Защитить электронную подпись от использования третьими лицами - обязанность её владельца. Как не допустить компрометации ключа ЭП и что делать, если он скомпрометирован, - читайте в нашей статье.
Закон № 63-ФЗ установил несколько обязанностей для участников электронного взаимодействия. Так, они должны обеспечивать конфиденциальность ключей ЭП, а в случае их компрометации должны как можно скорее уведомить УЦ и контрагентов о выявленном нарушении.
Случаи компрометации
Довольно частая история, когда директор организации по своей воле передаёт токен с электронной подписью бухгалтеру для подписания отчётности и иных документов. Другой случай - носитель КЭП хранится в незащищённом месте, к которому имеют доступ иные сотрудники организации, причем ПИН-код не установлен или известен сотрудникам. Также носитель может быть утерян или украден.
Последствия компрометации
- Административные и финансовые риски: вывод денежных средств со счетов организации.
Так, КЭП генерального директора находилась у бухгалтера, что позволило злоумышленникам незаконно войти в систему «Банк-клиент» и перечислить 7,7 млн рублей со счетов компании. Генерального директора обязали возместить утраченные средства (см. судебное решение).
- Уголовная ответственность за халатность: начальник управления финансов и налоговой политики бездействовал в части контроля, что привело к существенному ущербу для местного бюджета. В частности, по факту компрометации ключа подписи злоумышленниками было переведено на свои счета и счета знакомых около 7 миллионов рублей в течение двух лет. Должностное лицо было осуждено по части 1 статьи 293 УК РФ, назначено соответствующее наказание (см. судебное решение).
Советы
- Хранить КЭП в защищённом месте (сейф) без предоставления доступа другим лицам.
- Использовать КЭП только владельцем.
- Своевременно отзывать КЭП уволенных работников.
- Установить надёжный пароль для токена и компьютера, на котором используется КЭП.
- Соблюдать правила цифровой гигиены.
- Использовать сертифицированные средства электронной подписи.
Что делать
В случае компрометации ключа КЭП необходимо незамедлительно требовать приостановления действия сертификата ключа проверки ЭП, а также уведомить иных заинтересованных лиц - банки, контрагентов, налоговую инспекцию и пр. Следует отозвать сертификат, подав письменное заявление лично в УЦ, и получить новую КЭП для дальнейшего электронного взаимодействия.
Заключённые сделки и поданные мошенниками заявления можно обжаловать в судебном порядке. О факте неправомерного использования КЭП можно заявить в полицию для привлечения виновных лиц к ответственности.
Порядок и форму заявления можно найти на сайте УЦ. Например, УЦ СКБ Контур предлагает обратиться в техподдержку и следовать инструкциям при краже КЭП (форма заявления на прекращение действия сертификата здесь). В Регламенте УЦ Тензор указано, что заявление на аннулирование сертификата может быть подано лично, почтовой или курьерской доставкой, а также через личный кабинет.
В случае компрометации ключа ЭП, которую применяли на сайте Федерального казначейства, необходимо сделать следующее:
- позвонить по телефону в региональный центр регистрации, сообщив причину аннулирования, серийный номер сертификата и номер идентификатора ключей при смене, указанный в бумажной копии соответствующего сертификата;
- получить новый сертификат КЭП для дальнейшей работы.
