Как аннулировать сертификат ключа электронной подписи

Как аннулировать сертификат ключа электронной подписи Электронная цифровая подпись
На чтение 16 мин. Просмотров 127 Опубликовано
Содержание
  1. Что будет, если вовремя не отозвать электронную подпись
  2. Что такое эп, кэп и для чего они нужны
  3. В сбис
  4. Как обеспечить безопасность электронной подписи
  5. Как правильно отозвать электронную подпись
  6. Как происходит мошенничество с электронной подписью
  7. Мошенники и ооо «компания тензор»получение ключа электронной подписи
  8. Продажа квартиры, подача декларации в фнс и другие риски использования сертификата эп
  9. Ссылка из e-mail
  10. Отзыв сертификата эцп

Что будет, если вовремя не отозвать электронную подпись

Существует два варианта развития событий. Первый — относительно безобидный, когда злоумышленник похитил ключ
электронной подписи, чтобы вы не смогли принять участие в торгах или подписать важный договор. Такое встречается
при нечестной конкурентной борьбе.

Второй — когда подпись похищена специально для махинаций с документами. К чему это может привести?

  • К потере денег на банковском счете. Деньги выведут со счета, а факт кражи юридически доказать
    не получится — все платежки подписаны вашей ЭП.
  • К потере имущества. Используя электронную подпись, злоумышленник может составить любой
    фиктивный договор. Например, по продаже имущества компании.
  • К срыву сделок. Банковская защита может отреагировать на подозрительные переводы с вашего
    счета, заблокировав его. Тогда мошенник не сумеет вывести деньги, но и вы не сможете работать со счетом,
    пока инцидент будет расследоваться. С него нельзя будет оплатить товар или услугу, не удастся и получить
    платеж. Сделки подвиснут или вовсе сорвутся.
  • К испорченной репутации. Украденным ключом можно подписать «липовую» заявку на тендер с
    заведомо невыгодными условиями. Отказавшись от сделки, вы испортите свою репутацию и попадете в реестр
    недобросовестных поставщиков. А выполнив ее, понесете убытки.
  • К рейдерскому захвату компании. Используя украденную электронную подпись ключевого сотрудника,
    злоумышленник может изменить устав, назначить нового руководителя, добавить учредителя или другим образом
    ослабить компанию, чтобы получить возможность управлять ею.

Что такое эп, кэп и для чего они нужны

Электронная подпись (ЭП или ЭЦП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.

Получить электронную подпись

КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.

КЭП выдают только удостоверяющие центры (УЦ), которые имеют аккредитацию Минкомсвязи. Например, ее можно получить в Удостоверяющем центре Контура или в Центре выдачи электронных подписей в Москве.  УЦ соблюдают правила безопасности — этого от них требует закон и госорганы, — удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы. А в случае нарушений УЦ несут материальную ответственность.

В УЦ владелец электронной подписи получает файлы, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Файлы записываются на токен (устройство, похожее на флешку) или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.

Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне — этого требует 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.

У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.

Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ЭП, чтобы избавиться от рутинного подписания бумаг.

В сбис

Отозвать подпись проще, если у вас есть аккаунт в СБИС. Вам нужно:

  1. Открыть реестр «Электронные подписи», попав в него из меню «Сотрудники» или из карточки вашей организации
  2. Найти в реестре пропавшую подпись, после чего нажать на кнопку «Отозвать».
  3. Указать в форме причину отзыва, свои ФИО и контакты. Проверить реквизиты и распечатать заявление на отзыв
  4. Отправить менеджеру скан подписанной заявки. СБИС сообщит, когда электронная подпись будет отозвана

Неквалифицированная подпись отзывается в СБИС еще быстрее. Найдите нужный сертификат в карточке
сотрудника и нажмите кнопку «Отозвать». Подпись будет отозвана, больше ничего делать не придется.

Как обеспечить безопасность электронной подписи

Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они подделывают документы, чтобы незаконно получить ЭП, или крадут подпись.

Рекомендуем соблюдать правила безопасности, которые помогут избежать мошенничества с цифровой подписью:

  1. Нельзя передавать ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.

  2. Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.

  3. Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру.

  4. Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.

  5. Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.

  6. Нельзя передавать сканы и реквизиты паспорта ненадежным фирмам или оставлять их на подозрительных сайтах. Если сканы попадут в руки мошенников, они могут получить по ним электронную подпись от чужого имени. Скорее всего, сотрудники удостоверяющего центра увидят подделку и сертификат не выдадут, но лучше не рисковать. Если паспорт пропадет, об этом нужно сразу сообщить в полицию — заявление станет аргументом, если потребуется доказать, что ЭП на документ поставили мошенники.

Читайте также:  Росфинмониторинг — Федеральная служба по финансовому мониторингу

Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше:

  1. Если у вас пропала подпись, то ее можно и нужно сразу же отозвать — тогда злоумышленники не смогут ей воспользоваться. 

  2. Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись». Госуслуги покажут, какие подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в УЦ, который указан в этой подписи. УЦ по вашему заявлению отзовет сертификат подписи, и тогда ей больше никто не сможет воспользоваться. 

  3. Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи. Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил. Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, а некоторые — при выдаче сертификата делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.

Получите подпись в УЦ Контура — это надежно и безопасно. Мы работаем на рынке больше 17 лет и выдаем сертификаты подписей, соблюдая все меры безопасности, имеем аккредитацию Минкомсвязи и необходимые лицензии ФСБ России.

Получить электронную подпись

Как правильно отозвать электронную подпись

Для отзыва квалифицированной и неквалифицированной электронной подписи установлены разные процедуры. О том, как
понять, какая у вас подпись, читайте здесь. Отозвать квалифицированную ЭП можно двумя способами.

Как происходит мошенничество с электронной подписью

Злоумышленники могут завладеть ЭП по-разному. Первый вариант — умышленно получить подпись другого лица. Мошенники могут украсть закрытый ключ, который хранится на токене. Или владелец может оставить подпись в общественном месте или потерять. Бывает и так, что компания забывает отозвать ЭП у уволенного сотрудника: он покупает товар от имени фирмы и скрывается, оставив долг. Нужно знать, как отозвать подпись и делать это сразу после увольнения, даже если работник пользовался полным доверием.

Есть и другой вариант. Владелец может сам отдать подпись постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, как обезопасить себя от мошенничества, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.

Мошенники и ооо «компания тензор»получение ключа электронной подписи

Картинка с одним из пострадавших юрлиц.

В конце истории расскажу способы как можно защититься, но, увы, на 100% они не дают гарантии.

Не всё хорошее случается перед Новым Годом.

Случайно (да, повезло и да, случайно) посмотрели в выписку из ЕГРЮЛ и удивились, т.к. генеральным директором был указан совершенно незнакомый человек.

Сначала думаешь, что это – ошибка налоговой, случайно записали не того, сейчас исправят. Нет, это оказалось настоящее ограбление расчётного счёта в банке, только без стрельбы, подкопов и прочей киношной ерунды.

По ходу истории: налоговая инспекция – крупней некуда, банк из топ10, столичная полиция, удостоверяющий центр – никто не предпринял каких-либо действий, чтобы остановить мошенничество.

Действие первое – БАНК из ТОП10 (Открытие).

Москва, декабрь 2021 года, случайно узнали о смене генерального директора в ЕГРЮЛ.

Решили обратиться в банк по телефону.

Читайте также:  Электронная подпись (ЭЦП) - Единый портал ЭП

Банк отрицает смену директора, никаких документов нет, всё хорошо, прекрасная маркиза.

Едем в банк лично. Сотрудник банка, думая, что перед ним новый генеральный директор, даёт для подписания документы оформленные на мошенника для доступа к счёту.

В ответ банк получил заявление о мошенничестве. Заявление зарегистрировали, но никаких действий в ответ не получили. С нами никто не связывался по заявлению, обещали временно заблокировать счёт.

Мошенник уже к этому моменту был лично в банке, показывал паспорт, камеры – кругом, предъявлены подложные документы, оставил свой номер телефона.

Чтобы было понятнее, подписи учредителей – левые, печать – ещё левее, всё отличается от документов в банке настолько, что вспоминаешь классику “Киса, я Вас как художник художника хочу спросить, Вы рисовать умеете?”. Кстати там сходство было несравненно лучше. Но банку – всё равно, он готов менять гендира только на основании записи в ЕГРЮЛ.

Действие второе – ПОЛИЦИЯ.

Сразу из банка – звонок в 112, полиция, автоматы, строгие взгляды, пишем заявление.

Полиция, в лице сотрудников, чешет затылок и говорит: “Хм, как же они это сделали …”.

(ОМВД по району Алексеевский г.Москвы, ОМВД по району Сокол г.Москвы)

На этом общение с ними закончилось.

Действие третье – НОВЫЕ ПОСТРАДАВШИЕ.

Всякие системы мониторинга изменений в ЕГРЮЛ легко показывают, когда гендир становится одинаковым у разных лиц.

Таким образом с нами связались другие пострадавшие, которые очень надеялись, что это наш гендир такой, и им случайно его приписали (наивные, как мы).

После рекомендации срочно бежать в банк, выяснилось, что мошенник уже всё подписал, ему осталось только получить пароль для доступа к счёту. Иногда людям везёт.

Пример  как на очередном пострадавшем действовали жулики, см. картинку

Действие четвёртое – НАЛОГОВАЯ ИНСПЕКЦИЯ.

Даже если вы учредитель/участник юр. лица, сведения о поступивших документах могут не дать – закон о персональных данных. Вот так, сделали мошенники поддельный протокол смены гендира, а вы его даже увидеть не сможете.

Так как участники юр. лица – прежние, подаём новые документы о смене гендир с мошенника обратно на настоящего. Пять долгих дней, за которые с имуществом (земля, машины, счета и т.д.) юр. лица можно сделать всё что угодно, например, продать, деньги вывести, взять кредиты наличными под залог имущества.

Итог.

Вовремя успели оповестить банк, чтобы замедлить процедуру смены гендира.

Через 5 дней настоящий гендир пошёл восстанавливать доступ к банку.

От полиции – тишина, хотя есть действующий паспорт, есть видео и фотографии мошенника, а также действующий мобильный телефон.

Как же всё это произошло?

Мошенники находят Удостоверяющий Центр (УЦ) для выдачи электронной подписи (ЭП).

Им надо найти самый низкоквалифицированный (или соучастник?) УЦ, который на слова “Мы только фирму купили, вот протокол, а то, что в ЕГРЮЛ директор не совпадает, так, ерунда, скоро изменится” всё сделает.

Всего УЦ в России 490 , в нашем случае фирма в Москве, а УЦ нашли в Казани.

УЦ в Казани не смущает, что к ним обратились из Москвы и в ЕГРЮЛ другой директор.

Далее, имея ЭП ключ, в котором указано, что мошенник – генеральный директор, обращаются по адресу https://service.nalog.ru/static/gost-test.html?svc=regin.

Загружают туда поддельный протокол, заявление P14001 и подписывают с помощью ЭП, далее документы уходят на регистрацию – через 5 дней мошенник станет новым генеральным директором по данным ИФНС (ЕГРЮЛ).

Мошенник, получив запись в ЕГРЮЛ о том, что он – генеральный директор, идёт лично в банк, где подаёт документы на получение доступа к счёту.

Конечно, надо знать в какой банк обратится, но на сайте фирмы часто указаны реквизиты банка, или можно притворится клиентом и получить счёт с реквизитами.

Действия, чтобы у Вашей фирмы не украли деньги.

Зайти по адресу https://service.nalog.ru/uwsfind.do и по ОГРН проверить нет ли УЖЕ направленных документов о смене генерального директора (форма P14001).

Если форма Р14001 уже есть, но процедура еще идёт, срочно запускайте форму Р38001 (сообщение о возражениях заинтересованного лица касаемо предстоящего внесения сведений в ЕГРЮЛ) и дальше в полицию, банк, налоговую.

С помощью сервиса https://service.nalog.ru/regmon поставьте свою фирму на мониторинг, как только документы зайдут в налоговую – вам придёт емаил.

Ставьте таких штуки 3, чтобы пока вы в отпуске не приехать к разбитому корыту.

Дополнительно поставьте мониторинг по названию, ИНН и ОГРН на сайте Электронного правосудия kad.arbitr.ru

Читайте также:  Ремонт шуруповёртов Зубр в Москве — адреса и цены на ремонт шуруповёртов Зубр в Москве

Бывает, что через поддельный договор поставки товара/услуг с вас полностью и официально через приставов получат всё деньги со счёта.

Если смена гендира произошла, то схема действий такая: в банк, в полицию, далее в налоговую менять обратно на своего гендира (лучше через нотариуса).

Обратитесь в Межрегиональную Инспекцию ФНС по Централизованной Обработке Данных, они же МИ ФНС России по ЦОД.

В Москве это Походный проезд, 3. В ответ они скажут, ЭП ключом какого УЦ были подписаны документы.

Далее бегом связываться с УЦ и отзывать ЭП ключ.

Как смените обратно на своего гендира, надо идти в Арбитражный суд, на это есть 3 месяца. Если не пойти, то все кредиты и все действия мошенника останутся в силе. Далее от лица участников общества подаёте в суд на свою фирму и отменяется поддельный протокол и отдельно надо заставить ИФНС отменить запись в ЕГРЮЛ.

Обратитесь в свой банк, выясните, какие действия будут с их стороны, если к ним придёт новый гендир и в ЕГРЮЛ будет о нём запись. Будут звонить, писать или тишина?

У мошенников были все шансы потому, что:

Удостоверяющий центр не сверил данные лица, желающего получить электронную подпись генерального директора с данными ЕГРЮЛ в части его полномочий, в порядке ст.18 п.2.2, 2.3 Федерального Закона “ОБ ЭЛЕКТРОННОЙ ПОДПИСИ”.

Банк не сверил оттиск печати с хранящимся у него образцом, хотя требует заполнения карточки и берёт за это деньги. Банк не звонит на официальный телефон фирмы, не звонит прежнему генеральному директору, учредителям – вообще никому, просто молча меняет у себя запись и даёт пароли к счёту. Несмотря на заявления в полицию и заявление в самом банке, продолжает выдавать доступ к другим организациям этому же мошеннику (мошенник ходит по отделениям этого банка в городе, в каждом действует от новой фирмы как гендир).

ИФНС не сверяет данные протокола и формы Р14001 о смене генерального директора. ИФНС всё равно, что у учредителей другие личные данные, другие паспортные данные и конечно не сверяет оттиск печати и подписи.

ИФНС всё равно, что у них гендир в ЕГРЮЛ один, а смена его осуществляется другим лицом, согласно электронной подписи являющегося генеральным директором этой же фирмы.

Полиция, несмотря на массовые обращения разных пострадавших, на наличие сведений о паспорте, телефоне, видео и фото мошенника, ничего не предпринимает, хотя, казалось бы, все данные есть, достаточно дать указание банку вызвать полицию при явке мошенника в отделение банка.

Продажа квартиры, подача декларации в фнс и другие риски использования сертификата эп

Использование чужой ЭЦП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:

  • оформить кредит на компанию;
  • вывести деньги из фирмы, а потом ликвидировать ее;
  • подать в налоговую поддельные декларации с баснословными суммами, чтобы получить возмещение НДС в размере нескольких миллионов;
  • продать чужую квартиру или офис. Сейчас этот сценарий невозможен для физических лиц — в августе 219 года Росреестр ужесточил правила онлайн-сделок с физлицами, поэтому перед сделкой нужно получить согласие собственника на сделки с недвижимостью с использованием ЭП.

Ссылка из e-mail

Если у вас нет аккаунта СБИС для документооборота и сдачи отчетности, отзывайте подпись по ссылке из e-mail.
Для этого:

  1. Свяжитесь с менеджером УЦ. Он создаст заявку на отзыв сертификата ЭП, а затем пришлет вам e-mail со ссылкой
    на нее
  2. Проверьте заявку и заполните форму
  3. Распечатайте и подпишите заявку на отзыв ЭП
  4. Отправьте менеджеру скан заявки. Если отсканировать заявление негде, можно принести его в наш офис или
    отправить по почте
  5. Подпись отозвана. Об этом вы узнаете, когда на e-mail придет уведомление об отзыве сертификата электронной
    подписи

Отзыв сертификата эцп

Отзыв сертификата ЭЦП осуществляется исключительно администрацией центра выдачи сертификатов. Об аннулировании составляется специальный акт, содержащий в себе информацию об уничтожении определенных цифровых данных.

Заявление на отзыв сертификата ключа подписи также подается в администрацию УЦ. Когда ЦП аннулируется, работники УЦ должны оповестить об этом пользователя ключа. Данное оповещение происходит путем внесения в специальный реестр информации о прекращении действияэлектронной криптографической подписи с указанием даты и времени такого аннулирования, а также путем извещения владельца ЭП и лица, от которого исходило указание на остановку ключа.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт