Подобный инструмент активно используют для дистанционных сделок, торгов, подтверждения юридически значимых действий, а также личности человека.
Подделать (расшифровать) саму ЭЦП (закрытый сертификат ключа ЭП) даже с имеющими сегодня вычислительными мощностями не представляется возможным. Вместе с этим это вовсе не означает, что мошенники не смогут воспользоваться чужой ЭЦП для своих незаконных целей.
Среди ключевых позиций, чем опасна электронная подпись в мире электронных технологий и дистанционных сделок, следует выделить такие:
- Возможность осуществлять юридически значимые действия дистанционно. Главная опасность – другая сторона видит только электронный документ, а не физических лиц, которые осуществляют операцию.
- Сертификат ключа (закрытого, открытого) и владелец не являются одним целым. ЭЦП можно потерять, передать другому лицу, случайно скомпрометировать, чем создать предпосылки для мошенничества.
- Несовершенство законодательства. Так уж сложилось, что органы безопасности начинают реагировать только в случае преступления. Добавьте к этому дистанционный характер преступления (можно даже подписывать документы за пределами страны). Поэтому, если владелец скомпрометированного ЭЦП несвоевременно его заблокирует, и за это время будет совершено преступление, шансы восстановить справедливость минимальны.
Какие риски при использовании ЭЦП
Учитывая, что подделка сертификата ключа ЭЦП невозможна, проблемы с использованием этого инструмента подтверждения личности наступают в момент получения мошенниками доступа к сертификату ключа ЭП, паролю доступа.
Среди основных рисков, когда возможно использование ваших данных посторонними лицами в неблагоприятных целях, целесообразно обозначить такие моменты:
Передача паспортных данных посторонним лицам
Например, вы оставляете свои данные в кредитной организации, даете доверенность на оформление сделок от вашего имени, оставляете документы без присмотра.
Имея копии паспорта и ИНН мошенники могут оформить ЭЦП на ваше имя, а дальше взять деньги в кредит, оформить микрозайм, подать фиктивные декларации о налогах для возмещения НДС, дистанционную заключить фиктивную сделку, использовать ЭЦП при продаже недвижимости.
Делегирование ЭЦП и пароля к нему третьим лицам
Многие руководители, чтобы облегчить свой труд, передают свое ЭЦП секретарям, бухгалтерам, заместителям, другим доверенным лицам.
И не всегда они могут оказаться добросовестными, а подписанные электронной подписью документы имеют такую же юридическую силу, как и бумажные аналоги.
Хранение закрытого ключа ЭЦП и пароля к нему на незащищенных носителях
Если на флешку, где хранится ЭЦП, попадет вирус, владелец ключа узнает о его компрометации только после совершения преступления. Поэтому для таких целей следует использовать Токены.
Месть обиженных сотрудников
Такие варианты возможны, когда ЭЦП оформляется на конкретного сотрудника, имеющего право действовать от имени компании.
Если сразу после увольнения подобный ключ не заблокировать, уволенный работник сможет использовать его в своих корыстных целях. И отвечать за это изначально будет компания.
Как снизить риск мошенничества с ЭЦП
Чтобы снизить риск неправомерных действий с вашим ЭЦП, необходимо придерживаться несколько простых правил:
- использовать для закрытого сертификата ключа ЭЦП исключительно защищенные носители (токен);
- не делегировать подписание документов третьим лицам, даже в случае выдачи доверенности, либо внесения этой функции в должностную инструкцию подчиненного;
- при потере ЭЦП, либо случайном раскрытии информации (копировании закрытого сертификата, получение доступа к паролю ЭЦП) необходимо сразу выполнить процедуру аннуляции и перевыпуска;
- если ЭЦП выдавался сотрудникам для выполнения действий от имени компании, сразу после их увольнения такой ключ подлежит аннуляции;
- об компрометации ЭЦП необходимо сразу сообщать в удостоверяющий центр, ФНС, ПФР, другие организации, где он ранее использовался с тем, чтобы подобный ключ включили в список неблагонадежных;
- в случае доступа к вашим документам (паспорту, ИНН) проверяйте через портал Госуслуг (раздел «Настройки и безопасность» личного кабинета) наличие выпущенных на ваше имя ЭЦП;
- установите пароль на вход в рабочий компьютер, где обеспечивается подписание документов с помощью ЭЦП (установлен криптопровайдер);
- постоянно проверяйте рабочий компьютер на предмет наличия вирусных программ, актуализируйте версии антивирусной защиты.
Помните, никакой уровень криптозащиты не спасет вас от неприятностей, если вы самостоятельно передадите ЭЦП и пароли доступа к нему мошенникам.
Законодательная защита от мошенничества
Избежать негативных последствий в случае атаки мошенников вполне возможно законными методами. Просто старайтесь придерживаться таких правил:
Учитывайте, добиться наказания за использование чужой ЭЦП достаточно сложно. На практике, чтобы доказать, что вы не осуществляли заключение фиктивных сделок, не брали кредитов, займов, не оформляли других документов, следует:
- Предоставить для сравнения ваш личный телефон и потребовать в удостоверяющего центра номер телефона, на который направлялся код ЭЦП.
- Взять справку в банке (банках) об открытых на ваше имя счетах и сравнить их со счетами, на которые переводились сворованные деньги.
- Продемонстрировать актуальные паспортные данные и потребовать в удостоверяющего центра копии документов, что давались на оформление ЭЦП.
Где безопасно открыть цифровую подпись
Минимизировать риск компрометации ЭЦП можно с помощью использования лицензированного специализированного программного обеспечения. В частности, если вы устанавливаете на свой компьютер плагины для браузеров, лучше использовать:
- КриптоПро ЭЦП Browser plugin. Используется для работы в браузерах Firefox, а также Internet Explorer (от 8 версии и выше).
- CryptoPro Extension for CAdES Browser Plug-in. Актуальный для браузеров Google Chrome, Опера.
- SBIS Plugin Extension. Предназначен для работы в СБИС через браузер Chrome (версии 75 и выше).
Касательно специализированных программ (криптопровайдеров) то здесь целесообразно выделить такие:
- КриптоПро CSP. Программа, обеспечивающая надежную криптографическую защиту документов в процессе работы с ЭЦП.
- КриптоАРМ. Универсальный программный продукт, предназначенный для подписания, шифрования, считывания, хранения документов с ЭЦП.
- ViPNet CSP. Средство для полноценной работы с ЭЦП.
Да. Многие МФО работают по упрощенному принципу (простая регистрация на их сайте, где для подтверждения личности достаточно ЭЦП). Но для этого мошенникам потребуется заполучить закрытый сертификат ЭЦП и пароль к нему.
Ваши документы могут стать достоянием третьих лиц. А дальше, если это мошенники, они смогут с их помощью дистанционно создать ЭЦП на ваше имя и воспользоваться им в своих корыстных целях.
Зайдите в кабинет пользователя ЭЦП. А дальше в реестре ЭЦП просто нажмите напротив такой подписи «Отозвать». Дальше укажите причину отзыва и отправьте это заявление.
Это исключительно ваше право. Только помните, что всю юридическую ответственность за подписанные бухгалтером документы с наложением вашей ЭЦП будете нести лично вы.