Защита от мошенничества с электронной подписью

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Использование электронной подписи (ЭП) помогает компаниям взаимодействовать с ФНС в онлайн-режиме, отправляя отчетность без долгого ожидания в очереди на прием к инспектору. Гражданин, имеющий ЭП, вправе получать госуслуги быстро и дистанционно, например, подписывая с ее помощью договоры купли-продажи недвижимости на портале «Госуслуги» и отправляя их на регистрацию, не посещая МФЦ или Росреестр. 

Но при использовании этого инструмента случаются недочеты, которыми не преминут воспользоваться злоумышленники. Мошенничество с электронной подписью перестает казаться экзотикой, когда СМИ сообщают о случаях взлома личного кабинета на портале «Госуслуги» и использования чужой ЭП для незаконной продажи недвижимости. Существует несколько способов, как обезопасить себя от риска подделки данных. 

Как подделывают подписи граждан

Миллионы людей в России еще не успели завести аккаунт на «Госуслугах» и оформить ЭП. Этим пользуются мошенники, готовые приобрести в даркнете персональные данные гражданина, создать на его имя электронную цифровую подпись и пользоваться ею в незаконных целях. Сделать это просто, многие центры сертификации выдают ЭП гражданина по сканам документа, без его личного присутствия. Приобрести персональные данные можно не только у посредников в теневом Интернете, но и коррупционным методом, обратившись в паспортный стол, банк, салон сотовой связи, где человек оставил копии документов. 

Удостоверяющие центры не связаны строгими регуляторными нормами. Они могут удостоверить личность обратившегося за ЭП лица без сверки оригинала и фотографии документа, а через Интернет. 

Возникают риски, среди которых:

  • продажа или дарение принадлежащей гражданину недвижимости;
  • регистрация компаний, в которых физическое лицо оказывается учредителем без своего ведома.

ЭП может быть украдена, если гражданин небрежно относится к сохранности носителя-токена. Опасность реальна и в случае, если украдена электронная подпись судьи или государственного чиновника, которой он заверяет важные документы.

Угрозы реальны и требуют возможности узнать, не оформлена ли ЭП без согласия гражданина, и знания, как опротестовать незаконно переданную ЭП. Для первого случая решение пока не найдено, поскольку единого государственного реестра ЭП не существует. А защита от недобросовестной генерации ЭП действует локально. 

Например, меры по защите ЭП при государственной регистрации права собственности на недвижимость в Росреестре были введены недавним изменением в закон о госрегистрации прав. С августа 2019 года необходимо дополнительно подавать заявление о разрешении совершать сделки, подписанные ЭП, за исключением случаев, когда она сгенерирована Федеральной кадастровой палатой либо сделку удостоверил нотариус.  

Есть еще один риск для владельцев ЭП. Специалисты упоминают о том, что в токене-носителе ЭП могут оказаться незадекларированные возможности, «кротовьи норы», позволяющие украсть ключ электронной подписи. Это создает риски, аналогичные нелегитимному оформлению ЭП.

Риски для компаний

Для юридического лица основной риск – передача токена от директора доверенному лицу, заместителю или бухгалтеру. В этом случае появляется возможность для мошенничества, основанного на злоупотреблении доверием. Деньги компании по поддельным договорам выводятся фиктивным фирмам, которые контролирует временный владелец ЭП, и вернуть их сложно. Доказать факт умысла доверенного лица невозможно, если компания не использует средства контроля за сотрудниками (видеозапись в помещениях, DLP-агенты на ПК).

Отказаться от передачи средства идентификации может не всякий руководитель, у топ-менеджеров часто не хватает времени удостоверять многочисленные платежи. Статья 12 Закона «Об электронной цифровой подписи» прямо указывает, что лицо, на которое оформлена ЭП, обязано хранить в тайне закрытый ключ электронной цифровой подписи и немедленно требовать приостановления действия его сертификата при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена. Однако эта норма закона соблюдается редко.

Российские суды рассматривали случаи, когда подчиненные ставили на документы электронную подпись от имени руководителя и затем оформляли на компанию кредит для пополнения оборотных средств, которыми распоряжались сами. Вернуть полученные мошенническим путем средства удается не всегда. Например, в 2018 году директор компании из Ростова-на-Дону обратился к «Россельхозбанку» с требованием о возврате средств, которые были перечислены на подставные фирмы с использованием его токена. Но суд установил, что у банка не было основания отклонить платежное поручение. Оно содержало все необходимые реквизиты и было подписано электронной цифровой подписью уполномоченного лица, на имя которого был выдан сертификат ключа подписи, служащий для подтверждения ее подлинности и идентификации владельца этого сертификата. Система признала подпись подлинной, в связи с чем у банка не имелось оснований для отказа в исполнении поручения.

Как защититься от мошенничества

От утечки персональных данных не застрахован никто: злоумышленники способны обойти самые серьезные меры информационной безопасности. По действующему законодательству удостоверяющие центры имеют право работать по своим регламентам, самостоятельно определяя правила идентификации личности или по коррупционным схемам отказываясь от идентификации. Ранее Росреестр, увидев ЭП, сгенерированную любым УЦ, был вправе счесть, что личность собственника установлена. После изменений в закон это правило действует лишь тогда, когда в ведомстве есть заявление о разрешении регистрировать сделки, подписанные ЭП.

От регистрации компаний на имя владельца ЭП можно защититься. Существует форма 38001, «Возражения заинтересованного лица», которая подается в ФНС. В ней излагается суть возражений против использования персональных данных гражданина и оформления его в качестве учредителя или директора компании. Такое заявление может быть подано в двух случаях:

  • превентивно. После этого заявления на регистрацию компаний с указанием гражданина как учредителя или директора приниматься не будут;
  • после того, как гражданин узнал, что на его имя регистрируются фирмы. В ЕГРЮЛ вносится отметка о недостоверности данных и, если они не подтвердятся в течение полугода, компания исключается из реестра юридических лиц.

Сложнее путь защиты от мошенничества с электронной подписью при совершении сделок с недвижимостью. Необходимо направить в Росреестр заявление о невозможности проведения сделок с недвижимостью без личного участия гражданина, это можно сделать в любое время, до оформления ЭП или сразу после ее оформления. Оно подается или в МФЦ или в личном кабинете на сайте ведомства. В течение пяти дней после получения заявления Росреестр заблокирует в базе данных все сделки с недвижимостью с участием заявителя. Блокировка будет действовать, даже если в ведомство обратится лицо с нотариально заверенной доверенностью. Услуга бесплатна. 

Проблема с нелегитимным использованием ЭП находится в стадии общественного обсуждения. Так, юридическая общественность предложила внести в Гражданский кодекс термин «бесформенная сделка» или сделка, для оформления которой не нужно личное участие, но требуется дополнительное изъявление воли на ее совершение, пока не нашло отражения в законе. Вторым предложением стало ограничение ведомств и организаций, которым доверено право на идентификацию гражданина, госорганами и госбанками. Намерение ввести такие нормы защиты подтвердило Минкомсвязи. 

Если вместе с этими нововведениями появится и единый реестр ЭП, в котором каждый сможет проверить действительность оформленной подписи, проблема мошенничества с электронной подписью будет частично решена. 

29.11.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними