Техподдержка:
Отдел продаж:
E-mail:
Отдел продаж:

Андрей Снаговский

16 декабря 2020
627
0
Безопасность электронной подписи: 63-ФЗ, Госуслуги и фото с паспортом
Электронная подпись

Безопасность электронной подписи: 63-ФЗ, Госуслуги и фото с паспортом

Электронная подпись или ЭП — технология, которая стала неотъемлемой частью электронного документооборота. За счёт особенностей своей реализации она кажется надёжным и безопасным инструментом. Но так ли это на самом деле?


Рассмотрим проблемы, которые могут быть связаны с применением ЭП, а также попробуем разобраться, почему это происходит и как защитить себя от мошеннических схем.


Электронная подпись как средство махинаций


Использовать чужую электронную подпись — всё равно что использовать чужой паспорт. Злоумышленники с её помощью могут выдавать себя за другого человека и заключить сделку. Мошеннические схемы с электронной подписью позволяют оформить кредит на организацию, вывести деньги из компании, а затем ликвидировать её. Также мошенники могут продать чужую недвижимость или подать в налоговую поддельные декларации с особо крупными суммами, чтобы получить возмещение НДС в больших размерах.


Из-за пандемии (а особенно в период самоизоляции) многие компании перешли на дистанционное обслуживание, поэтому общение и сделки с клиентами проходили в режиме онлайн. Также покупка квартиры стала возможна через специальные онлайн-сервисы. При регистрации ипотечных сделок в банке или заключении договоров долевого участия стала возможна электронная регистрация прав на недвижимость.


Для этих процедур нужна электронная подпись, и риски в том, что злоумышленники могут оформить её по поддельным документам или путём взлома получить доступ к личному кабинету лица на сайте Госуслуг.


Поскольку сотрудники удостоверяющих центров, оформляющие ЭП, не обладают дополнительными возможностями по проверке подлинности документов, удостоверяющих личность, невозможно стопроцентно гарантировать выдачу ЭП реальному заявителю.


Ранее СМИ писали о нескольких случаях отъёма квартиры, при которых для получения чужой жилплощади мошенники использовали электронную подпись.


Так, в мае 2019 года интернет-портал bfm.ru сообщил, что москвич лишился квартиры вследствие мошеннической схемы с использованием электронной подписи. Обнаружив, что в платёжном документе для оплаты коммунальных услуг указана чужая фамилия, законный владелец квартиры обратился в МФЦ, а затем в Росреестр. Там он получил официальное подтверждение: в октябре 2018 года от его имени действительно была оформлена дарственная на свою квартиру в пользу некоего жителя Уфы. При этом документ был оформлен удалённо, с использованием электронной подписи. По словам потерпевшего, квартиру он никому не дарил, тем более с помощью электронной подписи, которой у него никогда не было. Тем не менее он оказался перед фактом: квартира теперь принадлежала другому человеку.


В июне этого же года стало известно о другом случае кражи квартиры с помощью ЭП. Об этом рассказала газета «Коммерсантъ-Daily». Для подделки необходимых для сделки документов мошенники использовали старый, недействительный паспорт владельца квартиры.


Обе истории получили большой резонанс, поэтому властями было принято решение внести соответствующие изменения в законодательство.


Со вступлением в силу Федерального закона от 2 августа 2019 года № 286-ФЗ для совершения сделки с недвижимостью через интернет собственнику нужно заранее подать в Росреестр заявление в бумажном виде, в котором он сообщает о своём согласии на проведение сделок с использованием ЭП. В противном случае такая сделка будет невозможна.


Требования к удостоверяющим центрам: что сказано в 63-ФЗ


Все вопросы, касающиеся области применения электронной подписи и принципов её использования, а также требований к удостоверяющим центрам, прописаны в Федеральном законе № 63-ФЗ.


Рассмотрим положения закона, в которых обозначены требования к удостоверяющим центрам, касающиеся безопасности ЭП.


Согласно ст. 13, в обязанности удостоверяющего центра входит:


  • Информирование заявителя об условиях и о порядке использования электронных подписей, о рисках, связанных с её использованием, а также о мерах, необходимых для обеспечения безопасности ЭП и их проверки.

  • Актуализация информации, содержащейся в реестре сертификатов, обеспечение её защиту от неправомерного доступа, уничтожения, модификации, блокирования и других неправомерных действий.

  • Безвозмездное предоставление доступа к реестру сертификатов и к информации, содержащейся в реестре сертификатов, любому лицу по его обращению в соответствии с установленным порядком.

  • Обеспечение конфиденциальности созданных удостоверяющим центром ключей ЭП.


Кроме того, удостоверяющие центры должны отказывать заявителю в создании сертификата ключа проверки электронной подписи (ПЭП). Это правомерно в случае, если выяснится, что заявитель не является владельцем ключа электронной подписи, соответствующего ключу ПЭП, указанного заявителем для получения сертификата.


Если результаты проверки на уникальность указанного в заявлении ключа ПЭП окажутся отрицательными, УЦ также обязан отказать заявителю в создании сертификата ключа ПЭП.


Удостоверяющий центр несёт ответственность за вред, причинённый третьим лицам в результате:


  • неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг;

  • неисполнения или ненадлежащего исполнения обязанностей, предусмотренных Федеральным законом № 63-ФЗ.


Ряд статей закона об электронной подписи содержит информацию об аккредитации удостоверяющих центров и порядке выдачи сертификатов аккредитованными УЦ:


  • Статья 15 — в ней отдельно прописано определение аккредитованных УЦ, а также их обязанности.

  • Статья 16 — описывает порядок аккредитации удостоверяющего центра и требования к удостоверяющему центру, претендующему на аккредитацию.

  • Статья 18 — описывает порядок идентификации заявителей, которую обязан проводить удостоверяющий центр при выдаче сертификатов.


1 июля 2020 года в закон об электронных подписях были внесены изменения. Перечень требований к аккредитации удостоверяющих центров был расширен, а правила выдачи квалифицированных сертификатов — дополнены.


Обязанность идентифицировать заявителя ранее была только обозначена в 63-ФЗ, однако закон не уточнял, каким именно образом проводить идентификацию. Федеральным законом № 476-ФЗ, который внёс поправки в закон об электронной подписи, были определены следующие способы:


  1. Через Единую систему идентификации и аутентификации (ЕСИА) при личном визите в УЦ.

  2. С использованием усиленной квалифицированной электронной подписи (КЭП).

  3. При помощи загранпаспорта нового образца (на данный момент не реализовано).

  4. Через Единую биометрическую систему (ЕБС) (на данный момент не реализовано).


Идентификацию можно проводить как при личном присутствии будущего владельца сертификата, так и дистанционно (способы 2 и 4).


Требования к обязанностям доверенных лиц УЦ тоже были скорректированы. Ранее сотрудники, выполняющие полномочия доверенных лиц УЦ, могли принимать пакет документов как от самого заявителя, так и от его представителя по доверенности на представление документов и получение ЭП. Теперь доверенное лицо УЦ может принимать заявление только от заявителя. Выдавать сертификат разрешено тоже только заявителю.


Госуслуги на страже: сервис для проверки наличия ЭП


До октября 2020 года оперативно информировать пользователей о выпущенных электронных подписях было сложно, поскольку не было сервиса, который позволял бы получать информацию об оформленных на своей имя КЭП.


Эта ситуация вызывала большие сложности в плане противодействия мошенническим схемам, поскольку лица, на которых злоумышленники оформляли КЭП, не могли своевременно узнать об этом. Таким образом, у мошенников было достаточно времени для совершения махинаций с декларациями и недвижимостью, а также выводом денежных средств из фирм.


Положение дел изменилось 5 октября 2020 года, когда на сайте Госуслуг был запущен сервис для проверки квалифицированных подписей пользователя. О том, как пользоваться сервисом, мы рассказывали в статье о защите электронной подписи от мошенников.


brackets
lock

Гарантия сохранности личных данных клиентов обеспечивается бессрочной лицензией на деятельность по технической защите конфиденциальной информации, выданной федеральной службой по техническому и экспортному контролю. Эта и другие лицензии опубликованы на официальном сайте «Калуга Астрал». Также мы являемся оператором персональных данных и соблюдаем требования 152-ФЗ «О персональных данных». Все документы хранятсяна защищённом информационном ресурсе, что полностью исключает утечку данных.

Дмитрий Фёдоров, руководитель УЦ «Астрал-М»

Также сервис предназначен для рассылки уведомлений гражданам. Уведомления приходят в следующих случаях:


  1. При выпуске сертификата. Теперь, согласно закону об электронных подписях, удостоверяющие центры обязаны передавать сведения о выпущенных сертификатах ЭП порталу Госуслуг. В случае выпуска ЭП пользователь получит от портала сообщение с текстом «Организация <название удостоверяющего центра> выпустила электронную подпись с вашими персональными данными».

  2. Такое уведомление отправляется пользователю, если на его имя был выпущен сертификат физлица или ИП, а также в случае, если сведения о нём в качестве сотрудника были внесены в сертификат компании.


  3. При использовании ЭП для входа на портал Госуслуг. В этом случае пользователь получит сообщение текстом «Ваша электронная подпись использована для входа на портал Госуслуг». Также сообщение будет содержать дату входа.

  4. При отсутствии сведений об ЭП на Госуслугах. Такое уведомление поступает в случае, если была использована электронная подпись, регистрация которой на портале Госуслуг ещё не завершена. Текст сообщения:

  5. «Зафиксирован факт использования КЭП при отсутствующем сертификате в ЕСИА». Если прошло несколько дней после выпуска сертификата, но уведомления с таким текстом продолжают поступать, необходимо обратиться в техническую поддержку удостоверяющего центра, который выпустил эту ЭП.



Как происходит получение электронной подписи в УЦ «Калуга Астрал»


Общий порядок получения электронной подписи, соответствующий требованиям 63-ФЗ, изложен на сайте Минсвязи в разделе часто задаваемых вопросов.


Для получения КЭП необходимо присутствовать в УЦ лично. Из документов понадобятся паспорт и СНИЛС. Если заявитель — ИП или юрлицо, дополнительно потребуется свидетельство ИНН либо свидетельство о постановке на учёт в качестве ИП или юрлица.


У «Калуга Астрал» и точек выдачи её удостоверяющего центра процедура создания и выдачи сертификатов ЭП утверждена Регламентом удостоверяющего центра. Согласно этому документу, для создания и выпуска сертификата необходимо заявление, которое подаётся заявителем в УЦ «Калуга Астрал» на соответствующем бланке.


Заявление может быть оформлено:


  • в виде собственноручно подписанного бумажного бланка, по указанной удостоверяющем центром форме;

  • в виде электронного документа, который подписан при помощи сертификата квалифицированной ЭП, изготовленного УЦ «Калуга Астрал» или доверенными УЦ.


Перечень документов, необходимых для создания и выпуска сертификата ЭП в УЦ «Калуга Астрал», соответствует требованиям Федерального закона № 63-ФЗ. Согласно п. 6.2 Регламента и ч.7 ст.13 Федерального закона № 63-ФЗ, перечень документов, необходимый для выпуска ЭП является открытым. Поэтому УЦ имеет право запрашивать дополнительные документы.


Для проверки достоверности документов и информации, представленной заявителем для включения в сертификат, УЦ запрашивает и получает из государственных информационных ресурсов сведения, предусмотренные ч. 2.2 ст. 18 Федерального закона № 63-ФЗ.


При проверке Удостоверяющий центр должен убедиться, что:


  • документы действительно принадлежат заявителю;

  • сведения, указанные в заявлении на выдачу сертификата, соответствуют представленным документам, а также информации, полученной из государственных реестров и других открытых источников информации;

  • отсутствуют явные признаки подделки документов.


При выдаче сертификата доверенное лицо УЦ обязано идентифицировать владельца сертификата по паспорту в условиях его личного присутствия.


При приёме заявки на выпуск квалифицированного сертификата ключа проверки ключа электронной (КСКПЭП) подписи точки выдачи УЦ «Калуга Астрал» обязаны:


  1. Идентифицировать личность заявителя при его личном присутствии.

  2. Проверить и сохранить оригинал заявления на изготовление КСКПЭП, подписанное заявителем собственноручно.

  3. Проверить основной документ, удостоверяющий личность заявителя в соответствии с требованиями законодательства РФ.

  4. Проверить и сохранить документ, подтверждающий полномочия заявителя, если ЭП оформляется не на руководителя организации, указанного в выписке из ЕГРЮЛ.

  5. Получить от владельца ЭП оригинал бланка сертификата, подписанного собственноручно.

  6. Прикрепить в Информационный ресурс УЦ:


  • скан-копию заявления на изготовление КСКПЭП, подписанное заявителем собственноручно;

  • скан-копию паспорта заявителя;

  • скан-копию бланка сертификата, подписанного владельцем ЭП;

  • фотографию заявителя с развёрнутым паспортом на 2 и 3 страницах. Качество фотографии должно предоставить возможность сличения лица заявителя и фотографии в паспорте.


Изначально необходимость фотографии заявителя с паспортом возникла в связи с частыми случаями мошенничества. Злоумышленники от имени фирмы по доверенности получали сертификат КЭП и подавали поддельные декларации о несуществующих сделках, чтобы получить возмещение НДС.


Кроме того, требование такой фотографии было нацелено на то, чтобы исключить неправомочные действия сотрудника УЦ и сговор исполнителя с мошенником, а также на борьбу с позицией фиктивных директоров, которые отказывались от факта получения КЭП, хотя в действительности подпись получали.


brackets
lock

Мы просим каждого клиента делать снимок с паспортом. Да, кому-то это неудобно, кто-то не хочет оставлять снимок в чужих руках. Но для добросовестного владельца КЭПа это не должно быть проблемой или неудобством. Каждый из нас при регистрации в каршеринге оставлял снимки своих документов и своего лица. При посещении офиса отдавал паспорт на сканирование делал снимок своего лица в бюро пропусков или на проходной. Другое дело, что недобросовестному владельцу или мошеннику не хочется оставлять фото и видеоследы своего присутствия. На вычищение таких «пользователей» и направлен наш регламент.

Юрий Мео, коммерческий директор АО «Калуга Астрал»

Фото с паспортом необходимо для максимальной безопасности при выдаче ЭП. Это исключает выдачу ЭП неуполномоченным на то лицам или по подложным документам. Также это требование обеспечивает прозрачность и доказуемость причастности заявителя к факту подачи заявления на изготовление сертификата и получения услуг УЦ, если впоследствии этот факт потребует подтверждения.


Такой способ дополнительной идентификации является общепринятым при идентификации личности в системах банковского обслуживания.


Что делать, если на вас выпустили ЭП без вашего ведома


Чаще всего мошенники регистрируют ИП или ООО на имя граждан, на которых была оформлена незаконная подпись. Что делать, если вы попали в подобную ситуацию?


В первую очередь необходимо без промедлений подать заявление в регистрирующий орган по месту нахождения юридического лица. В нём нужно сообщить наименование юрлица, ИНН, ОГРН и другие реквизиты, а также информацию о том, что вы не являетесь учредителем данной организации, не подписывали документы о его регистрации собственноручной или электронной подписью, а также не получали сертификат ключа ЭП. Укажите всю возможную информацию, которая бы свидетельствовала о вашей непричастности к регистрации и деятельности этого юрлица.


Кроме того, следует лично обратиться в регистрирующий орган по месту учёта юридического лица и подать заявление по форме Р34001. Это нужно, чтобы в ЕГРЮЛ была внесена информация о том, что сведения о вас как о руководителе (учредителе) организации недостоверны.


Обратитесь в УЦ, выпустивший сертификат ключа ЭП, с заявлением об отзыве электронной подписи. Запросите копии документов, по которым была оформлена электронная подпись.


Обратитесь в полицию с заявлением о том, что против вас были совершены противоправные действия. К заявлению приложите копии документов, которые вы получили в удостоверяющем центре.


brackets
lock

Если нам поступает обращение о неправомерном выпуске ЭП или о нарушениях Регламента УЦи 63-ФЗ «Об электронной подписи» при выпуске ЭП, то мы инициируем внутреннюю проверку точки выдачи, которая занимался выпуском такой ЭП. По итогу проверки принимается решение о продолжении или прекращении договорных взаимоотношений.

Дмитрий Фёдоров, руководитель УЦ «Астрал-М»

Чек-лист: правила безопасности для ЭП


- Выбирайте только надёжный удостоверяющий центр


Для получения ЭП следует обращаться только в организацию, аккредитованную Минкомсвязи. Надёжный удостоверяющий центр не позволяет себе отклоняться от требований 63-ФЗ и не упрощает порядок получения КЭПа


С поправками в закон об электронной подписи требования к УЦ ужесточились. Срок аккредитации УЦ снижен до трёх лет, а минимальная доля собственных средств удостоверяющего центра должна быть не менее 1 млрд рублей. Если УЦ имеет филиалы не менее чем в 64 субъектах Российской Федерации — не менее 500 млн рублей.


Из других изменений:


  • размер страховых средств УЦ должен быть не менее 100 млн рублей;

  • работники УЦ и его доверенные лица могут привлекаться к уголовной ответственности, если они не выполняют обязанностей удостоверяющего центра или нарушают порядок его функций;

  • если аккредитация УЦ досрочно прекращается, получить новую он сможет только через 3 года.


Такие условия могут быть по силам только крупным организациям, которые на рынке уже не первый год. АО «Калуга Астрал» входит в тройку лидеров среди удостоверяющих центров РФ. База компании включает в себя более 1,3 млн действующих сертификатов.


- Не оставляйте копии и реквизиты паспорта на внешних ресурсах и не передавайте их ненадёжным людям


Не оставляйте данные вашего паспорта (даже уже недействительного) или его копию на подозрительных ресурсах — это позволит злоумышленникам получить ЭП от вашего имени.


В случае утери или пропажи паспорта напишите заявление в полицию. И лучше с этим не медлить — дата подачи заявления будет указывать на то, что подпись на документах с заявлением на получение ЭП поставили не вы.


- Не передавайте свою электронную подпись другим людям


Передача ЭП другому лицу — плохая идея. В случае каких-либо проблем будет очень трудно доказать в суде, что подпись ставил не владелец. Если вы хотите передать полномочия доверенному сотруднику, лучше оформите на него отдельную подпись.


- Защите токен или компьютер, на котором он хранится, надёжным паролем


Если сертификат ЭП хранится на физическом носителе, необходимо сменить пароль, установленный по умолчанию, на свой. Заводские пароли можно легко найти в интернете, поэтому если злоумышленник получит токен с таким паролем, то сможет воспользоваться ЭП.


- Блокируйте компьютер, на котором храните ЭП


Обычное требование внутри компаний, которое важно соблюдать. Отговорки в духе «здесь все свои» в данном случае неуместны. К незаблокированному ПК, от которого отошёл пользователь, может получить доступ любой сотрудник офиса, но ответственность за пропажу данных будет лежать в первую очередь на вас.


- Ведите учёт электронных подписей сотрудников и своевременно отзывайте сертификаты у тех, кто был уволен


Наличие сертификата у уволенного сотрудника равноценно наличию ЭП у злоумышленника, поскольку нет гарантии, что такой сотрудник не спишет денежные средства со счетов организации или не передаст ЭП кому-либо для этих целей.


- Установите на компьютер, на котором хранится ЭП, надёжное антивирусное ПО


Будьте внимательны к содержимому писем от знакомых и не переходите ссылкам в электронных письмах от неизвестных. Если по электронной почте пришёл подозрительный файл, не открывайте его — это может быть программа-шпион, которая передаст злоумышленнику все данные с вашего ПК, в том числе сертификат ЭП.


- Не передавайте документы с вашими персональными данными по электронной почте, в чатах и через другие открытые источники передачи информации.


Согласно Федеральному закону № 152-ФЗ, передача персональных данных разрешена только по каналам, которые защищены средствами шифрования, сертифицированными ФСБ РФ. Обычная электронная почта, мессенджеры и социальные сети не имеют такой защиты.


Андрей Снаговский

16 декабря 2020
627
0
Комментарии для сайта Cackle
Продукты по направлению
1С-ЭТП

Сервис получения ЭП и поиска аукционов из программы 1С

Астрал-ЭТ

Онлайн-сервис получения Электронной подписи с вашего рабочего места для государственных порталов, участия в торгах и документооборота.

Предыдущая статья
Следующая статья
Следующая статья