Блог 

О рисках электронной подписи

Нам поступил интересный вопрос о квалифицированной электронной подписи:

 Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься?

К примеру:

С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру.
На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п.

На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д.

Все это, несомненно очень удобно, но и существуют очень серьёзные риски.

Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП).

Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом.

Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации.

1.     Случай получения КСЭП в УЦ

КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан:

1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами:

а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??).

б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП

в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций.

И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п.) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП.

Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных).

В описанных выше случаях факторами, снижающими вероятность их реализации, будут:

— обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП;

— контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы;

—  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг.

Аккредитованный УЦ:

1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.

2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого)

3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей.

Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться.

По вопросу по поводу проверки наличия сертификата.

Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку.

Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300).

Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д.

Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП.

2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец

Здесь все банально.

Это возможно:

1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело.

Вариантами снижения вероятности реализации такой преступной схемы будут:

     Информирование персонала об ответственности

     Стимуляция персонала

     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц)

     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами.

2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные).

В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель.

Все меры защиты давно известны:

Организационные:

     Учет и закрепление носителей за конкретными лицами

     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей

     Исключение халатности с их обращением (не оставлять без присмотра)

     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия)

     Использование паролей для доступа к ключам.

Технические:

     Использование средства защиты от НСД, антивирусов

     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.).

Комментарии

  1. Скажите. Есть ли такая возможность у субъекта персональных данных (физ или юр лицо) заморозить (или исключить) создание ЭП по всей России на определенный срок?

    1. Изготовление сертификатов осуществляют аккредитованные УЦ на основании заявления на выпуск.

      Т.е. если будет реализовываться сценарий, описанный в разделе 1 заметки, то сертификат будет выпущен. Т.к. по закону УЦ не имеет права отказать в выпуске сертификата (если предоставлены все документы, предусмотренные 63-ФЗ).

      Вариант направить во все УЦ уведомления о запрете формирования сертификатов законодательством не предусмотрен.

      Но есть возможность обеспечить подтверждение использования легитимно полученного сертификата.

      Для этого в регламенте его использования организатором (владельцем) системы электронного документооборота должно быть предусмотрено подтверждение использования конкретного сертификата участника.

      Т.е. перед началом использования сертификата вы должны предоставит отпечаток (распечатку) и т.д. «настоящего» сертификата, которому будут доверять. Кроме того, может быть предусмотрено регламентом контрольная проверка при попытке замены используемого сертификата.

      Т.о. при незаконном оформлении сертификата злоумышленник дополнительно должен будет «обмануть» организатора документооборота (ФНС, ФОМС, казначейство и т.д), что будет более затруднительно и, кроме того, вас могут оповещать о попытке начала использования другого сертификата.

      Такая защитная мера сработает, если а)есть подобный регламент б)у вас обеспечивается конфиденциальность используемых ключей.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *