Как защитить электронную подпись от мошенников и хакерских атак?

На сегодняшний день электронная подпись (ЭП) – самый удобный и безопасный способ подписания документов. Подделать рукописную подпись не составит труда – для этого понадобится всего-навсего шариковая ручка и немного тренировки, а в печатном договоре можно заменить страницу, из-за которой поменяется вся его суть. В случае с ЭП такое не пройдет: внесение изменений после подписания делает документ недействительным, а подделать ЭП невозможно. Но как быть с вероятностью хакерских атак, которым могут подвергаться цифровые продукты? Может ли злоумышленник взломать ЭП и подписать документы без вашего ведома? Ответим в статье на самые волнующие вопросы, а также поделимся полезной памяткой о том, как защититься от хакерских атак и мошеннических схем с вашей ЭП.

Для начала разберемся, чем хакеры отличаются от мошенников

Когда мы слышим про мошенничество с цифровыми продуктами, первое что приходит в голову – это хакеры. В голове автоматически всплывает образ злодея, но это не всегда так. Например, есть так называемые «белые хакеры», которых компании нанимают специально, чтобы проверить степень уязвимости своих информационных систем. Другое дело, когда хакеры взламывают программы, чтобы завладеть вашими данными и воспользоваться ими в корыстных целях. В сфере ЭП такое почти невозможно, но все же мы рассмотрим два теоретических сценария. Наиболее опасными в любой сфере являются мошеннические схемы. Ведь гораздо проще обманывать людей, чем сложные цифровые системы.

Мошеннические схемы с ЭП

Атака на программное обеспечение (ПО)

Сюда относятся ситуации, когда злоумышленники пытаются взломать вашу ЭП, чтобы подписать нужные им документы от вашего имени. Важный момент: речь идет об удаленном взломе. Например, частый страх пользователей связан с тем, что кто-то получит доступ к личному кабинету сервиса ЭП и тут же заключит от имени владельца договор о продаже недвижимости. Спешим вас успокоить: успех атаки на ПО в случае ЭП стремится к нулю. Все потому, что усиленные виды ЭП (УКЭП и УНЭП) создаются при помощи средств криптографической защиты информации (СКЗИ). Эта система использует две уникальные последовательности знаков, связанные между собой математически: открытый и закрытый ключ. Алгоритмы криптографии настолько сложны, что на взлом одного ключа ЭП уйдет примерно 10 000 лет, а люди столько не живут. К тому же, сертификат ЭП действует только год, после чего его нужно продлевать. Но это касается усиленных видов ЭП, тогда как простая электронная подпись (ПЭП) более уязвима для мошеннических схем. По отношению к ней хакеры могут применить метод брутфорс – атака полным перебором. В таком случае действительно есть риск, что вашу ПЭП скомпрометируют и, например, заверят документы без вашего ведома. Но хорошая новость в том, что квартиру с помощью ПЭП не продашь, эта возможность ограничена законодательно. Но и для других важных документов мы рекомендуем использовать только усиленные виды ЭП.

Атака на инфраструктуру

Самыми популярными в этой сфере являются DDoS-атаки (Distributed Denial of Service), когда хакеры специально перегружают сервер, чтобы обычные пользователи не могли на него зайти. Эти атаки могут приводить к неработоспособности сервисов, однако они не направлены на какой-либо взлом или хищение данных, их суть заключается только во вредительстве.

В сфере ЭП такие атаки тоже встречаются, но чаще всего они они не имеют успеха, поскольку современные программисты умеют профессионально их отражать. На нашем личном опыте: за 12 лет работы было несколько безрезультатных попыток DDoS-атак на инфраструктуру Sign.Me, сайты разных УЦ и узлов инфраструктуры в России.

Специалисты информационной безопасности ведут постоянную работу по строительству защитных обвязок от подобных атак, поэтому в настоящее время информационные системы, построенные на качественной сетевой инфраструктуре с использованием современного оборудования и при наличии в штате специалиста по информационной безопасности, защищены от подобных атак практически на 100%.

Мошенничество (социальная инженерия)

Под сложным термином «социальная инженерия» подразумевается банальный человеческий фактор. 99% схем злоумышленников с ЭП связаны именно с ним. Это может быть намеренный обман, либо нарушение правил безопасности при использовании ЭП. Так, например, в судах нередко рассматриваются дела, когда генеральный директор передал свою ЭП бухгалтеру для подачи отчетности в ФНС, а в результате из бюджета компании были украдены большие деньги. Именно поэтому так важно запомнить: свою ЭП ни в коем случае нельзя передавать третьим лицам. Как можно было избежать этой ситуации? Оформить сотруднику ЭП и сделать машиночитаемую доверенность (МЧД) с указанием того, какие именно документы от он может подписывать в рамках документооборота компании. Практически любая сфера уязвима для мошеннических действий, и ЭП в данном случае не является исключением. Среди других примеров социальной инженерии можно назвать использование чужого паспорта, в который вклеена фотография мошенника вместо владельца. Поверьте, такое бывает, и иногда у злоумышленников получаются подделки, которые могут пройти даже проверку системы межведомственного электронного взаимодействия (СМЭВ).

Безусловно риск мошенничества есть во всех сферах, и ЭП не исключение. Однако она, в отличие от той же рукописной подписи, вынуждает злоумышленника оставлять за собой множество цифровых следов, по которым его будет легче вычислить и привлечь к ответственности. К ним, например, относятся логи – запись событий в программе, или фотофиксация пользователя при выпуске сертификата ЭП в удостоверяющем центре (УЦ).

Как избежать хакерских атак и мошеннических схем с вашей ЭП

1. Используйте только сертифицированные сервисы ЭП. Рекомендуем отдавать предпочтение тем, в которых ключи подписи невозможно извлечь.
2. Не передавайте носители ЭП, свой мобильный телефон или ПК третьим лицам. Для подписания документов сотрудниками от лица компании используйте МЧД.
3. Храните паспорт и другие важные документы в надежном месте.
4. Периодически проверяйте раздел «Сертификаты электронной подписи» на портале Госуслуги, чтобы убедиться, что без вашего ведома не было выпущено нового сертификата ЭП.
5. Регулярно обновляйте приложения и программы, а также используйте антивирусы.
6. Тщательно анализируйте любой источник, запрашивающий ваши данные.
7. Используйте разные пароли для учетных записей и двухфакторную аутентификацию: например, пин-код и Face-ID.
8. В случае утери носителя ЭП или обнаружения факта подписания документа сторонним лицом незамедлительно подайте заявление о компрометации ключа ЭП в УЦ, выпустивший сертификат.

Заключение

Электронная подпись – это не только самый удобный и современный, но и безопасный метод подписания документов. Важно соблюдать правила защиты и подходить к вопросу ответственно: обращаетесь только в проверенные сервисы с хорошей репутацией на рынке, подписываете важные документы усиленными видами ЭП и не передаете свою подпись третьим лицам. Следуя правилам, можно не беспокоиться о хакерских атаках или мошеннических действиях. Подписывайте документы электронно и надежно.