Журнал об электронном контенте, документах и бизнес-процессах
ИТ-директору Делопроизводителю Кадровику Бухгалтеру
Электронная цифровая подпись (ЭП)

Мошенничество с электронной подписью. Как обезопасить себя от проблем

  3 комментариев Добавить в закладки

За последний год в СМИ много писали о событиях, связанных с мошенничеством на фоне цифровизации. Люди в мгновение ока лишались недвижимости или, сами того не подозревая, становились собственниками бизнеса. Что это? Реальный повод для паники или хайп, на волне которого журналисты пытаются привлечь посетителей на сайты?

Концепция кражи данных Бесплатные векторы

Собственное расследование провела постоянный автор ECM-Journal Татьяна Жигалова.  Разобраться в теоретических аспектах работы с электронной подписью помог Павел Лушников:

Зачем нужна электронная подпись и как её сделать — Справочная

Татьяна Жигалова,

бизнес-аналитик Synerdocs

Павел Лушников,

преподаватель Института права Удмуртского государственного университета

 

Столь пристальное внимание к этой теме имеет искусственное происхождение. Оно навязано СМИ и связано лишь с новизной таких преступлений. По факту суть злодеяний осталась той же, просто появился другой способ их совершения – с использованием интернет-технологий. В этой статье рассмотрим правила защиты пользователя от несанкционированного доступа к его электронной подписи (далее – ЭП). Как говорится, предупрежден – значит вооружен.

Безопасность электронной подписи и уловки злоумышленников

Перед тем как рассмотреть проблему подделки или незаконного использования ЭП, ответим на вопрос: а можно ли без согласия владельца подписи произвести противоправные действия?

Подделать собственноручную подпись любого человека можно, если есть образец оригинала. А вот использовать её без ведома владельца сложнее. Необходимо, чтобы была высокая степень доверия к сотруднику.

Рассмотрим пример. Руководитель организации перед уходом в отпуск на всякий случай подписал пустой бланк. Некоторые подчинённые могут оценить этот неосторожный поступок как карт-бланш и использовать его в ущерб компании.

При разработке цифровой модели ЭП перед Федеральным агентством правительственной связи и информации при Президенте РФ были поставлены высокие требования по защите от подделок. Реализовали их посредством криптошифрования информации. Наиболее уязвимым и опасным в данном случае оказалось пространство вне интернета.

Например, в организации штатный сотрудник может воспользоваться ЭП не только для решения рабочих задач, но и в своих личных целях. И вполне возможно, он нанесёт вред организации.

Другая опасность – похищение закрытого ключа. Это делается с использованием инсайдерской (внутриорганизационной) информации о способе его хранения.

Конечно, электронная среда тоже не защищена на 100 %. Но если вы не обладаете знаниями в программировании, завладеть электронной подписью крайне сложно.

Для чего злоумышленникам ваша электронная подпись?

В основном – для хищения денежных средств и товарно-материальных ценностей. Лица, получающие доступ к ЭП, могут совершать юридически значимые действия от имени организации и в личных целях. Например, подписать финансовые документы, получить деньги в банке или перечислить их злоумышленникам.

4 распространенных способа, как злоумышленники могут завладеть электронной подписью:

1.   Владелец сам передает подпись лицу, которое злоупотребляет его доверием.

2.   Мошенник похищает носитель ключа ЭП.

3.   Менее распространенный способ, но самый трудоёмкий и требующий знаний в сфере информационных технологий – взлом корпоративной системы на предприятии.

4.   Выпуск электронной подписи путём обмана Удостоверяющего центра (далее – УЦ). Мошенники могут получить ЭП, предоставив подложные документы. В этой ситуации человек или представитель организации даже может не знать о её существовании.

Сотрудник УЦ, принимающий документы, должен быть внимательным и наблюдательным, а в идеале ещё и владеть знаниями в области криминалистики и криминологии, быть тонким психологом. И всё это для того, чтобы распознать перед собой мошенника.

Защита электронной подписи. Система несовершенна?

Причина сомневаться – наличие большого количества УЦ, деятельность которых слабо согласована между собой. Может быть, поэтому законодатель внёс ряд глобальных изменений в Федеральный закон № 63 «Об электронной подписи» относительно выдачи ЭП. Подробнее с ними можно ознакомиться в статье «Электронная подпись по-новому. Чего ждать от поправок ФЗ № 63».

Ещё один недостаток – отсутствие единого реестра выданных подписей, который бы позволил вести их учёт.

Как добиться совершенства? Необходимо создать систему, которая даст возможность удостоверяющим центрам уведомлять заявителя о статусе выпуска ЭП. Например, это можно реализовать через портал ЕСИА.

Советы экспертов: как обезопасить электронную подпись

  • Во-первых, исключить передачу ключей ЭП третьим лицам. Сотрудников, ответственных за подписание документов, наделить полномочиями и выдать им собственные электронные подписи.
  • Во-вторых, стоит усилить контроль за деятельностью работников, использующих ЭП. В информационной системе организации можно настроить отчёты, с помощью которых руководитель будет проверять, с какими контрагентами и на какие суммы они заключают договоры.
  • В-третьих, отслеживать факты увольнения сотрудников, которые активно использовали подпись организации.
  • В-четвертых, ограничить разовые суммы, которые могут быть переведены с использованием ЭП.
  • В-пятых, задействовать дополнительные каналы контроля за финансовой дисциплиной. Например, систематически проводить аудиторские проверки.

В идеале необходимо ввести внутренний порядок использования ЭП. Лучше его оформить в виде локального правового акта и ознакомить с ним всех заинтересованных сотрудников. В этом документе следует указать цели, способ и время применения ЭП, место хранения ключа, а также расписать алгоритм предоставления сотруднику подписи, случаи ограничения такой возможности или отзыва у работника. Пропишите также порядок прекращения полномочий владельца и уничтожения ключей. Кроме того, можно предусмотреть меры финансовой ответственности для провинившегося сотрудника.

Полный курс на цифровизацию. Что делать в будущем?

Развитие интернет-технологий не остановить. Но не стоит подвергаться панике. Преступные схемы были и раньше – с бумажными документами. Просто по мере того как меняется мир, появляются новые, более изощренные виды мошенничества. А значит, стоит усилить меры безопасности и не пренебрегать дополнительными средствами защиты от несанкционированных действий с вашим имуществом или собственностью организации.

Государство тоже не стоит на месте и разрабатывает меры поддержки граждан в сфере использования ЭП. Так, согласно последним изменениям в ФЗ № 63 «Об электронной подписи», запрещается требовать внесение в квалифицированный сертификат информации, которая не является обязательной по закону. А это значит, что электронные площадки больше не смогут предъявлять свои требования.

Ещё одна мера поддержки – обеспечение граждан на безвозмездной основе средствами криптографической защиты информации для того, чтобы идентификация в аккредитованном удостоверяющем центре проводилась на основе предоставления биометрических персональных данных. Причём без личного присутствия граждан.

 

 

 

Ещё материалы автора
Похожие записи
Комментарии (3)
Вадим Майшев 15 июня 2020 г. 09:55  

Все описанные в открытых источниках «проблемы с подписью» касаются двух направлений: 1) несоблюдения требований идентификации заявителя и подделки заявительных документов и 2) передачи носителей криптоключей и нарушения безопасности ПК. Взлома криптосредств и подделки ЭЦП не зафиксировано, технология очень надежна.
Рецепт такой:
1. Обеспечьте безопасность своих персональных данных. Никому не давайте делать копии паспорта, свидетельств с ИНН и СНИЛС, никогда не пересылайте скан-копии документов по незащищенным каналам связи (если копии оставлять требуется по закону, то помечайте их - кому и для чего сделаны). Ни при каких обстоятельствах не фотографируйтесь с паспортом, не оставляйте биометрические характеристики, не используйте биометрические методы удаленной идентификации (украденные пароль и паспорт можно поменять, лицо – нет, а биометрия хороша только в локальных системах/устройствах и только в качестве дополнительного фактора).
2. Обращайтесь и передавайте документы в УЦ лично. 
3. Формируйте криптоключи лично и только на специализированные носители (с PIN, защитой от копирования), никому не передавайте носители.
4. Соблюдайте установленные требования по обращению с криптосредствами (храните носители в надежных местах, не копируйте криптоключи, обеспечьте защиту ПК от НСД).

Николай Комлев 29 июня 2020 г. 22:35  

Спасибо за статью!

Вопрос авторам, а также Вадиму Майшеву:

Одним из способов защиты закрытых ключей от компрометации является так называемое "облачное подписание". Например, решение КриптоПро DSS. Решение предполагает централизованное хранение закрытых ключей в специальных контейнерах. Доступ к контейнеру защищен PIN-кодом или одноразовым паролем, направляемым пользователю по SMS при осуществлении операции подписания. 

Как считаете, насколько снижает риск компрометации ключа использование сервисов облачного подписания? Если не ошибаюсь, по такому же принципу осуществляется хранение ключа ЭП на сервере ФНС (один из способов) для пользователей сайта nalog.ru. Насколько можно считать данный способ надёжным? 

Вадим Майшев 06 июля 2020 г. 15:58  
Доступ к контейнеру защищен PIN-кодом или одноразовым паролем, направляемым пользователю по SMS при осуществлении операции подписания.

Технология сложнее и совмещает сервисы хранения криптоключей, подписи и интеграции с системой ЭДО. Конфиденциальность документов в этом случае обеспечить весьма сложно.

Как считаете, насколько снижает риск компрометации ключа использование сервисов облачного подписания?

Надо исходить из особенностей компрометации в случае хранения "у себя в сейфе" и "не у себя в сейфе".

Насколько можно считать данный способ надёжным? 

Тут каждый решает для себя сам. Кто-то не рассчитывает на себя и платит за +удобство/-безопасность, теряя при этом 100% контроль; кто-то привык доверять только себе. Это как со счетом в банке: не надо думать о сохранности денег, но надо переживать о том, не сообщит ли допущенный сотрудник о ваших сбережениях "кому не следует", не "лопнет ли банк", не спишет ли деньги за оплату "подключенных услуг", будет ли в нужный момент работать банкомат/интернет-банк, и т.д.  А размещать секрет, требуемый для взаимодействия с контрагентом, на стороне этого контрагента скорее удобно (для контрагента), чем безопасно.

Сейчас обсуждают
Больше комментариев