Останнім часом в ЗМІ стали багато писати про події, які пов’язані з шахрайством на тлі цифровізації. Люди за декілька секунд позбавлялися своєї власності або заощаджень, а іноді, самі того не підозрюючи, ставали власниками кредиту або фірми-одноденки. Нам треба панікувати?
Давайте розберемо основні правила захисту користувача від несанкціонованого доступу до його кваліфікованого електронного підпису (далі — КЕП/ЕЦП).
В Україні з 7 листопада 2018 року, згідно з законом “Про довірчі послуги” електронний підпис може бути трьох категорій:
- простий електронний підпис та печатка — низький рівень довіри;
- удосконалений електронний підпис та печатка — середній рівень довіри;
- кваліфікований електронний підпис та печатка — високий рівень довіри.
Саме та лише кваліфікований електронний підпис (тобто, підпис з високим рівнем довіри) прирівнюється до власноручного (частина 4 статті 18 Закону про ЕДП).
Де може зберігатися електронний підпис?
Кваліфіковані надавачі електронних довірчих послуг (АЦСК) можуть видавати кваліфікований електронний підпис на:
- звичайному флеш-носії або оптичному носії CD/DVD (можна принести свою флешку або купити в місці отримання електронного підпису,
- захищеному носії особистих ключів.
Також кваліфікований електронний підпис може зберігатися на сім-карті особи, у випадку отримання послуги Mobile ID.
Нещодавно PrivatBank ввів послугу SmartID — в цьому випадку КЕП зберігається у хмарі, а саме на серверах банку.
Безпека КЕП та пастки шахраїв
Перш ніж розглядати проблему підробки або незаконного застосування електронного підпису, знайдемо відповідь на питання: а чи можна без згоди власника підпису вчинити протиправні дії?
Якщо є зразок оригіналу підпису людини, то підробити її для професійного шахрая не складе труднощів, а ось використовувати її без відома власника набагато складніше.
Наприклад, керівник компанії перед своїм відходом у відпустку на всякий випадок залишив свій підпис на порожньому бланку. Деякі його підлеглі можуть скористатися ситуацією і вчинити шахрайські дії, які згодом завдадуть шкоди компанії.
При розробці цифрової моделі електронного підпису перед Державною службою спеціального зв’язку та захисту інформації України були поставлені високі вимоги щодо захисту від підробок різного роду: підписів, ключів і т.д. Реалізували їх за рахунок криптошифрування інформації. Найбільш вразливим і небезпечним в даному випадку виявився простір за межами інтернету.
Наприклад, співробітник компанії може скористатися КЕП, щоб вирішити не тільки робочі завдання, а й свої особисті. Цілком можливо, він може нанести репутаційну або фінансову шкоду фірмі.
Інша небезпека — це крадіжка електронного ключа. Зловмисники можуть викрасти ключ з КЕП, отримавши інсайдерську (внутрішньоорганізаційну) інформацію про спосіб його зберігання.
Навіщо зловмисникам електронний підпис людини?
Перш за все, щоб вкрасти кошти та ТМЦ. Особи, отримавши доступ до КЕП, можуть здійснювати юридично значимі дії від імені компанії або в особистих цілях. Наприклад, підписати фінансовий документ, отримати грошові кошти в банку або перерахувати їх на рахунок зловмисника.
Основні способи крадіжки КЕП
- Власник особисто передав електронний підпис людині, яка використала його довіру в своїх цілях.
- Шахрай вкрав носій ключа КЕП.
- Один з найбільш трудомістких способів — взлом корпоративної системи в компанії.
- Випуск КЕП шляхом обману центру сертифікації ключів (ЦСК, раніше акредитовані ЦСК). Шахраї можуть отримати електронний підпис, надавши підроблені документи. У такій ситуації людина або представник компанії навіть може не знати про його випуску.
Співробітник ЦСК, який приймає документи, повинен проявляти уважність і спостережливість при роботі з кожним клієнтом, бути тонким психологом. І все це для того, щоб вчасно розпізнати перед собою зловмисника.
Чи можна довіряти системі захисту електронного підпису?
Причин сумніватися в безпеці системи захисту КЕП (ЕЦП) декілька. Раніше через наявність великої кількості ЦСК, діяльність їх була слабо узгоджена між собою. З прийняттям у 2018 році Закону України «Про електронні довірчі послуги», замість ЗУ «Про електронний цифровий підпис», була забезпечена інтероперабельність АЦСК між собою в частині підписання і верифікації підписів.
Ще один недолік — відсутність єдиного реєстру виданих КЕП, який би дозволив вести їх облік.
Як убезпечити електронний підпис?
Експерти радять:
- Не передавати КЕП третім особам. Співробітників, які за службовим обов’язком повинні підписувати документи, наділити відповідними повноваженнями і видати їм власні електронні підписи.
- Необхідно посилити контроль за діяльністю співробітників, які використовують КЕЦ. В інформаційній системі компанії рекомендується налаштувати звіти, за допомогою яких керівник зможе перевіряти, з якими контрагентами і на які суми вони укладають договори, підписують документи.
- Відстежувати факти звільнення працівників, які активно використовували ЕП підприємства.
- Обмежити розмір разових сум, які можуть бути переведені із застосуванням КЕП.
- Задіяти додаткові канали контролю за фінансовою дисципліною підприємства. Наприклад, регулярно проводити аудиторські перевірки.
- Використовувати для зберігання КЕП токени.
Токен (захищений носій) — компактний пристрій у вигляді USB-флешки, призначений для забезпечення інформаційної безпеки користувача, віддаленого доступу до інформації та використовується для ідентифікації його власника.
Секретний ключ ніколи не залишає захищений носій. Таким чином, КЕП існує в єдиному екземплярі і невіддільний від токена, тому копіювання ключа неможливо.
Ідеальний варіант — ввести в компанії внутрішній розпорядок використання КЕП, наприклад, у вигляді локального правового акту і ознайомити з ним всіх відповідних співробітників. У документі вказати:
- цілі, спосіб, а також час застосування КЕП;
- місце, де зберігається ключ;
- алгоритм надання співробітнику підпису;
- випадки обмеження такої можливості або відкликання у працівника;
- порядок припинення повноважень власника і знищення електронних ключів;
- заходи фінансової відповідальності для винного працівника.
А що нас чекає в майбутньому?
Розвитку інтернет-технологій не варто боятися. Злочинні схеми були і раніше — з паперовими документами. Просто у міру того як змінюється наш світ, з’являються нові види шахрайства. А значить, необхідно посилити заходи безпеки для захисту вашого майна або власності компанії.
Держава також не стоїть на місці і розробляє додаткові заходи підтримки фізичних і юридичних осіб у сфері використання КЕП. Активно розвивається проект “Дія”, надання державних послуг онлайн — отримувати послуги від держави в електронному вигляді дуже зручно, і їх перелік з кожним днем збільшується.
Ще одна міра підтримки — забезпечення громадян засобами криптографічного захисту інформації, щоб ідентифікація в АЦСК проводилася на основі надання біометричних персональних даних без особистої присутності людини.