Как защитить эцп от копирования

Подделка электронной подписи: какая ответственность предусмотрена

Мы живем в век высоких технологий, которые, с одной стороны, упрощают юридические процессы, а с другой, несут дополнительные сложности. Одним из появившихся в результате прогресса инструментов является электронная цифровая подпись (ЭЦП). Чтобы оценить, нужна ли такая подпись, следует понимать, чем опасна электронная подпись для физических лиц, можно ли ее подделать, как ее защитить и какая ответственность предусмотрена за ее незаконное использование или подделку.

Реально ли подделать или получить доступ к чужой ЭЦП

Законодательство РФ признает документы, подписанные электронной подписью, равнозначными документам, подписанным собственноручно (ст. 6 Федерального закона от 06.04.2011 № 63-ФЗ ), поэтому вопрос возможности подделки электронной подписи приобретает чрезвычайно важное значение.

В нашей стране цифровая подпись обладает высокой степенью защищенности в связи с применением стандартов криптографической защиты информации (ГОСТ Р 34.10-2012, ГОСТ 34.12-2018, ГОСТ 34.13-2018). Надежность криптографических методов практически полностью исключает ситуации, при которых злоумышленники подделали электронную подпись человека и используют ее в своих целях, но это не означает, что ЭЦП полностью защищена. Злоумышленники получают доступ к чужой ЭП иным образом, например, они могут:

• украсть ее (физически или виртуально);
• оформить ЭП на кого-то без его ведома;
• использовать чужую ЭП, если введут человека в заблуждение и узнают данные;
• купить ЭП, оформленную на подставного человека;
• воспользоваться чужой цифровой подписью, переданной им добровольно (например, нередко главный бухгалтер фактически распоряжается ЭП, выданной на генерального директора);
• воспользоваться ЭП, выданной сотруднику его бывшим работодателем.

Варианты мошенничества с ЭЦП

Получение доступа к чужой ЭЦП не является целью злоумышленников, это лишь средство реализации их преступных замыслов, в которых мошенничество с электронной подписью — только один из этапов. Целью же, как правило, является незаконное получение прибыли.

Используемые мошенниками сценарии и связанные с ними риски электронной подписи выражаются в совершении следующих действий:

• оформлении кредита или займа на гражданина;
• кража собственности владельца ЭП (например, оформление сделки купли-продажи квартиры);
• открытие компании или ИП на гражданина;
• перевод денежных средств компании на иные счета (например, при использовании ЭП, выданной генеральному директору компании, иным сотрудником);
• недобросовестная конкуренция (например, использование ЭЦП для подачи или отзыва заявки на участие в закупке от имени конкурента);
• подача поддельной отчетности (например, с целью получения возмещения по налогам).

Порядок действий, если ЭЦП украли или скомпрометировали

Несмотря на все предпринимаемые действия, каждый может оказаться в ситуации, когда злоумышленники украли электронную подпись или скомпрометировали ее. В этом случае самым важным моментом станет скорость, с которой будут совершены действия, позволяющие уменьшить возможный ущерб. Поэтому необходимо:

1. Отозвать сертификат ЭЦП в том удостоверяющем центре, который ее выдал (если центр неизвестен, стоит проверить информацию на Госуслугах (раздел «Уведомления»), на площадке, где подписали документ, или в самом документе).
2. Обратиться в организации, в отношениях с которыми использовалась ЭЦП (например, банк или налоговая инспекция).
3. Обратиться в полицию с заявлением о незаконном использовании ЭЦП.
4. Оценить реальный ущерб и обратиться в соответствующие органы (например, в налоговую — если с помощью ЭП зарегистрировали компанию; в суд — если продали недвижимость или перевели денежные средства со счета).

Следует незамедлительно сообщать о факте компрометации ЭЦП в соответствующие организации и органы, т. к. промедление расценивается как бездействие, что позволит взыскать все убытки с владельца ЭЦП даже при отсутствии у него преступных намерений (п. 6 ст. 17 ФЗ от 06.04.2011 № 63-ФЗ, определение ВС РФ от 24.07.2018 № 307-ЭС18-9645).

Как защитить электронную подпись

Совершенствование технических средств, используемых мошенниками, и увеличение количества ситуаций, когда применение ЭП становится необходимым, заставляет задуматься о том, как обезопасить электронную подпись и защитить ее от злоумышленников. Для защиты электронной подписи следует соблюдать следующие правила:

• не передавать ЭЦП или пароль третьим лицам;
• использовать компьютер с достаточной степенью надежности и программами защиты от вирусов;
• не открывать подозрительные письма, ссылки и сайты, установить пароль на компьютер, если на устройстве хранится или используется ЭЦП;
• проверять на сайте Госуслуг информацию о выданных пользователю ЭЦП (например, в разделе «Уведомления»);
• отозвать ЭП, выданную сотруднику, незамедлительно в случае его увольнения;
• обращаться за получением ЭП только в аккредитованные удостоверяющие центры (список приведен на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ).

Соблюдение приведенных выше правил не позволит оказаться в ситуации, когда электронная подпись без моего ведома поставлена, например, на документах о создании фирмы-однодневки.

Ответственность за подделку и незаконное использование

Подделка или незаконное использование ЭП, в зависимости от обстоятельств конкретного дела, влечет административную, уголовную или гражданско-правовую ответственность.

Вид ответственности	Статья	Санкция
Административная	Ч. 1 ст. 19.23 КоАП РФ	Штраф 30.000-50.000 руб. с конфискацией орудий совершения правонарушения
Административная	Ч. 2 ст. 19.23 КоАП РФ	Штраф 50.000-100.000 руб. с конфискацией орудий совершения правонарушения
Уголовная	Ч. 1 ст. 327 УК РФ	Ограничение свободы на срок до 2 лет, либо принудительные работы на срок до 2 лет, либо арест на срок до 6 месяцев, либо лишение свободы на срок до 2 лет

Особенностями правонарушений или преступлений, совершенных с использованием поддельной или украденной ЭЦП, являются:

• злоумышленники несут ответственность по различным статьям УК РФ (например, мошенничество ( ст. 159 УК РФ )) с дополнительной квалификацией по ч. 1 ст. 327 УК РФ;
• к гражданско-правовой ответственности могут привлечь владельца ЭЦП, не совершавшего противозаконных деяний.

Привлечение злоумышленника к ответственности не является гарантией возмещения убытков, поэтому использовать ЭП необходимо ответственно и сознательно, не допуская ее утери или компрометации.

Как защитить от мошенников свою электронную подпись

Российские предприниматели с июня этого года могут бесплатно оформить квалифицированную цифровую подпись, чтобы работать с электронными документами, пользоваться сервисами на портале госуслуг, налоговой службы и другими. Однако могут возникнуть проблемы с безопасностью организации.

Итак, правило первое. Никому не отдавать электронную цифровую подпись.

«Вообще никому, — подчеркнул эксперт ESET Станислав Жураковский. — Это не просто ключ от вашего сейфа, это ключ от целого бизнеса. Токен должен быть у вас всегда при себе — вместе с телефоном, ключами, кошельком. Но что делать, если постоянно носить его с собой не хочется? Тогда надо поставить дома или в офисе сервер для хранения данных (NAS) с источниками бесперебойного питания или отдельный ноутбук, на котором настроен защищенный удаленный доступ. Однако если отключится интернет или зависнет компьютер, подписать документы не получится».

Второе правило — регулярно, раз в квартал, менять пароли на всех аккаунтах.

Третье правило — не прописывать ключ в реестр.

«В некоторых операционных системах есть возможность сохранять ключи с токена прямо в компьютер. Так делать не стоит, — рекомендуют в ESET. Вредоносных программ, которые ищут подобные ключи в реестре, очень много. Более безопасная практика — работа с токеном и ЭЦП только по необходимости и разово, а не круглосуточно».

Четвертый пункт в цифровом кодексе предпринимателя — защитить все компьютеры в организации.

Если у руководителя стоит защищенное устройство, а у всех прочих нет — то достаточно любому сотруднику зайти на вредоносный сайт, чтобы вирусы, трояны, вымогатели, программы для кражи электронных ключей и прочие зловредные программы начали расползаться по внутренней сети компании. Чтобы этого не случилось, лучше пользоваться антивирусными продуктами для бизнеса, которые входят в Государственный реестр Федеральной службы по техническому и экспортному контролю РФ.

«Зачастую бизнес-версии выгоднее, чем отдельные антивирусы на каждый компьютер. В сумме выходит дешевле, а управление при этом осуществляется централизованно. Такая защита даст возможность спокойно работать, не отвлекаясь на настройку различного ПО для безопасности», — добавил Жураковский.

И, наконец, пятое правило — нужно обязательно сделать отдельные ЭЦП на бухгалтера и сотрудников в 2022 году. Тогда вступят в силу новые правила, по которым можно будет оформить квалифицированную электронную подпись на каждое физлицо в компании и даже сделать общую подпись организации. Это среди прочего снимет проблему выполнения первого правила безопасности.

Меры предосторожности надо соблюдать и при оформлении ЭЦП. Бесплатно ее могут получить индивидуальные предприниматели, нотариусы и ООО. Для этого нужны паспорт, СНИЛС (оригинал или распечатка скан-копии), номер ИНН, защищенный носитель и лицензия на программу CryptoPro.

«Если с документами все понятно, то что такое «защищенный носитель», для многих требует пояснения, — говорит Станислав Жураковский. — Он выглядит как обычная флешка и нужен для того, чтобы никто не смог скопировать файл ЭЦП. Но из соображений безопасности система технически не сможет передать электронную подпись на вашу личную флешку или персональный ноутбук. Подходящие защищенные носители по цене от одной до двух тысяч рублей продаются в аккредитованных центрах, список которых есть на сайте налоговой службы.

После покупки не лишним будет заменить стандартный пароль изделия на собственный — длинный и сложный, добавляет эксперт.

А при выборе криптографического токена надо быть осмотрительными. Рядом с налоговыми инспекциями нередко работают фирмы по оказанию вспомогательных услуг — распечатке и копированию документов, консультированию и так далее. Предлагаемые ими USB-ключи для электронной подписи могут оказаться небезопасными. Есть риск, что они будут передавать данные ЭЦП злоумышленникам.

Правила безопасности ЭЦП: защита от мошенничества

Разбираем основные правила, которые нужно соблюдать при работе с ключами электронной подписью, чтобы обезопасить себя.

Попав в чужие руки, ключи электронной подписи могут стать орудием мошенничества. Несмотря на высокий уровень её защиты, злоумышленники знают, как скомпрометировать подпись.

ЭЦП — это устаревшее понятие. Расшифровывается как электронная цифровая подпись. В настоящее время используется более ёмкое название ЭП, которое расшифровывается как электронная подпись.

Разберём основные правила, которые нужно соблюдать при работе с ключами электронной подписью, чтобы обезопасить себя.

Как узнать, изготавливался ли на вас сертификат ключа проверки электронной подписи

«Госуслуги» получают информацию о выданных сертификатах ключей проверки электронной подписи согласно п.5 ст. 18 N 63-ФЗ.

Для получения информации нужно:

1. Нажать на ФИО аккаунта.
   alt=» ФИО аккаунта» />
2. Нажать «Профиль».
   
3. Выбрать «Электронная подпись».
   

Раздел содержит данные о зарегистрированных сертификатах ключей проверки электронной подписи: уникальный номер квалифицированного сертификата, даты начала и окончания его действия, наименование выдавшего его аккредитованного удостоверяющего центра.

Если в разделе окажется сертификат, который вы не получали, то необходимо немедленно обратиться в УЦ с заявлением о прекращении действия сертификата ЭП.

Популярные мошенничества с электронной подписью

Если ключи электронной подписи сохранены на незащищённом паролем носителе, их может скопировать злоумышленник и воспользоваться ими для подписания электронных документов за владельца ЭП. Сделать это можно, подобрав пин-код контейнера ключей электронной подписи.

Если ключ ЭП хранится на защищённом носителе — токене, то на нём может быть установлен стандартный пароль. Такой пароль задаёт изготовитель и пользователь может его не поменять. В этом случае злоумышленнику ещё легче скопировать и воспользоваться ключами ЭП.

Если пароль доступа к ключу ЭП сохранён в настройках криптопровайдера, его тоже легко скопировать, имея доступ к рабочему месту пользователя.

Во избежание мошенничества требуется хранить ключи ЭП на токене с соблюдением политики безопасности паролей. Рекомендуем сменить заводской пароль токена, запомнить новый пароль или хранить его в надёжном месте и никому не сообщать. Также требуется ограничить доступ третьих лиц к токену с ключами ЭП.

Согласно пп. 1 п. 1 ст. 10 63-ФЗ, владелец обязан обеспечивать конфиденциальность ключей электронных подписей. Именно передача ключей третьим лицам является самой распространённой причиной мошенничества с электронной подписью. При этом ответственность полностью возлагается на владельца.

Сфера трудовых отношений

Владельцы квалифицированной электронной подписи не должны передавать её никому, даже своим коллегам и друзьям, так как это небезопасно. Правило относится не только к руководителям организаций, но и к сотрудникам. Подписать документ с её помощью сможет любой, кто знает пароль доступа.

Так, мошенниками становятся бывшие сотрудники. Например, в случае, если руководитель забыл отозвать машиночитаемую доверенность. Тогда уполномоченный работник может перевести денежные средства, приобрести товар или сдать несуществующую отчётность от имени директора, а затем скрыться. Долг или штраф при этом будет оплачивать руководитель организации.

Подробнее ознакомиться с понятием МЧД рекомендуем в нашей статье.

Недобросовестный директор тоже может воспользоваться электронной подписью работника, если у последнего недостаточно знаний законодательства в этой области.

На уполномоченного сотрудника выдаётся сертификат проверки электронной подписи физического лица. Такой сертификат содержит в себе только данные о владельце, без привязки к конкретному работодателю. При увольнении руководитель может настаивать на том, чтобы ключи ЭП остались на рабочем месте. Аргументом может быть представлен факт, что подпись оплачена компанией. Такие действия незаконны. Использовать ключ электронной подписи от чужого имени запрещено.

Важно! До 31 августа 2023 года разрешено применять сертификат ключа электронной подписи сотрудника юридического лица. В этом случае работодателю понадобится аннулировать именно эти сертификаты ЭП, при которых МЧД не используется.

Трудовой договор не может содержать пункты, указывающие на то, что при увольнении ключ электронной подписи остаётся у работодателя. Наличие таких правил является прямым нарушением законодательства. Бывший работник вправе обратиться в суд, и работодателя оштрафуют. После увольнения гражданин может использовать ключ электронной подписи с сертификатом физического лица в своих целях.

Сфера недвижимости

Схема мошенничества с имуществом физических лиц включает в себя кражу ключей электронной подписи владельца квартиры. Это может быть похищение физического носителя с ключами или получение нового сертификата ЭП.

Вторым способом злоумышленники могут воспользоваться, если узнают логин и пароль от личного кабинета удостоверяющего центра, в котором была выпущена подпись.

Дело в том, что получить электронную подпись можно только лично. Сотрудник удостоверяющего центра должен идентифицировать личность будущего владельца.

Идентификация заявителя УЦ без его личного присутствия может проходить с помощью:

• действующей КЭП;
• заграничного паспорта нового образца;
• подтверждённой биометрии на Госуслугах.

При утере токена владельцу подписи нужно немедленно обратиться в УЦ с заявлением о прекращении действия сертификата ЭП, чтобы на него не оформили сделку. Но что делать, если сертификат закончил своё действие и его продлили без ведома гражданина. Такие случаи предусмотрели в законодательстве.

2 августа 2019 года вступил в силу закон № 286-ФЗ, цель которого — уменьшение риска кражи квартиры путём незаконного использования электронной подписи.

Законом предусмотрено, что владелец недвижимости сначала должен разрешить проводить сделки с недвижимостью с помощью электронной подписи. Сделать это он может, подав соответствующее заявление в бумажном виде в Росреестр.
Однако, чтобы наверняка оградить себя от злоумышленников, можно подать заявление о запрете сделок с недвижимостью в электронном формате через МФЦ или Росреестр.

С помощью квалифицированной электронной подписи можно участвовать в госзакупках и торгах по банкротству.

Сфера государственной регистрации юридических лиц

Зарегистрировать бизнес можно онлайн на сайте ФНС, оформив пакет отсканированных документов и используя КЭП. Мошенники также могут незаконно оформить бизнес на любого человека, используя электронную подпись. Как они это могут сделать, мы описывали выше: с помощью похищенного токена или изготовления нового сертификата электронной подписи через личный кабинет УЦ ФНС без ведома владельца.

Если гражданину стало известно о регистрации юридического лица на его имя, следует незамедлительно отправить возражение заинтересованного лица по форме N Р38001.

Сфера кредитования

Получив в руки ключи электронной подписи гражданина, злоумышленник может попробовать взять с её помощью микрозайм. Это опасно, так как такие займы имеют очень высокий уровень годовых — от 1% в день.

Сфера госзакупок

В сфере госзакупок опасности подвергнуты как поставщики, так и заказчики, однако в большей степени именно первые. Конкуренты похищают ключи электронной подписи, чтобы с их помощью ограничить доступ организации к закупочным процедурам.
Злоумышленники могут нарушать закон, например, для того, чтобы повысить свои шансы на победу в тендере или просто для того, чтобы навредить своим конкурентам на рынке.

Как обеспечить безопасность электронной подписи

Чтобы обезопасить себя от кражи электронной подписи, необходимо придерживаться следующих правил:

1. Не оформлять сертификат ключа проверки ЭП на своё имя по просьбе третьих лиц, знакомых или родных. Если в последующем ключи этой подписи будут храниться не у владельца и использоваться третьими лицами, оформлять сертификат ЭП не нужно, какое бы денежное вознаграждение за неё ни предлагали.
2. Не передавать ключи электронной подписи. Сотрудники не должны иметь доступ к закрытому ключу подписи, чтобы избежать их самостоятельных действий, которые могут привести к финансовым потерям.
3. Отзывать машиночитаемую доверенность или сертификат ключа ЭП сотрудника юрлица.
4. Когда сотрудник увольняется, оформленную на его имя МЧД нужно отозвать. В ином случае он может украсть деньги организации или даже закрыть её.
5. Не передавать сканы и реквизиты паспорта. Если эти данные попадут в руки злоумышленников, то они могут оформить на них электронную подпись. Несмотря на то что вероятность оформления ЭП таким путём мала, не стоит недооценивать мошенников.
6. Защитить компьютер. Компьютер должен быть защищён паролем и антивирусом. Когда пользователь покидает рабочее место, компьютер нужно блокировать и не оставлять в нём токен.
7. Проверять наличие выданных сертификатов ключей проверки ЭП на «Госуслугах». Там вы вовремя сможете узнать, не оформлена ли на вас новая электронная подпись.

Что делать, если украли ключ электронной подписи, можно узнать в нашей подробной инструкции.

Можно ли подделать ключи электронной подписи

Создавать и копировать электронную подпись противозаконно. Сегодня опасность представляет именно попадание уже существующего ключа электронной подписи не в те руки, поэтому мы советуем придерживаться правил безопасности, указанных в предыдущих разделах.

Создать фальшивый сертификат электронной подписи на чьё-либо имя с нуля нельзя. Однако, подпись легко копируется, если злоумышленник знает логин и пароль от ключа ЭП.

Вывод: скопировать и использовать можно практически любую электронную подпись. Поэтому важно соблюдать основные правила информационной безопасности.

Как и где можно хранить электронную подпись

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен, eToken, JaCarta. Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной ЭЦП

Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье.

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.