Электронная подпись: как обезопасить себя от кибермошенников

Первый (но не последний) такой случай произошел в мае этого года с москвичом Романом, пишет «Коммерсантъ». Однажды обычную платежку за коммунальные услуги Роман получил не на свое имя. Мужчина подумал, что это какая-то ошибка, но поехал в МФЦ, чтобы разобраться. Оказалось, что по документам он подарил квартиру некоему Машкову, причем сделал это не лично, а с помощью электронной подписи.

Электронная подпись — цифровой аналог обычной подписи, имеющий такую же юридическую силу. С ее помощью вы сможете придать юридическое значение своим электронным документам без их распечатки, удаленно работать с государственными порталами, информационными системами и не только.

История Романа, скорее всего, закончится относительно хорошо — он обнаружил подвох быстро, сделку можно оспорить. Но все равно неприятных судебных разбирательств не избежать. Что сейчас и происходит с аж полусотней мамочек-декретниц и пенсионерок в Сургуте, сообщают местные СМИ. Они неожиданно для себя выяснили, что в Москве на их имя были зарегистрированы подставные фирмы. И начали получать требования об уплате налогов. Что произошло? Все эти люди где-то оставили свои персональные данные, а мошенники воспользовались ими, оформили от их имени электронные подписи и зарегистрировали фирмы.

Что такое электронная подпись, и как сделать, чтобы она не стала источником угрозы? Специалист удостоверяющего центра «ПНК» Василий Дульский предлагает такое сравнение:

Электронная подпись имеет свои опасности, но в целом очень удобна и незаменима. Это как бытовой газ: при небрежном обращении может грозить опасными последствиями вплоть до взрыва, но если обращаться с ним аккуратно, нет ничего удобнее.

— Когда меня спрашивают, что такое электронная подпись, и для чего она нужна, то, мне кажется, ответ проще и правильнее всего начать так: электронная подпись нужна для того, чтобы можно было обойтись без подписи обычной — проставленной шариковой ручкой в бумажном документе! — рассказывает Василий Дульский.

Чаще всего справочную информацию в госорганах можно получить и без подписи — но не тогда, когда информация относится к сведениям ограниченного доступа. И тем более, если письмо — это не простой запрос информации, а заявление, влекущее юридические последствия, например, исковое, или заказ какого-нибудь товара или услуги? В таких случаях очень важно быть твердо уверенным в том, что полученный документ действительно исходит именно от того лица, которое этот документ подписало.

Именно этой цели, рассказывает Василий Дульский, и служит электронная подпись. Она представляет собой определенный шифр, уникальное сочетание символов, которое прикрепляется к документу, защищая его от несанкционированных изменений и сообщая всем заинтересованным лицам, что данный документ подписан конкретным человеком и никем другим.

• Электронная подпись бывает простой и усиленной, которая, в свою очередь, может быть квалифицированной и неквалифицированной.
• Простая электронная подпись — это сочетание логина и пароля. Такая подпись используется на сайтах, чтобы, например, понимать, какой пользователь совершил заказ или оставил комментарий. Но она позволяет точно идентифицировать только логин пользователя, а не его самого, и имеет юридическую значимость только в том случае, если это предусмотрено договором (в том числе, например, соглашением об использовании электронного сервиса, к которому присоединяется пользователь).
• Усиленная электронная подпись (как квалифицированная, так и неквалифицированная) представляет собой записанную на электронный носитель информацию из двух комбинаций символов, соответствующих друг другу — ключа электронной подписи и ключа проверки электронной подписи. Эти ключи не придумываются произвольно, а создаются при помощи криптографических средств защиты информации. Каждая ключевая пара уникальна, и подобрать ключ практически нереально. Ключ электронной подписи конфиденциален, а в документе, который им подписан, указываются данные о ключе проверки электронной подписи, которые содержатся в особом документе — сертификате ключа проверки электронной подписи.
• Ключевая пара и соответствующий ей сертификат ключа проверки электронной подписи создаются организацией — удостоверяющим центром (УЦ). 
• Неквалифицированную электронную подпись чаще всего используют для внутреннего документооборота больших организаций. Если организация выпускает усиленные неквалифицированные электронные подписи для собственных нужд, она может делать это свободно, лишь бы у неё был для этого криптографический инструмент — средство электронной подписи. Если же созданные неквалифицированные сертификаты будут продаваться или передаваться другим, посторонним лицам (хотя сейчас это вопрос, скорее, теоретический), то понадобится получить лицензию ФСБ.
• Квалифицированную электронную подпись, а точнее, квалифицированный сертификат ключа проверки электронной подписи, может выдать только аккредитованный удостоверяющий центр. Лицензию ФСБ на осуществление деятельности с использованием шифровальных (криптографических) средств защиты информации аккредитованному УЦ придется получать обязательно, но даже этого недостаточно: для того, чтобы получить право выдавать квалифицированные сертификаты ключей проверки электронных подписей, нужно будет получить в Министерстве цифрового развития, связи и массовых коммуникаций РФ свидетельство об аккредитации удостоверяющего центра. Мало того, что эта процедура очень непростая; свидетельство выдается на срок 5 лет, а при выявлении нарушений условий аккредитации Минкомсвязи может с легкостью отозвать это свидетельство.
• Но зато именно с квалифицированной электронной подписью физическое лицо или организация может совершать юридически значимые действия: подписывать договоры, отправлять отчётность, участвовать в электронных торгах, не выходя из офиса или дома. Подписание электронного документа квалифицированной электронной подписью уравняет его в правах с бумажным документом, подписанным от руки и скрепленным печатью. Исключения из этого правила есть, но они крайне немногочисленны.

Что сделать, чтобы максимально обезопасить себя от мошенничества с электронной подписью?

Берегите персональные данные и читайте то, что вы подписываете

Это сложно сделать в мире, где даже бабушка на вахте просит записать себе в тетрадку ваши паспортные данные, и все же старайтесь минимизировать такие ситуации. И, кстати, по закону охранник не имеет права списывать себе номер вашего паспорта, он может только проверить его. Ваши права защищает закон «О персональных данных», где есть ограничение на «избыточный сбор данных». И в любом случае, перед тем, как взять у вас эти данные, вам должны предложить подписать согласие об их использовании. А вы можете отказаться. Если возможно обойтись без того, чтобы оставить незнакомому человеку данные любых документов, особенно паспорта и СНИЛС, старайтесь так и поступить. Случаи мошенничества, о которых мы рассказали в начале материала, скорей всего, произошли именно потому, что люди оставили информацию о себе в небезопасном месте. Уточняйте, как будут распоряжаться данными, если вам все-таки пришлось их сообщить.

Договоры и разного рода соглашения мы часто читаем поверхностно, и такое невнимание может сыграть злую шутку. Например, подписав согласие на обработку персональных данных, вы пропустили пункт, в котором говорится, что ваши данные могут быть переданы в третьи организации. А эти третьи организации могут воспользоваться ими.

За время своей работы юрисконсульт ООО «ПНК» сформулировал вот такие четыре заповеди в отношении подписания документов:

• Заповедь первая. Перед тем, как подписаться, всегда читайте, под чем вы подписываетесь!
• Заповедь вторая. Не уверены — не подписывайте.
• Заповедь третья. Подписались — значит приняли и согласны.
• Заповедь четвертая, но не менее важная. Изучая — не торопитесь!

Специалист отметил, что хотя эти заповеди выглядят как прописные истины, люди нарушают их очень часто, а потом кусают локти.

Будьте внимательны, заполняя регистрационные формы на сайтах

При посещении любого сайта обращайте внимание на наличие защищённого соединения по расширенному протоколу https. Он позволяет передавать всю информацию в зашифрованном виде. В отличие от него, протокол http является небезопасным. При заполнении формы на сайте указывайте только необходимые для регистрации сведения, например, только имя вместо полного Ф.И.О., а в адресе — лишь город. Перед подтверждением регистрации стоит ознакомиться с приведенным на портале согласием на обработку персональных данных, причем особое внимание обратить на то, кому могут передаваться данные и каким образом происходит отзыв согласия на их обработку. Настоятельно не рекомендуем использовать функцию запоминания пароля и данных банковских карт.

Получайте электронную подпись в проверенном центре с надежной репутацией

Выбирая аккредитованный удостоверяющий центр, обязательно проверьте, что он получил аккредитацию Минкомсвязи России. Иначе он не сможет выдать квалифицированный сертификат ключа проверки электронной подписи. Обращайте внимание также на пакет документов, который попросят у вас в удостоверяющем центре. И если вам как физическому лицу говорят, что вы можете получить подпись только по одному паспорту, то это должно вас насторожить. Дело в том, что законом «Об электронной подписи» установлен минимальный перечень документов, и он не ограничивается одним только паспортом. Законной удаленной выдачи электронной подписи на данный момент времени нет! Не ведитесь на громкие рекламные лозунги. По закону УЦ обязан точно установить личность человека, который будет получать подпись, а идентифицировать человека без его личного присутствия невозможно. Если вам предлагают подпись получить удалённо без личного присутствия или по одному паспорту, то такую организацию нельзя назвать надёжной. Всё очень просто: если они уже сейчас готовы нарушить закон об электронной подписи в ваших интересах, то где гарантия, что завтра в погоне за прибылью они не нарушат его уже против вас?

Придумывайте сложные пароли

Как бы то ни было, электронную подпись подделать сложнее, чем рукописную на бумаге. Даже в случае с простой электронной подписью, если пароль представляет собой не последовательность цифр «123456» и не слово вроде «password», а хаотичный набор букв, цифр и специальных символов, подбор пароля требует навыков и времени. Пароль должен быть уникальным, длиной не менее 8 символов (мы рекомендуем не менее 12), состоящий из больших и маленьких букв, цифр и специальных символов. Не стоит использовать в качестве пароля имена и фамилии родственников, данные рождения, клички животных, такую информацию злоумышленники проверяют в первую очередь. Вероятность же взлома ключа усиленной электронной подписи, особенно созданного средствами криптографической защиты информации, и вовсе близка к нулю.

Опасайтесь компрометации ключа электронной подписи

При возникновении даже не подозрения, а мельчайшего повода к подозрению на то, что пара «логин — пароль» или носитель с ключом усиленной электронной подписи хоть на минуту побывали в чьих-то руках, кроме ваших — подавайте заявление на прекращение действия электронной подписи, и как можно быстрее! Промедление в такой ситуации чревато многомиллионными убытками, а в суде доказать вы уже ничего не сможете. Компрометация ключа электронной подписи — это очень опасное и неприятное событие, поэтому пункт 3 статьи 10 Федерального закона «Об электронной подписи» безоговорочно гласит: при нарушении конфиденциальности ключа электронной подписи пользоваться этим ключом нельзя! Подпись выдана вам? Вам. Ключ взломан? Не взломан. Значит, документ подписан вами.

Как хранить простую и усиленную электронную подпись

Напомним, что простая электронная подпись — это сочетание логина и пароля. И в этом случае важно придумать надежный пароль. Усиленная электронная подпись записывается на носитель. Носители делятся на защищенные, например, «токены», и на обычные незащищенные, например, флешки. Если подпись записывается на обычную флешку, то могут возникнуть следующие проблемы и опасности:

• случайное удаление подписи с носителя;
• заражение вирусом носителя с подписью;
• компрометация подписи (вашу подпись скопируют на другой носитель), в случае, если кто-то завладеет вашей флешкой.

При использовании защищенного носителя вы будете защищены от большинства этих опасностей, так как он обладает защитой от вирусов, защищен от форматирования (отформатировать его можно, но только при помощи криптографических средств), также защищен паролем, причем количество попыток ввода пароля ограничено. Впрочем, все эти защиты окажутся бесполезны, если токен или флешка с записанной квалифицированной электронной подписью генерального директора в вашей организации свободно гуляют из рук в руки. Так делать нельзя.

Остается вопрос по хранению носителя, на который записана ключевая пара. Необходимо обеспечить меры по исключению несанкционированного использования носителя. Уважающий клиентов удостоверяющий центр проинформирует клиента о правилах безопасности работы с электронной подписью. Как минимум, уходя из офиса, оставляйте носитель в сейфе, к которому есть доступ только у вас.

Испугались? И напрасно. Электронная подпись имеет свои опасности, но если придерживаться правил по работе с ней, то в целом это незаменимый инструмент как для бизнеса, так и для обычного человека. Поэтому — отбросьте сомнения, приходите в удостоверяющий центр ООО «ПНК», получите электронную подпись и смело переходите на электронный документооборот, участвуйте в электронных торгах, получайте государственные услуги, работайте с информационными системами, не покидая своё рабочее место и не стоя где-то в очереди!