Случаи мошенничества с электронной подписью обычно связаны с компрометацией её ключа из-за несоблюдения самим владельцем правил безопасности. Но возможна и другая ситуация — используется электронная подпись гражданина, ИП или организации, которые никогда её не оформляли. Рассказываем, как сделать использование ЭП (ЭЦП*) безопасным и защититься от мошенничества.
*ЭЦП — устаревший термин, использовался до 1 июля 2013 года.
Почему электронная подпись надёжна
Безопасность использования электронной подписи обеспечивается за счёт следующих факторов:
- Невозможность подделки усиленной электронной подписи — она всегда уникальна и создаётся с использованием криптографических методов защиты информации.
- За содержание, точность и достоверность электронного документа, подписанного ЭП, отвечает владелец сертификата, который получает закрытый ключ ЭП. Передача, утрата, повреждение или изменение носителя электронной подписи и содержащейся на нём информации компрометируют электронную подпись.
- Электронный документ, подписанный ЭП, нельзя изменить, дополнить или переделать — подпись станет недействительной (как и сам документ) либо это будет уже другой документ, который придётся подписывать заново.
- Передача электронного документа, подписанного ЭП, возможна по защищённым каналам связи. Это значительно повышает уровень информационной безопасности.
Какие правила безопасности должен соблюдать владелец ЭП
Основные проблемы с безопасностью при использовании ЭП владельцы сертификата создают сами:
- Небрежный подход к выбору удостоверяющего центра, в котором планируется оформление электронной подписи. Квалифицированный сертификат вправе выдавать только УЦ, аккредитованный Минкомсвязью. Аккредитация подтверждает надёжность центра.
- Передача носителя ЭП другим лицам. Ни локальными актами предприятия, ни доверенностями передача ЭП не предусмотрена. Подписание за кого-то — незаконно, такая подпись недействительна.
- Безответственное хранение носителя, которое создаёт условия для утраты, кражи, копирования, модификации информации или несанкционированного использования ЭП.
- Несоблюдение правил информационной безопасности при работе за компьютером или ноутбуком, через который можно получить доступ к ключу ЭП. Устройства, на которых формируются и подписываются электронные документы, должны быть защищены.
Любая компрометация ключа требует незамедлительного обращения в УЦ, выпустивший сертификат ЭП. Пока это не сделано, все риски несанкционированного применения электронной подписи лежат на её владельце.
Почему незаконное оформление ЭП возможно и как с этим бороться
Есть два основных вида мошенничества, связанного с незаконным оформлением электронной подписи:
- Сертификат выпускается на лицо, которое никогда ЭП не оформляло.
- Незаконно оформляется второй сертификат ЭП на имя владельца сертификата.
Такие случаи встречаются всё чаще, они характерны не столько для ЭП, сколько в целом для цифрового пространства. Из этой же серии — мошенничества с банковскими картами и счетами, утечки из электронных баз данных, дистанционное оформление микрозаймов без ведома заёмщика. Незаконное оформление ЭП — зачастую просто способ для совершения в последующем незаконных сделок и операций. Жертвами мошенников становятся не только «владельцы» сертификата, но и удостоверяющие центры.
Учитывая изменения в законодательстве об ЭП, которые будут вступать в силу в течение ближайших двух лет, уровень безопасности при оформлении сертификатов должен повыситься.
Как обезопасить себя от мошенничества с ЭП:
- Внимательно относиться к сохранности документов и персональной информации.
- При утрате или хищении документов незамедлительно ставить об этом в известность соответствующие органы.
- Время от времени проверять выпуск ЭП на своё имя. Это можно сделать через ИФНС.
- Если установлен незаконный выпуск ЭП, незамедлительно обратиться в удостоверяющий центр для аннулирования подписи.
Как проверить надёжность УЦ
Оформление ЭП начинается с выбора удостоверяющего центра. Надёжность УЦ — важнейший фактор безопасности применения полученного в нём сертификата электронной подписи.
По каким критериям проверять удостоверяющий центр:
- Наличие действующей аккредитации Минкомсвязи.
- Длительность работы, количество представительств в регионах, объём и качество клиентской базы.
- Наличие лицензии ФСТЭК. Подтверждает соответствие требованиям по обеспечению высокого уровня защиты конфиденциальных данных.
- Обеспечение ЭДО с контролирующими органами (ФНС, Росстат, ПФР и т. д.) в статусе доверенного удостоверяющего центра.
Аккредитованный удостоверяющий центр «Инфотекс Интернет Траст» входит в пятёрку крупнейших удостоверяющих центров России и имеет лицензии всех необходимых ведомств, включая ФСТЭК, ФСБ, ФНС и Минкомсвязь. Партнёрская сеть «Инфотекс Интернет Траст» включает более 400 компаний.