Как защитить свою электронную подпись
Перейти к содержимому

Как защитить свою электронную подпись

  • автор:

Как защитить от мошенников свою электронную подпись

Предприниматель должен соблюсти пять основных правил работы с электронной цифровой подписью (ЭЦП), чтобы не стать жертвой мошенников. На какие риски стоит обратить внимание и как от них защититься, «РГ» рассказали в компании-разработчике антивирусных решений ESET.

Российские предприниматели с июня этого года могут бесплатно оформить квалифицированную цифровую подпись, чтобы работать с электронными документами, пользоваться сервисами на портале госуслуг, налоговой службы и другими. Однако могут возникнуть проблемы с безопасностью организации.

Итак, правило первое. Никому не отдавать электронную цифровую подпись.

«Вообще никому, — подчеркнул эксперт ESET Станислав Жураковский. — Это не просто ключ от вашего сейфа, это ключ от целого бизнеса. Токен должен быть у вас всегда при себе — вместе с телефоном, ключами, кошельком. Но что делать, если постоянно носить его с собой не хочется? Тогда надо поставить дома или в офисе сервер для хранения данных (NAS) с источниками бесперебойного питания или отдельный ноутбук, на котором настроен защищенный удаленный доступ. Однако если отключится интернет или зависнет компьютер, подписать документы не получится».

Второе правило — регулярно, раз в квартал, менять пароли на всех аккаунтах.

Третье правило — не прописывать ключ в реестр.

«В некоторых операционных системах есть возможность сохранять ключи с токена прямо в компьютер. Так делать не стоит, — рекомендуют в ESET. Вредоносных программ, которые ищут подобные ключи в реестре, очень много. Более безопасная практика — работа с токеном и ЭЦП только по необходимости и разово, а не круглосуточно».

Четвертый пункт в цифровом кодексе предпринимателя — защитить все компьютеры в организации.

Если у руководителя стоит защищенное устройство, а у всех прочих нет — то достаточно любому сотруднику зайти на вредоносный сайт, чтобы вирусы, трояны, вымогатели, программы для кражи электронных ключей и прочие зловредные программы начали расползаться по внутренней сети компании. Чтобы этого не случилось, лучше пользоваться антивирусными продуктами для бизнеса, которые входят в Государственный реестр Федеральной службы по техническому и экспортному контролю РФ.

«Зачастую бизнес-версии выгоднее, чем отдельные антивирусы на каждый компьютер. В сумме выходит дешевле, а управление при этом осуществляется централизованно. Такая защита даст возможность спокойно работать, не отвлекаясь на настройку различного ПО для безопасности», — добавил Жураковский.

И, наконец, пятое правило — нужно обязательно сделать отдельные ЭЦП на бухгалтера и сотрудников в 2022 году. Тогда вступят в силу новые правила, по которым можно будет оформить квалифицированную электронную подпись на каждое физлицо в компании и даже сделать общую подпись организации. Это среди прочего снимет проблему выполнения первого правила безопасности.

Меры предосторожности надо соблюдать и при оформлении ЭЦП. Бесплатно ее могут получить индивидуальные предприниматели, нотариусы и ООО. Для этого нужны паспорт, СНИЛС (оригинал или распечатка скан-копии), номер ИНН, защищенный носитель и лицензия на программу CryptoPro.

«Если с документами все понятно, то что такое «защищенный носитель», для многих требует пояснения, — говорит Станислав Жураковский. — Он выглядит как обычная флешка и нужен для того, чтобы никто не смог скопировать файл ЭЦП. Но из соображений безопасности система технически не сможет передать электронную подпись на вашу личную флешку или персональный ноутбук. Подходящие защищенные носители по цене от одной до двух тысяч рублей продаются в аккредитованных центрах, список которых есть на сайте налоговой службы.

После покупки не лишним будет заменить стандартный пароль изделия на собственный — длинный и сложный, добавляет эксперт.

А при выборе криптографического токена надо быть осмотрительными. Рядом с налоговыми инспекциями нередко работают фирмы по оказанию вспомогательных услуг — распечатке и копированию документов, консультированию и так далее. Предлагаемые ими USB-ключи для электронной подписи могут оказаться небезопасными. Есть риск, что они будут передавать данные ЭЦП злоумышленникам.

Как защитить свою электронную подпись от мошенников

Электронная цифровая подпись — незаменимый инструмент современного документооборота. Как безопасно использовать такую подпись и как не пострадать от действий мошенников рассказали жителям Алтайского края эксперты Кадастровой палаты.
Прогресс постоянно вносит в нашу жизнь изменения и вот уже совсем недавно казавшиеся фантастикой электронные услуги, сегодня стали привычным делом, как для юридических лиц, так и для граждан. Уже ни для кого не является новостью, что вместо хождения по различным ведомствам и учреждениям для получения государственной или муниципальной услуги достаточно иметь сертификат электронно-цифровой подписи (ЭЦП). ЭЦП — это аналог собственноручной подписи, имеющий юридическую силу и действительный на всей территории страны. С помощью ЭЦП можно не только подписывать различные документы в электронном виде, но и получать государственные услуги.
Могут ли воспользоваться ЭЦП недобросовестные люди?
Следует пояснить, что самой электронной подписью завладеть нельзя, можно завладеть лишь инструментом для создания подписи от чьего-либо имени. Таким инструментом служит так называемый закрытый ключ ЭЦП – конфиденциальная информация владельца сертификата электронной подписи. Получить его мошенник может двумя способами.
Во-первых, взять оставленный без присмотра USB-носитель (флэшку) с ключевой информацией, подписать необходимые электронные документы и вернуть его на место.
Во-вторых, найти удостоверяющий центр, который лояльно относится к клиентам и, в нарушение 63-ФЗ «Об электронной подписи», мягок при удостоверении личности заявителя и поверхностен в отношении обработки персональных данных. Такому центру для процедуры идентификации заявителя может быть достаточно отправленных по электронной почте фотографий или скан-копий паспорта, ИНН, СНИЛС и других документов предполагаемого будущего владельца сертификата ЭЦП.
«Нужно понимать, что если мошенник завладел средством для создания ЭЦП от имени другого человека, то фактически спектр его действий с этим инструментом становится неограниченным. Поэтому в первую очередь необходимо обеспечить недоступность для других лиц носителя ЭЦП. При получении квалифицированного сертификата ЭЦП необходимо установить надежный ПИН-код к хранилищу ключевой информации и сохранить его в тайне. Если возникло подозрение, что конфиденциальность ключевой информации была нарушена, не рекомендуется заверять электронные документы ЭЦП. В этом случае необходимо сразу же обратиться в удостоверяющий центр, выдавший сертификат ЭЦП, чтобы приостановить или прекратить его действие» — отмечает эксперт заместитель директора Кадастровой палаты Алтайского края Игорь Штайнепрайс.
При работе с документами, их копированием или сканированием, необходимо выполнять ряд правил:
Не оставлять документы без присмотра, не доверять их другим лицам, тем более чужим и мало знакомым.
Если вы делаете копии документов или их скан-образы, необходимо на копиях документов делать надписи, для каких целей изготовлена копия. Данный способ позволяет установить откуда к мошенникам попали копии документов.
Кроме того, копируя документы, или делая скан-образы, не забывайте забирать и уничтожать неиспользуемые или некачественные копии. Храните скан-образы и неиспользуемые копии документов в местах, не доступных для других лиц.
«Не стоит доверять удостоверяющим центрам, обещающим выдать ЭЦП дистанционно, используя представленные скан-образы документов, без визита в офис центра для удостоверения личности», — говорит Игорь Штайнепрайс.
Процедура идентификации личности перед созданием квалифицированного сертификата должна проводиться только при личном присутствии заявителя и представлении оригиналов документов. Кроме того, должна быть исключена возможность получения квалифицированного сертификата ЭПЦ для физического лица уполномоченным лицом по доверенности или на основании иного документа, подтверждающего данные полномочия.
«Отдельное место занимает положение о предоставляемом вами согласии на обработку персональных данных при работе в интернете на каких-либо сайтах. Это положение является обязательным к прочтению. Стоит обратить внимание на объем предоставляемых в рамках этого положения персональных данных, а также на место их обработки, операции по их обработке и возможность передачи данных третьим лицам», — отметил эксперт.
13 августа 2019 года вступил в силу Федеральный закон от 02.08.2019 № 286-ФЗ, регулирующий порядок применения ЭЦП при проведении сделок с недвижимостью. По новым правилам провести такие сделки можно только с письменного согласия собственника недвижимости. Для этого нужно подать специальное подписанное собственноручно заявление в МФЦ.
Между тем, есть исключения из правил, когда для проведения сделок с недвижимостью в электронном виде не требуется специальная отметка в ЕГРН, сделанная на основании заявления собственника недвижимости. Так, если сделка проводится с участием нотариусов, органов власти или проводится кредитными организациями, наличие особой отметки в ЕГРН не является обязательным. Кроме того, по умолчанию принимаются в работу электронные документы, заверенные электронными подписями с применением квалифицированных сертификатов аккредитованного удостоверяющего центра Федеральной кадастровой палаты. С помощью таких сертификатов ЭЦП сделки можно проводить дистанционно, без подачи специального заявления в Росреестр. По итогам работы за 10 месяцев 2019 года на территории Алтайского края Кадастровой палатой выдано порядка 700 таких сертификатов.

Справочно:
Федеральная кадастровая палата (ФКП) – оператор Федеральной государственной информационной системы ведения Единого государственного реестра недвижимости (ФГИС ЕГРН). С 2009 года находится в ведении Росреестра.
В Алтайском крае Кадастровая палата работает с 2000 г. Сегодня краевая Кадастровая палата предоставляет сведения из ЕГРН, принимает заявления о кадастровом учете и (или) регистрации прав на недвижимое имущество, находящееся в других регионах РФ, вносит сведения о границах Алтайского края, муниципальных образований и населенных пунктов, зон с особыми условиями использования территории, объектов культурного наследия и других объектов в ЕГРН.
Общее количество внесенных в ЕГРН в Алтайском крае сведений составляет более 1,4 млн. объектов капитального строительства (зданий, строений, сооружений, объектов незавершенного строительства), более 1,1 млн земельных участков, границы 719 муниципальных образований и 1405 населенных пунктов, более 21 тыс. зон с особыми условиями использования территорий, 166 территориальных зон, более 100 территорий объектов культурного наследия.
В 2019 году на федеральном уровне Кадастровой палатой запущен проект по реинжинирингу существующих электронных сервисов предоставления госуслуг для физических и юридических лиц. Также, согласно плану трансформации учреждения, на базе ФКП создается Аналитический центр для участников рынка недвижимости и бизнес-сообщества. В сентябре текущего года в пилотном режиме запущен сервис по выдаче сведений из ЕГРН, который позволяет получить выписку за несколько минут.

Пресс-служба Кадастровой палаты
по Алтайскому краю,
тел. 557659, доб. 7091, 7092
адрес электронной почты: press@22.kadastr.ru

Как защитить свою электронную подпись от мошенников

Эксперты Кадастровой палаты по Уральскому федеральному округу рассказали о безопасном использовании электронной подписи, а также дали подробный инструктаж, как не пострадать от связанных с ней действий мошенников.

Прежде всего, нужно учитывать, что если мошенник завладел средством для создания усиленной квалифицированной электронной подписи (ЭП) от имени другого человека, то фактически спектр его действий с этим инструментом становится неограниченным. Поэтому в первую очередь необходимо обеспечить недоступность для других лиц носителя, содержащего ключевую информацию, соответствующую вашему квалифицированному сертификату ЭП. При получении квалифицированного сертификата ЭП необходимо установить надежный ПИН-код к хранилищу ключевой информации и сохранить его в тайне. Если возникло подозрение, что конфиденциальность ключевой информации была нарушена, не рекомендуется заверять электронные документы квалифицированной ЭП. В этом случае необходимо сразу же обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат ЭП, чтобы приостановить или прекратить его действие.

Следует пояснить, что самой электронной подписью завладеть нельзя, можно завладеть лишь инструментом для создания подписи от чьего-либо имени. Таким инструментом служит так называемый закрытый ключ ЭП – это конфиденциальная информация владельца сертификата электронной подписи. Совместно сертификат ЭП и соответствующий ему закрытый ключ являются аналогом именной печати с кодом. Доступ посторонних лиц к закрытому ключу ЭП является несанкционированным.

Получить его мошенник может двумя способами. Во-первых, взять оставленный без присмотра USB-носитель (флэшку/токен) с ключевой информацией, подписать необходимые электронные документы и вернуть его на место. Во-вторых, найти удостоверяющий центр, который лояльно относится к клиентам и, в нарушение 63-ФЗ «Об электронной подписи», мягок при удостоверении личности заявителя и поверхностен в отношении обработки персональных данных. Такому центру для процедуры идентификации заявителя может быть достаточно отправленных по электронной почте фотографий или скан-копий паспорта, ИНН, СНИЛС и других документов предполагаемого будущего владельца сертификата ЭП.

Процедура идентификации личности перед созданием квалифицированного сертификата электронной подписи должна проводиться только при личном присутствии заявителя и представлении оригиналов документов (если нет ИНН или СНИЛС, предварительно нужно получить их в соответствующих ведомствах). Кроме того, например, при обращении в Кадастровую палату исключена возможность получения квалифицированного сертификата ЭП для физического лица уполномоченным лицом по доверенности или на основании иного документа, подтверждающего данные полномочия.

Однако, следует проявлять бдительность в отношении своих персональных данных и оценивать, какие данные, каким образом, на каком основании и кому передаются. Например, контрагенту может быть нужен только номер телефона, а он запрашивает ИНН, адрес прописки и т. д, отметил заместитель директора – начальник регионального отделения Кадастровой палаты по Уральскому федеральному округу Засыпкин Эдуард. Отдельное место занимает положение о предоставляемом вами согласии на обработку персональных данных при работе в интернете на каких-либо сайтах. Это положение является обязательным к прочтению. Стоит обратить внимание на объем предоставляемых в рамках этого положения персональных данных, а также на место их обработки, операции по их обработке и возможность передачи данных третьим лицам.

С 13 августа 2019 года вступил в силу Федеральный закон от 02.08.2019 № 286-ФЗ (286-ФЗ), регулирующий порядок применения усиленной квалифицированной ЭП при проведении сделок с недвижимостью. По новым правилам провести такие сделки можно только с письменного согласия собственника недвижимости. Для этого нужно подать специальное подписанное собственноручно заявление в МФЦ.

Между тем, есть исключения из правил, когда для проведения сделок с недвижимостью в электронном виде не требуется специальная отметка в ЕГРН, сделанная на основании заявления собственника недвижимости. Так, электронные документы, заверенные электронными подписями, созданными с применением квалифицированных сертификатов ЭП, которые выданы аккредитованным удостоверяющим центром Федеральной кадастровой палаты, по умолчанию принимаются в работу. С помощью таких квалифицированных сертификатов ЭП сделки можно проводить дистанционно, без подачи специального заявления в Росреестр.

Не требуется также специального заявления от собственника, если электронный пакет документов на регистрацию сделок с его недвижимостью подает в Росреестр кредитная организация, например, в рамках проектов электронной регистрации.

С одной стороны, новый закон минимизирует риски мошенничества и защищает собственников объектов недвижимости, с другой – учитывает уже существующие механизмы цифровизации рынка.

  • ← Выбрать кадастрового инженера можно на сайте Росреестра
  • ПРЕСС-РЕЛИЗ КАДАСТРОВОЙ ПАЛАТЫ ПО ХМАО-ЮГРЕ НА ЯНВАРЬ 2020 ГОДА →
Навигация
  • Информация для населения
    • ГИМС информирует
    • Почта России информирует
    • Социальный фонд РФ информирует
    • Росреестр информирует
    • ИФНС информирует
    • ГО и ЧС
      • НПА
      • Деятельность
      • Информация для граждан
      • НПА
      • Деятельность
      • Информация для граждан
      • НПА
      • Деятельность
      • Информация для граждан
      • Военно-учетный стол
      • Жилищные отношения
      • ЗАГС
      • Совершение нотариальных действий
      • Мероприятия МАУ ЦКиС “Созвездие”
      • Анонсы МАУ ЦКиС “Созвездие”
      • Публичные слушания
      • Общественные обсуждения
      • Опросы граждан
      • Собрания граждан
      • Законодательство о муниципальной службе
        • Муниципальные правовые акты
        • Нормативные акты Российской Федерации и автономного округа
        • Информация о муниципальных торгах сельского поселения Полноват
        • Виды контроля
        • Доклады
        • Досудебное обжалование
        • Инструкции
        • Обобщенные практики
        • Отчеты
        • План проверок
          • 2015 и ранее
          • 2016 г.
          • 2017 г.
          • 2018 г.
          • 2015 и ранее
          • 2016 г.
          • 2017 г.
          • 2018 г.
          • 2019 г.
          • Аукцион муниципального имущества
          • Аукционы 2023
          • Муниципальная программа «Развитие жилищно-коммунального комплекса и повышение энергетической эффективности на 2014 – 2016 годы»
          • Охрана окружающей среды
          • Паспорт безопасности муниципального образования
          • Правила благоустройства территории
          • Программа комплексного развития систем коммунальной инфраструктуры
          • Программа комплексного развития транспортной инфраструктуры
          • Сведения из реестра муниципального имущества сельского поселения Полноват
          • Схемы водоснабжения и водоотведения
          • Схемы теплоснабжения
          • Общественный совет по вопросам обеспечения прав граждан при предоставлении жилищных услуг
          • Совет по межнациональным и межконфессиональным отношениям
          • Общественный совет по профилактике безнадзорности и правонарушений несовершеннолетних
          • Антикоррупционная экспертиза
          • Вопросы противодействия коррупции в подведомственном учреждении
          • Комиссия по соблюдению требований к служебному поведению и урегулированию конфликта интересов
            • Информация о деятельности комиссии
            • Муниципальный уровень
            • Региональный уровень
            • Федеральный уровень
            • Порядок обращеий
            • Формы обращений
            • Обзор обращений
            • Личный прием
              • График приема по личным вопросам
              • Порядок организации приема
              • Нормативные документы
              • Территориальное общественное самоуправление “Уютный двор” сельского поселение Полноват
              • Территориальное общественное самоуправление “Добрые соседи” сельского поселение Полноват
              • Муниципальные услуги
                • Опрос потребителей муниципальных услуг

                Мошенничество с электронной подписью: как обезопасить себя

                Электронная подпись – незаменимый инструмент электронного документооборота. Усиленная квалифицированная ЭП предоставляет больше всего возможностей для своего обладателя. С её помощью можно сдавать отчётность в госорганы, участвовать в электронных торгах, получать госуслуги и вести ЭДО с контрагентами. Однако при неправильном получении и работе с нею можно стать жертвой мошенников.

                Подделать нельзя, но завладеть – запросто

                Саму электронную подпись подделать нельзя: в её основе лежат криптографические алгоритмы, не поддающиеся взлому. Однако мошенники могут её украсть или подделать документы для незаконного получения.

                Схем, как завладеть электронной подписью, не так уж много. Первая – это умышленное хищение, то есть кража закрытого ключа, хранящегося на токене. Вторая – когда владелец сам отдаёт подпись постороннему лицу, например, бухгалтеру, чтобы делегировать некоторые полномочия.

                Третий вариант – компания забывает отозвать ЭП у уволенного сотрудника. Бывший сотрудник может оказаться недобросовестным или обиженным на бывшего работодателя. В таком случае он может оставить миллионные долги на компанию.

                Электронная подпись в руках мошенников и риски

                Электронная подпись даёт право совершать юридически значимые сделки от имени вашей компании. А сулить это может очень и очень большие проблемы для владельцев бизнеса.

                — На компанию могут оформить кредит.
                — Могут быть выведены денежные средства со счетов компании.
                — Мошенники могут сдать поддельную отчётность в налоговые органы, чтобы получить возмещение по НДС.
                — Продать собственность компании – офис и транспортные средства.
                — Компанию даже могут ликвидировать.

                7 правил противодействия мошенничеству

                Чтобы обезопасить себя и свой бизнес, нужно соблюдать некоторые правила, начиная с этапа получения ЭП.

                Правило № 1 – для получения электронной подписи изначально выбирайте только надёжный УЦ

                Получать электронную подпись можно только в надёжной организации – удостоверяющем центре, аккредитованном Минкомсвязи. 1 июля 2020 года вступили в силу поправки в 63-ФЗ «Об электронной подписи». Одно из изменений – ужесточение требований к УЦ.

                Теперь минимальная доля собственных средств УЦ должна составлять не менее 1 млрд рублей или не менее 500 млн рублей в случае, если УЦ имеет филиалы не менее чем в трёх четвертях субъектов РФ. Кроме того, увеличится размер финансового обеспечения ответственности за убытки, причиненные третьим лицам – с 30 до 100 млн рублей. Срок действия аккредитации УЦ сокращён с пяти до трёх лет. Теперь УЦ будут получать её в два этапа: первый – в Минкомсвязи, второй – в правительственной комиссии.

                Становится ясно, что такие требования могут осилить только крупные УЦ, которые не первый год на рынке. После принятия изменений количество УЦ сократится с нескольких сотен до нескольких десятков.

                Правило № 2 – не оставлять сканы и реквизиты паспорта на внешних ресурсах и не передавать ненадёжным людям

                Чтобы мошенники не смогли получить ЭП от вашего имени, не оставляйте данные вашего паспорта или его образы на подозрительных сайтах. С наибольшей вероятностью сотрудники УЦ увидят подделку и не выдадут сертификат, но зачем такой риск? Если паспорт пропадёт, сразу пишите заявление в полицию – дата его подачи будет в дальнейшем аргументом, что подпись на документ поставили не вы.

                Правило № 3 – никто, кроме владельца, не должен иметь доступ к закрытому ключу подписи

                Итак, вы получили электронную подпись и решили передать её для хранения другому лицу – подчинённому, которому доверяете. Делать этого нельзя. Впоследствии доказать в суде, что подпись поставил не владелец, а постороннее лицо, будет сложно.

                Правило № 4 – защитить паролем токен и/или компьютер

                Если злоумышленник украдёт токен с подписью или получит доступ к компьютеру, в котором она хранится, то он сможет ею воспользоваться.

                Правило № 5 – всегда блокируйте компьютер, в котором храните подпись

                Нужно отойти от компьютера, в котором хранится подпись? Если у вашего кабинета не стоит бдительный охранник, то любой может проникнуть в кабинет, залезть в ПК и украсть подпись.

                Правило № 6 – компьютер, на котором хранится ЭП, должен иметь защиту от вирусов

                Если на электронную почту пришёл подозрительный файл, не открывайте его: это может быть программа-шпион, которая скопирует все файлы, в том числе ЭП.

                Правило № 7 – ведите учёт сертификатов сотрудников и вовремя отзывайте их у уволенных

                Увольняется сотрудник, у которого есть ЭП? Сразу отзывайте сертификат подписи. Иначе он сможет списать денежные средства со счетов компании, а то и вообще ликвидировать её.

                Оформление новой и перевыпуск имеющейся ЭП.
                Экономично. Быстро. Законно. Без визита в офис

                Перевыпустить уже имеющуюся ЭП, выданную любым удостоверяющим центром, можно прямо на сайте Такском – через личный кабинет. В этом случае реквизиты компании-заказчика должны быть прежними, без изменений.

                Оперативно оформить новую ЭП – без посещения офиса – тоже просто. Нужно лишь вызвать выездного менеджера Такском. Он сам приедет к вам, идентифицирует личность и оформит вам новую ЭП. Соблюдается законодательство – вступившие в силу с 1 июля поправки к Федеральному закону № 63-ФЗ. Правовые новшества требуют обязательной идентификации личности будущего владельца ЭП.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *