Как защитить себя от мошенников, рассказывает Ильдар Шайдуллин, начальник удостоверяющего центра ЭТП ГПБ.
Электронную подпись использует каждый второй совершеннолетний россиянин. Но злоумышленники могут похитить ее, чтобы захватывать бизнес, красть имущество и выводить деньги.
Электронная подпись (ЭП) — цифровой аналог собственноручной подписи и печати, который прочно вошел в деловую практику. Сегодня ЭП используют как компании, так и физические лица. С ее помощью можно заверять практически любые документы — от тендерных заявок в госзакупках до кредитных договоров частных лиц.
При этом вместе с распространением ЭП закономерно появились и новые угрозы. Для злоумышленников квалифицированная электронная подпись — это цифровой мастер-ключ. Завладев им, они могут от имени владельца заключать сделки, распоряжаться финансами и имуществом, подавать заявления в госорганы.
Однако, несмотря на риски, многие компании и частные лица до сих пор воспринимают электронную подпись как формальность и недооценивают важность ее защиты. Ключи ЭП, например, хранят на незащищенных носителях и передают коллегам «для удобства». А сотрудников забывают обучать основам информационной безопасности.
В результате бизнес рискует не только деньгами, но и репутацией. А частные лица — сбережениями и даже свободой, если их ЭП использовали для мошеннических схем.
Цена одной подписи: от халатности до уголовного дела
Ошибки при работе с электронной подписью могут обернуться многомиллионными убытками, судебными разбирательствами и даже уголовной ответственностью.
Завладев ключом ЭП, злоумышленники могут:
- Оформить кредит на имя владельца подписи
- Передать третьим лицам имущество владельца
- Зарегистрировать на имя владельца фирму-однодневку для отмывания денег или ухода от налогов
- Получить доступ к счетам компании и вывести средства на зарубежные счета
- Заключить контракт с подставной компанией в госзакупках, сорвать тендер и иным образом воздействовать на закупочные процедуры
Дополнительно ситуацию с мошенническими действиями усложняет то, что расследование инцидентов с ЭП — это почти всегда долгий, затратный и репутационно болезненный процесс.
Доказать в суде, что подпись была украдена, крайне сложно — формально все действия совершены легально. Еще сложнее вернуть украденные средства, особенно если деньги уже выведены за границу. Репутационный ущерб компенсировать также непросто — восстановление деловой репутации занимает месяцы и годы. А в некоторых случаях компенсировать урон до конца просто невозможно.
Где тонко, там и рвется: слабые места ЭП
Большинство инцидентов с электронной подписью связано не с техническими уязвимостями средств защиты информации, а с организационными недочетами и человеческим фактором. Среди «популярных» ошибок:
- Отсутствие регламентов работы с ЭП. Во многих компаниях нет четких правил хранения и использования ключей
- Передача токенов третьим лицам. Например, сотрудник отдает ключ коллеге «на время»
- Использование слабых или предсказуемых паролей. Ключ необходимо защищать надежным паролем, который обновляется не реже чем раз в полгода
- Неподготовленный персонал. Часто сотрудники не понимают, что ЭП — это не просто «флешка», а полноценный юридический инструмент. Токены забывают на рабочем столе, пароли не меняют годами — все это создает высокий риск компрометации
Инструкция по безопасности: как защитить свои ключи ЭП
Чтобы снизить риск компрометации или утери ЭП:
- Строго контролируйте доступ. Храните токены в сейфе — доступ должен быть только у вас. Запретите передачу ключей — даже временная передача токена коллеге должна быть исключена
- Подготовьте регламенты использования ЭП. В каждой компании должны быть четкие процедуры выдачи, использования и отзыва ЭП
- Регулярно меняйте пароли. ЭП действует 12–15 месяцев, но обновлять пароль рекомендуется не реже чем раз в полгода
- Если ключ скомпрометирован, немедленно аннулируйте сертификат. Это можно сделать через «Госуслуги» или удостоверяющий центр
- Обучайте сотрудников. Разъясните последствия утери ключей и регулярно проводите тренинги по информационной безопасности — тренируйтесь распознавать фишинг и защищаться от атак
- Используйте машиночитаемые доверенности. Вместо передачи ключа сотруднику можно оформить доверенность с ограниченными полномочиями. Это снижает риски — при увольнении сотрудника, например, доверенность легко отозвать
- Используйте защищенные носители. С технической точки зрения защитить ЭП несложно — достаточно использовать токены, сертифицированные ФСБ и ФСТЭК (например, «Рутокен» или JaCarta). Обратите внимание на аппаратное хранение ключей — такие токены не позволяют скопировать ключ, даже если злоумышленник получит физический доступ к носителю
Лучше платить за профилактику, чем за последствия
Стоимость защищенных токенов и обучения сотрудников несопоставима с потенциальными убытками. Сертифицированный токен, например, стоит 2–3 тыс. рублей, обучение сотрудников обойдется примерно в 10 тыс. рублей за курс, а ущерб от мошенничества с ЭП может исчисляться миллионами.
Электронная подпись — ценный инструмент, и относиться к ней стоит так же серьезно, как к доступу к своему банковскому счету. Помните: безопасность ЭП — это не сложно, главное — системный подход, дисциплина и постоянное обучение сотрудников.