Электронная подпись: как не стать жертвой мошенников

Рынок ЭП

Точный объем отечественного рынка электронных подписей (ЭП) оценить затруднительно. По оценкам экспертов, сегодня он исчисляется миллиардами рублей, и более точных данных найти не удалось.

Инструментом, который позволяет подписывать документы в цифровом формате, пользуются свыше 50% совершеннолетних россиян, подсчитали аналитики рынка.

Как показали итоги исследования Sign.Me, чаще всего ЭП используют генеральные директора и топ-менеджеры компаний (82% респондентов), бухгалтеры (73%), ИТ-специалисты (70%) и индивидуальные предприниматели (61%).

Лидером среди отраслей, работники которых предпочитают подписывать документы с помощью ЭП, стала банковская – этим инструментом пользуются 64% ее сотрудников. Ненамного отстают по этому показателю автомобильно-логистическая отрасль (63%) и рынок недвижимости (60%).

Уже сегодня в сегментах B2G и B2B электронный документооборот уже давно стал практически нормой. Движителями рынка сегодня является именно B2C. Как полагают аналитики, в ближайшие пять лет ожидается «оцифровка» 50% всего документооборота в этом сегменте. Как следствие, рынок ЭП будет расти, в среднем, на 30% в год.

Оценить рынок ЭП в количественных показателях также трудно. Как минимум, в сегменте простых ЭП.

Простая ЭП представляет собой комбинацию из логина и пароля, которые пользователю нужно придумать при регистрации на сайте, в приложении или на портале, где ее планируется использовать (в клиент-банках, на сайтах, предоставляющих товары, услуги или справочную информацию), и кода подтверждения, который приходит по электронной почте, в СМС-сообщении, по USSD-каналу или другими способами.

Простая ЭП очень удобна для повседневного использования, ее достаточно для получения страховых, ряда государственных и муниципальных услуг, заказа справок из банка и т.д. Но высокого уровня безопасности она не обеспечивает. Например, для подписания юридически значимых операций, документов, содержащих конфиденциальные сведения или тайную информацию, для участия в торгах по 44-ФЗ и 223-ФЗ использованием простой ЭП не обойтись.

Усиленная неквалифицированная электронная подпись (УНЭП) придает юридическую силу любым электронным документам. Используя ее, можно организовать внутренний защищенный электронный документооборот в компании, наладить с контрагентами электронное взаимодействие, не требующее строгой формы, работать на многих негосударственных электронных торговых площадках, получать доступ к ряду ГИС и порталов.

Защита данных от подделки, подтверждение авторства и целостности документа – это функции усиленной квалифицированной электронной подписи (УКЭП). Ее владелец может участвовать в электронных торгах, регистрировать компании и получать патент на изобретение на портале Госуслуг, сдавать в электронном виде отчетность в ФНС, Росстат, ФСС и т.д., оформлять сделки с недвижимостью и получать информацию об объектах на портале Росреестра, подписывать и отправлять транзитные декларации и другие документы в таможенные органы, а также обмениваться электронными документами с контрагентами компании и ее сотрудниками.

Получить квалифицированный сертификат (электронный документ, в котором содержится ключ проверки КЭП) можно в аккредитованном удостоверяющем центре (УЦ), очно или удаленно (по данным на август 2024 года, в РФ работали 46 таких компаний), в МФЦ, приложении «Госключ».

Точно подсчитать число выданных в России КЭП также практически невозможно: рынок исчисляется миллионами подписей.

ЭП и хакеры

Усиленная ЭП, квалифицированная и неквалифицированная, обладает высокой степенью защищенности благодаря применению стандартов криптографической защиты информации:

• ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;

• ГОСТ 34.12-2018 «Информационная технология. Криптографическая защита информации. Блочные шифры»;

• ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».

Надежность СКЗИ практически полностью исключает возможность взлома усиленной ЭП в ходе технической атаки. Математический ее взлом на практике невозможен - алгоритмы криптографии настолько сложны, что на взлом одного ключа ЭП уйдет примерно 10 тыс. лет, комментируют эксперты на портале vc.ru.

Тем не менее, время от времени на просторах Сети попадается информация о том, что в лабораторных условиях ученым это удается, и вносит сумятицу в ряды ИБ-экспертов. Например, в 2019 году группа французских ученых во главе с Эммануэлем Томе (Emmanuel Thome) из Национального института исследований в информатике и автоматике обнародовала информацию о том, что ей удалось взломать ключ шифрования RSA-240, который считался сложнейшим в мире. Подробностей не сообщалось, кроме тех, что ученые использовали усовершенствованные алгоритмы разложения большого числа на простые множители и новые методики вычисления дискретного логарифма.

Читайте также

Иван Новосёлов: Как Data Governance меняет бизнес. Кейсы и инсайты

В современном мире организации все чаще сталкиваются с растущими вызовами: обилие источников данных, необходимость быстро извлекать информацию из данных в интересах бизнеса, отсутствие единого процесса работы с данными и постоянный дефицит ИТ-специалистов. В этом интервью IT-World поговорил с Иваном Новосёловым, генеральным директором DataCatalog (входит в Группу Arenadata) о том, является ли система Data Governance необходимостью для бизнеса и какие возможности открывает для роста компаний.

Вторая угроза, о которой говорят эксперты – вероятная уязвимость традиционных алгоритмов шифрования перед квантовыми компьютерами. Используя алгоритм Шора, они способны взломать криптоключи за вполне реальное время. К примеру, китайские ученые осенью 2024 года опубликовали исследование, где демонстрировалась уязвимость ряда алгоритмов AES-шифрования при использовании квантовых компьютеров. Конечного взлома не произошло, но, тем не менее, ученые оказались максимально близки к нему.

Успокаивает одно – до массового использования квантовых компьютеров еще далеко. Кроме того, параллельно с квантовыми вычислениями разрабатывается и криптография, алгоритмы которой будут устойчивы к квантовым атакам.

ЭП и мошенники

Мошенничества с использованием электронной подписи (ЭЦП) стали серьезным трендом в последние два года, комментируют аналитики. Только в 2024 году, по данным опроса финансового маркетплейса «Выберу.ру», почти 20% россиян столкнулись с мошенничеством, связанным с сервисом для выпуска сертификата электронной подписи «Госключ». Годом ранее Федеральная налоговая служба зафиксировала более 43 тыс. нарушений с использованием ЭП. И большинство из них было связано с выдачей электронной подписи по поддельным документам.

Если взлом КЭП невозможен, то социальная инженерия на этой поляне процветает - самой распространенной причиной мошенничества с ЭП является передача ключей (токена, логина-пароля) третьим лицам.

Несанкционированный доступ к КЭП

Для того, чтобы получить доступ к чужой квалифицированной электронной подписи, злоумышленники точно также используют доверие, невнимательность или пробелы в безопасности компаний. Украсть ЭП, оформить на кого-то без его ведома, на подставного человека, воспользоваться ЭП, выданной на работе, вполне реально. И в судебной практике таких случаев немало. Последствия в этом случае могут быть серьезными, а убытки – весьма ощутимыми. На ничего не подозревающего гражданина могут оформить кредит, зарегистрировать бизнес, украсть его собственность. Банковские счета компании могут опустеть, а владелец бизнеса окажется замешанным в недобросовестной конкуренции или уличен в поддельной отчетности. И самое неприятное, что ответственность за совершенные действия несет владелец электронной подписи, поскольку закон обязывает его обеспечивать конфиденциальность ключей ЭП.

Токен, флэш-карту, смартфоне или иной гаджет, где записаны ключи КЭП, владелец может потерять. Злоумышленник может похитить токен или получить доступ к компьютеру, где хранятся ключи ЭП. И здесь сложные схемы с подделкой документов и выпуском ЭП мошенникам уже не понадобятся. Главная опасность – недостаточный уровень осторожности владельца электронной подписи.

Прежде всего, нужно осознать, что доступ злоумышленников к ключам ЭП может обернуться значимыми убытками. Поэтому здесь важны превентивные меры защиты. Оставлять токен с ЭП без присмотра не рекомендуется. После покупки носителя и записи на него ключевой информации пароль на токене необходимо поменять. Доступ к компьютеру с ключами – ограничить или запретить. И не передавать токен с ключами ЭП третьим лицам. И если пользователь стал подозревать, что пароль от его ЭП может быть скомпрометирован, лучше отозвать сертификат ЭП в удостоверяющем центре, который ее выдал, и выпустить ЭП заново.

Оформление КЭП по поддельным документам

Как сообщали эксперты, пик мошенничеств, связанных с подделкой ЭП, пришелся на 2019 год. Квалифицированные электронные подписи в массовом порядке оформляли по подложным документам в различных удостоверяющих центрах - в 2019 году их число достигало 500, и некоторые из них, уверены эксперты, создавались специально для реализации мошеннических схем с продажей недвижимости. Злоумышленникам достаточно было знать СНИЛС владельца, данные его паспорта, и владеть фотошопом для подделки фотографии в паспорте. Оформив ЭП на имя владельца квартиры, мошенники проводили сделку по ее продаже удаленно и регистрировали ее в Росреестре.

Владелец недвижимости ничего не подозревал - ровно до тех пор, пока ему не начинают приходить квитанции ЖКХ на чужое имя.

Оспорить такую сделку можно в судебном порядке, но сделать это достаточно сложно. Как и полиции – найти злоумышленников.

С тех пор, считают эксперты, ситуация изменилась к лучшему. Пробелы в законодательстве, а именно нечетко описанная процедура установления личности получателя сертификата ЭП, были ликвидированы. Проверить, есть ли у удостоверяющего центра аккредитация Минцифры на выдачу сертификатов КЭП, можно на сайте ведомства. И количество подобных мошенничеств минимизируется. Но пострадавшие от таких схем ранее продолжают ходить по судам и до сих пор, пытаясь вернуть свое имущество.

Для того, чтобы избежать таких ситуаций, эксперты рекомендуют регулярно проверять раздел «Сертификаты электронной подписи» на портале Госуслуг, где отображаются все выпущенные на пользователя сертификаты ЭП, и сразу же заявлять в МВД о потере паспорта. И нелишним будет оформление запрета на сделки с недвижимостью без личного участия собственника.

Корпоративные ЭП и проблемы в трудовых отношениях

Незаконные действия с чужой ЭП в корпоративной среде – самые частые случаи. Владелец ЭП – как правило, руководитель или генеральный директор компании – очень часто передает ее какому-либо сотруднику. Очень часто – главному бухгалтеру. Получив ЭП вместе с машиночитаемой доверенностью (МЧД), сотрудник может подписывать документы от лица руководителя. Известно много случаев, когда недобросовестный сотрудник брал от имени компании кредиты, переводил на свои счета средства компании, совершал покупки от имени компании, заключал несанкционированные контракты, продавал активы, сдавал от имени компании несуществующую отчетность. Все убытки в таком случае придется покрывать руководителю. И это один из самых распространенных инцидентов с ЭП, которые разбирают судебные органы.

Еще один часто встречающийся вариант – когда компания забывает отозвать ЭП и МЧД у уволенного сотрудника.

Впрочем, в преступном использовании ЭП может быть замешан и сам руководитель, если сотрудник, на которого оформлен сертификат ключа проверки ЭП, недостаточно хорошо разбирается в юридических тонкостях использования электронной подписи. При увольнении такого сотрудника руководство может заставить его оставить на рабочем месте ЭП и ключи от нее. Часто это аргументируется тем, что сертификат ЭП оплатила компания. В этом случае сотруднику важно помнить, что руководство вводит его в заблуждение – ЭП принадлежит тому, на чье имя она оформлена.

Читайте также

Оборотные штрафы и реальные угрозы. Что ждет операторов персональных данных в 2025 году

Почему компании до сих пор игнорируют требования закона о персональных данных, несмотря на растущие штрафы. Главный вопрос: кто ответит за утечки — ИБ-специалисты, юристы или топ-менеджеры? Формального соблюдения закона теперь недостаточно — регулятор усиливает контроль и ужесточает меры воздействия. Подробнее — в материале IT-World.

Эксперты рекомендуют руководству или отелу кадров относиться внимательнее к покидающим компанию сотрудникам, сразу отзывать у них ЭП и аннулировать МЧД. Минимизировать риски можно, написав заявление о незаконном использовании ЭП в органы МВД (полицию). И всех сотрудников компании необходимо обучать основам цифровой гигиены.