Новости компании

Как не допустить компрометации ключа электронной подписи

Анастасия Митина · 07 Июн 2021 · 844 · Поделиться

Закон № 63-ФЗ установил несколько обязанностей для участников электронного взаимодействия. Так, они должны обеспечивать конфиденциальность ключей ЭП, а в случае их компрометации должны как можно скорее уведомить УЦ и контрагентов о выявленном нарушении.

Случаи компрометации

Довольно частая история, когда директор организации по своей воле передаёт токен с электронной подписью бухгалтеру для подписания отчётности и иных документов. Другой случай - носитель КЭП хранится в незащищённом месте, к которому имеют доступ иные сотрудники организации, причем ПИН-код не установлен или известен сотрудникам. Также носитель может быть утерян или украден.

Последствия компрометации

  • Административные и финансовые риски: вывод денежных средств со счетов организации.

    Так, КЭП генерального директора находилась у бухгалтера, что позволило злоумышленникам незаконно войти в систему «Банк-клиент» и перечислить 7,7 млн рублей со счетов компании. Генерального директора обязали возместить утраченные средства (см. судебное решение).

  • Уголовная ответственность за халатность: начальник управления финансов и налоговой политики бездействовал в части контроля, что привело к существенному ущербу для местного бюджета. В частности, по факту компрометации ключа подписи злоумышленниками было переведено на свои счета и счета знакомых около 7 миллионов рублей в течение двух лет. Должностное лицо было осуждено по части 1 статьи 293 УК РФ, назначено соответствующее наказание (см. судебное решение).

Советы

  1. Хранить КЭП в защищённом месте (сейф) без предоставления доступа другим лицам.
  2. Использовать КЭП только владельцем.
  3. Своевременно отзывать КЭП уволенных работников.
  4. Установить надёжный пароль для токена и компьютера, на котором используется КЭП.
  5. Соблюдать правила цифровой гигиены.
  6. Использовать сертифицированные средства электронной подписи.

Что делать

В случае компрометации ключа КЭП необходимо незамедлительно требовать приостановления действия сертификата ключа проверки ЭП, а также уведомить иных заинтересованных лиц - банки, контрагентов, налоговую инспекцию и пр. Следует отозвать сертификат, подав письменное заявление лично в УЦ, и получить новую КЭП для дальнейшего электронного взаимодействия.

Заключённые сделки и поданные мошенниками заявления можно обжаловать в судебном порядке. О факте неправомерного использования КЭП можно заявить в полицию для привлечения виновных лиц к ответственности.

Порядок и форму заявления можно найти на сайте УЦ. Например, УЦ СКБ Контур предлагает обратиться в техподдержку и следовать инструкциям при краже КЭП (форма заявления на прекращение действия сертификата здесь). В Регламенте УЦ Тензор указано, что заявление на аннулирование сертификата может быть подано лично, почтовой или курьерской доставкой, а также через личный кабинет.

В случае компрометации ключа ЭП, которую применяли на сайте Федерального казначейства, необходимо сделать следующее:

  1. позвонить по телефону в региональный центр регистрации, сообщив причину аннулирования, серийный номер сертификата и номер идентификатора ключей при смене, указанный в бумажной копии соответствующего сертификата;
  2. в этот же день направить заявление на аннулирование в соответствии с формой;
  3. получить новый сертификат КЭП для дальнейшей работы.
Вернуться к списку новостей

Подпишитесь и получайте новые статьи по почте

Заполните поле Подписаться

Подписываясь, вы соглашаетесь на получение информационных сообщений от компании
ООО «Цифровые технологии» на условиях Политики конфиденциальности

Спасибо, что подписались
на нашу рассылку!

Узнавайте новости первыми —
подпишитесь на нашу новостную рассылку

Заполните поле
Подписаться

Подписываясь, вы соглашаетесь на получение информационных сообщений от компании
ООО «Цифровые технологии» на условиях Политики конфиденциальности

Спасибо, что подписались
на нашу рассылку!