Электронная подпись: безопасность и защита от мошенничества

Случаи мошенничества с электронной подписью обычно связаны с компрометацией её ключа из-за несоблюдения самим владельцем правил безопасности. Но возможна и другая ситуация — используется электронная подпись гражданина, ИП или организации, которые никогда её не оформляли. Рассказываем, как сделать использование ЭП (ЭЦП*) безопасным и защититься от мошенничества.

*ЭЦП — устаревший термин, использовался до 1 июля 2013 года.

Почему электронная подпись надёжна

Безопасность использования электронной подписи обеспечивается за счёт следующих факторов:

1. Невозможность подделки усиленной электронной подписи — она всегда уникальна и создаётся с использованием криптографических методов защиты информации.
2. За содержание, точность и достоверность электронного документа, подписанного ЭП, отвечает владелец сертификата, который получает закрытый ключ ЭП. Передача, утрата, повреждение или изменение носителя электронной подписи и содержащейся на нём информации компрометируют электронную подпись.
3. Электронный документ, подписанный ЭП, нельзя изменить, дополнить или переделать — подпись станет недействительной (как и сам документ) либо это будет уже другой документ, который придётся подписывать заново.
4. Передача электронного документа, подписанного ЭП, возможна по защищённым каналам связи. Это значительно повышает уровень информационной безопасности.

Какие правила безопасности должен соблюдать владелец ЭП

Основные проблемы с безопасностью при использовании ЭП владельцы сертификата создают сами:

1. Небрежный подход к выбору удостоверяющего центра, в котором планируется оформление электронной подписи. Квалифицированный сертификат вправе выдавать только УЦ, аккредитованный Минкомсвязью. Аккредитация подтверждает надёжность центра.
2. Передача носителя ЭП другим лицам. Ни локальными актами предприятия, ни доверенностями передача ЭП не предусмотрена. Подписание за кого-то — незаконно, такая подпись недействительна.
3. Безответственное хранение носителя, которое создаёт условия для утраты, кражи, копирования, модификации информации или несанкционированного использования ЭП.
4. Несоблюдение правил информационной безопасности при работе за компьютером или ноутбуком, через который можно получить доступ к ключу ЭП. Устройства, на которых формируются и подписываются электронные документы, должны быть защищены.

Любая компрометация ключа требует незамедлительного обращения в УЦ, выпустивший сертификат ЭП. Пока это не сделано, все риски несанкционированного применения электронной подписи лежат на её владельце.

Почему незаконное оформление ЭП возможно и как с этим бороться

Есть два основных вида мошенничества, связанного с незаконным оформлением электронной подписи:

1. Сертификат выпускается на лицо, которое никогда ЭП не оформляло.
2. Незаконно оформляется второй сертификат ЭП на имя владельца сертификата.

Такие случаи встречаются всё чаще, они характерны не столько для ЭП, сколько в целом для цифрового пространства. Из этой же серии — мошенничества с банковскими картами и счетами, утечки из электронных баз данных, дистанционное оформление микрозаймов без ведома заёмщика. Незаконное оформление ЭП — зачастую просто способ для совершения в последующем незаконных сделок и операций. Жертвами мошенников становятся не только «владельцы» сертификата, но и удостоверяющие центры.

Учитывая изменения в законодательстве об ЭП, которые будут вступать в силу в течение ближайших двух лет, уровень безопасности при оформлении сертификатов должен повыситься.

Как обезопасить себя от мошенничества с ЭП:

1. Внимательно относиться к сохранности документов и персональной информации.
2. При утрате или хищении документов незамедлительно ставить об этом в известность соответствующие органы.
3. Время от времени проверять выпуск ЭП на своё имя. Это можно сделать через ИФНС.
4. Если установлен незаконный выпуск ЭП, незамедлительно обратиться в удостоверяющий центр для аннулирования подписи.

Как проверить надёжность УЦ

Оформление ЭП начинается с выбора удостоверяющего центра. Надёжность УЦ — важнейший фактор безопасности применения полученного в нём сертификата электронной подписи.

По каким критериям проверять удостоверяющий центр:

1. Наличие действующей аккредитации Минкомсвязи.
2. Длительность работы, количество представительств в регионах, объём и качество клиентской базы.
3. Наличие лицензии ФСТЭК. Подтверждает соответствие требованиям по обеспечению высокого уровня защиты конфиденциальных данных.
4. Обеспечение ЭДО с контролирующими органами (ФНС, Росстат, ПФР и т. д.) в статусе доверенного удостоверяющего центра.

Аккредитованный удостоверяющий центр «Инфотекс Интернет Траст» входит в пятёрку крупнейших удостоверяющих центров России и имеет лицензии всех необходимых ведомств, включая ФСТЭК, ФСБ, ФНС и Минкомсвязь. Партнёрская сеть «Инфотекс Интернет Траст» включает более 400 компаний.