Электронная подпись — инструмент, снабженный высокой степенью защиты от несанкционированного доступа при условии ее корректного использования владельцем и недопущения мошенников к критическим точкам. Однако даже это не мешает злоумышленникам находить различного рода лазейки, позволяющими незаконно использовать чужую электронную подпись в личных целях и тем самым противоправно обогащаться за счет других.
Рассмотрим наиболее популярные виды мошенничества с электронной подписью и методы, которые позволят защититься от них.
Варианты мошенничества с электронной подписью:
1) Физические преступления:
1.1. Кража ключевого носителя, на который записана электронная подпись (смарт-карта, usb-токен).
Что делать?
Во избежание использования электронной подписи злоумышленником, владельцу подписи следует заменить стандартный заводской пароль ключевого носителя, установив тот, который известен только ему. Третья попытка взломать пользовательский пароль приведет к блокировке usb-токена.
1.2. Передача электронной подписи третьему лицу.
Руководители организаций и уполномоченные лица зачастую не осознают всех возможных рисков и негативных последствий, к которым может привести передача ЭП для совершения тех или иных действий подчиненным.
Что делать?
Никогда, никому и ни под какими предлогами не передавайте свою электронную цифровую подпись!
1.3. Наличие в программном обеспечениии ключевого носителя не заявленных в документации включений (так называемых «закладок»), через которые у злоумышленников есть возможность украсть закрытый ключ ЭП.
Что делать?
Приобретайте только те ключевые носители, которые прошли сертификацию Федеральной службы технического и экспортного контроля (ФСТЭК).
2) Технологичные преступления (осуществляются с применением навыков в сфере информационной безопасности и IT):
2.1. Получение злоумышленником доступа к персональному компьютеру (ПК) владельца электронной подписи.
Применение различных шпионских программ позволяет преступникам раскрывать пароль ключевого носителя и таким образом предоставляет возможность воспользоваться электронной подписью, которая на нем хранится.
Что делать?
Во избежание указанной выше ситуации владельцам ЭП следует соблюдать элементарные правила информационной безопасности при работе с компьютером и в сети «Интернет»:
- не переходить по подозрительным ссылкам;
- не скачивать ПО и файлы из ненадежных источников;
- не использовать зараженные флэш-карты;
- установить антивирус;
- в организациях важна правильная работа системы информационной безопасности.
2.2. Проникновение мошенников в канал передачи данных от usb-токена к ПК, что в зависимости от типа носителя, может привести к краже пароля и закрытого ключа электронной подписи.
Что делать?
Соблюдать указанные выше правила информационной гигиены и использовать функциональный ключевой носитель (ФКН), позволяющий с максимальной степенью защиты хранить и использовать закрытые ключи в памяти смарткарты или USB-токена.
3) Социальные преступления:
3.1. Получение ЭП другим человеком — злоумышленник может завладеть документами нужного лица и при помощи максимально похожего на него соучастника получить электронную подпись на его имя.
Что делать?
Необходимо как можно более ответственно относиться к вопросам хранения документов, содержащих персональные данные, а в случае их кражи сразу же сообщить об этом в правоохранительные органы. В ходе судебного разбирательства по делу о неправомерном выпуске ЭП дополнительным аргументом станет наличие заявления о потере или хищении документов. Графологическая экспертиза подписи позволит подтвердить, что потерпевший не заполнял заявку на получение ЭП.
3.2. Получение электронной подписи по поддельным документам и доверенности — данным способом злоумышленники могут воспользоваться в ситуации повторного выпуска ЭП, когда достаточно предоставить копии нужных документов и доверенность, а личная явка лица, получавшего подпись, не требуется.
3.3. Недобросовестность сотрудников удостоверяющих центров (УЦ).
Что делать?
Препятствием на пути к незаконному получению электронной подписи преступниками в последних двух случаях может стать ответственное выполнение сотрудниками УЦ своих обязанностей за счет слаженной работы всех систем удостоверяющего центра, включая службы мониторинга и контроля.
Комфортной Вам работы с электронной подписью! Если же у Вас ещё остались вопросы, вы сможете задать их специалистам портала iEcp.ru в рубрике "Вопрос эксперту".