Мошенники крадут электронные подписи. Как защитить бизнес и деньги

Как защитить себя от мошенников, рассказывает Ильдар Шайдуллин, начальник удостоверяющего центра ЭТП ГПБ.

Электронную подпись использует каждый второй совершеннолетний россиянин. Но злоумышленники могут похитить ее, чтобы захватывать бизнес, красть имущество и выводить деньги.

Электронная подпись (ЭП) — цифровой аналог собственноручной подписи и печати, который прочно вошел в деловую практику. Сегодня ЭП используют как компании, так и физические лица. С ее помощью можно заверять практически любые документы — от тендерных заявок в госзакупках до кредитных договоров частных лиц.

При этом вместе с распространением ЭП закономерно появились и новые угрозы. Для злоумышленников квалифицированная электронная подпись — это цифровой мастер-ключ. Завладев им, они могут от имени владельца заключать сделки, распоряжаться финансами и имуществом, подавать заявления в госорганы. 

Однако, несмотря на риски, многие компании и частные лица до сих пор воспринимают электронную подпись как формальность и недооценивают важность ее защиты. Ключи ЭП, например, хранят на незащищенных носителях и передают коллегам «для удобства». А сотрудников забывают обучать основам информационной безопасности.

В результате бизнес рискует не только деньгами, но и репутацией. А частные лица — сбережениями и даже свободой, если их ЭП использовали для мошеннических схем.

Цена одной подписи: от халатности до уголовного дела

Ошибки при работе с электронной подписью могут обернуться многомиллионными убытками, судебными разбирательствами и даже уголовной ответственностью.

Завладев ключом ЭП, злоумышленники могут:

• Оформить кредит на имя владельца подписи
• Передать третьим лицам имущество владельца
• Зарегистрировать на имя владельца фирму-однодневку для отмывания денег или ухода от налогов
• Получить доступ к счетам компании и вывести средства на зарубежные счета
• Заключить контракт с подставной компанией в госзакупках, сорвать тендер и иным образом воздействовать на закупочные процедуры

Дополнительно ситуацию с мошенническими действиями усложняет то, что расследование инцидентов с ЭП — это почти всегда долгий, затратный и репутационно болезненный процесс. 

Доказать в суде, что подпись была украдена, крайне сложно — формально все действия совершены легально. Еще сложнее вернуть украденные средства, особенно если деньги уже выведены за границу. Репутационный ущерб компенсировать также непросто — восстановление деловой репутации занимает месяцы и годы. А в некоторых случаях компенсировать урон до конца просто невозможно.

Где тонко, там и рвется: слабые места ЭП

Большинство инцидентов с электронной подписью связано не с техническими уязвимостями средств защиты информации, а с организационными недочетами и человеческим фактором. Среди «популярных» ошибок:

• Отсутствие регламентов работы с ЭП. Во многих компаниях нет четких правил хранения и использования ключей
• Передача токенов третьим лицам. Например, сотрудник отдает ключ коллеге «на время»
• Использование слабых или предсказуемых паролей. Ключ необходимо защищать надежным паролем, который обновляется не реже чем раз в полгода
• Неподготовленный персонал. Часто сотрудники не понимают, что ЭП — это не просто «флешка», а полноценный юридический инструмент. Токены забывают на рабочем столе, пароли не меняют годами — все это создает высокий риск компрометации

Инструкция по безопасности: как защитить свои ключи ЭП

Чтобы снизить риск компрометации или утери ЭП:

• Строго контролируйте доступ. Храните токены в сейфе — доступ должен быть только у вас. Запретите передачу ключей — даже временная передача токена коллеге должна быть исключена 
• Подготовьте регламенты использования ЭП. В каждой компании должны быть четкие процедуры выдачи, использования и отзыва ЭП
• Регулярно меняйте пароли. ЭП действует 12–15 месяцев, но обновлять пароль рекомендуется не реже чем раз в полгода
• Если ключ скомпрометирован, немедленно аннулируйте сертификат. Это можно сделать через «Госуслуги» или удостоверяющий центр
• Обучайте сотрудников. Разъясните последствия утери ключей и регулярно проводите тренинги по информационной безопасности — тренируйтесь распознавать фишинг и защищаться от атак
• Используйте машиночитаемые доверенности. Вместо передачи ключа сотруднику можно оформить доверенность с ограниченными полномочиями. Это снижает риски — при увольнении сотрудника, например, доверенность легко отозвать
• Используйте защищенные носители. С технической точки зрения защитить ЭП несложно — достаточно использовать токены, сертифицированные ФСБ и ФСТЭК (например, «Рутокен» или JaCarta). Обратите внимание на аппаратное хранение ключей — такие токены не позволяют скопировать ключ, даже если злоумышленник получит физический доступ к носителю

Лучше платить за профилактику, чем за последствия

Стоимость защищенных токенов и обучения сотрудников несопоставима с потенциальными убытками. Сертифицированный токен, например, стоит 2–3 тыс. рублей, обучение сотрудников обойдется примерно в 10 тыс. рублей за курс, а ущерб от мошенничества с ЭП может исчисляться миллионами.

Электронная подпись — ценный инструмент, и относиться к ней стоит так же серьезно, как к доступу к своему банковскому счету. Помните: безопасность ЭП — это не сложно, главное — системный подход, дисциплина и постоянное обучение сотрудников.