронной подписи. Эта обязанность предусмотрена законом, а именно п. 1 ч. 1 ст. 10 63-Ф
З.
Важно отметить, что законодательством запрещено использование чужих ключей ЭП без согласия владельца. А в присутствии и под контролем владельца это сделать можно. Например, директор передает токен с ключами ЭП бухгалтеру, и она при нем подписывает налоговую отчетность.

Как мошенники могут украсть электронную подпись​

Главную опасность представляет недостаточная осторожность владельцев сертификата ключа проверки электронной подписи.

Токен​

Токен – это устройство в виде флешки или смарт-карты. Пользователь может потерять его из-за своей невнимательности. Также токен могут украсть намеренно. В итоге носитель попадет в руки посторонних и может быть использован в мошеннических схемах.
Каждый завод-изготовитель устанавливает одинаковые пароли на свои токены. Если такой пароль не поменять после покупки носителя и записи на него ключевой информации, недоброжелателям легко скопировать и использовать ключи ЭП.

Компьютер​

Также контейнеры ключей электронной подписи копируются прямо с рабочего места пользователя, в случае их установки в ПК. Часто их сохраняют в реестре Windows или в папке жёсткого диска.

Незащищенные носители​

Ключи ЭП, хранящиеся на незащищенных носителях, таких как флэш-диск, можно также скопировать. Мошеннику останется подобрать пароль от контейнера ключей электронной подписи, после чего он сможет заверять электронные документы без ведома владельца.

Популярные виды мошенничества с электронной подписью​

Ниже рассмотрим, как еще злоумышленники получают ключи электронной подписи обманным путем и где могут их использовать.

Сфера трудовых отношений​

Владельцам квалифицированной электронной подписи не следует передавать токен с ключами посторонним, а также партнерам, подчиненным, коллегам по работе и даже друзьям. Данное правило относится не только к руководителям, но и к сотрудникам. Подписать электронные документы можно любому человеку, достаточно знать пароль доступа от токена или контейнера ключей ЭП.
Так, бывший работник может стать злоумышленником, если, например, директор не отзовет вовремя машиночитаемую доверенность (МЧД).
МЧД – это документ, который дает сотруднику право подписывать документы от лица руководителя.
Тогда уполномоченный работник может перевести себе деньги, купить товар или сдать несуществующую отчетность от лица организации или ИП, а затем скрыться. В этом случае убытки будет покрывать руководитель юридического лица или индивидуальный предприниматель.

Директор тоже может воспользоваться чужим ключом ЭП в преступных целях. Происходит это, если работник недостаточно разбирается в юридических тонкостях, касающихся электронной подписи.
На уполномоченного сотрудника оформляется сертификат ключа проверки электронной подписи физического лица. В нем содержится информация только о владельце подписи, без указания данных о работодателе. Когда сотрудник увольняется, директор может настаивать на том, чтобы носитель с ключами ЭП остался на рабочем месте. Он может аргументировать это тем, что сертификат оплатила компания или что он сделан конкретно для фирмы, и пользоваться вне работы ключами ЭП нельзя.
Важно запомнить, что это не так, работодатель обманывает своего бывшего подчиненного. Действия руководителя в этом случае незаконны, и владелец ЭП вправе обратиться в суд.
Пользоваться ключом электронной подписи от чужого имени запрещено. Использовать электронную подпись физического лица можно в личных целях и на другой работе до конца срока действия сертификата.
Также на работника оформляется электронная подпись юридического лица, где в сертификате ЭП он указан в качестве второго владельца. При увольнении сотрудника работодатель обязан аннулировать данный сертификат, чтобы электронной подписью нельзя было пользоваться в дальнейшем.
Важно! Электронные подписи работников юрлица запрещено использовать с 1 сентября 2023 года. После этой даты доверенным лицам понадобится машиночитаемая доверенность. Работать с ЭП по старой схеме разрешено до 31 августа 2023 года в рамках переходного периода.
Запомните, в трудовом договоре не может быть прописано условий, при которых ключ электронной подписи сотрудника остается у работодателя. Наличие таких правил является прямым нарушением законодательства.

Сфера недвижимости​

Чтобы заключить договор о недвижимости, мошенникам нужно похитить ключи электронной подписи у владельца квартиры или получить новый сертификат ЭП. При этом сделка будет считаться законной, а гражданин не будет знать, что она оформлена на его имя.
Если с первым вариантом все достаточно просто: токен могут украсть на рабочем месте, если оставить его без присмотра, не извлечь из ПК и т. п. То со вторым все гораздо сложнее. Чтобы получить новую подпись в удостоверяющем центре, мошенник должен подделать документы и быть очень похожим на человека, на которого оформляется ЭП. Это очень рискованно и практически невозможно.
Но что делать, если у мошенников оказались ключи ЭП с сертификатом, оформленным на чужое имя, и с его помощью пытаются провернуть сделку с недвижимостью. Такие случаи предусмотрены законодательством.
2 августа 2019 года вступил в силу закон № 286-ФЗ. Его целью является уменьшение количества краж квартир с помощью незаконного применения электронных подписей. Согласно документу, владельцам недвижимости необходимо сначала дать разрешение на использование электронной подписи при сделке с недвижимостью. Уведомление требуется отправить в Росреестр.
Если гражданин этого не сделал, то даже имея действующий сертификат электронной подписи, никто договор подписать без его ведома не сможет.

Сфера государственной регистрации юридических лиц​

Бизнес регистрируют дистанционно на . Для этого используются сканы документов, подписанные квалифицированной электронной подписью. Этим тоже пользуются мошенники, оформляя ИП или юридическое лицо на любого гражданина, с использованием его ЭП. Как похищают ключи электронной подписи, мы описали выше: можно украсть носитель или перевыпустить сертификат ЭП в удостоверяющем центре.
Если владелец подписи узнал, что на его имя зарегистрировано юрлицо, нужно незамедлительно отправить возражение по форме № Р38001.
Также мошенники пользуются доверчивостью своих знакомых и близких. Они оформляют бизнес на гражданина, предлагая ему за это денежное вознаграждение. Например, о подобном случае стало известно недавно. Житель Воронежа был назначен директором двух фиктивных организаций в Липецке. Теперь в отношении него возбуждено уголовное дело, и он ожидает суда.
Несколько лет назад данный гражданин согласился за деньги зарегистрировать на свое имя фиктивные фирмы. Требовалось только подписать документы. На его имя была выпущена квалифицированная электронная подпись и открыто два юридических лица. К деятельности фирм мужчина никакого отношения не имел. За два ООО он получил 10 тыс. рублей – по 5 тыс. за каждое. Теперь ему грозит до пяти лет лишения свободы согласно ст. 173.1 УК.

Сфера кредитования​

С помощью ключей электронной подписи злоумышленники могут брать микрозаймы на имя владельцев сертификата ЭП. Такие действия влекут за собой большие денежные потери и разбирательства для обманутого гражданина. У подобных займов установлен очень большой процент.

Сфера госзакупок​

Мошенничество с ЭП в сфере закупок часто связано с конкурентной деятельностью. С помощью электронной подписи поставщики регистрируются на электронных площадках, подают заявки на участие, подписывают документацию и заключают договоры с заказчиками.
Ключи электронной подписи похищают для того, чтобы организация не могла участвовать в закупочных процедурах. Тем самым повышают свои шансы на победу и вредят конкурентам, лишая их дополнительного заработка. Заказчики тоже могут быть подвергнуты подобной опасности.

Как узнать, изготавливался ли на вас сертификат ключа проверки электронной подписи​

Чтобы узнать, оформлен ли на вас сертификат ЭП, о котором вы не знаете, нужно зайти на «Госуслуги». Портал получает информацию о выданных сертификатах ключей проверки электронной подписи согласно ч. 5 ст. 18 № 63-ФЗ.
Для получения информации нужно:
  • Нажать на ФИО аккаунта.
ноо.png

  • Нажать «Профиль».
укн.png

  • Выбрать «Электронная подпись».
уеуе.png

В разделе можно посмотреть всю необходимую информацию о зарегистрированных сертификатах ключей проверки электронной подписи. А именно, уникальный номер квалифицированного сертификата, дату начала и окончания его действия, наименование аккредитованного удостоверяющего центра, выдавшего сертификат ЭП.
Если раздел содержит сертификат, который вы не получали, то необходимо немедленно обратиться в УЦ с заявлением о прекращении действия сертификата ЭП.

Инструкция: что делать, если вашу электронную подпись украли​

Если вы обнаружили, что ваши ключи электронной подписи украли, необходимо выполнить три шага:
  1. Аннулировать сертификат в УЦ.
  2. Написать заявление в налоговую службу.
  3. Обратиться в полицию.

Аннулировать сертификат в УЦ​

В удостоверяющем центре пишется заявление, где указывается причина обращения. Сделать это нужно незамедлительно. У гражданина есть шанс, что недоброжелатели не успеют совершить задуманное преступление.

Написать заявление в налоговую службу​

В ФНС следует обратиться, если от имени владельца сертификата ЭП зарегистрировали фирму или отправили несуществующую отчетность. Посетить отделение налоговой службы лучше лично.

Обратиться в полицию​

В полицию нужно предоставить копии документов, которые выдали в удостоверяющем центре. Сделки от имени владельца сертификата ЭП аннулируются в судебном порядке.

Как обеспечить безопасность ключей электронной подписи​

Чтобы обезопасить себя от кражи ключей электронной подписи, необходимо придерживаться следующих правил:
  1. Не оформлять сертификат ключа проверки ЭП на свое имя по просьбе третьих лиц, знакомых или родных. Если в последующем ключи этой подписи будут храниться не у владельца и использоваться третьими лицами, оформлять сертификат ЭП не нужно, какое бы денежное вознаграждение за это ни предлагали.
  2. Не передавать ключи электронной подписи. Сотрудники не должны иметь доступ к закрытому ключу подписи, чтобы избежать их самостоятельных действий, которые могут привести к финансовым потерям компании.
  3. Хранить ключи ЭП на защищенном носителе и соблюдать политику безопасности паролей. Сменить заводской пароль токена, запомнить новый или хранить его в надежном месте и никому не сообщать. Ограничить доступ третьих лиц к компьютеру и токену с ключами ЭП.
  4. При увольнении сотрудника аннулировать сертификат ключа ЭП работника юрлица или отозвать МЧД, оформленную на его имя. В ином случае работник может украсть деньги организации или даже закрыть ее.
  5. Не передавать сканы и реквизиты паспорта. Если эти данные попадут в руки злоумышленников, то они смогут оформить квалифицированный сертификат. Несмотря на то что вероятность оформления сертификата ЭП таким путём мала, не стоит недооценивать мошенников.
  6. Защитить компьютер. Компьютер должен быть защищён паролем и антивирусом. Когда пользователь покидает рабочее место, компьютер нужно блокировать и не оставлять в нём токен или иной съёмный носитель ключей.
  7. Проверять наличие выданных сертификатов ключей проверки ЭП на «Госуслугах». Там вы вовремя можете узнать, оформлена ли на вас новая электронная подпись. Также проверку можно осуществлять в личном кабинете налогоплательщика – . На сайте будет указана информация о продаже имущества или о поступлении отчётности, которую пользователь не отправлял. Также действия с ЭП видны во всех сервисах, где подпись применялась.

Можно ли подделать ключи электронной подписи​

Копировать чужую электронную подпись противозаконно. Сегодня опасность представляет именно попадание уже существующего ключа электронной подписи не в те руки, поэтому мы советуем придерживаться правил безопасности, указанных в предыдущих разделах.
Создать фальшивый сертификат электронной подписи на чьё-либо имя с нуля нельзя. Однако, подпись легко копируется, если злоумышленник знает пароль от ключа ЭП.

Вывод: скопировать и использовать можно практически любую электронную подпись. Поэтому важно соблюдать основные правила информационной безопасности.









 
Сверху Снизу