Как защитить свою электронную подпись?

Поскольку электронная подпись (далее — ЭП) обладает такой же юридической силой, как и собственноручная, необходимо особенно тщательно обеспечивать инструменты создания ЭП. Это значит, что ни в коем случае нельзя передавать носитель (токен) с ключевой информацией посторонним, благодаря ключу подписи и создаётся электронная подпись к документам. В противном случае кто-то может подписать документы за вас, от вашего имени — а это ведёт к потере активов и иному ущербу, в том числе репутационному.

В статье разберёмся, как обеспечить сохранность конфиденциальной информации – ключа электронной подписи, какими нелегальными схемами могут пользоваться злоумышленники, чтобы заполучить доступ к ключу электронной подписи.

Как мошенники «атакуют» ЭП?

Если вы думаете, что утрата контроля над ключом ЭП — это какой-то пустяк, поспешим вас разубедить. Были реальные случаи, когда злоумышленники, завладев ключевой информацией:

• лишали граждан их имущества, включая недвижимость;

• выводили со счетов компании огромные суммы денег, подписывая платёжные поручения.

Мошенники могут получить контроль над вашим ключом ЭП либо техническими методами, либо при помощи инструментов социальной инженерии:

1. Технические методы. В первую очередь, это использование софта, которое позволит скопировать ключ электронной подписи без Вашего ведома. Он атакует уязвимости ПО цифровой техники. Могут использоваться и иные приложения для выявления и атаки уязвимостей ПО.

2. Инструменты социальной инженерии. Здесь злоумышленники всячески постараются сыграть на доверчивости людей. Они могут представиться сотрудниками удостоверяющих центров, банков и прочих организаций и попытаются убедить жертву отдать им токен или предоставить доступ к компьютеру, в котором будет вставлен токен, ввести пин-код от ключа ЭП или установить программу якобы для удалённой технической поддержки на ваш планшет, смартфон или компьютер.

Помните — если разговор со специалистом кажется вам подозрительным, у вас возникает недоверие к собеседнику, немедленно кладите трубку, закрывайте электронные письма или переписки в мессенджерах. Позвоните по официальному телефону службы поддержки удостоверяющего центра и уточните, от него ли поступал звонок или иное сообщение. Защитите свои личные данные и ЭП от мошенников.

Что нужно предпринять, чтобы защитить свою ЭП?

Для того, чтобы защитить ключ электронной подписи, необходимо:

• использовать сложные пин-коды, не имеющие отношения к личной информации — например, дате рождения;

• не применять одни и те же пароли на разных ресурсах — так вы защитите себя от взлома на нескольких площадках сразу;

• хранить ключ ЭП только на сертифицированном носителе, из которого не получится извлечь закрытый ключ;

• регулярно менять пин-коды к ЭП, чтобы не допустить утрату контроля над личными цифровыми данными;

• никому не давать ни пин-коды к электронной подписи, ни токены.

Дополнительные меры безопасности

Чтобы не допустить утечки ключевой информации, владельцы ЭП могут:

1. Заменить все стандартные пароли по умолчанию — на токене, мобильных устройствах, компьютерах, в общем, везде, где вы используете ЭП, а так же настроить дополнительный фактор аутентификации, как СМС-код отправленный на номер Вашего телефона.

2. Пользоваться только устройствами, предназначенными для работы, и не применять электронную подпись на устройствах, использующихся в личных целях, в частности, для развлечения. Стараться избегать потребления нелегального контента — заходить на сайты с пиратскими фильмами и сериалами, порнографией и онлайн-казино. Не нужно заходить и в даркнет — небезопасные сегменты интернета, устанавливать сомнительное ПО, особенно то, которое позволяет дистанционно управлять Вашим компьютером.

3. Не торопиться передавать информацию о себе третьим лицам. Не исключено, что мошенники обманывают вас, используя инструменты социальной инженерии или технологии фишинга — к таким можно отнести подозрительные звонки или электронные письма.

4. Регулярно обновлять ПО, чтобы закрыть его уязвимости, а также использовать антивирусные программы.

Механизмы защиты ЭП

Для защиты ЭП используют средства криптографической защиты информации (СКЗИ). Они могут быть в следующих формах:

1. В виде отдельно установленного ПО. Один из популярных криптопровайдеров в России — программа «КриптоПро CSP». Она соответствует государственным стандартам безопасности и позволяет шифровать документы, а также создать электронную подпись с использованием ключа электронной подписи, того самого, который нужно хранить в безопасности.

2. В составе носителя. Все программы шифрования уже находятся на токене, а потому использовать его можно с любого устройства с выходом в интернет. Расшифровка данных или создание ЭП также происходит внутри носителя.

Что делать, если потерял ЭП?

Если вы потеряли токен с ЭП или заметили, что информация на носителе повреждена, немедленно сообщите об этом в удостоверяющий центр, который выдал вам сертификат ЭП. Сотрудники удостоверяющего центра прекратят действие сертификата и создание ЭП будет невозможным. После вам нужно будет посетить удостоверяющий центр, чтобы повторно пройти идентификацию, и оформить новый сертификат ЭП.

Можно ли восстановить ЭП после потери?

Нет, нельзя, придётся отзывать старый сертификат ЭП и оформлять новый. Электронная подпись существует в единственном экземпляре, пользоваться которой имеет право только её владелец.

Безопасно ли использовать ЭП?

Использование ЭП при соблюдении элементарных правил, перечисленных в статье выше, полностью безопасно. Утрата контроля над ней происходит чаще всего именно из-за человеческого фактора — доверчивости, страха, прочих эмоциональных реакций.

Главное при использовании ЭП:

• удостовериться, что вы заключаете договор или подписываете платёжное поручение с реальными, добросовестными контрагентами и клиентами, передаёте информацию о себе, своём имуществе уполномоченному представителю бизнеса или органа государственной / муниципальной власти;

• не передавать пароли, пин-коды и токен посторонним лицам;

• не предоставлять удаленный доступ к компьютеру, если в нем вставлен ключевой носитель;

• хранить ЭП на сертифицированных ФСТЭК или ФСБ носителях.

Также напоминаем, что с 1 сентября 2023 года электронные подписи на сотрудников оформляются как на обычных физических лиц. Для подтверждения полномочий используются машиночитаемые доверенности (МЧД). Если функционал сотрудника сократился или, напротив, увеличился, либо он решил уволиться, то прежнюю МЧД отзывают и при необходимости заменяют новой. Сертификат ЭП может использоваться сотрудником и в личных целях. После увольнения сертификат ЭП остаётся с работником, поскольку он как физическое лицо её единственный владелец. Однако из-за отзыва МЧД работника он не сможет совершать никаких юридически или финансово значимых операций от лица работодателя