Надежность электронной подписи или как обезопасить себя от мошенников

Почему электронная подпись — это безопасно?

Несмотря на то что в России ЭП существует уже на протяжении 30 лет, про нее до сих пор бытуют мифы, прочно засевшие в головах пользователей. Например, о том, что ЭП незаконна. Чтобы развеять этот миф, достаточно прочитать Федеральный закон «Об электронной подписи» № 63. Согласно нему, ЭП признается юридически значимой и приравнивается к рукописной по умолчанию в случае усиленной квалифицированной электронной подписи (УКЭП) и при наличии соглашения между сторонами при использовании усиленной неквалифицированной электронной подписи (УНЭП).

Но самый распространенный миф связан с возможностью взлома ЭП хакерами. Здесь стоит сразу отметить, что не каждый злоумышленник, обманывающий пользователей цифровых сервисов, является хакером. Звучит парадоксально, но факт: хакеры представляют минимальную угрозу в мире электронной подписи. Кого стоит бояться, так это мошенников, которые обманывают людей, а не пытаются взломать сложные системы.  

В статье мы рассмотрим два теоретически возможных варианта хакерских атак на ЭП и перейдем к самым высокочастотным кейсам — мошенничеству. 

Мошеннические схемы с ЭП

1. Атаки на ПО

Сюда относятся ситуации, когда злоумышленники пытаются взломать вашу ЭП, чтобы подписать нужные им документы от вашего имени. Важный момент: речь идет об удаленном взломе. Например, частый страх пользователей связан с тем, что кто-то получит доступ к личному кабинету сервиса ЭП и тут же заключит от имени владельца договор о продаже недвижимости. Если говорить о простой электронной подписи (ПЭП) в виде логин-пароля или кода из СМС, вероятность атаки исключать нельзя. Чаще всего мошенники используют в таких случаях метод брутфорс или атаку полным перебором, когда комбинацию из логина и пароля находят, перебирая все возможные варианты.

В случае усиленных видов ЭП (УКЭП и УНЭП) такой вид мошенничества стремится к нулю. Все потому, что они создаются с помощью системы криптографической защиты информации (СКЗИ). Она подразумевает две уникальные последовательности знаков, связанные между собой математически: открытый и закрытый ключи. Открытый ключ доступен всем, с кем вы ведете электронный документооборот, закрытый — только вам. Благодаря этой математической связи, если в подписанный документ внесут малейшие изменения, вы моментально об этом узнаете, потому что связь разорвется, и документ нужно будет подписывать заново. Это развеивает еще один миф об ЭП, касающийся того, что в подписанный документ могут внести изменения постфактум.

Таким образом, если в случае с ПЭП злоумышленники могут методом перебора узнать ваши логин и пароль, то на подбор одного ключа усиленного вида ЭП у них уйдет примерно 10000 лет. Мало того, что столько не живут, так еще и срок действия сертификата ЭП к тому времени истечет, так что работу придется начинать заново. 

2. Атаки на инфраструктуру

Самыми популярными из этой категории являются DDoS-атаки (Distributed Denial of Service), когда хакеры специально перегружают сервер, чтобы обычные пользователи не могли на него зайти. Эти атаки могут приводить к неработоспособности сервисов, однако они не направлены на какой-либо взлом или хищение данных, их суть заключается только во вредительстве.

В сфере ЭП такие атаки тоже встречаются, но чаще всего они они не имеют успеха, поскольку современные программисты умеют профессионально их отражать. На нашем личном опыте: за 12 лет работы было несколько безрезультатных попыток DDoS-атак на инфраструктуру Sign.Me, сайты разных УЦ и узлов инфраструктуры в России. 

Специалисты информационной безопасности ведут постоянную работу по строительству защитных обвязок от подобных атак, поэтому в настоящее время информационные системы, построенные на качественной сетевой инфраструктуре с использованием современного оборудования и при наличии в штате специалиста по информационной безопасности, защищены от подобных атак практически на 100%. 

3. Мошенничество (социальная инженерия)

Если говорить о сфере ЭП, то 99% мошеннических схем представляют собой не хакерские атаки, а банальный обман пользователей, которые не очень хорошо знают правила безопасности. Это может быть подделка паспорта и оформление на него сертификата ЭП, украденный токен или халатная передача своей ЭП третьим лицам. Так, например, в судах нередко рассматриваются дела, в которых генеральный директор передал свою ЭП бухгалтеру для подачи отчетности, а в итоге тот украл со счета компании миллионы рублей. Как можно было этого избежать? Оформить на сотрудника машиночитаемую доверенность (МЧД), где было бы указано, какие именно документы он может подписывать в рамках документооборота компании. Чтобы ЭП не смогли получить за вас, существует идентификация личности. Так, например, для оформления УКЭП необходимо лично встретиться с представителем аккредитованного Министерством цифрового развития удостоверяющего центра и предоставить все необходимые документы: паспорт, СНИЛС, ИНН. УНЭП можно получить удаленно, в таком случае идентификация личности производится в мобильном приложении с помощью системы ЕСИА на портале Госуслуги.

В отличие от рукописной подписи, подделать которую можно обычной шариковой ручкой, с ЭП такой номер не пройдет. И даже если злоумышленник завладеет вашей ЭП, он оставит за собой множество цифровых следов, по которым его можно будет выследить и привлечь к ответственности. Например, логи — запись событий в компьютерной системе, или фотофиксация при выпуске сертификата ЭП в удостоверяющем центре. Тем не менее существует ряд правил, которые важно соблюдать.

Как обезопасить свою ЭП от хакерских атак и мошеннических схем

1. Использовать только надежные сервисы ЭП, сертифицированные и с хорошей репутацией на рынке. Отдавайте предпочтение сервисам, в которых ключи подписи невозможно извлечь.
2. Не передавать носители ЭП, мобильный телефон или ПК другим людям.
3. Периодически заходить на Госуслуги в раздел «Сертификаты электронной подписи» — именно там отображаются все выпущенные на пользователя сертификаты ЭП. Вы также можете проверять электронную почту, привязанную к учетной записи на Госуслугах — при выпуске нового сертификата ЭП туда поступит уведомление.
4. Хранить паспорт и другие важные документы в надежном месте. В случае утери, сразу обратиться в полицию.
5. Регулярно обновлять приложения и программы по мере выхода новых версий.
6. Использовать антивирусы.
7. Тщательно анализировать источник, который запрашивает ваши данные.
8. Использовать разные пароли для учетных записей и двухфакторную аутентификацию: например, пин-код и Face ID.
9. Использовать МЧД для подписания документов сотрудниками от лица компании.
10. В случае утери носителя ЭП или обнаружения факта подписания документа сторонним лицом незамедлительно подать заявление о компрометации ключа ЭП в удостоверяющий центр, выпустивший сертификат.

Заключение 

Обращайтесь только в проверенные сервисы, подписывайте важные документы усиленными видами электронной подписи, защищенными криптографией, и соблюдайте простые правила из списка выше — они помогут обезопасить вашу подпись от мошеннических действий, сэкономить ваши нервы, деньги и время на поиск злоумышленников и судебные разбирательства.