Как защитить электронную подпись от мошенничества
Отдел продаж:
Отдел продаж:
30 марта 2023
16384
Правила безопасности ЭЦП: защита от мошенничества
Электронная подпись

Правила безопасности ЭЦП: защита от мошенничества

Попав в чужие руки, ключи электронной подписи могут стать орудием мошенничества. Несмотря на высокий уровень защиты, злоумышленники знают, как скомпрометировать подпись.

ЭЦП — это устаревшее понятие. Расшифровывается как электронная цифровая подпись. В настоящее время используется более ёмкое название ЭП, которое расшифровывается как электронная подпись.

Разберём основные правила, которые нужно соблюдать при работе с ключами электронной подписи, чтобы обезопасить себя.

Как узнать, изготавливался ли на вас сертификат ключа проверки электронной подписи

«Госуслуги» получают информацию о выданных сертификатах ключей проверки электронной подписи согласно п.5 ст. 18 N 63-ФЗ.

Для получения информации нужно:

  1. Нажать на ФИО аккаунта.

  2. Нажать «Профиль».

  3. Выбрать «Электронная подпись».

Раздел содержит данные о зарегистрированных сертификатах ключей проверки электронной подписи: уникальный номер квалифицированного сертификата, даты начала и окончания его действия, наименование выдавшего его аккредитованного удостоверяющего центра.

Если в разделе окажется сертификат, который вы не получали, то необходимо немедленно обратиться в УЦ с заявлением о прекращении действия сертификата ЭП.

Популярные мошенничества с электронной подписью

Если ключи электронной подписи сохранены на незащищённом паролем носителе, их может скопировать злоумышленник и воспользоваться ими для подписания электронных документов за владельца ЭП. Сделать это можно, подобрав пин-код контейнера ключей электронной подписи.

Если ключ ЭП хранится на защищённом носителе — токене, то на нём может быть установлен стандартный пароль. Такой пароль задаёт изготовитель и пользователь может его не поменять. В этом случае злоумышленнику ещё легче скопировать и воспользоваться ключами ЭП.

Если пароль доступа к ключу ЭП сохранён в настройках криптопровайдера, его тоже легко скопировать, имея доступ к рабочему месту пользователя.

Во избежание мошенничества требуется хранить ключи ЭП на токене с соблюдением политики безопасности паролей. Рекомендуем сменить заводской пароль токена, запомнить новый пароль или хранить его в надёжном месте и никому не сообщать. Также требуется ограничить доступ третьих лиц к токену с ключами ЭП.

Согласно пп. 1 п. 1 ст. 10 63-ФЗ, владелец обязан обеспечивать конфиденциальность ключей электронных подписей. Именно передача ключей третьим лицам является самой распространённой причиной мошенничества с электронной подписью. При этом ответственность полностью возлагается на владельца.

Сфера трудовых отношений

Владельцы квалифицированной электронной подписи не должны передавать её никому, даже своим коллегам и друзьям, так как это небезопасно. Правило относится не только к руководителям организаций, но и к сотрудникам. Подписать документ с её помощью сможет любой, кто знает пароль доступа.

Так, мошенниками становятся бывшие сотрудники. Например, в случае, если руководитель забыл отозвать машиночитаемую доверенность. Тогда уполномоченный работник может перевести денежные средства, приобрести товар или сдать несуществующую отчётность от имени директора, а затем скрыться. Долг или штраф при этом будет оплачивать руководитель организации.

Подробнее ознакомиться с понятием МЧД рекомендуем в нашей статье.
Создавать МЧД удобно с бесплатным сервисом «Астрал Доверенность». Решение позволяет оформить МЧД на сотрудника или доверенное лицо в короткий срок. Директору или предпринимателю достаточно выбрать тип машиночитаемой доверенности, заполнить данные и подписать документ своей КЭП.

Недобросовестный директор тоже может воспользоваться электронной подписью работника, если у последнего недостаточно знаний законодательства в этой области.

На уполномоченного сотрудника выдаётся сертификат проверки электронной подписи физического лица. Такой сертификат содержит в себе только данные о владельце, без привязки к конкретному работодателю. При увольнении руководитель может настаивать на том, чтобы ключи ЭП остались на рабочем месте. Аргументом может быть представлен факт, что подпись оплачена компанией. Такие действия незаконны. Использовать ключ электронной подписи от чужого имени запрещено.

Важно! Машиночитаемая доверенность становится обязательной с 1 сентября 2023 года. Если ЭП сотрудника юрлица выпустили до 31 августа 2023 года, работник может подписывать документы с её помощью и без МЧД до 1 сентября 2024 года. Остальным сотрудникам после 1 сентября 2023 года нужно получить КЭП физлица и МЧД.

Трудовой договор не может содержать пункты, указывающие на то, что при увольнении ключ электронной подписи остаётся у работодателя. Наличие таких правил является прямым нарушением законодательства. Бывший работник вправе обратиться в суд, и работодателя оштрафуют. После увольнения гражданин может использовать ключ электронной подписи с сертификатом физического лица в своих целях.

Сфера недвижимости

Схема мошенничества с имуществом физических лиц включает в себя кражу ключей электронной подписи владельца квартиры. Это может быть похищение физического носителя с ключами или получение нового сертификата ЭП.

Вторым способом злоумышленники могут воспользоваться, если узнают логин и пароль от личного кабинета удостоверяющего центра, в котором была выпущена подпись.

Дело в том, что получить электронную подпись можно только лично. Сотрудник удостоверяющего центра должен идентифицировать личность будущего владельца.

Идентификация заявителя УЦ без его личного присутствия может проходить с помощью:

  • действующей КЭП;
  • заграничного паспорта нового образца;
  • подтверждённой биометрии на Госуслугах.

При утере токена владельцу подписи нужно немедленно обратиться в УЦ с заявлением о прекращении действия сертификата ЭП, чтобы на него не оформили сделку. Но что делать, если сертификат закончил своё действие и его продлили без ведома гражданина. Такие случаи предусмотрели в законодательстве.

2 августа 2019 года вступил в силу закон № 286-ФЗ, цель которого — уменьшение риска кражи квартиры путём незаконного использования электронной подписи.

Законом предусмотрено, что владелец недвижимости сначала должен разрешить проводить сделки с недвижимостью с помощью электронной подписи. Сделать это он может, подав соответствующее заявление в бумажном виде в Росреестр.
Однако, чтобы наверняка оградить себя от злоумышленников, можно подать заявление о запрете сделок с недвижимостью в электронном формате через МФЦ или Росреестр.

С помощью квалифицированной электронной подписи можно участвовать в госзакупках и торгах по банкротству.

Сфера государственной регистрации юридических лиц

Зарегистрировать бизнес можно онлайн на сайте ФНС, оформив пакет отсканированных документов и используя КЭП. Мошенники также могут незаконно оформить бизнес на любого человека, используя электронную подпись. Как они это могут сделать, мы описывали выше: с помощью похищенного токена или изготовления нового сертификата электронной подписи через личный кабинет УЦ ФНС без ведома владельца.

Если гражданину стало известно о регистрации юридического лица на его имя, следует незамедлительно отправить возражение заинтересованного лица по форме N Р38001.

Сфера кредитования

Получив в руки ключи электронной подписи гражданина, злоумышленник может попробовать взять с её помощью микрозайм. Это опасно, так как такие займы имеют очень высокий уровень годовых — от 1% в день.

Сфера госзакупок

В сфере госзакупок опасности подвергнуты как поставщики, так и заказчики, однако в большей степени именно первые. Конкуренты похищают ключи электронной подписи, чтобы с их помощью ограничить доступ организации к закупочным процедурам.
Злоумышленники могут нарушать закон, например, для того, чтобы повысить свои шансы на победу в тендере или просто для того, чтобы навредить своим конкурентам на рынке.

Как обеспечить безопасность электронной подписи

Чтобы обезопасить себя от кражи электронной подписи, необходимо придерживаться следующих правил:

  1. Не оформлять сертификат ключа проверки ЭП на своё имя по просьбе третьих лиц, знакомых или родных. Если в последующем ключи этой подписи будут храниться не у владельца и использоваться третьими лицами, оформлять сертификат ЭП не нужно, какое бы денежное вознаграждение за неё ни предлагали.
  2. Не передавать ключи электронной подписи. Сотрудники не должны иметь доступ к закрытому ключу подписи, чтобы избежать их самостоятельных действий, которые могут привести к финансовым потерям.
  3. Отзывать машиночитаемую доверенность или сертификат ключа ЭП сотрудника юрлица.
  4. Когда сотрудник увольняется, оформленную на его имя МЧД нужно отозвать. В ином случае он может украсть деньги организации или даже закрыть её.
  5. Не передавать сканы и реквизиты паспорта. Если эти данные попадут в руки злоумышленников, то они могут оформить на них электронную подпись. Несмотря на то что вероятность оформления ЭП таким путём мала, не стоит недооценивать мошенников.
  6. Защитить компьютер. Компьютер должен быть защищён паролем и антивирусом. Когда пользователь покидает рабочее место, компьютер нужно блокировать и не оставлять в нём токен.
  7. Проверять наличие выданных сертификатов ключей проверки ЭП на «Госуслугах». Там вы вовремя сможете узнать, не оформлена ли на вас новая электронная подпись.

Что делать, если украли ключ электронной подписи, можно узнать в нашей подробной инструкции.

Можно ли подделать ключи электронной подписи

Создавать и копировать электронную подпись противозаконно. Сегодня опасность представляет именно попадание уже существующего ключа электронной подписи не в те руки, поэтому мы советуем придерживаться правил безопасности, указанных в предыдущих разделах.

Создать фальшивый сертификат электронной подписи на чьё-либо имя с нуля нельзя. Однако, подпись легко копируется, если злоумышленник знает логин и пароль от ключа ЭП.

Вывод

  1. Никому не нужно передавать ключи электронной подписи. Владельцу рекомендуем хранить их только на защищённом носителе.
  2. Важно соблюдать основные правила информационной безопасности, указанные в предыдущих разделах.
16384
Комментарии для сайта Cackle
Предыдущая статья
Следующая статья
Следующая статья
autohello-finger