За последний год в СМИ много писали о событиях, связанных с мошенничеством на фоне цифровизации. Люди в мгновение ока лишались недвижимости или, сами того не подозревая, становились собственниками бизнеса. Что это? Реальный повод для паники или хайп, на волне которого журналисты пытаются привлечь посетителей на сайты?
Собственное расследование провела бизнес-аналитик Synerdocs Татьяна Жигалова. Разобраться в теоретических аспектах работы с электронной подписью помог Павел Лушников, преподаватель Института права Удмуртского государственного университета.
Столь пристальное внимание к этой теме имеет искусственное происхождение. Оно навязано СМИ и связано лишь с новизной таких преступлений. По факту суть злодеяний осталась той же, просто появился другой способ их совершения – с использованием интернет-технологий. В этой статье рассмотрим правила защиты пользователя от несанкционированного доступа к его электронной подписи (далее – ЭП). Как говорится, предупрежден – значит вооружен.
Безопасность электронной подписи и уловки злоумышленников
Перед тем как рассмотреть проблему подделки или незаконного использования ЭП, ответим на вопрос: а можно ли без согласия владельца подписи произвести противоправные действия?
Подделать собственноручную подпись любого человека можно, если есть образец оригинала. А вот использовать её без ведома владельца сложнее. Необходимо, чтобы была высокая степень доверия к сотруднику.
Рассмотрим пример. Руководитель организации перед уходом в отпуск на всякий случай подписал пустой бланк. Некоторые подчинённые могут оценить этот неосторожный поступок как карт-бланш и использовать его в ущерб компании.
При разработке цифровой модели ЭП перед Федеральным агентством правительственной связи и информации при Президенте РФ были поставлены высокие требования по защите от подделок. Реализовали их посредством криптошифрования информации. Наиболее уязвимым и опасным в данном случае оказалось пространство вне интернета.
Например, в организации штатный сотрудник может воспользоваться ЭП не только для решения рабочих задач, но и в своих личных целях. И вполне возможно, он нанесёт вред организации.
Другая опасность – похищение закрытого ключа. Это делается с использованием инсайдерской (внутриорганизационной) информации о способе его хранения.
Конечно, электронная среда тоже не защищена на 100 %. Но если вы не обладаете знаниями в программировании, завладеть электронной подписью крайне сложно.
Для чего злоумышленникам ваша электронная подпись?
В основном – для хищения денежных средств и товарно-материальных ценностей. Лица, получающие доступ к ЭП, могут совершать юридически значимые действия от имени организации и в личных целях. Например, подписать финансовые документы, получить деньги в банке или перечислить их злоумышленникам.
4 распространенных способа, как злоумышленники могут завладеть электронной подписью:
1. Владелец сам передает подпись лицу, которое злоупотребляет его доверием.
2. Мошенник похищает носитель ключа ЭП.
3. Менее распространенный способ, но самый трудоёмкий и требующий знаний в сфере информационных технологий – взлом корпоративной системы на предприятии.
4. Выпуск электронной подписи путём обмана Удостоверяющего центра (далее – УЦ). Мошенники могут получить ЭП, предоставив подложные документы. В этой ситуации человек или представитель организации даже может не знать о её существовании.
Сотрудник УЦ, принимающий документы, должен быть внимательным и наблюдательным, а в идеале ещё и владеть знаниями в области криминалистики и криминологии, быть тонким психологом. И всё это для того, чтобы распознать перед собой мошенника.
Защита электронной подписи. Система несовершенна?
Причина сомневаться – наличие большого количества УЦ, деятельность которых слабо согласована между собой. Может быть, поэтому законодатель внёс ряд глобальных изменений в Федеральный закон № 63 «Об электронной подписи» относительно выдачи ЭП.
Ещё один недостаток – отсутствие единого реестра выданных подписей, который бы позволил вести их учёт.
Как добиться совершенства? Необходимо создать систему, которая даст возможность удостоверяющим центрам уведомлять заявителя о статусе выпуска ЭП. Например, это можно реализовать через портал ЕСИА.
Советы экспертов: как обезопасить электронную подпись
- Во-первых, исключить передачу ключей ЭП третьим лицам. Сотрудников, ответственных за подписание документов, наделить полномочиями и выдать им собственные электронные подписи.
- Во-вторых, стоит усилить контроль за деятельностью работников, использующих ЭП. В информационной системе организации можно настроить отчёты, с помощью которых руководитель будет проверять, с какими контрагентами и на какие суммы они заключают договоры.
- В-третьих, отслеживать факты увольнения сотрудников, которые активно использовали подпись организации.
- В-четвертых, ограничить разовые суммы, которые могут быть переведены с использованием ЭП.
- В-пятых, задействовать дополнительные каналы контроля за финансовой дисциплиной. Например, систематически проводить аудиторские проверки.
В идеале необходимо ввести внутренний порядок использования ЭП. Лучше его оформить в виде локального правового акта и ознакомить с ним всех заинтересованных сотрудников. В этом документе следует указать цели, способ и время применения ЭП, место хранения ключа, а также расписать алгоритм предоставления сотруднику подписи, случаи ограничения такой возможности или отзыва у работника. Пропишите также порядок прекращения полномочий владельца и уничтожения ключей. Кроме того, можно предусмотреть меры финансовой ответственности для провинившегося сотрудника.
Полный курс на цифровизацию. Что делать в будущем?
Развитие интернет-технологий не остановить. Но не стоит подвергаться панике. Преступные схемы были и раньше – с бумажными документами. Просто по мере того как меняется мир, появляются новые, более изощренные виды мошенничества. А значит, стоит усилить меры безопасности и не пренебрегать дополнительными средствами защиты от несанкционированных действий с вашим имуществом или собственностью организации.
Государство тоже не стоит на месте и разрабатывает меры поддержки граждан в сфере использования ЭП. Так, согласно последним изменениям в ФЗ № 63 «Об электронной подписи», запрещается требовать внесение в квалифицированный сертификат информации, которая не является обязательной по закону. А это значит, что электронные площадки больше не смогут предъявлять свои требования.
Ещё одна мера поддержки – обеспечение граждан на безвозмездной основе средствами криптографической защиты информации для того, чтобы идентификация в аккредитованном удостоверяющем центре проводилась на основе предоставления биометрических персональных данных. Причём без личного присутствия граждан.
Если вам понравилась эта статья, подписывайтесь на наш блог и аккаунты в соцсетях.
- Facebook: всё-всё-всё, что происходит вокруг и около ЭДО, публикуется здесь.
- Instagram: закулисная жизнь экспертов Synerdocs — фотки с конференций, вебинаров.
- А еще один раз в месяц мы рассылаем дайджест со всеми последними новостями из мира ЭДО — подписывайтесь и вы.
Начать дискуссию