Потерялся носитель с ЭП

Что делать, если гражданин, индивидуальный предприниматель или руководитель организации потерял носитель (USB-токен), на котором хранился контейнер с ключами и сертификатом усиленной квалифицированной электронной подписи? Чем в этой ситуации грозит промедление?

Утрата контроля над носителем влечет компрометацию ключа электронной подписи (ЭП). Говоря, что «ключ ЭП был скомпрометирован», мы имеем в виду, что у владельца ЭП появились сомнения в сохранности тайны ключа ЭП, так как предположительно произошло хищение или утеря ключа электронной подписи, и к нему могли получить доступ посторонние лица.

Согласно Ст.10 закона № 63-ФЗ от 06.04.2011 «Об электронной подписи» владелец ЭП обязан обеспечить безопасность хранения и применения ЭП, а в случае компрометации (утраты, хищения, передачи другим лицам) должен принять меры для отзыва сертификата. Отсюда вывод — пока сертификат ЭП действующий, ответственность за несоблюдение конфиденциальности сертификата и ключей ЭП и их использования третьими лицами несёт владелец ЭП.



Чем рискует владелец утерянного сертификата ЭП?

Документы, заверенные усиленной квалифицированной электронной подписью, признаются юридически значимыми, то есть равнозначны документам на бумаге, подписанным собственноручной подписью (п.1 ст.6 Закона № 63-ФЗ).

Проблема в том, что при установлении реального подписанта электронных документов нельзя назначить графологическую экспертизу: подписантом электронных документов считается владелец, указанный в сертификате ЭП.

В чем опасность утерянной ЭП

За время, пока носитель с ЭП не под вашим контролем, им могут воспользоваться злоумышленники. К каким негативным сценариям и непредсказуемым последствиям это может привести?



Потеря денежных средств на банковском счете и потеря имущества

Используя вашу электронную подпись, злоумышленники могут подписать фиктивный договор по продаже имущества (автомобиля, недвижимости, техники или оборудования) компании. Деньги выводятся с расчетного счета, а факт кражи юридически доказать не получится, если все платежки подписаны вашей ЭП.



Несанкционированное подписание документов и отчетности

Завладев чужой ЭП, мошенники смогут подписывать любые документы от лица компании/ИП, в том числе недостоверную отчетность для незаконного возмещения НДС. Смогут заключать фиктивные договоры с контрагентами на невыгодных условиях, подписывать закрывающие документы на крупные суммы.



«Рейдерский захват» компании

Злоумышленники могут внести изменения в данные ЕГРЮЛ/ЕГРИП путем подачи в регистрирующий орган заявления в электронной форме. Например, сменят руководителя: бизнес переоформят на другого человека и выведут активы компании. С помощью ЭП допускается подать заявление на закрытие ИП или начать процедуру ликвидации ООО.



Порча репутации фирмы на порталах закупок

Частый сценарий, по которому действуют злоумышленники-конкуренты, — это незаконное участие в электронных торгах. С помощью украденной ЭП можно поучаствовать и выиграть тендер на невыгодных условиях. Если компания не выполнит обязательства по тендеру, то ее репутация испортится: в будущем она не сможет получить допуск к другим закупкам и работать с этим госпорталом.



Регистрация фирм-однодневок на владельца ЭП

Если злоумышленники воспользуются ЭП физлица, то этого человека без его ведома сделают номинальным руководителем фирм-однодневок. Таким способом мошенники «вешают» на номинального руководителя штрафы и долги, которые числятся за компанией. Ответственность за противозаконную деятельность несет руководитель фирмы-однодневки, электронной подписью которого заверены фиктивные документы.



Оформление кредитов

На владельца ЭП могут оформить микрозаймы. Для получения микрокредитов не требуется большой список документов, процедура оформления часто проходит онлайн. С помощью ЭП злоумышленники берут микрозаймы сразу в нескольких МФО на имя владельца сертификата ЭП и успевают вывести эти деньги. Такие действия влекут за собой большие денежные потери и долгие разбирательства для пострадавшего, так как у подобных займов установлен очень большой процент.



Заказ других ЭП

Владея действующей ЭП и персональными данными владельца, мошенники смогут оформить «дополнительные» ЭП в удостоверяющих центрах, которые при выпуске сертификата ЭП не требуют личного присутствия владельца (так называемый «безбумажный» дистанционный выпуск ЭП). Таким образом мошенники будут продолжать совершать противоправные действия, даже в том случае, если владелец ЭП спустя время аннулирует потерянную ЭП.



Оформление фиктивных машиночитаемых доверенностей

С помощью ЭП индивидуального предпринимателя или руководителя злоумышленники могут оформить на других физлиц машиночитаемые доверенности (МЧД) с самым широким спектром полномочий по подписанию договоров, участию в тендерах и представлению отчетности в контролирующие органы.



Обязательно ли аннулировать сертификат при утере токена?

Если вы потеряли токен и подозреваете, что ЭП скомпрометирована, то сертификат нужно срочно отозвать (аннулировать). Отзыв или аннулирование — это прекращение действия сертификата электронной подписи, то есть блокировка использования ключей ЭП для совершения юридически значимых действий.

Даже если впоследствии носитель с ЭП найдется, нельзя быть уверенным, что он не попадал в чужие руки. Злоумышленники могли воспользоваться ЭП и подписать документы от вашего имени, а также несанкционированно сделать копию токена с ЭП. В дальнейшем будет практически невозможно доказать, что эти документы подписали не вы. При минимальном подозрении на пропажу сертификата даже на короткое время, рекомендуем оформить заявление на его отзыв.

Что важно сделать, если вы потеряли ЭП

Если вы подозреваете, что ваша электронная подпись была скомпрометирована, вам следует немедленно обратиться в удостоверяющий центр. Чем раньше вы свяжетесь с УЦ, тем меньше вероятность, что злоумышленники воспользуются вашей подписью в своих целях.

При утере ЭП необходимо выполнить два шага:

Обратиться в УЦ и аннулировать (отозвать) сертификат

В течение 1 (одного) рабочего дня с момента компрометации ЭП свяжитесь с тем Удостоверяющим центром, в котором вы ее выпускали (пп.2 п.1 Ст.10 закона № 63-ФЗ). Заявление на отзыв на бланке УЦ должен представить сам владелец ЭП (физлицо, руководитель организации, уполномоченный сотрудник).

Удостоверяющий центр удостоверит личность заявителя, аннулирует сертификат ключа ЭП и отразит в своем реестре сертификатов дату и причину аннулирования. В стандартной ситуации отзыв происходит в течение 12 часов после подачи заявления. Для проверки успешного аннулирования зайдите на сайт УЦ и скачайте реестр отозванных сертификатов — уникальный номер вашего сертификата должен быть указан в перечне.

Уведомить других участников электронного взаимодействия о нарушении конфиденциальности ЭП

Если вам известно о фактах использования вашей ЭП злоумышленниками, также потребуется уведомить о произошедшем налоговую службу (например, подать заявление о недостоверности сведений данных в ЕГРЮЛ) и полицию по месту своего жительства, к заявлению нужно приложить копии документов из УЦ.

Если незаконные действия посторонних с вашей ЭП причинили вам ущерб, можете обратиться в суд и попробовать аннулировать подписанные документы (в судебном порядке признать их недействительными).



А можно ли восстановить утерянную ЭП?

Увы, восстановить потерянный сертификат электронной подписи не получится. Если потеряли носитель с ЭП, то потеряли и ключи электронной подписи: закрытый и открытый ключи являются наборами уникальных цифровых символов, заново сгенерировать копию которых невозможно. Поэтому и «восстановить» прежний сертификат ЭП неосуществимо — нужно оформлять новую электронную подпись.

А в целом, сама процедура восстановления утерянного, а значит скомпрометированного, сертификата ЭП не имеет смысла.

Правила безопасного использования и хранения ЭП

Если вы — счастливый владелец сертификата ЭП, постарайтесь соблюдать следующие правила безопасности:



1. Не передавайте токен с ЭП третьим лицам

Даже если вы полностью доверяете своему сотруднику, не отдавайте ему носитель с сертификатом ЭП, подписывайте все электронные документы лично. Самая распространенная причина мошенничества с ЭП — это последствия передачи ЭП третьим лицам. При этом ответственность за совершенные действия будет нести владелец сертификата.



2. Записывайте ЭП на защищенный носитель

Если контейнер с ключами и сертификатом хранится не на защищенном токене, а в памяти компьютера или на обычной флешке (что крайне не рекомендуется специалистами по информационной безопасности), то он потенциальный объект для взлома. Хранение сертификата на сертифицированном ФСТЭК носителе (Рутокен, eToken, JaCarta и др.) с доступом по паролю поможет вам защитить свои данные от несанкционированного использования.



3. Не храните токен в открытом доступе

Лучшее место для носителя с ЭП — надежный сейф, который открыть сможете только вы. Не оставляйте носитель ЭП без присмотра в помещениях, где всегда много людей: сотрудников, клиентов. Если носитель с ЭП постоянно вставлен в USB-порт компьютера, позаботьтесь о том, чтобы ваш ПК был огражден от несанкционированного удаленного доступа к нему, а также оснащен регулярно обновляемым антивирусным программным обеспечением. Когда пользователь покидает рабочее место, компьютер нужно блокировать и не оставлять в нём токен.



4. Соблюдайте политику безопасности паролей

На носитель должен быть установлен надежный пин-код, который знает только его владелец. Не используйте «заводской» пароль, а установите свой. Как и со всеми паролями, нежелательно устанавливать в качестве пин-кода очевидные комбинации цифр. Пароль должен храниться в надежном месте (но отдельно от физического носителя). Экспортируемый сертификат легко копируется даже с защищенного носителя, если злоумышленник знает пароль от ключа ЭП.



5. Не делайте копии сертификата ЭП

Не рекомендуется изготавливать копии сертификата ЭП, так как это кратно усложняет безопасное хранение. Если все же вы делали дубликаты сертификата и обнаружилась пропажа одного из них, то это уже является весомой причиной аннулировать (отозвать) сертификат ЭП.



6. Регулярно проверяйте факт выпуска ЭП в личном кабинете на портале Госуслуг

Портал Госуслуги с октября 2020 г. собирает данные о выпущенных квалифицированных электронных подписях из Единой системы идентификации и аутентификации (ч. 5 ст. 18 закона № 63-ФЗ). Поэтому периодически контролируйте все ваши сертификаты в личном кабинете Госуслуг, не игнорируйте уведомления о новых выпущенных на ваше имя сертификатах.



Как мониторить сертификаты ЭП на Госуслугах

Авторизируйтесь в учетной записи на портале Госуслуг. Для получения информации по всем выпущенным ЭП нужно нажать на Ф.И.О. аккаунта -> «Профиль» -> «Электронная подпись». В этом разделе содержится информация о зарегистрированных на ваше имя сертификатах:

уникальный номер квалифицированного сертификата,
даты начала и окончания его действия,
наименование удостоверяющего центра, выдавшего сертификат ЭП.

При клике на кнопку <Заблокировать подпись> можно провести блокировку ЭП в рамках данного портала, что защитит от изменения настроек учетной записи Госуслуг с помощью этой ЭП.

Если в списке указан сертификат, который вы не получали, то необходимо немедленно обратиться в этот УЦ с вопросом, на каком основании он выпустил сертификат. При необходимости напишите заявление в УЦ о прекращении действия этого сертификата ЭП.

Вывод

Электронная подпись на сегодняшний момент становится необходимым инструментом ведения бизнеса, и важно понимать не только юридические аспекты ее применения, но аспекты, связанные с информационными технологиями. Случаи мошенничества в сфере электронной подписи чаще всего связаны с тем, что владелец недооценивает опасность компрометации ключа и не соблюдает необходимые меры информационной безопасности.

Потерю носителя с сертификатом ЭП легче предотвратить, чем затем исправлять негативные последствия при попадании вашей электронной подписи в руки технически подкованных лиц с неблагонадежными намерениями.

АВТОР СТАТЬИ:

Толстикова Ксения

специалист по продвижению 1С:БО ИНТЕГРА Центр