Как защитить электронную подпись от мошенников

В последнее время в СМИ стали много писать о событиях, которые связаны с мошенничеством на фоне цифровизации. Люди за долю секунды лишались своей собственности или сбережений, а иногда, сами того не подозревая, становились обладателями кредита или фирмы-однодневки. Нам нужно реально паниковать?

Давайте разберем основные правила защиты пользователя от несанкционированного доступа к его квалифицированной электронной подписи (далее — КЭП/ЭЦП).

В Украине с 7 ноября 2018 года, согласно закону «О доверительных услугах» электронная подпись может быть трех категорий:

  • простая электронная подпись и печать — низкий уровень доверия;
  • усовершенствованная электронная подпись и печать — средний уровень доверия;
  • квалифицированная электронная подпись и печать — высокий уровень доверия.

Именно и только квалифицированная электронная подпись (т.е. подпись с высоким уровнем доверия) приравнивается к собственноручной (часть 4 статьи 18 Закона о ЭДУ)

Где может храниться электронная подпись?

Квалифицированные предоставители электронных доверительных услуг (АЦСК) могут выдавать квалифицированную электронную подпись на:

  • обычном флеш-носители или оптическом носителе CD / DVD (можно принести свою флешку или купить в месте получения электронной подписи;
  • защищенном носителе личных ключей.

Также квалифицированная электронная подпись может храниться на сим-карте лица, в случае получения услуги Mobile ID.

Недавно PrivatBank ввел услугу SmartID — в этом случае КЭП сохраняется в облаке, а именно на серверах банка.

Безопасность КЭП и уловки мошенников

Прежде чем рассматривать проблему подделки или незаконного применения электронной подписи, найдем ответ на вопрос: а можно ли без согласия собственника подписи совершить противоправные действия?

Если имеется образец оригинала подписи человека, то подделать ее для профессионального мошенника не составит труда. А вот использовать ее без ведома владельца намного сложнее.

Например, руководитель компании перед своим уходом в отпуск на всякий случай оставил свою подпись на пустом бланке. Некоторые его подчиненные могут воспользоваться ситуацией и совершить мошеннические действия, которые впоследствии нанесут ущерб компании.

При разработке цифровой модели электронной подписи перед Государственной службой специальной связи и защиты информации Украины были поставлены высокие требования по защите от подделок различного рода: подписей, ключей и т.д. Реализовали их за счет криптошифрования информации. Наиболее уязвимым и опасным в данном случае оказалось пространство за пределами интернета.

Например, сотрудник компании может воспользоваться КЭП, чтобы решить не только рабочие задачи, но и свои личные. Вполне возможно, он может нанести репутационный или финансовый вред фирме.

Другая опасность — это хищение электронного ключа. Злоумышленники могут похитить ключ с КЭП, заполучив инсайдерскую (внутриорганизационную) информацию о способе его хранения.

Зачем злоумышленникам электронная подпись человека?

Прежде всего, чтобы похитить денежные средства и ТМЦ. Лица, заполучив доступ к КЭП, могут совершать юридически значимые действия от имени компании или в личных целях. Например, подписать финансовый документ, получить денежные средства в банке или перечислить их на счет злоумышленника.

Основные способы хищения КЭП

  1. Владелец лично передал электронную подпись человеку, который злоупотребил его доверием.
  2. Мошенник украл носитель ключа КЭП.
  3. Один из самых трудоемких способов — взлом корпоративной системы в компании.
  4. Выпуск КЭП путем обмана центра сертификации ключей (ЦСК, ранее аккредитованные ЦСК). Мошенники могут получить электронную подпись, предоставив поддельные документы. В такой ситуации человек либо представитель компании даже может не знать о ее выпуске.

Сотрудник ЦСК, который принимает документы, должен проявлять внимательность и наблюдательность при работе с каждым клиентом, быть тонким психологом. И все это для того, чтобы вовремя распознать перед собой злоумышленника.

Можно ли доверять системе защиты электронной подписи?

Причин сомневаться в безопасности системы защиты КЭП (ЭЦП) несколько. Ранее из-за наличия большого количества ЦСК, деятельность их была слабо согласована между собой. С принятием в 2018 году ЗУ «Про электронные доверительные услуги», вместо ЗУ «Об электронной цифровой подписи», была обеспечена интероперабельность АЦСК между собой в части подписания и верификации подписей.

Еще один недостаток — отсутствие единого реестра выданных КЭП, который бы позволил вести их учет.

Как обезопасить электронную подпись?

Эксперты советуют:

  • Не передавать КЭП третьим лицам. Сотрудников, которые по долгу службы должны подписывать документы, наделить соответствующими полномочиями и выдать им собственные электронные подписи.
  • Необходимо усилить контроль за деятельностью сотрудников, которые используют КЭЦ. В информационной системе компании рекомендуется настроить отчеты, с помощью которых руководитель сможет проверять, с какими контрагентами и на какие суммы они заключают договора, подписывают документы.
  • Отслеживать факты увольнения работников, которые активно использовали ЭП предприятия.
  • Ограничить размер разовых сумм, которые могут быть переведены с применением КЭП.
  • Задействовать дополнительные каналы контроля за финансовой дисциплиной предприятия. Например, регулярно проводить аудиторские проверки.
  • Использовать для хранения КЭП токены.

Токен (защищенный носитель) — компактное устройство в виде USB-флешки, предназначенный для обеспечения информационной безопасности пользователя, удаленного доступа к информации и используется для идентификации его владельца.

Секретный ключ никогда не покидает защищенный носитель. Таким образом, КЭП существует в единственном экземпляре и неотделим от токена, и копирования ключа невозможно.

Идеальный вариант — ввести в компании внутренний порядок использования КЭП, например, в виде локального правового акта и ознакомить с ним всех соответствующих сотрудников. В документе указать:

  • цели, способ, а также время применения КЭП;
  • место, где хранится ключ;
  • алгоритм предоставления сотруднику подписи;
  • случаи ограничения такой возможности либо отзыва у работника;
  • порядок прекращения полномочий владельца и уничтожения электронных ключей;
  • меры финансовой ответственности для провинившегося сотрудника.

А что нас ждет в будущем?

Развитие интернет-технологий не стоит бояться. Преступные схемы были и раньше — с бумажными документами. Просто по мере того как меняется наш мир, появляются новые виды мошенничества. А значит, необходимо усилить меры безопасности для защиты вашего имущества или собственности компании.

Государство также не стоит на месте и разрабатывает дополнительные меры поддержки физических и юридических лиц в сфере использования КЭП. Активно развивается проект “Дія”, предоставления государственных услуг онлайн — получать услуги от государства в электронном виде очень удобно, и их перечень с каждым днем увеличивается.

Еще одна мера поддержки — обеспечение граждан средствами криптографической защиты информации, чтобы идентификация в АЦСК проводилась на основе предоставления биометрических персональных данных без личного присутствия человека.

Обратный звонок

Оставьте ваш номер телефона и через 20 минут мы вам перезвоним