Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.
Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.
Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.
Варианты мошенничества с электронной подписью
1) Физические преступления — для развертывания мошеннической схемы необходим контакт преступника с носителем.1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.
Нейтрализация:
— установка пользовательского пароля — напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.
1.2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.
Нейтрализация:
— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.
1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.
Нейтрализация:
— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.
2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.
2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее. Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.
Нейтрализация:
— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.
2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.
Нейтрализация:
— выполнение правил информационной гигиены + ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.
3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.
3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.
Нейтрализация:
— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.
3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.
3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями. Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником. При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.
Нейтрализация схем 3.2. и 3.3.:
— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.
Но почему же эта система одна из самых надежных и легко приводимых в норму?
Во-первых, потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.
Во-вторых, существует внешняя система контроля деятельности удостоверяющих центров, выстроенная государственными структурами. Для начала деятельности УЦ должны получить лицензию ФСБ России, которая подтвердит их соответствие строгим требованиям службы. В случае если удостоверяющие центры планируют выпускать квалифицированную электронную подпись, то они также обязаны пройти аккредитацию при Минкомсвязи. УЦ, которые заинтересованы в работоспособности выпущенных ЭП во всем информационном пространстве страны, также проходят процесс авторизации при Ассоциации Электронных Торговых Площадок. Помимо этих стартовых процедур ФСБ, Минкомсвязи и АЭТП проводят ежегодные проверки деятельности удостоверяющих центров.
В-третьих, высокое качество персонала УЦ, например, чтобы получить лицензию ФСБ, в штате обязательно должны быть специалисты с профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки. Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны. Все это также является сдерживающими факторами, ведь решение поставить все на кон ради однократного преступного обогащения, которое в любом случае будет раскрыто, совсем не соответствует психологическому портрету высококлассного специалиста.
Предложение по улучшению системы выдачи ЭП от портала iEcp.ru: на текущий момент проверка предоставляемых заявителями документов проводится силами сотрудников УЦ. СМЭВ и ЕСИА могут оптимизировать эту работу. Напомним, что СМЭВ — это система межведомственного взаимодействия, в которой циркулируют документы россиян между государственными структурами (МВД, ФНС и т.д.); ЕСИА — это единая система идентификации и аутентификации, которая является частью СМЭВ, с ее помощью можно подтверждать свою личность в различных структурах (банки, удостоверяющие центры и т.д.). Таким образом, предоставление удостоверяющим центрам расширенного доступа к ЕСИА позволит еще быстрее и точнее подтверждать личность заявителей и проверять документы.
Схемы-«единороги»
Добавим пару слов о несуществующих схемах, которыми могут пугать новичков мира электронной подписи.1) ЭП могут скопировать с подписанного электронного документа.
Нет, не могут.
2) Теория заговора удостоверяющих центров, которые используют электронные подписи своих клиентов.
Выше уже была приведена аргументация, почему это не так.
3) Закрытый ключ ЭП могут подобрать с помощью открытого, что позволит мошенникам использовать подпись.
Дина ключа составляет 256 бит и, на самом деле, закрытый ключ можно рассекретить методом подбора, используя открытый ключ, но мощности современной вычислительной техники, включая суперкомпьютеры, не позволят этого сделать раньше, чем закончится срок действия ЭП.
Передача ЭЦП другому лицу - закон разрешает ее или нет? Однозначного ответа на этот вопрос не существует. Нормативной базой в данном случае является закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ. Он четко описывает назначение и основные цели применения ЭЦП, но достаточно косвенно касается вопросов ее передачи.
Можно ли передавать ЭЦП другим лицам
Электронную подпись признают аналогом собственноручной подписи. Это означает, что сам факт передачи ЭЦП от одного лица другому невозможен.
Из п. 1 ст. 2 закона № 63-ФЗ следует, что электронная подпись должна идентифицировать ее владельца. При использовании ЭЦП любым человеком, не являющимся ее «хозяином», это условие невыполнимо. Следовательно, передача ЭЦП по закону запрещена, в то же время процесс предоставления прав на ее применение четко не регламентирован.
Возможно ли подписание отчета об исполнении бюджета (контракта) чужой электронной подписью
Закон рассматривает виды электронных подписей, права и обязанности их владельцев, а также ответственность за нарушение тех или иных правил. С одной стороны, согласно ст. 4 закона № 63-ФЗ, у участников электронного взаимодействия есть право применять электронную подпись любого вида по своему решению (в случае отсутствия требований об использовании конкретного вида ЭЦП).
С другой стороны, в ст. 10 того же закона приведены обязанности участников электронного взаимодействия, и одной из них является обеспечение конфиденциальности. Владелец ЭЦП должен следить за тем, чтобы принадлежащие ему ключи электронной подписи не использовались без его согласия. В том случае, если электронная подпись задействована без ведома ее обладателя, ответственность за последствия таких действий с него снята не будет.
Исходя из приведенных норм закона получается, что применение ключей уполномоченными лицами для подписания отчета об исполнении бюджета (контракта) чужой электронной подписью не запрещено.
Риски при передаче электронной подписи другим лицам
Электронная подпись руководителя зачастую используется его подчиненными, необходимо лишь его согласие. Это упрощает бухгалтеру сдачу отчетности, юрист получает возможность без труда сдать документы в суд и т. д.
Несмотря на это, предоставление прав на ЭЦП является очень опасным делом, ведь это может привести к весьма нежелательным последствиям. Предсказать действия подчиненного зачастую не представляется возможным — он может быть не заинтересован в выполнении поручений, а, напротив, использовать данные ему права в корыстных целях.
Если по отношению к владельцу ЭЦП были совершены неправомерные действия, у него возникнут большие проблемы с доказательством своей невиновности. Суд, руководствуясь нарушением принципа конфиденциальности ЭЦП, далеко не всегда сможет помочь возместить ущерб или же признать подписание документов незаконным.
Итоги
Передача самой электронной подписи по определению невозможна. Предоставление прав на применение ЭЦП другому лицу не запрещено, однако никак не регламентировано. При этом владельцу ЭЦП стоит оценить потенциальные риски, которым он подвергается. Мы рекомендуем задуматься об избрании иной стратегии делегирования полномочий.
Электронная подпись - это аналог собственноручной подписи. Поэтому передать ЭЦП другому лицу нельзя. Это противоречило бы закону № 63-ФЗ, который утверждает, что ЭЦП должна идентифицировать владельца. Передача ЭЦП запрещена, но процесс предоставления прав на применение ЭЦП доверенным лицом не регламентируется.
По 63-ФЗ участники электронного взаимодействия могут использовать ЭЦП любого типа на своё усмотрение. Участники электронного взаимодействия должны обеспечить конфиденциальность: владелец подписи отвечает за сохранность ключей подписи и следит, чтобы ЭЦП не применялась без его согласия. Если электронная подпись использована без ведома владельца, ответственность за последствия несет владелец. Однако по 63-ФЗ использование чужой ЭЦП уполномоченными лицами не запрещено.
Риски при передаче электронной подписи другим лицам
Сотрудники организации часто используют ЭЦП руководителя: бухгалтерам это упрощает ведение отчётности, юристам проще сдать документы в суд. Но предоставление прав на ЭЦП - риск, который может привести к проблемам.
Предугадать, как поведет себя сотрудник с чужой ЭЦП не всегда возможно. Он может проигнорировать поручение и использовать ЭЦП в корыстных целях. В этом случае владельцу ЭЦП будет сложно доказать в суде свою невиновность, особенно, если ЭЦП воспользовались с его персонального компьютера. Суд, ссылаясь на нарушение принципа конфиденциальности ЭЦП, не всегда поможет возместить ущерб или признать подписание документов незаконным. Поэтому не рекомендуется передавать ЭЦП по доверенности третьим лицам.
Ответственность за использование чужой ЭЦП
Передача ЭЦП не наказуема - наказуемы действия, которые совершает лицо, владеющее подписью. Например, если в результате применения чужой ЭЦП злоумышленник получил финансовую выгоду, его можно привлечь по статье 159 УК РФ (хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием). Но крайне не рекомендуется передавать право пользования ЭЦП по доверенности третьему лицу.
Поскольку законом этот вопрос не урегулирован, продолжаются споры о возможности передачи ЭЦП. Чтобы избежать рисков, передавать ЭЦП не стоит. Однако у разных видов ЭЦП разная степень защищенности и влияния.
Виды ЭЦП
- Простая. Логин-пароль. Используется на форумах, в социальных сетях. Иногда применяют двухэтапную идентификацию владельца через пароль по SMS или электронной почте. В простой ЭЦП не применяются технологии шифрования, она легко взламывается и не подходит для заверения официальных документов. Передача простой ЭЦП может привести к проблемам. С простой подписью злоумышленник может разместить запрещенные материалы на странице владельца и виноват будет владелец, если не сможет доказать, что его взломали.
- Неквалифицированная ЭЦП. Подпись выдают удостоверяющие центры без государственной аккредитации. В неквалифицированной ЭЦП используются криптографические методы шифрования. Используется для государственных закупок по ФЗ № 223, ФЗ № 44, в личном кабинете на сайте ФНС. Для применения нужно соглашение между партнерами.
- Квалифицированная ЭЦП, которую выдают только аккредитованные удостоверяющие центры. Надежная и защищенная подпись, которую используют чаще всего. Она заменяет собственноручную подпись. Владельцу квалифицированной ЭЦП выдают сертификат.
Рассмотрев вопрос, мы пришли к следующему выводу:
Передача другому лицу ключа электронной подписи по доверенности законом не предусмотрена. Владелец электронной подписи вправе лишь согласовать ее техническое использование с согласия и под контролем владельца при условии соблюдения конфиденциальности ключа такой подписи. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования.
Обоснование вывода:
Прежде всего отметим, что подпись - обязательный реквизит любого документа, придающий ему юридическую силу ( ГК РФ, ТК РФ, НК РФ, Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете").
Электронная подпись (далее - ЭП) является аналогом собственноручной подписи, ее использование допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон ( ГК РФ, Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи", далее - Закона N 63-ФЗ). N 63-ФЗ регулирует отношения в области использования ЭП при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, а также во всех случаях, установленных федеральными законами ( Закона N 63-ФЗ). Под ЭП понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию ( Закона N 63-ФЗ).
В соответствии с Закона N 63-ФЗ установлены виды ЭП: простая и усиленная. Усиленная ЭП бывает неквалифицированная и квалифицированная.
От простой усиленную ЭП отличают обязательное наличие ключа ЭП (уникальной последовательности символов, предназначенной для создания электронной подписи) и ключа проверки ЭП (уникальной последовательности символов, однозначно связанной с ключом электронной подписи и предназначенной для проверки подлинности электронной подписи), указанного в соответствующем сертификате - электронном документе или документе на бумажном носителе, выданном удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающем принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП ( , Закона N 63-ФЗ).
Для неквалифицированной ЭП сертификат ключа проверки электронной подписи может не создаваться, если соответствие такой ЭП признакам неквалифицированной ЭП может быть обеспечено без использования этого документа ( Закона N 63-ФЗ). Тогда как одним из требований, которым должна соответствовать квалифицированная ЭП, является требование об указании ключа проверки ЭП в квалифицированном сертификате ( Закона N 63-ФЗ). Как следует из , Закона N 63-ФЗ, сертификат ключа проверки ЭП может быть выдан и юридическому лицу. В этом случае в нем указываются наименование и место нахождения юридического лица, а также физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности. Иначе говоря, это может быть или руководитель, или иное лицо, уполномоченное доверенностью. При этом ограничений по количеству сертификатов, выдаваемых одному юридическому лицу, законодательством не установлено. Иначе говоря, ЭП может быть оформлена как на руководителя, так и на иное лицо, действующее на основании доверенности.
При этом в соответствии с Закона N 63-ФЗ при использовании усиленных ЭП участники электронного взаимодействия обязаны в том числе обеспечивать конфиденциальность ключей ЭП, в частности не допускать использование принадлежащих им ключей ЭП без их согласия. Такая формулировка позволяет сделать вывод о возможности использования ключей ЭП другими лицами с согласия участника электронного взаимодействия. В противном случае речь идет о нарушении конфиденциальности ключа ЭП, о котором ее владелец обязан уведомить удостоверяющий центр, выдавший сертификат ключа проверки ЭП, и иных участников электронного взаимодействия в течение не более чем одного рабочего дня со дня получения информации о таком нарушении. Он также обязан не использовать ключ ЭП при наличии оснований полагать, что конфиденциальность данного ключа нарушена ( , Закона N 63-ФЗ).
Тем не менее норма Закона N 63-ФЗ предполагает не передачу права использования усиленной ЭП другому лицу на основании какого-либо распорядительного документа либо доверенности ( ГК РФ), но только указывает на техническую возможность простановки ЭП другим лицом (например, техническим специалистом) с согласия и под контролем владельца сертификата ключа проверки ЭП. Такой вариант толкования нормы Закона N 63-ФЗ встречается и в судебной практике (смотрите, например, апелляционное определение СК по гражданским делам Челябинского областного суда от 14.12.2015 по делу N 11-14292/2015, решение Советского районного суда г. Махачкалы Республики Дагестан от 08.09.2016 по делу N 12-636/2016).
Как было сказано выше, ЭП является аналогом собственноручной подписи, ответственность за исполнение которой лежит на ее владельце. Непосредственно же передачу права использования ЭП от ее владельца иному лицу N 63-ФЗ не предполагает. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования (смотрите, например, Пятого арбитражного апелляционного суда от 14.03.2016 N 05АП-1119/16, Ленинского районного суда г. Владивостока Приморского края от 08.12.2014 по делу N 5-1087/2014).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Павлова Наталия
Ответ прошел контроль качества
Электронно-цифровая подпись (ЭЦП) приравнивается к обычной подписи человека и, соответственно, имеет такую же юридическую силу. Но в силу того, что она, как правило, оформляется на внешнем носителе электронной информации, риск того, что ею может воспользоваться посторонний человек очень велик. Кто в этом случае будет нести ответственность и в какой мере?
Можно ли передавать личную ЭЦП другому человеку?
Все вопросы, связанные с ЭЦП регулируются Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ. Но в нем нет, ни прямого разрешения, ни запрета на передачу носителя с подписью другому лицу. Указано лишь то, что использование подписи без согласия ее владельца считается незаконным (ст. 10 закона № 63-ФЗ).
Таким образом, есть два мнения о возможности передачи ЭЦП другому лицу. Некоторые представители Минкомсвязи и ФНС говорят о том, что такую подпись можно передавать лицу, которому предаются полномочия владельца электронной подписи. Например, когда на время отпуска директора или главного бухгалтера их обязанности возлагаются на другое лицо, и которому предоставляется право подписи соответствующих документов.
С другой стороны, нарушается основное назначение ЭЦП – идентифицировать конкретное лицо, которое подписало электронный документ.
Если владелец ЭЦП все же решается передать ее другому лицу, то необходимо оформить все документы (приказ, акт приема-передачи), в противном случае вся ответственность ляжет на владельца ЭЦП.
Ответственность за использование чужой ЭЦП
На данный момент ни в одном из сводов законодательства нет статьи, которая бы предусматривала наказание именно за несанкционированное использование ЭЦП , но это не значит, что лицо, совершившее данное правонарушение останется безнаказанным. К нему будут применены соответствующие статьи УК РФ и КоАП.
Рассмотрим несколько примеров.
Пример 1
Бухгалтер самовольно воспользовался подписью руководителя и через программу Клиент – Банк списал со счета организации некоторую сумму в свою пользу. В данном случае против бухгалтера может быть возбуждено уголовное дело по факту хищения, степень наказания будет зависеть от украденной денежной суммы.
Пример 2
Директор предприятия подписал контракт по Госзакупкам электронной подписью своего предшественника (с его ведома) за отсутствием своей собственной. В этом случае, в зависимости от последствий, в отношении директора может быть возбуждено уголовное дело о мошенничестве, либо контракт может быть расторгнут, а организация занесена в реестр недобросовестных.
Пример 3
В связи с большим объемом платежных поручений , которые ежедневно оформляет бухгалтерия фирмы, для ускорения процесса их подписания и отправки директор передал бухгалтеру свою ЭЦП. Поскольку все платежи согласовываются с директором заранее, а позднее им же контролируется оплата, никаких отрицательных последствий, следовательно, и ответственности, это не повлекло, а лишь оптимизировало работу. Но конечно, в подобных ситуациях всегда есть риск, зависящий от степени добросовестности сотрудников.
Ответственность за использование чужой ЭЦП зависит от последствий, которые повлекло это действие. В первую очередь, ответственность ложится на ее владельца, если он не докажет иное.
