в чем опасность эцп
Как защитить электронную подпись от мошенников: правила безопасности
Электронная подпись — надежный инструмент для работы. Но при неосторожном обращении она открывает возможности для злоумышленников. Какие правила нужно соблюдать при работе с электронной подписью, чтобы уберечься от мошенничества.
Что такое ЭП, КЭП и для чего они нужны
Электронная подпись (ЭП или ЭЦП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.
КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.
КЭП выдают только удостоверяющие центры (УЦ), которые имеют аккредитацию Минкомсвязи. Например, ее можно получить в Удостоверяющем центре Контура или в Центре выдачи электронных подписей в Москве. УЦ соблюдают правила безопасности — этого от них требует закон и госорганы, — удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы. А в случае нарушений УЦ несут материальную ответственность.
В УЦ владелец электронной подписи получает файлы, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Файлы записываются на токен (устройство, похожее на флешку) или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.
Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне — этого требует 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.
У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.
Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ЭП, чтобы избавиться от рутинного подписания бумаг.
Как происходит мошенничество с электронной подписью
Злоумышленники могут завладеть ЭП по-разному. Первый вариант — умышленно получить подпись другого лица. Мошенники могут украсть закрытый ключ, который хранится на токене. Или владелец может оставить подпись в общественном месте или потерять. Бывает и так, что компания забывает отозвать ЭП у уволенного сотрудника: он покупает товар от имени фирмы и скрывается, оставив долг. Нужно знать, как отозвать подпись и делать это сразу после увольнения, даже если работник пользовался полным доверием.
Есть и другой вариант. Владелец может сам отдать подпись постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, как обезопасить себя от мошенничества, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.
Продажа квартиры, подача декларации в ФНС и другие риски использования сертификата ЭП
Использование чужой ЭЦП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:
Как обеспечить безопасность электронной подписи
Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они подделывают документы, чтобы незаконно получить ЭП, или крадут подпись.
Рекомендуем соблюдать правила безопасности, которые помогут избежать мошенничества с цифровой подписью:
Нельзя передавать ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.
Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.
Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру.
Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.
Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.
Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше:
Если у вас пропала подпись, то ее можно и нужно сразу же отозвать — тогда злоумышленники не смогут ей воспользоваться.
Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись». Госуслуги покажут, какие подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в УЦ, который указан в этой подписи. УЦ по вашему заявлению отзовет сертификат подписи, и тогда ей больше никто не сможет воспользоваться.
Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи. Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил. Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, а некоторые — при выдаче сертификата делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.
Через электронную подпись крадут квартиры и бизнес: способы защититься
Согласно статистике МВД, мошенничества с использованием электронной цифровой подписи (ЭЦП) стали новым трендом в последние два года. Потенциальными пострадавшими от подобных действий являются современные деловые люди, чаще всего – бизнесмены, утверждает бывший следователь СКР по особо важным делам, а теперь партнер Адвокатское бюро ZKS Адвокатское бюро ZKS Федеральный рейтинг. группа Уголовное право 16 место По выручке на юриста (менее 30 юристов) 41 место По выручке Профайл компании × Алексей Новиков. Одна из наиболее распространенных схем, когда злоумышленники по подложным документам оформляют электронные подписи на имя других людей. Те даже не подозревают об этом.
Электронная подпись – это цифровой аналог собственноручной подписи, которой можно подписывать электронные документы. Это определенная гарантия того, что документ отправлен от конкретного лица и он не менялся с того момента, как был подписан.
Потерять квартиру или стать собственником «однодневки»
Получить такую подпись можно в одном из 500 удостоверяющих центров. В некоторых организациях процедуру проведут через интернет без личного присутствия. Как выяснило издание 47News, оформить ЭЦП на другого человека очень просто. Если известны СНИЛС и данные паспорта, то достаточно нескольких тысяч рублей и фотошопа. Журналист Юлия Гильмшина приобрела подпись за генерального директора издания. Третья фирма, куда она обратилась, пошла навстречу сотруднику, чей шеф «не хочет заниматься бюрократией». В итоге журналисту выдали ЭЦП на человека, который сам никуда не обращался и по легенде ничего не знал.
– Подделать ее гораздо сложнее, чем собственноручную.
– Становится дешевле процедура подготовки, доставки и хранения документов, а также значительно сокращается время их движения.
– Сокращается объем бумажного документооборота.
Подобные ситуации оказались возможны из-за пробела в законодательстве, объясняет Никита Роженцов из Alliance Legal Consulting Group Alliance Legal Consulting Group Федеральный рейтинг. группа Санкционное право группа Уголовное право группа ГЧП/Инфраструктурные проекты Профайл компании × : «Удостоверяющий центр обязан установить личность получателя сертификата, но способ такой процедуры не регламентирован». Эта правовая неопределенность не позволяет однозначно определить, кто именно обращался в аккредитованную компанию за подписью – реальный владелец паспорта или злоумышленник с украденной ксерокопией. Так, неизвестные мошенники оформили подпись за Романа Салтовского, а затем «подарили» его московскую квартиру жителю Уфы. После этого электронную сделку зарегистрировали в Росреестре.
О смене собственника пострадавший узнал лишь после того, как получил очередную квитанцию с неизвестной фамилией. Теперь Салтовский возвращает квартиру в судебном порядке, он требует признать спорный договор дарения недействительной сделкой (дело № 02-3237/2019). Параллельно полиция ищет злоумышленников, которые провернули такое мошенничество. С помощью таких схем на гражданина могут зарегистрировать и целые компании. На Павла Зимакова и его супругу оформили три фирмы в разных российских регионах, а также взяли кредиты в микрофинансовых организациях. В этом деле сейчас тоже разбираются сотрудники правоохранительных органов.
Ненадежные центры выдачи подписей и опасные вирусы
По статистике СРО «Микрофинансирование и развитие», в первой половине 2019 года каждая седьмая жалоба (15,4%) на работу микрофинансовых организаций касалась выдачи займов на третье лицо с помощью электронных подписей. За аналогичный период прошлого года цифра составляла всего 4,7%. Число подобных преступлений растет в том числе и по вине сотрудников удостоверяющих центров, которые выдают подписи. Директор правового департамента Минкомсвязи Роман Кузнецов рассказывал «Известиям», что их ведомство регулярно проверяет такие компании и штрафует либо лишает аккредитации за выявленные нарушения.
Более того, есть удостоверяющие центры, которые специально созданы для мошеннических схем, уверяет Алексей Лукацкий, консультант по безопасности Cisco Systems: «Вы вообще не в курсе, что кто-то оформляет за вас что-то. Мошенник и номер свой укажет, чтобы ему приходили уведомления, а не вам». Минкомсвязь требует сократить число таких центров до 10–15 организаций и ввести для их работников уголовное наказание за ряд нарушений. Сейчас предусмотрена лишь административная ответственность для удостоверяющих центров. Если специализированная компания нарушила порядок выдачи электронной подписи, то ее могут оштрафовать на 10 000–30 000 руб. (ст. 13.33 КоАП).
Другой популярный способ, который используют мошенники, – воспользоваться уже выпущенными электронными подписями, принадлежащими добросовестным пользователям. Самая простая схема, когда сотрудник предприятия использует ЭЦП фирмы, чтобы похитить деньги организации. В практике адвоката Алексея Сердюка из Князев и партнеры Князев и партнеры Федеральный рейтинг. группа Уголовное право Профайл компании × был кейс, где подобное преступление совершила главный бухгалтер компании, проработавшая там более 10 лет. Сотрудница, никогда не имевшая нареканий, через «банк-клиент» перевела средства фирмы на подконтрольные ей счета других обществ. Расследование этого дела заняло 2,5 года, говорит юрист. Хотя злоумышленница получила четыре года лишения свободы, но похищенные деньги вернуть так и не удалось.
Есть и более хитрые схемы, когда создают программы-вирусы, которые заражают компьютеры пользователей. Это происходит, когда те при посещении сайтов нажимают на всплывающие «окна» либо открывают письма от подозрительных отправителей. Вредоносное приложение может загрузиться и на компьютер главного бухгалтера фирмы, предупреждает старший юрист Забейда и партнеры Забейда и партнеры Федеральный рейтинг. группа Уголовное право × Дмитрий Алексашин. Когда финансист будет отправлять очередную платежку в банк, вирус автоматически изменит реквизиты получателя платежа на счета мошенников. И подписанный электронной подписью документ подтвердит отправку денег фирмам-однодневкам, которые контролируются злоумышленниками, объясняет эксперт.
Профилактика от законодателя
Есть две основные причины, из-за которых происходят подобные преступления, считает Сердюк. Во-первых, недостаточная идентификация работниками удостоверяющих центров своих клиентов и безответственное отношение самих держателей ЭЦП к «ключам». С первой проблемой уже ведет борьбу законодатель. В конце июля Госдума приняла закон, по которому собственнику жилья надо будет обратиться в Росреестр и лично одобрить переход права на квартиру в электронной форме (либо нотариальное заявление по почте). Тогда регистрирующий орган внесёт в реестр специальную отметку. Если её не будет и при этом кто-то попытается передать права на недвижимость электронным путём, то Росреестр откажется одобрять сделку.
Еще одна законодательная инициатива устанавливает требования к порядку аккредитации и деятельности удостоверяющих центров (УЦ). Для них хотят установить минимальный размер уставного капитала не менее 1 млрд руб., а если филиалы есть не менее чем в трех четвертях субъектов России, то 500 млн руб. Кроме того, такие компании должны иметь высокий порог страховой ответственности своей деятельности. Срок аккредитации центра сократится до трех лет. При этом юридическим лицам электронные подписи будет выдавать УЦ Федеральной налоговой службы, а кредитным организациям – УЦ Центробанка.
Личная защита
Обезопасить от таких преступлений могут не только новые поправки, но и внимательность самих граждан. Во-первых, нужно бережно хранить документы с персональными данными и не передавать их посторонним. Во-вторых, обратиться в налоговую с заявлением о запрете регистрировать юридические лица на свое имя без личного присутствия. Внимательно нужно относиться и ко всем электронным платежам: ограничить их суммы и подключить СМС-информирование обо всех операциях по счету. Кроме того, получать ЭЦП лучше в крупных удостоверяющих центрах, которые имеют положительную репутацию. Управляющий партнер АБ «Павел Хлюстов и партнеры» Павел Хлюстов советует постоянно проверять сведения из реестров, в которых зарегистрированы права на имущество. По его словам, стоит обращать внимание на «странную» корреспонденцию, в которой есть недостоверные сведения о переходе прав на имущество к неизвестным лицам.
– Не устанавливать банковские приложения на гаджеты, которые используются для посещения информационных и развлекательных сайтов.
– Своевременно повышать защиту антивирусных программ и браузеров.
– Не общаться с неизвестными адресатами по электронной почте компании (не открывать письма, файлы, ссылки, пришедшие от неизвестных людей).
– Не использовать программы интернет-банкинга на компьютерах, установленных в публичных местах.
– При потере документов незамедлительно сообщить о пропаже в полицию.
– Изменить «заводской» пароль к электронной подписи на свой собственный.
Что грозит предпринимателю, если его электронная подпись попадёт к мошенникам
Владелец компании, которая вовремя сдаёт отчетность и платит налоги, весной 2021 года обнаружил, что счёт заблокирован. Причина — задолженность по НДС. Бухгалтер посмотрела камеральные проверки по декларациям и обнаружила там сданную декларацию по НДС, которую она не сдавала. Оказалось, что от имени компании мошенники подали декларацию по НДС за 2 квартал 2020 года и повесили на компанию 9000 ₽ НДС. В статье разбираемся, что делать в такой ситуации и как уберечь электронную подпись от мошенников.
Что будет, если электронная подпись попадёт в руки мошенников
Электронная подпись — это цифровой аналог обычной подписи. Если кто-то оформит на вас кредит и подделает подпись в договоре, придётся долго доказывать, что подпись не ваша и у банка вы ничего не брали. Электронную подпись нельзя подделать, но можно украсть. Из-за этого предприниматели теряют квартиры и автомобили, становятся номинальными руководителями фирм-однодневок, их компании переоформляют на других людей и выводят деньги.
История из жизни
Предприниматель из Тулы нанял главного бухгалтера и доверил ему собственную электронную подпись. Главный бухгалтер оказался мошенником: он подписывал ей платёжные поручения, чтобы переводить деньги ИП на свой банковский счёт. Начал с небольших сумм — в первый раз перевёл себе 12 500 ₽, и когда понял, что сработало, уже не мелочился. За четыре месяца он похитил у своего руководителя 1 179 000 ₽.
Суд приговорил бухгалтера к штрафу в 500 000 ₽.
Завладеть вашей электронной подписью мошенники могут четырьмя способами:
История из жизни
Павел заподозрил неладное, когда ему позвонили из банка и предложили открыть расчётный счёт для его фирмы. Павел проверил реестр юридических лиц и обнаружил себя директором двух предприятий, которые он никогда не открывал. Позже он узнал, что ещё одно ООО мошенники оформили на его жену. В налоговой Павлу сказали, что фирмы зарегистрированы с помощью электронной подписи.
Признать электронную подпись недействительной удалось только через суд. На это ушло около года. Налоговая ликвидировала ООО — к счастью, на них ещё не успели накопиться долги.
Как уберечь электронную подпись от мошенников
Правила обращения с электронной подписью достаточно простые, но, как и в случае, с любыми другими паролями, их часто нарушают. Вот, что нужно делать, чтобы сохранить электронную подпись в безопасности ↓
Никому не передавать токен с электронной подписью. Часто бывает так, что директор компании получает электронную подпись и передаёт токен бухгалтеру, который подписывает все документы от имени руководителя. Лучше делать по-другому: пусть бухгалтер получит собственную электронную подпись, а руководитель выдаст ему доверенность на подписание документов.
Хранить носитель электронной подписи в надёжном месте. Лучше всего подойдёт сейф. А если носитель подключен к компьютеру, не оставляйте его без присмотра.
Сменить пароль. Вместе с электронной подписью вы получаете пароль. Для безопасности его следует поменять. Не храните пароль записанным на листочке рядом с флешкой и никому не говорите его.
Защищайте компьютер от вирусов. Не используйте электронную подпись, если на компьютере не установлена антивирусная программа, и не открывайте подозрительные письма.
Что такое «УКЭП в придачу»
Бывает, компании, которые помогают бизнесу открывать расчётные счёта и вести бухгалтерию, выпускают электронную подпись на имя предпринимателя, но не предупреждают его об этом. Подпись нужна им для дела: они используют её, чтобы подписывать нужные документы и сократить количество походов по инстанциям.
Пункт об оформлении электронной подписи обычно есть в договоре, но на нём не акцентируют внимание: компании не хотят пугать предпринимателя. Когда обращаетесь за услугами к таким компаниям, обязательно уточняйте, будут ли они выпускать вашу электронную подпись. А дальше уже решайте, готовы ли вы доверить КЭП посторонним лицам — или нет.
Как проверить, не числятся ли за вами левые электронные подписи
Проверить, выпущена ли на ваше имя электронная подпись, можно на Госуслугах. Для этого:
Если у вас есть электронная подпись, здесь будет информация о ней и о том, какой удостоверяющий центр её выпустил. Если подпись есть, а вы её не оформляли, надо разобраться. Скриншот: сайт Госуслуг
Если у вас есть электронная подпись, здесь будет информация о ней и о том, какой удостоверяющий центр её выпустил. Если подпись есть, а вы её не оформляли, надо разобраться. Скриншот: сайт Госуслуг
Что делать, если мошенники уже воспользовались вашей электронной подписью
Если вы узнали, что мошенники воспользовались вашей электронной подписью:
Чтобы признать недействительными договоры, которые от вашего имени подписали мошенники, обращайтесь в суд. Если хотите наказать мошенников — в полицию.
Электронная подпись: безопасное использование и предотвращение рисков
Квалифицированная электронная подпись не только полноценно заменяет подпись от руки и обладает такой же юридической силой, но имеет преимущества перед обычной подписью, главные из которых:
Более широкий спектр возможностей ЭП по сравнению с обычной подписью и её преимущества в плане безопасности очевидны, осталось разобраться, как оградить себя от существующих рисков при использовании электронной подписи.
Правила безопасности для владельцев электронной подписи
Несмотря на весомые преимущества в плане безопасности, применение технологии электронной подписи по-прежнему сопряжено с опасениями и заблуждениями. Часть из них — не более чем мифы, некоторые риски реальны, но их можно избежать или минимизировать.
Еще один риск связан с хакерскими атаками — получением доступа к компьютеру или ноутбуку владельца подписи для похищения ключа. Предотвратить внедрение злоумышленника в компьютер и компрометацию данных в этом случае можно, соблюдая всем известные правила безопасного поведения в интернете — не переходить по подозрительным ссылкам, не загружать файлы из неизвестных источников, не использовать потенциально зараженные USB-носители и установить на рабочий компьютер надёжную программу-антивирус.
Безопасность использования электронной подписи во многом зависит и от организации, которая её выпустила. Выбор удостоверяющего центра — очень ответственная задача. Фактически удостоверяющий центр подтверждает личность обратившегося и выдаёт ему средство для электронного подписания документов, с юридической точки зрения абсолютно равнозначное его подписи от руки.
Незаконное оформление электронной подписи: в чём корень проблемы
К сожалению, мошенники идут в ногу со временем и находят возможности использовать продукты развития цифровой экономики в своих преступных целях. В некоторых случаях пострадать могут не клиенты удостоверяющих центров, а граждане, никогда не получавшие электронную подпись.
Весной 2019 года в российской прессе широко освещался случай отъёма квартиры мошенническим путём с использованием электронной подписи. Преступники переоформили квартиру на третье лицо без ведома собственника. О том, что жильё больше ему не принадлежит, хозяин московской квартиры узнал случайно, когда обнаружил имя нового владельца в квитанции на оплату коммунальных услуг.
В Росреестре пострадавшему сообщили, что электронная сделка по передаче имущества была проведена без нарушения законодательства. Оказалось, что он «подарил» свою квартиру жителю Уфы еще в октябре 2018 года. В итоге выяснилось, что преступление крылось в незаконном оформлении электронной подписи, которой заверялся договор дарения: хозяин квартиры не оформлял ЭП и не получал носитель с ключами электронной подписи и сертификат, за него это сделал другой человек по поддельной доверенности. Где злоумышленники получили паспортные данные владельца для фальсификации доверенности — неизвестно.
Выпустившая электронную подпись организация, так же, как и владелец квартиры, стала жертвой мошенников, получив от них поддельную доверенность. Законодательство позволяет удостоверяющим центрам выдавать ЭП по доверенности: согласно Федеральному закону от 06.04.2011 №63-ФЗ «Об электронной подписи», заявитель представляет доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц, в оригинале или его надлежащим образом заверенной копии. Иных требований закон не содержит. Фактически удостоверяющие центры имеют право выпускать электронную подпись по доверенности, не удостоверенной нотариально.
Что было бы, если бы закон запрещал выпуск сертификатов ЭП без нотариального заверения доверенности? Нотариальную доверенность подделать сложнее, но тоже возможно. К тому же запрет на выпуск сертификатов и ключей ЭП для юридических лиц без нотариально заверенной доверенности существенно осложнил бы документооборот и скорость работы организаций.
Тем не менее попытки ввести обязательное нотариальное удостоверение доверенностей на выпуск сертификатов электронной подписи уже предпринимаются на законодательном уровне.
В феврале 2018 года в Госдуму был внесён проект Федерального закона № 387130-7, который предусматривал, что при обращении в аккредитованный удостоверяющий центр потребуется представить не обычную доверенность, как сейчас, а нотариально удостоверенную. Однако после принятия в первом чтении законопроект находится без движения с июля 2018 года.
Защитить своё имущество от мошенничества с электронной сделкой с использованием ЭП, полученной по поддельной доверенности, всё же возможно. Для этого был принят Федеральный закон от 02.08.2019 № 286-ФЗ «О внесении изменений в Федеральный закон „О государственной регистрации недвижимости“». Закон создан для того, чтобы защитить граждан от мошенничества в сфере недвижимости. Теперь не получится подать в Росреестр электронное заявление о продаже недвижимости без специальной отметки в ЕГРН о возможности подачи документов в электронной форме.
Отметку проставят на основании заявления, поданного лично или отправленного по почте. При отсутствии такой отметки в регистрации сделки по передаче недвижимости будет отказано. Исключение сделано для нотариальных сделок, для документов, подписанных электронной подписью, сертификат которой выдан Федеральной кадастровой палатой Росреестра, а также для сделок, которые поданы на регистрацию через банки, — их зарегистрируют без отметки. Кроме того, законом предусмотрена обязанность Росреестра уведомлять владельца недвижимости о поступлении от его имени каких-либо электронных документов для продажи или ином отчуждении недвижимости.
Законодательные меры для защищённого использования ЭП
Законодательство стремится усовершенствовать установленные правила использования электронной подписи: в ноябре 2019 года Госдумой РФ в первом чтении принят законопроект, ужесточающий требования к удостоверяющим центрам. Речь идет о проекте федерального закона № 747528-7 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с совершенствованием регулирования в сфере электронной подписи».
В настоящее время проходят подготовку ко второму чтению в Госдуме принятые в первом чтении поправки в Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи». Историю подготовки законопроекта с поправками и основные этапы его изменений вы найдете в статье Елены Никоновой.
Как оценить надёжность удостоверяющего центра
Несмотря на то, что мошеннические схемы нацелены на все возможные уязвимые места в законодательстве, которые не ограничиваются сферой электронной подписи, выбор удостоверяющего центра остается одним из важнейших слагаемых безопасного использования ЭП. Поэтому вернёмся к удостоверяющим центрам и рассмотрим подробнее критерии их надёжности.
Законодательство, в рамках которого работают аккредитованные удостоверяющие центры, применяет к ним жёсткие требования, соответствие которым необходимо подтверждать раз в пять лет. Правила аккредитации удостоверяющего центра определяются статьей 16 Федерального закона №63 «Об электронной подписи». Среди главных условий для получения удостоверяющим центром аккредитации Минкомсвязи:
Кроме этого, есть не прописанные в законодательстве критерии, по которым можно определить надёжность удостоверяющего центра:
Фактором, снижающим доверие к удостоверяющему центру, является возможность проведения удалённого установления личности клиентов. Удалённое установление личности может подразумевать передачу отсканированных документов, необходимых для удостоверения личности клиента, через интернет и выпуск сертификата только на основании переданных документов. В таком случае вероятность предъявления поддельных документов значительно возрастает, потому что подделать фотографию или скан документа значительно проще, чем бумажный экземпляр. Кроме того, в такой ситуации невозможна непосредственная проверка соответствия личности заявителя личности владельца предъявляемых документов.
Удостоверяющий центр, проводящий удалённое установление личности, серьёзно нарушает закон, такая процедура не предусмотрена действующим законодательством.
В настоящий момент (до принятия поправок к 63-ФЗ) единственным легальным механизмом удалённой верификации личности при выдаче квалифицированного сертификата ЭП является механизм, связанный с использованием биометрического загранпаспорта. Этот вид дистанционного установления личности используется в рамках эксперимента, проводимого в соответствии с постановлением Правительства РФ от 29.10.2016 №1104.
Облачная и дистанционная электронная подпись
Технологии дистанционной и облачной электронной подписи существуют наряду с «классическими» технологиями электронной подписи, при которых для формирования ЭП используются ключи, хранящиеся на USB-токене или жёстком диске владельца сертификата, а также локальные средства электронной подписи, работающие на его компьютере.
Обе технологии предполагают в процессе формирования электронной подписи взаимодействие пользователя со специальной информационной системой. Разница между этими двумя технологиями в том, что в случае дистанционной подписи система контролирует действия пользователя и защищает его ключи ЭП, хранящиеся в мобильном устройстве. В варианте облачной подписи ключи ЭП пользователя хранятся в специальной информационной системе, а на мобильном устройстве пользователя хранятся специальные ключи для управления.
Действующая редакция Федерального закона «Об электронной подписи» не содержит прямого запрета на использование участниками электронного взаимодействия квалифицированных электронных подписей, созданных с использованием ключей электронных подписей, хранящихся в централизованном хранилище, и облачных средств электронной подписи. Однако все сертифицированные средства криптографической защиты информации, включая средства электронной подписи, должны применяться в строгом соответствии с требованиями эксплуатационной документации и в соответствии с правилами их использования, которые в обязательном порядке учитывают нормативные требования, в частности:
Планируемые изменения в Федеральный закон «Об электронной подписи» содержат дополнительные требования к использованию участниками электронного взаимодействия квалифицированных электронных подписей, созданных с использованием ключей электронных подписей, хранящихся в централизованном хранилище, и облачных средств электронной подписи.
Технология дистанционной подписи не предполагает делегирование хранения ключей третьим лицам, поэтому все связанные с этой процедурой сложности и планируемые к вводу дополнительные ограничения на использование облачных средств электронной подписи не могут применяться к ней. Подробнее с технологией дистанционной подписи IDPoint можно ознакомиться на официальном сайте приложения.