Юрист рассказал, как защитить свою электронную подпись

Дерюжинский: чтобы защитить электронную подпись, не стоит передавать свой токен
Екатерина Лукашевич
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Самые распространенные случаи мошенничества в сфере электронной подписи (ЭП) происходят не по причине изъянов технологии, а из-за нарушения самими пользователями базовых правил цифровой гигиены, отметил руководитель юридического департамента Sign.Me Вадим Дерюжинский. Он рассказал «Известиям» 22 декабря, как защитить ЭП.

По статистике Sign.Me за 2023 год доля дел по оспариванию усиленных видов электронной подписи составила 1,1%. Остальные 98,9% относятся к оспариванию рукописной подписи. Это связано с высоким уровнем безопасности усиленных видов ЭП.

«Самыми распространенными в судебной практике являются споры, связанные с передачей токена с электронной подписью третьему лицу. Например, когда генеральный директор передает свой токен главному бухгалтеру для сдачи отчетности в госорганы, а бухгалтер использует ЭП в личных целях», — уточнил эксперт.

Он рассказал, что носителем электронной подписи может быть не только токен, но и мобильное приложение, и передача доступа к нему также является грубым нарушением техники безопасности. Есть случаи, когда мошеннические действия с использованием мобильного телефона совершали родственники владельца электронной подписи.

«Следующий вид мошенничества относится к простой электронной подписи (ПЭП), а не к усиленным. ПЭП — это наиболее уязвимый вид электронной подписи, который может быть представлен в виде логинов и паролей или кодов из СМС. Например, подобрав логин и пароль от определенной учетной системы, мошенники могут совершить какие-либо юридически значимые действия. Данные ПЭП могут быть вычислены методом брутфорс, который включает в себя подбор знаков и символов до обнаружения совпадений», — отметил Дерюжинский.

По его словам, в случае с усиленными видами электронной подписи такой подбор невозможен, так как они создаются с помощью средств криптографической защиты информации. Такую подпись невозможно взломать или подделать.

В то же время самый редкий вид мошенничества связан с подделкой паспорта. Такие ситуации возникают, когда мошенник узнает персональные данные человека, чаще всего у которого есть недвижимость, и выпускает себе на черном рынке высокотехнологичную подделку. Этот паспорт практически ничем не отличается от реального документа владельца, но в нем заменяется фотография.

«Определить такую подделку можно только при проведении криминалистической экспертизы. С поддельным паспортом мошенник может открывать счета в банках, обращаться в МФЦ, а также выпустить себе сертификат электронной подписи и совершить сделки с недвижимостью собственника», — сказал юрист.

Он подчеркнул, что генеральному директору не стоит передавать свой токен третьим лицам. Вместо этого можно выпустить машиночитаемую доверенность (МЧД), которая наделит сотрудников полномочиями для взаимодействия с госорганами или контрагентами и позволит легитимно подписывать документы в качестве представителя компании.

«Если вы используете мобильное решение, то передача телефона даже близким родственникам станет компрометацией ключей и сертификата электронной подписи. Не передавайте никому доступ к вашему смартфону, в котором подписываете документы, а для его защиты используйте сложные ПИН-коды и пароли и делайте их разными для всех учетных записей или приложений», — подчеркнул юрист.

Кроме того, одной из мер предотвращения мошеннических схем с подделкой паспорта может стать предоставление удостоверяющим центрам, которые проводят идентификацию личности при выпуске сертификата ЭП, доступа к заявлению о выдаче, замене паспорта со стороны государства. Этот документ содержит фотографию лица, обратившегося за выдачей паспорта. При этом важно хранить паспорт и другие документы в надежном месте, публично их не демонстрировать и не передавать в залог. Также на Госуслугах пользователи могут поставить галочку о том, что сделки с недвижимым имуществом могут совершаться только при личном присутствии, уточнил эксперт.

«Для предотвращения взлома ваших учетных записей придумывайте сложные пароли, используйте различные комбинации знаков, цифр и символов, отличающихся друг от друга в разных системах. Также важно никому и никогда не сообщать код из СМС от «Госуслуг», так как там хранится большой массив персональных данных», — заключил Дерюжинский.

Ранее, 17 ноября, руководитель проектов координационного центра доменов .RU/.РФ Евгений Панков рассказал «Известиям», что наблюдается устойчивый рост фишинговых атак, которые проводятся через мессенджеры. Особенно они фиксируются в Telegram и WhatsApp (принадлежит Meta, деятельность которой запрещена в РФ).