Как не допустить компрометации ключа электронной подписи

Закон № 63-ФЗ установил несколько обязанностей для участников электронного взаимодействия. Так, они должны обеспечивать конфиденциальность ключей ЭП, а в случае их компрометации должны как можно скорее уведомить УЦ и контрагентов о выявленном нарушении.

Случаи компрометации

Довольно частая история, когда директор организации по своей воле передаёт токен с электронной подписью бухгалтеру для подписания отчётности и иных документов. Другой случай - носитель КЭП хранится в незащищённом месте, к которому имеют доступ иные сотрудники организации, причем ПИН-код не установлен или известен сотрудникам. Также носитель может быть утерян или украден.

Последствия компрометации

• Административные и финансовые риски: вывод денежных средств со счетов организации.

  Так, КЭП генерального директора находилась у бухгалтера, что позволило злоумышленникам незаконно войти в систему «Банк-клиент» и перечислить 7,7 млн рублей со счетов компании. Генерального директора обязали возместить утраченные средства (см. судебное решение).

• Уголовная ответственность за халатность: начальник управления финансов и налоговой политики бездействовал в части контроля, что привело к существенному ущербу для местного бюджета. В частности, по факту компрометации ключа подписи злоумышленниками было переведено на свои счета и счета знакомых около 7 миллионов рублей в течение двух лет. Должностное лицо было осуждено по части 1 статьи 293 УК РФ, назначено соответствующее наказание (см. судебное решение).

Советы

1. Хранить КЭП в защищённом месте (сейф) без предоставления доступа другим лицам.
2. Использовать КЭП только владельцем.
3. Своевременно отзывать КЭП уволенных работников.
4. Установить надёжный пароль для токена и компьютера, на котором используется КЭП.
5. Соблюдать правила цифровой гигиены.
6. Использовать сертифицированные средства электронной подписи.

Что делать

В случае компрометации ключа КЭП необходимо незамедлительно требовать приостановления действия сертификата ключа проверки ЭП, а также уведомить иных заинтересованных лиц - банки, контрагентов, налоговую инспекцию и пр. Следует отозвать сертификат, подав письменное заявление лично в УЦ, и получить новую КЭП для дальнейшего электронного взаимодействия.

Заключённые сделки и поданные мошенниками заявления можно обжаловать в судебном порядке. О факте неправомерного использования КЭП можно заявить в полицию для привлечения виновных лиц к ответственности.

Порядок и форму заявления можно найти на сайте УЦ. Например, УЦ СКБ Контур предлагает обратиться в техподдержку и следовать инструкциям при краже КЭП (форма заявления на прекращение действия сертификата здесь). В Регламенте УЦ Тензор указано, что заявление на аннулирование сертификата может быть подано лично, почтовой или курьерской доставкой, а также через личный кабинет.

В случае компрометации ключа ЭП, которую применяли на сайте Федерального казначейства, необходимо сделать следующее:

1. позвонить по телефону в региональный центр регистрации, сообщив причину аннулирования, серийный номер сертификата и номер идентификатора ключей при смене, указанный в бумажной копии соответствующего сертификата;
2. в этот же день направить заявление на аннулирование в соответствии с формой;
3. получить новый сертификат КЭП для дальнейшей работы.