Как защитить электронную подпись и обезопасить себя от мошенников

Как защитить электронную подпись и обезопасить себя от мошенников

Квалифицированная электронная подпись (КЭП) приравнена к личной подписи и необходима для юридически значимых электронных действий и сделок. С её помощью представители бизнеса могут обмениваться электронными документами с партнерами и госслужбами, участвовать в торгах и работать с системами контроля. Физические лица также работают с электронной подписью (ЭП). С помощью квалифицированной электронной подписи граждане могут открыть бизнес, зарегистрировать недвижимость, дистанционно подать заявку на кредит, участвовать в торгах и госзакупках, поэтому очень важно создать безопасные условия работы с сертификатом электронной подписи.

В статье Виталий Тарасов, генеральный директор оператора электронного документооборота СберКорус, рассказал, как обеспечить сохранность конфиденциальности электронной подписи и обезопасить себя от мошенников.

Мошеннические атаки

В числе правонарушений с ЭП могут быть фиктивная купля-продажа недвижимости, вывод средств со счетов и регистрация фирм-однодневок. Злоумышленники могут завладеть электронной подписью несколькими способами:

1. Физические преступления. Этот вид незаконных действий связан с прямым контактом с носителем. Это, в первую очередь, кража носителя (токена). Мошенник крадет токен, на котором записана электронная подпись и использует её в противоправных целях.
2. Похищение электронного ключа с помощью вирусных программ. Это может быть программное обеспечение (ПО), которое выявляет уязвимости вашего устройства и взламывает его. Так злоумышленник может узнать пароль ключевого носителя и получить доступ к электронной подписи.
3. Обман и злоупотребление доверием. Часто мошенники представляются сотрудниками удостоверяющих центров (УЦ) или других организаций и убеждают жертву предоставить доступ к устройству с токеном, ввести PIN-код от ключа.

Важный совет: не продолжайте разговор, если диалог со «специалистом» кажется вам подозрительным. В случае сомнительной коммуникации всегда обращайтесь в службу поддержки удостоверяющего центра, выдавшего сертификат и расскажите об инциденте. Это поможет выявить мошенников и защитить вашу конфиденциальность и ключ ЭП.

Механизмы защиты электронной подписи

Безопасность зашифрованных данных электронной подписи обеспечивает ключевая пара, которая состоит из открытого и закрытого ключей. Ключи неразрывно связаны между собой ассиметричным математическим соотношением. Алгоритмы связи почти невозможно восстановить даже с помощью ключа шифрования, который использовали для защиты данных. 

Открытый ключ – это цифровой код подписи, который содержит уникальный регистрационный номер, личные данные владельца и срок действия сертификата.

Закрытый ключ – уникальный код, который заверяет документ, дешифрует информацию и используется для создания подписи. Ключ конфиденциален и доступен только для его владельца.

Основными средствами защиты электронной подписи служат средства криптографической защиты информации (СКЗИ). Они формируют уникальную ЭП для документа по требованиям алгоритмов и стандартов создания подписи. Лицензия КриптоПро – основной криптопровайдер в России. Она соответствует всем требованиям ГОСТ и позволяет работать с ЭП.

Помимо средств криптографической защиты безопасность ключевой пары и сертификата обеспечивает носитель. Носитель позволяет владельцу подписи обезопасить ключевую информацию от несанкционированного использования. Безопасность носителя обеспечивает пароль или PIN-код и обязательная сертификация уполномоченных органов федеральной службы по техническому и экспортному контролю (ФСТЭК) или ФСБ. Высоким уровнем безопасности и сертификацией обладает USB-устройство ESMART Token и Рутокен.

При повреждении информации на носителе необходимо немедленно обратиться в УЦ, выдавший сертификат электронной подписи для его отзыва. Для оформления нового сертификата необходимо повторно пройти идентификацию в УЦ.

В случае утери носителя восстановить сертификат нельзя – ЭП существует в единственном экземпляре, поэтому владельцу нужно выпустить новый сертификат электронной подписи.

Как самостоятельно защитить ключ электронной подписи: дополнительные меры безопасности

Для защиты ключа электронной подписи её владельцу рекомендуется соблюдать базовые правила информационной защиты – использовать сложные PIN-коды, не имеющие отношения к личной информации, не применять одни и те же пароли на разных ресурсах, хранить ключ ЭП только на сертифицированном носителе, из которого не получится извлечь закрытый ключ, регулярно менять PIN-коды к ЭП, чтобы не допустить утрату контроля над личными цифровыми данными.

Стандартные пароли на устройствах, где используется ЭП, стоит заменить и настроить для них двухфакторную аутентификацию. Небезопасными могут и сайты с нелицензированным контентом, онлайн-казино, даркнет, небезопасное программное обеспечение, в особенности с расширением для удаленного доступа.

Совет эксперта

Храните электронную подпись только на сертифицированных ФСТЭК и ФСБ носителях, не передавайте токен с ЭП посторонним лицам, не передавайте удаленный доступ к компьютеру, если в нем находится ключевой носитель.