Чем опасны потеря или передача ЭЦП третьим лицам

Чем опасны потеря или передача ЭЦП третьим лицам Электронная цифровая подпись
На чтение 12 мин. Просмотров 107 Опубликовано
Содержание
  1. Что делать, если вы уже столкнулись с мошенничеством?
  2. Основная информация
  3. В каком случае можно передавать эцп другому лицу
  4. Если электронная подпись уже есть, ее могут украсть или подделать?
  5. Как защитить себя
  6. Можно ли передать квалифицированную подпись?
  7. Ответственность за применение чужой подписи
  8. Перспективы: будет ли решена проблема
  9. Пример 2: мошенничество с эп для регистрации ип или юр лиц
  10. Пять правил для безопасной работы с эп
  11. Рекомендации руководителю
  12. Росреестр разъяснил, как защититься от сделок по эцп

Что делать, если вы уже столкнулись с мошенничеством?

Скорее всего, тревожный сигнал в том или ином виде вы получите из государственного органа, куда придет документ с незаконной подписью. Так устроена система. Туда, в этот орган, необходимо обратиться с просьбой проинформировать вас, в каком УЦ выдана подпись.

Поскольку подпись ваша, проблем с получением этих сведений возникнуть не должно, уверяют в УЦ «СКБ Контур». Обратившись следом в УЦ, вы, во-первых, сможете отозвать электронную подпись, лишив мошенников возможности действовать дальше. А во-вторых, получить сведения о тех, кто оформил, получил и стал использовать за вас ваш цифровой автограф. На этом этапе уже должна подключиться полиция. Пусть ищет преступников и помогает взыскать причиненный вам ущерб.

По словам Сергея Казакова, здесь может сослужить хорошую службу именно цифровая природа электронной подписи. Любые операции с ней оставят свои следы, по которым найти мошенников может оказаться куда легче, чем если бы речь шла о подделке обычного рукописного автографа.

Основная информация

Применение электронной подписи регулируется ФЗ №63 «Об ЭЦП» от 6 апреля 2021 года. Она представляет собой электронные символы, закрепленные за документом или информационным ресурсом. Необходима она для идентификации пользователя. Требуется для эффективной защиты от несанкционированного внесения изменений в документы.

Вопрос: Можно ли при подписании дополнительных соглашений к договору использовать квалифицированную электронную подпись, если изначально стороны не согласовывали возможность электронного документооборота?Посмотреть ответ

Различают три формы электронной подписи. Различаются они между собой по следующим признакам:

  • Порядок получения.
  • Степень защиты.
  • Функция идентификации пользователя.
  • Наличие защиты от внесения в документы несанкционированных изменений.

Как организации предоставить право на использование своей электронной подписи?

Разновидности электронных подписей прописаны в статье 5 ФЗ №63:

Подбор вида подписи зависит от конкретной задачи. Как правило, под электронной подписью понимается именно квалифицированный вид.

В каких случаях договор можно подписать электронной подписью?

В каком случае можно передавать эцп другому лицу

Ни в одном нормативном акте не сказано, что ЭЦП можно передавать сторонним лицам. Связан этот негласный запрет с тем, что электронная подпись служит идентификации лица. По сути, передачу ЭЦП можно сравнить с тем, что владельцу «живой» подписи отрезают руку и этой рукой ставят роспись.

Вопрос: Можно ли подтвердить расходы для целей налога на прибыль электронными документами, подписанными электронной подписью (п. 1 ст. 252 НК РФ)?Посмотреть ответ

Если электронная подпись уже есть, ее могут украсть или подделать?

Если речь не идет о фальсификации документов, на основании которых кому-то выдали вашу электронную подпись, то о подделке самого цифрового автографа говорить не вполне корректно. Подделку готовой электронной подписи исключают криптографические технологии, по которым происходит ее изготовление.

Другое дело, что ее у вас можно банально украсть. Электронная подпись состоит из открытой и закрытой части. Открытую часть (сертификат подписи) увидят все, кому вы направите подписанные документы. Зная сертификат, никто не сможет подобрать к нему закрытый ключ, поскольку он будет только у вас.

Но по той же аналогии нельзя исключить вероятность, что злоумышленникам удастся завладеть закрытой частью вашей электронной подписи и узнать к ней PIN-код.

«Относитесь к электронной подписи, как к ключнице, в которой хранятся ключи от сейфа, квартиры и любимой машины. Установите надежный PIN-код на токен и компьютер, не запускайте непроверенные программы и обновляйте антивирус на компьютере. Так вы снизите риски того, что мошенники доберутся до закрытого ключа подписи», — советует Сергей Казаков.

Читайте также:  Рутокен ЭЦП 2.0 64КБ / Каталог продуктов / Продукты / Рутокен

Как защитить себя

Чтобы электронный вариант подписи не был украден, нужно позаботиться обо всём заранее. Общественный центр интернет-технологий рекомендует выполнить следующие шаги.

Чтобы оградить себя от мошенничества с ЭП, нужно лучше следить за документами и персональными данными, которые передаются другим людям, в том числе и через интернет. Сканированные копии, пароли, личная информация, а также все подписываемые документы должны проходить строгий контроль.

Можно ли передать квалифицированную подпись?

Необходимость в передаче подписи возникает довольно часто. Иногда руководитель делегирует обязанность по изменению документов своему подчиненному. В статье 2 ФЗ №63 указано, что электронная подпись служит идентификации ее владельца. Если ЭЦП передается постороннему лицу, смысл ее просто утрачивается, так как лицо, использующее подпись, невозможно идентифицировать.

В статье 10 ФЗ №63 прописано, что владелец обязан обеспечить конфиденциальность ЭЦП. При передаче происходит утрата конфиденциальности. Это утечка сведений. Если доступ к подписи получило другое лицо, ее владелец должен направить соответствующее уведомление в удостоверяющий центр.

Ответственность за применение чужой подписи

Ни в УК, ни в КоАП не содержатся нормы относительно ответственности за применение сторонней ЭЦП. Но это вовсе не свидетельствует о том, что такие действия полностью безнаказанны.

Рассмотрим ответственность на примере. Лицо взяло подпись своего руководителя, вошло в электронную систему и получило от своих действий финансовую выгоду. Например, сотрудник заключил соглашение, благодаря которому он извлек прибыль. В рассматриваемой ситуации руководитель может обвинить лицо в мошенничестве.

Ответственность за подобные действия накладывается на основании статьи 159 УК РФ. Эта статья предполагает наказание за хищение чужой собственности или получение прав на чужое имущество посредством обмана или злоупотребления доверием. Незаконное использование подписи попадает под действие этого нормативного акта. Однако подобные дела имеют свои сложности. В частности, руководителю нужно доказать, что сотрудник получил ЭЦП незаконно.

Рассмотрим другой пример. Руководитель передал право на использование подписи на основании доверенности своему сотруднику. Подчиненный, используя ЭЦП, исполнил незаконные действия. В этом случае руководителю необходимо подтвердить, что подпись использовал не он.

Перспективы: будет ли решена проблема

Электронный способ заверения документов долго вынашивался, вложено много сил и ресурсов для реализации проекта, поэтому чиновники хотят исключить возможность мошенничества с ЭП. Для этого по инициативе Минкомсвязи будут внесены поправки. Электронные носители, возможно, разрешат выдавать только ФНС (одна из возможных редакций закона), а требования для центров будут ужесточены. Законопроект в ближайшее время отправится на рассмотрение в Госдуму.

Электронную подпись перестанут дискредитировать, когда проблема анонимных сим-карт будет решена. По закону симки нельзя продавать без договора, в котором указаны паспортные данные. Но по факту все еще есть точки у вокзалов и железнодорожных станций, где без особого труда можно купить карту без представления документов. Из-за этого мошенничество процветает, злоумышленникам даже не нужно особенно напрягаться для сохранения анонимности.

В будущем планируется связать номер телефона и конкретную личность через ЕСИА. Тогда электронный вариант подписи злоумышленнику будет использовать сложнее, ведь он не сможет указать свой номер и получать сообщения вместо реального владельца ЭЦП.

Пример 2: мошенничество с эп для регистрации ип или юр лиц

(статья была на хабре ).

Павел Зимаков неожиданно обнаружил, что является учредителем нескольких фирм с большими долгами. Хуже всего, что электронную подпись москвич никогда не заказывал. Павел предположил, что его данные злоумышленникам выдали нечистые на руку сотрудники банка, в который он недавно обращался для рефинансирования ипотеки. Для этого было необходимо представить копии СНИЛС и паспорта, чего достаточно для выдачи подписи.

Читайте также:  Ключ электронной подписи: что это и как получить

Затем ворам нужно было только пойти в удостоверяющий центр, в котором есть прикормленные сотрудники. С чужими паспортными данными было просто подделать доверенность, которую также заверили у знакомого нотариуса. После этого мошеннику осталось только взять свой паспорт и забрать подпись за владельца паспорта. Служащих факт подделки документов не интересовал.

Специалист по безопасности Cisco Systems рассказал, что многие УЦ специально открываются для реализации таких мошеннических схем. Человек может не подозревать, что ЭП на него уже оформили. Злоумышленник же называет номер своего телефона, чтобы настоящего владельца документов не потревожили уведомления.

Сомнительные удостоверяющие центры — по-настоящему слабое звено в проекте ЭП. Это частные организации, не имеющие государственного контроля. Лицензированием занимаются Минкомсвязь и ФСБ, но на этом все заканчивается, дальше организации могут действовать по своему усмотрению, не боясь проверок.

Пять правил для безопасной работы с эп

Соблюдение этих рекомендаций повысить безопасность, но не решит проблему на 100 %. Человеческий фактор остается всегда.

  • Осмотрительность
    Ни при каких условиях нельзя передавать свою подпись другим людям. К сожалению, этот самый банальный совет часто не соблюдается. Кому-то лень оформлять доверенность или жалко денег, другие слишком доверяют близким людям. Но нельзя забывать, насколько велики могут быть риски.
  • Хранение ЭП на токене
    Покупка носителей, прошедших проверку ФСТЭК. Ведомство просвечивает все токены рентгеном, чтобы убедиться в отсутствии закладок. На них могут быть записаны вредоносные программы, которые ставят подпись под удар. Если носитель чист, то ФСТЭК подтверждает это выпущенным сертификатом.
  • Информационная гигиена
    Никаких переходов по сомнительным ссылкам, в письме может быть указан правильный адрес, но при наведении курсора можно будет увидеть совсем другой адрес. Нельзя устанавливать ПО из непроверенных источников, пользоваться флешками, которые могут быть заражены. На ПК обязательна антивирусная программа, компании должны уделять особое внимание работе службы информационной безопасности.
  • Внимание к документам
    Места хранения должны быть надежными, о факте кражи незамедлительно должны быть оповещены правоохранительные органы. Заявление о краже пригодится в случае обращения в суд из-за мошенничества с подписью. Доказать непричастность к заполнению заявления на ее выпуск поможет графологическая экспертиза.
  • Ответственность УЦ
    Об этом обязаны заботиться сотрудники самих центров, они должны правильно подбирать сотрудников, проверять документы и следить за выполнением инструкций. Лучше всего обращаться в крупные УЦ, которые зарекомендовали себя на рынке, как надежные поставщики услуг.

Рекомендации руководителю

На практике руководитель может передать своему сотруднику подпись любого вида. Каких-либо сложностей эта процедура не вызывает. Однако подобное мероприятие все равно является незаконным. Передавать ЭЦП не рекомендуется. Связаны эти ограничения с тем, что, если сотрудник выполнит какие-либо неправильные действия, отвечать за это будет руководитель.

Что делать, если руководитель часто делегирует функции по работе с документами своим подчиненным? Имеет смысл оформить отдельную электронную подпись для сотрудника. Сделать это достаточно просто. В этом случае сотрудник будет самостоятельно нести ответственность за свои действия. То есть руководитель избегает рисков.

К СВЕДЕНИЮ! В законе не дано однозначного запрета на передачу подписи. По сути, решением этого вопроса занимается сам владелец ЭЦП. Единственное косвенное ограничение – это само определение и назначение подписи. Она нужна для идентификации определенного человека.

Росреестр разъяснил, как защититься от сделок по эцп

В последние дни на Хабре активно обсуждают фиктивные сделки, для которых мошенники используют электронные цифровые подписи (ЭЦП), оформленные на других граждан. В России действуют сотни центров сертификации, многие из которых предлагают быструю процедуру оформления цифровой подписи за 30 минут без личного посещения офиса. Достаточно прислать сканы паспорта через интернет. Этим пользуются злоумышленники, имеющие доступ к персональным данным граждан. Здесь особых проблем нет. Например, если ваша девушка работает в паспортном столе, в исполкоме,

Читайте также:  Все стандартные пин-коды токенов Рутокен, eToken, JaCarta | PingMeUp | компьютерные технологии, it-обзоры, помощь пользователям

в зелёном банке

, у сотового оператора, в администрации общежития, в отделе кадров любой компании, то вы без труда получите качественные сканы любого количества паспортов, вместе с другими личными данными жертв.

Как показал эксперимент, получить электронный ключ на любого человека действительно несложно. По нынешнему законодательству удостоверяющие центры РФ сами устанавливают регламент своей работы, поэтому имеют полное право проверять личность человека через интернет.

Главные вопросы: как защититься от такого мошенничества? Как узнать, что на ваше имя получена ЭЦП? Где увидеть список фирм, которые официально зарегистрированы на вас?

Неделю назад всех облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Владелец квартиры в Москве по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.

Журналисты «Российской газеты» обратились за комментарием в Росреестр. Тот подтвердил информацию о сделке по квартире, расположенной по адресу: Москва, ул. Олонецкий проезд. В Едином государственном реестре недвижимости (ЕГРН) действительно есть сведения о том, что 22 октября 2021 года был совершен переход права на квартиру на основании договора дарения от 28 сентября 2021 года, составленного в простой письменной форме. Документы были поданы в Росреестр в электронном виде и удостоверены электронными подписями как со стороны дарителя, так и со стороны одаряемого. Правовая экспертиза, которую производит регистратор, показала «подлинность усиленной квалифицированной электронной подписи, а также статуса сертификата».

«Согласно полученной информации, усиленная квалифицированная подпись дарителя и одаряемого выданы удостоверяющим центром ЗАО «Национальный удостоверяющий центр», аккредитованным Министерством цифрового развития, связи и массовых коммуникаций РФ. Договор дарения квартиры подписан обеими сторонами в пределах срока действия сертификатов электронной подписи и практически в одно время. Таким образом, полномочия дарителя и одаряемого были подтверждены в установленном порядке», — сообщил Росреестр.

Чем опасны потеря или передача ЭЦП третьим лицам

Нужно заметить, что ЗАО «Национальный удостоверяющий центр» (НУЦ) — не какая-то фирма-однодневка. Компания работает уже 15 лет и входит в топ-10 крупнейших розничных УЦ (по её собственному заявлению).

Как же защититься от использования ЭЦП, оформленной на ваше имя? Хабраюзер PaulZi в статье «Мошенники и ЭЦП — всё очень плохо» рассказывает о собственном опыте, где он с супругой без их ведома стали директорами нескольких ООО. Автор рекомендует воспользоваться так называемой «38-й формой», то есть формой 38001. Её нужно заполнить и лично отвезти в регистрирующий орган (в Москве это 46 налоговая). Она запрещает регистрацию юридических лиц без личного присутствия (возможно, только в Москве).

Чтобы уберечься от сделок с недвижимостью, Росреестр рекомендует гражданам принести заявление о невозможности проведения сделок с их недвижимостью без личного участия. После получения такого заявления в ЕГРН вносится специальная запись. Эта запись — основание для возврата без рассмотрения заявления с просьбой зарегистрировать недвижимость на другого человека, даже если у него на руках имеется нотариально заверенная доверенность.

Такое заявление можно подать в электронном виде в личном кабинете Росреестра. Обратиться с заявлением также можно лично в офисы МФЦ на всей территории России. И если квартира в одном регионе, а гражданин находится в другом, то сейчас это не проблема, так как ведомство работает экстерриториально. Услуга предоставляется Росреестром бесплатно. Срок внесения записи в ЕГРН — не более пяти дней.

росреестр удостоверяющие центры электронная цифровая подпись ЭЦП
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт