Что делать если украли электронную подпись

Избегайте утери электронной подписи

Для того чтобы избежать утери ЭП или её компрометации, необходимо соблюдать базовые правила безопасности:

• Не передавайте ЭП третьим лицам.
• Не храните пароли от ЭП в открытом доступе.
• Не используйте один пароль для нескольких сертификатов.
• Не используйте простые пароли или личные данные в качестве пароля для ЭП.
• Регулярно меняйте пароли и следите за сроком действия ЭП.

Что делать, если украли подпись?

Если у вас украли подпись, следует немедленно принять следующие меры:

1. Обратитесь в Центр сертификации ключей для аннулирования утраченного сертификата.
2. Измените пароль доступа к ключу ЭП.
3. Создайте новый сертификат и подпишите заявление на отзыв старого сертификата.
4. Следите за активностью ЭП и немедленно сообщите в соответствующие организации, если заметите какую-либо подозрительную активность.

Необходимо помнить, что компрометация ЭП может привести к серьезным финансовым и юридическим последствиям. Соблюдайте осторожность и следите за безопасностью вашей электронной подписи.

Безопасное хранение и отзыв украденной электронной подписи

Украв ключи ЭП директора юридического лица или ИП, мошенник получает ещё больше преимуществ. Имея подпись руководителя организации, злоумышленник может:

• Сменить руководителя фирмы или добавить нового учредителя.
• Осуществить другие действия, способные навредить вашему бизнесу.

Передача электронной подписи сотрудникам

Первые лица организаций могут передавать свои ЭП сотрудникам, например, бухгалтерам, сдающим отчётность от лица компании. Это несёт для юрлиц такие же риски, как если доступ к подписи получили конкуренты. Передавать подпись работникам нельзя. Все сотрудники должны пользоваться своими ЭП и при необходимости получать их от руководителя.

Простые правила безопасности

Чтобы снизить риски, нужно ответственно относиться к хранению ключей и соблюдать правила безопасности:

• Не передавать ключ посторонним лицам.
• Не оставлять токен без присмотра.
• Хранить токен в сейфе или запертом ящике стола.
• Сообщить о пропаже ключа в удостоверяющий центр.
• Менять пин-коды на токене.

Что делать, если вашу электронную подпись украли

1. Отозвать сертификат в УЦ
2. Написать заявление в налоговую службу
3. Обратиться в полицию

Отзыв сертификата в УЦ

Обратитесь в удостоверяющий центр, который выдал сертификат, и подайте заявление на отзыв ключа ЭП. Сотрудники предоставят вам бланк заявления о прекращении действия сертификата.

Если обращаетесь лично, сотрудники проверят документы и заполнят бланк. Если решите вопрос удалённо, нужно распечатать и отправить бланк в УЦ.

Аккредитованные УЦ отзовут сертификат обычно в течение 12 часов.

Помните, чем быстрее вы отзовете сертификат, тем меньше действий мошенники успеют совершить.

У разных удостоверяющих центров способы отправки заявлений на отзыв отличаются друг от друга. В качестве примера мы привели порядок процедуры, принятый в УЦ Калуга Астрал.

Образец заявления на отзыв ЭП приведён ниже. Получить бланк заявления можно, взяв его из регламента удостоверяющего центра. Заявления в разных удостоверяющих центрах внешне и по содержанию очень похожи.

Если вы получали электронную подпись в удостоверяющем центре Калуга Астрал, заполните заявление и обратитесь в ближайший офис или представительство нашего удостоверяющего центра.

Написать заявление в налоговую службу

Если вы опасаетесь, что злоумышленники могли открыть на ваше имя новую компанию, обязательно обратитесь в ФНС.

Мы рекомендуем посетить отделение лично, чтобы быстрее предотвратить неприятности. Если мошенники уже зарегистрировали фирму и поставили её на учёт в налоговой, прийти в офис ФНС нужно незамедлительно. Опишите свою проблему инспектору и подайте заявление. В документе укажите, что вы не регистрировали эту компанию, а про электронную подпись, которой, возможно, было подписано заявление на регистрацию, вы ничего не знаете.

Обратиться в полицию

Если мошенники уже успели причинить вам материальный ущерб, обратитесь в полицию и сообщите, что ваша электронная подпись скомпрометирована. Если подпись выпускали вы, то приложите к заявлению копии документов, которые вам выдали в удостоверяющем центре при выпуске. Если от вашего имени уже совершили сделку, то обратитесь к адвокату: возможно, сделку получится аннулировать в судебном порядке.

Как восстановить пароль от Токена

Если пользователь забыл пароль к токену для ЭП, где хранятся ключи и сертификат, можно воспользоваться стандартными настройками. Каждый завод изготовитель устанавливает собственный пин-код для своих устройств:

Если система сообщит, что стандартный пароль носителя ЭЦП неправильный, обратитесь в Удостоверяющий центр, в котором приобрели токен. Некоторые коммерческие УЦ устанавливают собственные пароли, отличающиеся от заводских.

Не пытайтесь вводить пин-код наугад. Количество попыток ограничено. Если пароли от токена для ЭЦП будут неверные, то система заблокирует доступ к работе с подписью. Подбирать пароль таким образом следует, если все способы не привели к требуемым результатам.

Выбрать подходящий носитель для КЭП рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.

Если попытки ввода закончились и ключевой носитель заблокировался, то доступ к токену и ЭП можно восстановить через панель управления устройства. Например, у носителей Рутокен такая возможность существует.

Рассмотрим, как восстановить пин-код носителя ЭЦП компании Рутокен:

![](https://astral.ru/upload/iblock/410/airp5quzzzzogg8nl0giwvyd13ncepq8/1.png)
![](https://astral.ru/upload/iblock/1da/zme3ia5yzmpwu4tj87pdate4ma9mycnr/3.png) 

После этого носитель будет иметь заводской пароль — 12345678. Чтобы его изменить сделайте следующее:

Пин-код изменится на новый.

Как выбрать удостоверяющий центр

Руководители юридических лиц и бюджетных учреждений, индивидуальные предприниматели и нотариусы получают ключи и сертификат электронной подписи в УЦ ФНС и в офисах их доверенных лиц. Физические лица, в том числе сотрудники организаций, могут получить подпись в аккредитованных удостоверяющих центрах.

Удостоверяющий центр Калуга Астрал выпускает электронные подписи и машиночитаемые доверенности (МЧД) для физических лиц, а также помогает выпустить электронную подпись ИП и предпринимателям.

УЦ Калуга Астрал предлагает выпустить Астрал Подпись.

С помощью электронной подписи можно участвовать в торгах, работать на государственных порталах и подписывать электронные документы. По вашему запросу менеджер подробно расскажет о том, как минимизировать риск кражи сертификата.

Как мошенники могут украсть ключи электронной подписи

Злоумышленники используют разные способы для похищения ключей ЭП. Преступники могут:

Что делать в первую очередь, если пользователь забыл пароль от электронной подписи

Итак, человек забыл пароль от электронной цифровой подписи (ЭЦП). Такая ситуация может случиться даже с самым ответственным и организованным пользователем. В первую очередь постарайтесь вспомнить, хранится ли записанный пин-код на бумаге, телефоне или в компьютере. Проверьте записи ежедневника или электронные заметки в день получения сертификата и ключей ЭП.

Как восстановить пароль в ЦОЗ?

В ЦОЗ количество попыток входа через пароль ограничено. Это дополнительная защита от незаконного проникновения.

Правила составления оригинальной комбинации символов

Сложность пароля зависит от значимости действий, которые может совершить пользователь. В интернете есть бесплатные программы-взломщики, которые за 5-10 минут подбирают пароли из пяти символов. Закон обязывает владельцев защищать системы с конфиденциальной информацией.

В большинстве случаев достаточно использования кодов, состоящих, как минимум, из восьми знаков (53 бита информации). Число комбинаций равно 2,8211099х1012.

В 2011 году известный специалист по безопасности Стивен Майер произвел интересный расчет. Если применить программу-подборщик, на расшифровку кода уйдет 44 дня. Обязательное условие — мощный графический компьютер и радужные таблицы. Это предварительно подготовленные списки с хештегами. Взломщик должен быть работать в паре с профессионалом. Чтобы составить радужные таблицы, применяют криптографическое программирование.

Стандартный пароль для входа в ЦОЗ состоит из восьми латинских букв и цифр. Правила запрещают:

• Совпадение с именем пользователя или его частью
• Легко узнаваемые комбинации (qwerty, 123456, admin и т. д.)
• Использование информации из открытых источников

В коде должен присутствовать, как минимум, один символ: цифра, заглавная и строчная буква.

Как сбросить пароль контейнера ЭЦП

Если пользователь забыл пароль от контейнера ЭЦП, то поменять его не получится. Код меняется только при помощи старого пароля. Ставить защиту на контейнер рекомендуется, но необязательно.

Если вы помните старый пароль, хотите поменять код доступа к ключам или поменять его, то нужно сделать следующее:

Если забыт пароль ЭЦП для налоговой

Когда пользователь забыл пароль к ЭП, которую использует для налоговой, можно воспользоваться опцией браузера — автозаполнение. Главное, чтобы в веб-обозревателе был включён параметр сохранения паролей и налогоплательщик ранее пользовался этой функцией. Зайдите в личный кабинет, нажмите дважды на нужную строку, и система сама заполнит поле.

Этим способом можно воспользоваться не только на сайте ФНС. Электронная подпись активно используется в других информационных системах, порталах или цифровых торговых площадках. Поэтому, если в ЛК налоговой пароль от ЭЦП не заполняется автоматически или не подходит, рекомендуем посмотреть, возможно, браузер сохранил его где-то на другой веб-странице.

Важно! Использование функции браузера по запоминанию паролей от ЭП хранящихся вне вашего компьютера, считается ФНС небезопасным способом хранения паролей.

Обратитесь в УЦ

Когда пароль закрытого ключа забыт, вспомнить его не получилось, а попытки подбора оказались безрезультатными, то владельцу подписи нужно обратиться в удостоверяющий центр, в котором выпустили сертификат. Удостоверяющий центр отзовёт старый сертификат и выпустит новый. Старый токен для записи файлов можно использовать повторно. Перед этим отформатируйте устройство, если на нём не записаны другие ЭП.

Если ЭП записывается на новое устройство, помните, что на нём установлены заводские настройки. Смените пин-код на более надёжный. Для пароля выбирайте информацию, которую можете легко запомнить, или запишите и храните пароль в надёжном, недоступном для посторонних, месте.

Как изменить пароль?

Все значимые действия в системе СЭП начинаются с входа в Личный кабинет. Посетитель авторизуется и попадает на страницу с перечнем разных опций (представленных в виде иконок). В правом верхнем углу указаны личные данные пользователя (ФИО) или название организации.

Когда человек наводит указатель манипулятора на кнопку «V», открывается диалоговое окно. У нижнего края расположены две опции «Сменить пароль» и «Отмена». Если гражданин отказывается от намерения, нажимает вторую кнопку. В этом случае код остается прежним.

Чтобы сменить пароль, нажимают на левую кнопку. В центре экрана появляется диалоговое окно. Система предлагает ввести старый и новый пароль. Чтобы не допустить ошибки, последнюю комбинацию символов повторяют дважды.

СЭП еще раз предлагает подтвердить намерение изменить комбинацию. Если пользователь соглашается, появляется новое уведомление. Система сообщает о завершении процедуры и отсылает зарегистрированному пользователю письмо с подтверждением.

Как понять, что вашей электронной подписью воспользовались злоумышленники

В статьях об электронной подписи вы можете встретить аббревиатуру «ЭЦП». ЭЦП — электронная цифровая подпись. Это устаревшее название электронной подписи (ЭП).

Если ваша электронная подпись хранилась на токене, а вы обнаружили, что токен пропал, то велик шанс того, что произошла кража ЭЦП. Вероятность этого сильно повышается, если на токене установлены стандартные пин-коды. Информация о том, как установить другие пин-коды на токен, есть в нашем материале.

Первая рекомендация: не оставляйте токен в компьютере надолго, особенно когда вы с ним не работаете. Носите токен с собой на связке ключей и подключайте его к ПК по необходимости. На ночь уносите токен с собой или храните в сейфе, ключи и пароль от которого есть только у вас. Множество случаев неправомерного использования электронной подписи связано с тем, что пользователи оставляли свои компьютеры на ночь включёнными, и токены при этом были подключены к ПК.

Заметить утрату ключа электронной подписи гораздо сложнее, если он хранился в реестре вашего компьютера и был оттуда скопирован без вашего ведома. Такая кража чаще всего обнаруживается лишь тогда, когда мошенники воспользуются подписью. Например, вы увидите в интернет-банке платёжку, которую вы не подписывали.

Ранее мошенники могли выпустить сертификат и ключи электронной подписи на имя человека, который не давал своего согласия на создание ЭП или вообще не знал о том, что подпись оформляют по поддельной доверенности. Сейчас это почти невозможно. Согласно закону № 63-ФЗ, сотрудники удостоверяющих центров (УЦ) обязаны проводить идентификацию заявителя. Таким образом, теперь получить подпись в первый раз может только будущий владелец ЭП, а не его представитель с доверенностью. Человек, на имя которого выписывается сертификат, моментально получает уведомление о выпущенном сертификате через Госуслуги. Поэтому более реальный сценарий сейчас — это кража ключа электронной подписи из-за его неаккуратного хранения самим пользователем.

Существует ряд способов, позволяющих проверить, не используют ли вашу подпись другие люди:

Если вы считаете, что вашей электронной подписью пользуются злоумышленники, нужно как можно скорее обратиться за помощью в удостоверяющий центр, который выдал эту электронную подпись.

Вывод

Если вы забыли пароль от ЭП, попробуйте ввести стандартные настройки токена. Проверьте данные для автозаполнения браузера. Сбросьте настройки до заводских или обратитесь в УЦ. Придумайте надёжный пароль и храните в надёжном месте.