Отозвать сертификат в УЦ
Что делать, если украли электронную подпись
Свободный автор Астрал
Утрата ключей электронной подписи и неправомерное использование ЭП называется компрометацией. Мошенники могут завладеть ключами вашей электронной подписи и подписывать от вашего имени любые документы, и вам может не быть об этом известно. Если вы владели ЭП сотрудника или на вас была оформлена машиночитаемая доверенность (МЧД), то вред могут причинить не только вам, но и компании, в которой вы работаете. Поэтому каждый владелец электронной подписи должен соблюдать базовые правила безопасности, благодаря которым риск того, что ваша ЭП окажется у мошенников, будет минимизирован. Рассмотрим, что делать, если подпись всё-таки украли.
Как понять, что вашей электронной подписью воспользовались злоумышленники
В статьях об электронной подписи вы можете встретить аббревиатуру «ЭЦП». ЭЦП — электронная цифровая подпись. Это устаревшее название электронной подписи (ЭП).
Если ваша электронная подпись хранилась на токене, а вы обнаружили, что токен пропал, то велик шанс того, что произошла кража ЭЦП. Вероятность этого сильно повышается, если на токене установлены стандартные пин-коды. Информация о том, как установить другие пин-коды на токен, есть в нашем материале.
Первая рекомендация: не оставляйте токен в компьютере надолго, особенно когда вы с ним не работаете. Носите токен с собой на связке ключей и подключайте его к ПК по необходимости. На ночь уносите токен с собой или храните в сейфе, ключи и пароль от которого есть только у вас. Множество случаев неправомерного использования электронной подписи связано с тем, что пользователи оставляли свои компьютеры на ночь включёнными, и токены при этом были подключены к ПК.
Заметить утрату ключа электронной подписи гораздо сложнее, если он хранился в реестре вашего компьютера и был оттуда скопирован без вашего ведома. Такая кража чаще всего обнаруживается лишь тогда, когда мошенники воспользуются подписью. Например, вы увидите в интернет-банке платёжку, которую вы не подписывали.
Ранее мошенники могли выпустить сертификат и ключи электронной подписи на имя человека, который не давал своего согласия на создание ЭП или вообще не знал о том, что подпись оформляют по поддельной доверенности. Сейчас это почти невозможно. Согласно закону № 63-ФЗ, сотрудники удостоверяющих центров (УЦ) обязаны проводить идентификацию заявителя. Таким образом, теперь получить подпись в первый раз может только будущий владелец ЭП, а не его представитель с доверенностью. Человек, на имя которого выписывается сертификат, моментально получает уведомление о выпущенном сертификате через Госуслуги. Поэтому более реальный сценарий сейчас — это кража ключа электронной подписи из-за его неаккуратного хранения самим пользователем.
Существует ряд способов, позволяющих проверить, не используют ли вашу подпись другие люди:
- регулярная проверка своего профиля на «Госуслугах». Просмотреть все сертификаты ЭП можно, перейдя из Личного кабинета в раздел «Электронная подпись». Чтобы увидеть сведения о ваших ЭП, откройте Личный кабинет, зайдите в раздел «Профиль» и перейдите в подраздел «Электронная подпись». Кроме того, вы можете настроить уведомления, чтобы знать, когда на ваше имя выпускается новая электронная подпись;
- проверка личного кабинета на ресурсе nalog.ru. Если мошенники попытаются продать ваше имущество или сдать подложную отчётность от лица компании, данные об этом появятся в Личном кабинете на сайте ФНС. Откройте свой профиль на портале, зайдите в раздел «Обращения» и кликните по кнопке «Перейти в раздел», чтобы узнать подробности;
- проверка своих действий на тех сервисах, где ранее использовалась ваша ЭП, например, в интернет-банках. Если вы видите подписанные вами операции, которые вы не создавали, то, возможно, вашей подписью пользуется кто-то ещё.
Если вы считаете, что вашей электронной подписью пользуются злоумышленники, нужно как можно скорее обратиться за помощью в удостоверяющий центр, который выдал эту электронную подпись.
Если вы считаете, что вашей электронной подписью пользуются злоумышленники, нужно как можно скорее обратиться за помощью в удостоверяющий центр, который выдал эту электронную подпись.
Информацию о том, что делать при потере пароля от ЭЦП, ищите в другом нашем материале.
Как мошенники могут украсть ключи электронной подписи
Злоумышленники используют разные способы для похищения ключей ЭП. Преступники могут:
- украсть токен — носитель, на который записан ключ электронной подписи. Но если токен и закрытый ключ ЭП защищены пин-кодом, то потеря не страшна;
- получить несанкционированный доступ к компьютеру владельца и к хранящемуся на нём ключу подписи;
- выпустить электронную подпись без вашего ведома, подделав документы и обманув представителя удостоверяющего центра. Однако все удостоверяющие центры берегут свою репутацию и тщательно проверяют документы лица перед тем, как выпустить ЭП.
Удостоверяющий центр «Калуга Астрал» по праву считается одним из самых авторитетных и надёжных удостоверяющих центров. Получить электронную подпись на другое лицо в УЦ «Калуга Астрал» невозможно.
Чтобы предотвратить кражу ключей электронной подписи и избежать неприятных последствий, соблюдайте правила безопасности ЭЦП.
Что нужно сделать, если вашу электронную подпись украли
Написать заявление в налоговую службу
Обратиться в полицию
Отозвать сертификат в УЦ
Обратитесь в удостоверяющий центр, который выдал вам сертификат электронной подписи, и подайте заявление на отзыв ключа ЭП. Сотрудники УЦ предоставят вам бланк заявления о прекращении действия сертификата ключа проверки электронной подписи.
Если вы обращаетесь в удостоверяющий центр лично, сотрудники проверят ваш паспорт (или другой документ, удостоверяющий личность) и самостоятельно заполнят бланк. Вам останется только подписать заявление и получить отметку о его принятии от сотрудника удостоверяющего центра. Если вы хотите решить вопрос удалённо и у вас нет возможности оперативно посетить точку выдачи удостоверяющего центра, то полученный от специалистов удостоверяющего центра бланк нужно распечатать, подписать и отправить в УЦ по адресу, который вам сообщат.
Каждый аккредитованный удостоверяющий центр имеет регламент, согласно которому он выполняет свои функции. Обычно регламент размещён на сайте центра. Бланк заявления на отзыв сертификата вы также можете найти в этом документе. Также в регламенте описан порядок отзыва сертификатов.
Помните: чем быстрее вы подадите заявление на отзыв сертификата, тем быстрее сертификат отзовут и тем меньше действий недоброжелатели успеют совершить от вашего имени. Как правило, аккредитованные удостоверяющие центры производят отзыв квалифицированного сертификата в течение 12 часов с момента получения соответствующего заявления.
У разных удостоверяющих центров способы отправки заявлений на отзыв отличаются друг от друга. В качестве примера мы привели порядок процедуры, принятый в УЦ «Калуга Астрал».
Образец заявления на отзыв ЭП приведён ниже. Получить бланк заявления можно, взяв его из регламента удостоверяющего центра. Заявления в разных удостоверяющий центрах внешне и по содержанию очень похожи.
Если вы получали электронную подпись в удостоверяющем центре «Калуга Астрал», заполните заявление и обратитесь в ближайший офис или представительство нашего удостоверяющего центра.
Написать заявление в налоговую службу
Если вы опасаетесь, что злоумышленники могли открыть на ваше имя новую компанию, обязательно обратитесь в ФНС.
Мы рекомендуем посетить отделение лично, чтобы быстрее предотвратить неприятности. Если мошенники уже зарегистрировали фирму и поставили её на учёт в налоговой, прийти в офис ФНС нужно незамедлительно. Опишите свою проблему инспектору и подайте заявление. В документе укажите, что вы не регистрировали эту компанию, а про электронную подпись, которой, возможно, было подписано заявление на регистрацию, вы ничего не знаете.
Обратиться в полицию
Если мошенники уже успели причинить вам материальный ущерб, обратитесь в полицию и сообщите, что ваша электронная подпись скомпрометирована. Если подпись выпускали вы, то приложите к заявлению копии документов, которые вам выдали в удостоверяющем центре при выпуске. Если от вашего имени уже совершили сделку, то обратитесь к адвокату: возможно, сделку получится аннулировать в судебном порядке.
Почему важно отозвать сертификат как можно быстрее
У физических лиц ключи электронных подписей воруют существенно реже, чем у юридических. Это связано с тем, что ЭП физического лица даёт мошенникам не так много возможностей, а риск получить штраф и тюремный срок за кражу всё равно остаётся.
С помощью украденной подписи физлица злоумышленники могут завладеть вашей собственностью, подписав документы вашей ЭП. Однако с недавних пор этого можно избежать, подав специальное заявление на Госуслугах и запретив тем самым подтверждать сделки с недвижимостью электронной подписью.
Украв ключи ЭП директора юридического лица или ИП, мошенник получает ещё больше преимуществ. Имея подпись руководителя организации, злоумышленник может:
- вывести деньги со счёта компании;
- продать имущество предприятия;
- оформить микрозайм на организацию и моментально его вывести;
- принять участие в торгах и уклониться от заключения контракта в случае выигрыша. Так мошенник испортит репутацию компании.
В том случае, если подписью завладели конкуренты, они могут сменить руководителя вашей фирмы или добавить нового учредителя. Возможны и другие действия, способные навредить вашему бизнесу.
Первые лица организаций могут передавать свои ЭП сотрудникам: например, бухгалтерам, которые сдают отчётность от лица компании. Это несёт для юрлиц такие же риски, как и в том случае, если к подписи получили доступ конкуренты. Передавать подпись работникам нельзя. Все сотрудники должны пользоваться своими ЭП и при необходимости получать от руководителя МЧД.
Чтобы снизить такие риски, нужно быстро отозвать сертификат подписи, как только у вас возникло подозрение в краже. Также нужно помнить, что действия недоброжелателей часто можно аннулировать через суд. В большинстве случаев суды принимают сторону потерпевших, признавая поддельные контракты недействительными.
Обладатель электронной подписи должен максимально ответственно отнестись к хранению электронных ключей и соблюдать простые правила безопасности:
не передавать носитель ключа посторонним лицам;
не оставлять токен без присмотра;
хранить токен в сейфе или в запертом ящике стола;
заподозрив пропажу, незамедлительно сообщить о ней в УЦ;
поменять пин-коды на токене.
Как выбрать удостоверяющий центр
Руководители юридических лиц и бюджетных учреждений, индивидуальные предприниматели и нотариусы получают ключи и сертификат электронной подписи в УЦ ФНС и в офисах их доверенных лиц. Физические лица, в том числе сотрудники организаций, могут получить подпись в аккредитованных удостоверяющих центрах. Удостоверяющий центр «Калуга Астрал» выпускает электронные подписи и машиночитаемые доверенности (МЧД) для физических лиц, а также помогает выпустить электронную подпись ИП и предпринимателям.
УЦ «Калуга Астрал» предлагает выпустить Астрал Подпись. С помощью электронной подписи можно участвовать в торгах, работать на государственных порталах и подписывать электронные документы. По вашему запросу менеджер подробно расскажет о том, как минимизировать риск кражи сертификата.
Свободный автор Астрал
Продукты по направлению
Может быть интересно
УКЭП и МЧД: нововведения и правила применения
УКЭП – усиленная квалифицированная электронная подпись
Блокировка продуктов КриптоПро компанией Apple
Как получить ключи электронной подписи за границей
Заказать электронную подпись
Еще не определились? Напишите нам, и мы ответим на ваши вопросы!