Мошенники крадут электронные подписи. Как защитить бизнес и деньги

Электронную подпись использует каждый второй совершеннолетний россиянин. Но злоумышленники могут похитить ее, чтобы захватывать бизнес, красть имущество и выводить деньги.

Электронная подпись (ЭП) — цифровой аналог собственноручной подписи и печати, который прочно вошел в деловую практику. Сегодня ЭП используют как компании, так и физические лица. С ее помощью можно заверять практически любые документы — от тендерных заявок в госзакупках до кредитных договоров частных лиц.

При этом вместе с распространением ЭП закономерно появились и новые угрозы. Для злоумышленников квалифицированная электронная подпись — это цифровой мастер-ключ. Завладев им, они могут от имени владельца заключать сделки, распоряжаться финансами и имуществом, подавать заявления в госорганы. 

Однако, несмотря на риски, многие компании и частные лица до сих пор воспринимают электронную подпись как формальность и недооценивают важность ее защиты. Ключи ЭП, например, хранят на незащищенных носителях и передают коллегам «для удобства». А сотрудников забывают обучать основам информационной безопасности.

В результате бизнес рискует не только деньгами, но и репутацией. А частные лица — сбережениями и даже свободой, если их ЭП использовали для мошеннических схем.

Цена одной подписи: от халатности до уголовного дела

Ошибки при работе с электронной подписью могут обернуться многомиллионными убытками, судебными разбирательствами и даже уголовной ответственностью.

Завладев ключом ЭП, злоумышленники могут:

• Оформить кредит на имя владельца подписи
• Передать третьим лицам имущество владельца
• Зарегистрировать на имя владельца фирму-однодневку для отмывания денег или ухода от налогов
• Получить доступ к счетам компании и вывести средства на зарубежные счета
• Заключить контракт с подставной компанией в госзакупках, сорвать тендер и иным образом воздействовать на закупочные процедуры

Дополнительно ситуацию с мошенническими действиями усложняет то, что расследование инцидентов с ЭП — это почти всегда долгий, затратный и репутационно болезненный процесс. 

Доказать в суде, что подпись была украдена, крайне сложно — формально все действия совершены легально. Еще сложнее вернуть украденные средства, особенно если деньги уже выведены за границу. Репутационный ущерб компенсировать также непросто — восстановление деловой репутации занимает месяцы и годы. А в некоторых случаях компенсировать урон до конца просто невозможно.

Где тонко, там и рвется: слабые места ЭП

Большинство инцидентов с электронной подписью связано не с техническими уязвимостями средств защиты информации, а с организационными недочетами и человеческим фактором. Среди «популярных» ошибок:

• Отсутствие регламентов работы с ЭП. Во многих компаниях нет четких правил хранения и использования ключей
• Передача токенов третьим лицам. Например, сотрудник отдает ключ коллеге «на время»
• Использование слабых или предсказуемых паролей. Ключ необходимо защищать надежным паролем, который обновляется не реже чем раз в полгода
• Неподготовленный персонал. Часто сотрудники не понимают, что ЭП — это не просто «флешка», а полноценный юридический инструмент. Токены забывают на рабочем столе, пароли не меняют годами — все это создает высокий риск компрометации

Инструкция по безопасности: как защитить свои ключи ЭП

Чтобы снизить риск компрометации или утери ЭП:

• Строго контролируйте доступ. Храните токены в сейфе — доступ должен быть только у вас. Запретите передачу ключей — даже временная передача токена коллеге должна быть исключена 
• Подготовьте регламенты использования ЭП. В каждой компании должны быть четкие процедуры выдачи, использования и отзыва ЭП
• Регулярно меняйте пароли. ЭП действует 12–15 месяцев, но обновлять пароль рекомендуется не реже чем раз в полгода
• Если ключ скомпрометирован, немедленно аннулируйте сертификат. Это можно сделать через «Госуслуги» или удостоверяющий центр
• Обучайте сотрудников. Разъясните последствия утери ключей и регулярно проводите тренинги по информационной безопасности — тренируйтесь распознавать фишинг и защищаться от атак
• Используйте машиночитаемые доверенности. Вместо передачи ключа сотруднику можно оформить доверенность с ограниченными полномочиями. Это снижает риски — при увольнении сотрудника, например, доверенность легко отозвать
• Используйте защищенные носители. С технической точки зрения защитить ЭП несложно — достаточно использовать токены, сертифицированные ФСБ и ФСТЭК (например, «Рутокен» или JaCarta). Обратите внимание на аппаратное хранение ключей — такие токены не позволяют скопировать ключ, даже если злоумышленник получит физический доступ к носителю

Лучше платить за профилактику, чем за последствия

Стоимость защищенных токенов и обучения сотрудников несопоставима с потенциальными убытками. Сертифицированный токен, например, стоит 2–3 тыс. рублей, обучение сотрудников обойдется примерно в 10 тыс. рублей за курс, а ущерб от мошенничества с ЭП может исчисляться миллионами.

Электронная подпись — ценный инструмент, и относиться к ней стоит так же серьезно, как к доступу к своему банковскому счету. Помните: безопасность ЭП — это не сложно, главное — системный подход, дисциплина и постоянное обучение сотрудников.