Как защитить эцп от копирования
Перейти к содержимому

Как защитить эцп от копирования

  • автор:

Подделка электронной подписи: какая ответственность предусмотрена

Мы живем в век высоких технологий, которые, с одной стороны, упрощают юридические процессы, а с другой, несут дополнительные сложности. Одним из появившихся в результате прогресса инструментов является электронная цифровая подпись (ЭЦП). Чтобы оценить, нужна ли такая подпись, следует понимать, чем опасна электронная подпись для физических лиц, можно ли ее подделать, как ее защитить и какая ответственность предусмотрена за ее незаконное использование или подделку.

Реально ли подделать или получить доступ к чужой ЭЦП

Законодательство РФ признает документы, подписанные электронной подписью, равнозначными документам, подписанным собственноручно (ст. 6 Федерального закона от 06.04.2011 № 63-ФЗ ), поэтому вопрос возможности подделки электронной подписи приобретает чрезвычайно важное значение.

В нашей стране цифровая подпись обладает высокой степенью защищенности в связи с применением стандартов криптографической защиты информации (ГОСТ Р 34.10-2012, ГОСТ 34.12-2018, ГОСТ 34.13-2018). Надежность криптографических методов практически полностью исключает ситуации, при которых злоумышленники подделали электронную подпись человека и используют ее в своих целях, но это не означает, что ЭЦП полностью защищена. Злоумышленники получают доступ к чужой ЭП иным образом, например, они могут:

  • украсть ее (физически или виртуально);
  • оформить ЭП на кого-то без его ведома;
  • использовать чужую ЭП, если введут человека в заблуждение и узнают данные;
  • купить ЭП, оформленную на подставного человека;
  • воспользоваться чужой цифровой подписью, переданной им добровольно (например, нередко главный бухгалтер фактически распоряжается ЭП, выданной на генерального директора);
  • воспользоваться ЭП, выданной сотруднику его бывшим работодателем.

Варианты мошенничества с ЭЦП

Получение доступа к чужой ЭЦП не является целью злоумышленников, это лишь средство реализации их преступных замыслов, в которых мошенничество с электронной подписью — только один из этапов. Целью же, как правило, является незаконное получение прибыли.

Используемые мошенниками сценарии и связанные с ними риски электронной подписи выражаются в совершении следующих действий:

  • оформлении кредита или займа на гражданина;
  • кража собственности владельца ЭП (например, оформление сделки купли-продажи квартиры);
  • открытие компании или ИП на гражданина;
  • перевод денежных средств компании на иные счета (например, при использовании ЭП, выданной генеральному директору компании, иным сотрудником);
  • недобросовестная конкуренция (например, использование ЭЦП для подачи или отзыва заявки на участие в закупке от имени конкурента);
  • подача поддельной отчетности (например, с целью получения возмещения по налогам).

Порядок действий, если ЭЦП украли или скомпрометировали

Несмотря на все предпринимаемые действия, каждый может оказаться в ситуации, когда злоумышленники украли электронную подпись или скомпрометировали ее. В этом случае самым важным моментом станет скорость, с которой будут совершены действия, позволяющие уменьшить возможный ущерб. Поэтому необходимо:

  1. Отозвать сертификат ЭЦП в том удостоверяющем центре, который ее выдал (если центр неизвестен, стоит проверить информацию на Госуслугах (раздел «Уведомления»), на площадке, где подписали документ, или в самом документе).
  2. Обратиться в организации, в отношениях с которыми использовалась ЭЦП (например, банк или налоговая инспекция).
  3. Обратиться в полицию с заявлением о незаконном использовании ЭЦП.
  4. Оценить реальный ущерб и обратиться в соответствующие органы (например, в налоговую — если с помощью ЭП зарегистрировали компанию; в суд — если продали недвижимость или перевели денежные средства со счета).

Следует незамедлительно сообщать о факте компрометации ЭЦП в соответствующие организации и органы, т. к. промедление расценивается как бездействие, что позволит взыскать все убытки с владельца ЭЦП даже при отсутствии у него преступных намерений (п. 6 ст. 17 ФЗ от 06.04.2011 № 63-ФЗ, определение ВС РФ от 24.07.2018 № 307-ЭС18-9645).

Образец заявления о прекращении ЭЦП

Как защитить электронную подпись

Совершенствование технических средств, используемых мошенниками, и увеличение количества ситуаций, когда применение ЭП становится необходимым, заставляет задуматься о том, как обезопасить электронную подпись и защитить ее от злоумышленников. Для защиты электронной подписи следует соблюдать следующие правила:

  • не передавать ЭЦП или пароль третьим лицам;
  • использовать компьютер с достаточной степенью надежности и программами защиты от вирусов;
  • не открывать подозрительные письма, ссылки и сайты, установить пароль на компьютер, если на устройстве хранится или используется ЭЦП;
  • проверять на сайте Госуслуг информацию о выданных пользователю ЭЦП (например, в разделе «Уведомления»);
  • отозвать ЭП, выданную сотруднику, незамедлительно в случае его увольнения;
  • обращаться за получением ЭП только в аккредитованные удостоверяющие центры (список приведен на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ).

Соблюдение приведенных выше правил не позволит оказаться в ситуации, когда электронная подпись без моего ведома поставлена, например, на документах о создании фирмы-однодневки.

Ответственность за подделку и незаконное использование

Подделка или незаконное использование ЭП, в зависимости от обстоятельств конкретного дела, влечет административную, уголовную или гражданско-правовую ответственность.

Вид ответственности Статья Санкция
Административная Ч. 1 ст. 19.23 КоАП РФ Штраф 30.000-50.000 руб. с конфискацией орудий совершения правонарушения
Административная Ч. 2 ст. 19.23 КоАП РФ Штраф 50.000-100.000 руб. с конфискацией орудий совершения правонарушения
Уголовная Ч. 1 ст. 327 УК РФ Ограничение свободы на срок до 2 лет, либо принудительные работы на срок до 2 лет, либо арест на срок до 6 месяцев, либо лишение свободы на срок до 2 лет

Особенностями правонарушений или преступлений, совершенных с использованием поддельной или украденной ЭЦП, являются:

  • злоумышленники несут ответственность по различным статьям УК РФ (например, мошенничество ( ст. 159 УК РФ )) с дополнительной квалификацией по ч. 1 ст. 327 УК РФ;
  • к гражданско-правовой ответственности могут привлечь владельца ЭЦП, не совершавшего противозаконных деяний.

Привлечение злоумышленника к ответственности не является гарантией возмещения убытков, поэтому использовать ЭП необходимо ответственно и сознательно, не допуская ее утери или компрометации.

Как защитить электронную подпись от мошенников: правила безопасности

Электронная подпись — надежный инструмент для работы. Но при неосторожном обращении она открывает возможности для злоумышленников. Какие правила нужно соблюдать при работе с электронной подписью, чтобы уберечься от мошенничества.

Что такое ЭП, КЭП и для чего они нужны

Электронная подпись (ЭП или ЭЦП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.

Получите электронную подпись под свою задачу. В Контуре есть подписи для отчетности, торгов, ведения бизнеса и личных дел. Работаем с руководителями и сотрудниками. Быстро настраиваем компьютер, решаем технические сложности и консультируем в торгах.

КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.

КЭП выдают только удостоверяющие центры (УЦ), которые имеют аккредитацию Минкомсвязи. Например, ее можно получить в Удостоверяющем центре Контура или в Центре выдачи электронных подписей в Москве. УЦ соблюдают правила безопасности — этого от них требует закон и госорганы, — удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы. А в случае нарушений УЦ несут материальную ответственность.

В УЦ владелец электронной подписи получает файлы, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Файлы записываются на токен (устройство, похожее на флешку) или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.

Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне — этого требует 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.

У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.

Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ЭП, чтобы избавиться от рутинного подписания бумаг.

Как происходит мошенничество с электронной подписью

Злоумышленники могут завладеть ЭП по-разному. Первый вариант — умышленно получить подпись другого лица. Мошенники могут украсть закрытый ключ, который хранится на токене. Или владелец может оставить подпись в общественном месте или потерять. Бывает и так, что компания забывает отозвать ЭП у уволенного сотрудника: он покупает товар от имени фирмы и скрывается, оставив долг. Нужно знать, как отозвать подпись и делать это сразу после увольнения, даже если работник пользовался полным доверием.

Есть и другой вариант. Владелец может сам отдать подпись постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, как обезопасить себя от мошенничества, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.

Продажа квартиры, подача декларации в ФНС и другие риски использования сертификата ЭП

Использование чужой ЭЦП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:

  • оформить кредит на компанию;
  • вывести деньги из фирмы, а потом ликвидировать ее;
  • подать в налоговую поддельные декларации с баснословными суммами, чтобы получить возмещение НДС в размере нескольких миллионов;
  • продать чужую квартиру или офис. Сейчас этот сценарий невозможен для физических лиц — в августе 2019 года Росреестр ужесточил правила онлайн-сделок с физлицами, поэтому перед сделкой нужно получить согласие собственника на сделки с недвижимостью с использованием ЭП.

Как обеспечить безопасность электронной подписи

Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они подделывают документы, чтобы незаконно получить ЭП, или крадут подпись.

Рекомендуем соблюдать правила безопасности, которые помогут избежать мошенничества с цифровой подписью:

Нельзя передавать ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.

Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.

Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру.

Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.

Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.

Нельзя передавать сканы и реквизиты паспорта ненадежным фирмам или оставлять их на подозрительных сайтах. Если сканы попадут в руки мошенников, они могут получить по ним электронную подпись от чужого имени. Скорее всего, сотрудники удостоверяющего центра увидят подделку и сертификат не выдадут, но лучше не рисковать. Если паспорт пропадет, об этом нужно сразу сообщить в полицию — заявление станет аргументом, если потребуется доказать, что ЭП на документ поставили мошенники.

Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше:

Если у вас пропала подпись, то ее можно и нужно сразу же отозвать — тогда злоумышленники не смогут ей воспользоваться.

Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись». Госуслуги покажут, какие подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в УЦ, который указан в этой подписи. УЦ по вашему заявлению отзовет сертификат подписи, и тогда ей больше никто не сможет воспользоваться.

Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи. Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил. Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, а некоторые — при выдаче сертификата делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.

Получите подпись в УЦ Контура — это надежно и безопасно. Мы работаем на рынке больше 17 лет и выдаем сертификаты подписей, соблюдая все меры безопасности, имеем аккредитацию Минкомсвязи и необходимые лицензии ФСБ России.

Получите электронную подпись под свою задачу. В Контуре есть подписи для отчетности, торгов, ведения бизнеса и личных дел. Работаем с руководителями и сотрудниками. Быстро настраиваем компьютер, решаем технические сложности и консультируем в торгах.

Как и где можно хранить электронную подпись

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен, eToken, JaCarta. Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной ЭЦП

Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье.

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.

Электронная цифровая подпись: как защититься от злоумышленников

Поможем с выпуском ЭЦП для любых задач на защищенных носителях рутокен.

Как могут украсть цифровую подпись?

Нужно поделить мошенников на две категории: мошенники, которые не очень сильны в области IT и самые настоящие хакеры, которые знают, как использовать вирусы и похищать ваши персональные данные в своих интересах. Что касается первых, то, как правило, они подделывают документы, либо любым другим аналогичным способом подделывают данные с простой целью – обмануть организацию. Раньше у нас можно было получить подпись по доверенностям и заверенным копиям, поэтому мошенники просто фальсифицировали доверенность. Печати там не требовалось, подпись могла стоять любая согласно закону. Соответственно, злоумышленники могли просто прийти и получить электронную подпись другого человека. Только потом, спустя время начали вводить различные ограничения. Например, подтверждение доступа к расчетному счету, подпись идентичную той, что стоит в паспорте, печать и пр. После введения данных мер контроля, воровать стало труднее.

Тем не менее, некоторые мошенники обращаются в удостоверяющие центры с поддельными оригиналами документов. Были такие случаи, когда приходил человек, представлялся директором организации, и сотрудники выписывали электронную подпись. Уже потом выяснялось, что обращался какой-то неизвестный человек, предоставлял настолько качественную подделку, что ее просто невозможно было отличить на момент оформления подписи. Доходило вплоть до того, что серия и номер были такие же, как в подлинном документе и лишь фотография отличалась. В момент выдачи такое отследить было просто невозможно.

Удостоверяющие центры по-прежнему подвергаются атакам со стороны мошенников, и остается лишь вводить новые формы контроля. Введение новых мер усложнит жизнь, как мошенникам, так и клиентам, но такова цена безопасности.

Хакеры также становятся проблемой для безопасности ваших ЭЦП, и защититься от них тоже непросто. Бухгалтеры работают с электронной отчетностью, и именно к этому сервису сейчас выпускается основной объем электронных подписей. По сути, 63-ФЗ говорит нам о том, что электронная подпись для сдачи отчетности должна храниться у руководителя организации. Однако, как показывает практика, как бухгалтеры, так и руководители не соблюдают данное правило. Никто закон не читал, и о последствиях никто не задумывается, за исключением крупных организаций или IT-компаний, у которых есть свой человек, отвечающий за информационную безопасность. В итоге получается следующее: бухгалтер скачивает на компьютер какую-то программу, а она заражена скрытым вирусом. Антивирус, установленный на компьютер, может ее обнаружить, конечно, но если у вас недостаточно хорошая защита, может и пропустить. Достаточно просто получить банального «трояна» или «червя», который сможет перетянуть к себе через открытый порт электронную подпись. Сама ЭЦП весит очень мало: размер одной электронной подписи в среднем составляет 5 килобайт, а ее размер в реестре может составлять от силы 20 килобайт. На текущий момент можно и без реестров скопировать информацию всего за 5 секунд, и никто об этом даже не узнает. Отсюда следует вывод, что украсть электронную подпись легко, если есть понимание и знание того, как взломать устройство бухгалтера.

Об ограничениях со стороны государства и ответственность удостоверяющих центров.

Если вы внимательно вчитаетесь в 63-ФЗ, то станет ясно, что государство регулирует процедуру передачи электронной подписи. Однако, ответственность лежит на плечах самих пользователей. Есть определенная зона ответственности и у удостоверяющего центра, но заканчивается она ровно там, где электронная подпись выпускается и передается клиенту.

Как только электронная подпись была передана, (Если она передана в соответствии с законом и требованиями ФСБ) тогда к удостоверяющему центру вопросов больше нет. Процесс получения ЭЦП уже регламентируется удостоверяющим центром. Единственное, что требует от них государство – чтобы электронная подпись передавалась строго согласно закону. Например, если она выдается руководителю, то приходить и получать ее должен именно руководитель, а не кто-то другой. Здесь, с одной стороны, требование очень простое, но добиться его исполнения очень тяжело. Удостоверяющему центру сложно проверить – пришел клиент или мошенник. Пока мошенники могут подделывать паспорта, на месте отследить данный факт будет очень сложно.

Сейчас лишь зарождается такая инициатива, согласно которой удостоверяющие центры будут пробивать человека по паспорту, по специальному коду, который указан в паспорте. Этот код прописывается в УФМС, его будут сканировать и тогда сразу же станет ясно, кто пришел. Если же человека не находят в базе данных, то требуется дополнительная проверка, а это уже первый звоночек о том, что пришел человек с поддельным паспортом.

О токене и взаимодействии с компьютером

Токен – это особый носитель, который со стороны очень похож на простую USB-флэшку. Все токены разрабатывали в соответствии с требованиями ФСБ с целью обезопасить людей от кражи. Грубо говоря, чтобы люди не вставили его в компьютер с вирусами, и оттуда не «полетели» подписи. Именно поэтому схему токена изменили в отличие от обычной «флэшки». С виду это все тот же носитель, но тип памяти там совсем другой. Есть специальный чип, который выпускается заводом — изготовителем. Он записывает алгоритм того, как эта память должна работать, и она небольшая по сравнению с обычной флэшкой. Максимальный размер токена, с которым я работал, составлял 64 килобайта, но я слышал и про 128 килобайт, но это уже уникальные случаи.

Вся работа происходит согласно требованиям ФСТЭК — на носителе должен стоять пин-код. Когда к компьютеру подключается электронная подпись, он сначала взаимодействует с носителем. Компьютер не может работать с токеном по умолчанию, для этого устанавливают дополнительные панели и программы. Лишь потом, если вы правильно введете пин-код, компьютер разрешит обратиться к электронной подписи. К слову, попыток для ввода кода около 10. Важно лишь то, что если вы введете пин-код неправильно указанное количество раз, токен блокируется.

На таком носителе всегда 2 уровня безопасности: пользователь и администратор. Если токен блокируется, то разблокировать сможет лишь администратор. Если же администратор также вводит неверный пин-код, тогда токен блокируется на двух уровнях, и сделать с ним вы уже ничего не сможете. Даже сбросить его или просто сделать пустым не получится, и это превращает носитель в бесполезный кусок пластика. С обычной флэшкой так сделать нельзя: даже если вы установите на нее пароль, то вводить его можно неограниченное количество раз. К примеру, если поставить на электронную подпись пароль, а на компьютере будут вирусы, и вы подключитесь с обычной флэшки, то есть риск, что один из этих вирусов украдет эту подпись, и злоумышленник попытается ее взломать. Хакер не будет взламывать ее на вашем компьютере, он украдет подпись и взломает ее уже на своем устройстве.

С токеном же все иначе из-за того, что он не обладает своей флэш-памятью и обращаться к нему можно только через криптопро или любое другое csp, которое стоит на компьютере. «КриптоПро» является разработанной утилитой, которая используется во многих программах, и предназначена для работы с электронной подписью. Вирусы не умеют обращаться к носителю через другие программы, из-за чего кража становится еще сложнее. Можно утверждать, что даже если на компьютере установлено плохое программное обеспечение, но на токене стоит не заводской пин-код, а тот который установили вы, то в 99% случаев кража невозможна. Даже если у вас похитят токен, то можно не переживать, что им кто-то воспользуется, потому что пароль, который вы установили, попросту не получится взломать. Тем не менее, отозвать подпись вы обязаны с грифом «компрометация» согласно 63-ФЗ, так как произошла компрометация ключа.

Есть такие подписи, которые в принципе невозможно украсть с токена. Для этого используется специальное применение в удостоверяющем центре под названием «не экспортируемый ключ». Даже если вы запишете такой ключ на флэшку, а не на токен, то через криптопро взять его уже не получится, потому что там стоит своеобразный признак недвижимости. Вы можете взять классический носитель, записать на него «не экспортируемый ключ» и даже если у вас будет очень сложный пароль, который взломают, подпись оттуда скопировать все равно не получится.

Некоторые просто покупают подпись и делают копии на токены. Допустим, у вас есть 4 носителя с одной и той же подписью, и вы выдаете ее тем сотрудникам, которым доверяете ее использование, к примеру, тендерный отдел. Если руководитель им доверяет, то он выдает им подпись. Тут есть юридический нюанс: тендерному отделу, понадобится доверенность о том, что руководитель действительно передал им полномочия на использования данной подписи. Реальная же ситуация такова, что таких договоренностей никто не делает, потому что никто не проверяет. 63-ФЗ прописал работу процедурно, то есть в случае какого-либо разбирательства такой документ должен присутствовать.

Как можно списать деньги

Представьте, что мошенники выпустили на ваше юридическое лицо электронную подпись по поддельным документам. Они взяли сканы ваших документов и начали представляться от вашего имени. У вас на расчетном счете лежит условный миллион рублей. В тот самый момент, когда злоумышленники получили электронную подпись, они формируют пакет документов, в которых указывают, что руководитель, который действует на данный момент, прекращает свои полномочия. Прописывают нового руководителя, ссылаясь на какого-нибудь неизвестного человека. Все это подается в налоговую, потому что документ, подписанный электронной подписью, согласно 63-ФЗ является юридически значимым. В новой поправке любая организация, получающая такие документы, обязана принимать их юридическую значимость. Соответственно, когда злоумышленники отправили документы, их начинают рассматривать, не зная, кто их подал.

С того момента, как данные в ЕГРЮЛ меняются, на расчетном счете тоже должны произойти изменения. Когда злоумышленник уже вступил в силу как директор, мошенники выпускают новую банковскую электронную подпись и получают доступ к расчетному счету, снимая оттуда деньги. Важно понимать, что вся эта процедура прозрачна – то есть видно, кто снимал и как снимал. Поэтому это всегда делается на номинальных руководителей, которые потом говорят: «Я руководитель, мне эти ребята деньги дали, личности их подтвердить не могу и я к этому никак не причастен». Как только деньги сняты, все, людей больше не найти.

Как защититься

Прежде всего, вам следует завести безопасное облако. На облаке подпись хранить не надо, но там вы сможете хранить свои пароли, пин-коды от токенов. К примеру, вы запросили коммерческую подпись для торгов, и попросили сделать ее «не экспортируемой», и записываете ее на сертифицированный носитель. Как только вы получаете этот носитель, вы меняете пин-коды и фиксируете их, потому что практика показывает, что люди часто забывают свои пароли. Очень важно не забывать и не путать коды от пользователя и от администратора. Устанавливаете код на подпись и все, дальше у вас уже никто ничего украсть не сможет. Главное, чтобы вы не потеряли физический носитель. Его нельзя будет ни скопировать, ни взломать. Следите за носителем, и конечно не нужно брать его с собой везде и всегда, чтобы не потерять или чтобы у вас его не украли. Также следите за своими личными персональными данными. Все свои документы тоже неправильно отдавать представителям. Очень важно сохранять конфиденциальность при заполнении заявки онлайн. Тут должен быть защищенный канал, чтобы данные не украли, и они не попали к третьим лицам.

Если вдруг вы узнали, что кто-то на вас выпустил электронную подпись, то нужно незамедлительно поменять свой паспорт и СНИЛС. Также надо обратиться в полицию, в УФМС и Пенсионный фонд. Очень важно сделать это оперативно, потому что у злоумышленника может быть просто заверенная копия, которой он будет пользоваться и в дальнейшем. Любое промедление может привести к тяжелым последствиям, потому что пока вы не поменяете свои данные, мошенники продолжат пользоваться вашей электронной подписью и оформлять договора, списывать суммы и прочее.

Это далеко не единственные способы кражи и использования вашей электронной подписи. Были такие случаи, когда мошенники пользовались данными абсолютно официально и даже выполняли работу за человека. Например, есть организации, которые сдают отчетность за компании. Такие конторы набивают себе базу, существуют на рынке какое-то время, а потом забирают подписи всех клиентов, которые у них имеются и проводят с ними запрещенные операции, списывают деньги и исчезают.

Единственно верным способом защиты было и остается бережное отношение к своим данным. Следите за тем, как и где, хранится ваша информация, кто их использует, и доверяйте только проверенным сотрудникам. Вы сами можете обеспечить безопасность своих данных.

Обращайтесь к нашим специалистам в магазин ЭЦП и наши специалисты подберут необходимую для вас подпись!

Похожие публикации:
  1. Где взять потребительский кредит под маленький процент
  2. Какую наличную валюту можно купить в банках
  3. Оплачеваемый или оплачиваемый отпуск как правильно
  4. Сколько прожиточный минимум в челябинской области

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *