Топ-100
Продолжая использовать этот сайт и нажимая кнопку «Принимаю», вы даете согласие на обработку файлов cookie
ВЕРНУТЬСЯ В БЛОГ

ПРАКТИЧЕСКАЯ БЕЗОПАСНОСТЬ ЭЛЕКТРОННОЙ ПОДПИСИ.

Электронная подпись (ЭП) стала популярна с появлением и развитием электронного документооборота. Подписать любой договор, соглашение или подать заявку на Госуслугах теперь можно с рабочего места, владея ЭП. Но этот ключ легко потерять. 

Как защитить свою подпись, рассказал Кирилл Мещеряков, руководитель направления развития продуктов SafeTech.


3 вида электронной подписи (ФЗ-63):


Простая ЭП — комбинация логина и пароля, которыми подтверждаются действия пользователя в системе. 

Усиленная ЭП — построена на криптографии. У неё есть 3 свойства: неотрекаемость, целостность и достоверность. 

«Когда вы подписываетесь ей, вы не можете изменить документ, который вы подписали. Если в нём что-то изменить, подпись становится недействительной. Также нельзя отказать от факта подписания».

Квалифицированная подпись — как усиленная, но принятая на уровне нашего государства. Построена на ГОСТе по специальным алгоритмам шифрования. Выдать её могут только удостоверяющие центры. Она полностью заменяет собственноручную подпись. Ни одно ведомство не имеет права отказать в принятии документа, подписанного ей.

В чём опасность использования ЭП злоумышленниками?


Для физических лиц:
  • Распоряжаться аккаунтом в Госуслугах.
  • Распоряжаться имуществом.
  • Отправить недостоверную информацию в налоговую и т.д.

«Известны случаи, когда мошенники по поддельной доверенности приходили в МФЦ и оформляли новую ЭП на человека. После чего он лишился недвижимости».

Для юридических лиц:
  • Внести изменения в информацию о компании.
  • Закрыть юрлицо.
  • Отправить недостоверную информацию в налоговую и т.д.

«При утечке подписи к третьим лицам любой документ может быть подписан от вашего лица».


Из чего состоит электронная подпись.


  • Сертификат, в котором написано, кому она принадлежит, кем выдана и срок действия.
  • Открытый ключ, которым проверяется подпись. 
  • Закрытый ключ — сама подпись, это очень длинное число. Средство подписи должно иметь доступ к закрытому ключу каждый раз, когда нужно подписывать документ. Закрытый ключ также можно записать в файл, но это не рекомендуется, потому что файл легко размножить и потерять. 

«Например, вы оставите копию закрытого ключа в компьютере, а какой-нибудь архиватор автоматически отправит его копию в облачное хранение. А если он попадёт на Яндекс диск, то вообще весь интернет сможет пользоваться вашей подписью. И это ужасно»


Способы хранения ЭП. Где хранить?


  • Хранить в защищённом файле с паролем небезопасно, даже если файлы с расширением .PFX и .P12. Такие пароли легко расшифровать. 
  • Хранить в реестре компьютера. Это тот же самый файл, который легко украсть.
  • Хранить на флешке. И здесь это тоже будет файл, который можно скопировать и использовать. 
  •  Токен, смарт-карта. Более безопасно. Их специально разработали для хранения ключей. Он заблокирован от посторонних проникновений и никто не сможет увести данные без пин-кода. Токен нужно хранить при себе или в сейфе. Не в кассе, не в компьютере. 
Важно: 
При приобретении токена обязательно измените базовые пин-коды. Их два — менять необходимо оба. Это редко, кто делает, но данное действие позволит повысить безопасность вашей ЭП. Стандартные пин-коды от любых токенов легко гуглятся и известны всем. Обычно это числовое значение от 1 до 8 или наоборот.
  • Мобильное приложение — самое безопасное место для хранения ключа. Сейчас технология мобильной подписи активно развивается. Она хранится в телефоне, который защищён пин-кодом, биометрией.
  • Хранить на сервере — «Облачна» или дистанционная подпись. По принципу работы похожа на подпись в телефоне. ЭП хранится в специальном защищённом «облаке» (удостоверяющем центре), но управляете ей вы со смартфона. 

Тип подписи можно выбрать при оформлении в удостоверяющем центре.


Рекомендации:


  • Не храните ЭП в файлах, в реестре компьютера или флешке. 
  •  Если храните на токене, держите его при себе или в сейфе, вынимайте из компьютера после окончания использования. 

«История: бухгалтер не вынимает токен из компьютера, уходит домой, ПК в спящем режиме. Ночью киберпреступники проникают в ПК и уводят со счёта компании деньги, подписав оставленным токеном. Это не байки, это правда жизни»

  • Обязательно поменяйте пин-коды, установленные производителем на токене. Их два — менять необходимо оба. 
  • Не используйте простые пин-коды: 111…., 000…..,123….., 876…., qwerty, pincode и тд.
  • По возможности, попросите выписать электронную подпись на мобильном телефоне или «облачную».
  • Установите надёжный пароль на смартфон.
  • Используйте биометрические функции смартфона.
  • Следите за своими сертификатами ЭП на Госуслугах. Если вдруг на Госуслугах появилось что-то подозрительное, то чего вы не знаете — нажимайте кнопку «Заблокировать подпись» немедленно.

«Бывают случаи когда, приходят с поддельными документами, поддельной доверенностью и на ваше имя выписывается подпись и можно ей пользоваться.»


Следуя простым правилам, можно сберечь не только своё имущество, но и бизнес, и хрупкие нервные клетки. 


Так же вы можете посмотреть выступление Кирилла Мещерякова на TECH WEEK🔰