25 июня

Защита ЭЦП: от чего, зачем и как защищать

Существует еще 2 вида ЭЦП: простая и неквалифицированная. Но скорее всего это не про вашу компанию. Чтобы простая и неквалифицированная ЭЦП придали юридическую значимость подписанному с их помощью документу, требуется дополнительное соглашение между подписантами о правилах их применения и признания. Простая подпись к тому же не гарантирует неизменность содержимого документа.

Нововведения, касающиеся ЭЦП, с 1 июля 2021 и 1 января 2022 г. Придется немного пересмотреть защиту

С 1 июля 2021 вступает в действие часть поправок к Федеральному закону от 06.04.2011 № 63-ФЗ. Начиная с этой даты ФНС начнет выдавать КЭП для юридических лиц, ИП и нотариусов бесплатно. Физические лица смогут получить подпись в удостоверяющих центрах (УЦ), которые прошли аккредитацию по новым правилам (перечень УЦ станет известен в июле 2021).

К слову, подписи, полученные до этого времени, все еще продолжат работать. Это сделано, чтобы обеспечить бесшовный переход к новому порядку.

Остальные поправки начнут действовать 1 января 2022 года. И, пожалуй, самое существенное изменение — использование подписи физического лица для подписания документов от имени юридического. То есть сотрудники компании будут подписывать корпоративные документы собственной КЭП физлица. При этом она будет «усиливаться» электронной (машиночитаемой) доверенностью. С учетом этого факта многим компаниям, возможно, придется пересмотреть систему защиты ЭЦП. Нужно будет защищать:

ЭЦП юрлица. Она в организации будет одна (выдается на руководителя).
Подписи сотрудников компании, которые будут выступать в роли подписантов от ее лица.

Электронную доверенность.

Получается, что объектов, которые нужно защищать, в компании может стать больше. А это — повод пересмотреть систему защиты.

Что за документ электронная доверенность, пока (по состоянию на июнь 2021) ясности нет. Как с ним работать, и как защищать, станет понятно ближе к 2022 году. Мы будем отслеживать этот момент, и обязательно ознакомим вас со всеми нюансами. Следите за информацией в блоге.

Как ЭЦП может быть скомпрометирована и каких ждать последствий

Существует несколько вариантов хранения ЭЦП. Один из крупнейших российских УЦ, которому мы задали вопрос на этот счет, ответил так: «В данный момент подпись можно записать на специализированный носитель (токен), на обычную флешку, на не системный жесткий диск или в реестр компьютера. Есть некоторые исключения (к примеру, подпись для ФТС или ЕГАИС алкоголь), которые можно записывать только на токены».

На практике чаще всего используется 2 варианта: реестр компьютера и специализированный носитель (токен). Давайте рассмотрим, как ЭЦП может быть скомпрометирована в этом случае.

Компрометация ЭЦП, записанной на токен

В Федеральном законе от 06.04.2011 №63-ФЗ «Об электронной подписи» указывается на то, что участники взаимодействия с использованием ЭЦП не должны допускать применения своей электронной подписи другими лицами.

Получается, если токен руководителя попал чужие руки, речь идет о компрометации. В таком случае нужно обратиться в УЦ для отзыва сертификата ЭЦП и получения новой подписи. Но чего греха таить, во многих компаниях токеном с ЭЦП спокойно пользуется бухгалтер (а иногда и другие сотрудники). Здесь уже все на ваш страх и риск: решайте сами, доверять работникам или нет.

После 2021 года можно будет отказаться от передачи токенов сотрудников. Ведь они смогут подписывать документы личной ЭЦП физлица с доверенностью (об этом мы писали выше). Однако запрета на передачу подписи третьему лицу никто не отменял.

Получается, что компрометация электронной подписи на токене связана со случаями ее попадания не в те руки. Сюда же можно отнести:

Хищение носителя.

Его выход из строя или разрушение. Ведь это может быть сделано намеренно, после несанкционированного использования.
Нарушение целостности печати на сейфе, где хранится токен или потеря к нему физического доступа.
Кстати, увольнение сотрудника, на которого была оформлена ЭЦП, — это тоже компрометация. Нужно сразу же (а лучше еще до фактического увольнения) аннулировать его сертификат электронной подписи.

Компрометация ЭЦП при хранении в реестре компьютера

Здесь все примерно так же, как и в предыдущем случае. Компьютером, в реестр которого записан закрытый ключ ЭЦП, в идеале, должен пользоваться только тот, на чье имя выдана подпись. Опять же, если имел место несанкционированный доступ, кража ноутбука с закрытым ключом ЭЦП в реестре, выход из строя, потеря доступа, увольнение сотрудника и другие инциденты, можно говорить о компрометации со всеми вытекающими.

Как еще злоумышленники могут завладеть ЭЦП

Существует еще несколько угроз для квалифицированной ЭЦП:

Несанкционированное копирование. Актуально для случая, когда подпись хранится в реестре. Скопировать подпись с токена, прошедшего сертификацию, невозможно.
Удаленный доступ к компьютеру с ЭЦП в реестре или с постоянно подключенным токеном (да, многие оставляют его в USB-разъеме, чтобы постоянно не дергать туда-сюда).

Подбор PIN-кода к контейнеру. Но это если сильно повезет злоумышленнику: на ввод есть только 10 попыток.

А чего бояться не стоит? По крайней мере пока

Из некоторых источников можно услышать «страшилки» про того, что злоумышленники могут расшифровать закрытый ключ ЭЦП по открытому. Теоретически это возможно. Но на практике в современных реалиях реализовать такую схему не получится. При генерации пары ключей подписи применяется факторизация или дискретное логарифмирование. Они обеспечивают высокий уровень защиты (подробнее здесь). Подобрать ключ можно только методом полного перебора. Учитывая использование 64 или 128-битного шифрования и немалую длину ключа, сделать это быстро не в состоянии ни один современный суперкомпьютер: быстрее закончится срок действия ЭЦП, чем удастся подобрать комбинацию. Возможно, в будущем и появятся супермощные компьютеры, которым такой подбор будет под силу. Но это точно произойдет не в ближайшие несколько лет. Так что, можете не волноваться.

А чем грозит компании компрометация ЭЦП

Последствия могут быть серьезными. Ведь с помощью ЭЦП можно управлять различными процессами в компании. Злоумышленники, завладевшие подписью, могут взять от имени юрлица кредит и вывести деньги на подконтрольные счета, намеренно исказить отчетность, провернуть мошенническую схему с возвратом НДС и выводом денег и так далее. В общем встрять можно серьезно.

Что делать при подозрении на завладение ЭЦП злоумышленниками

Сразу обратитесь в удостоверяющий центр, который выдал электронную подпись. Сертификат на нее необходимо аннулировать, и тогда ЭЦП невозможно будет воспользоваться.

Как защитить ЭЦП при приобретении и при эксплуатации

Подумать о защите нужно уже на этапе оформления ЭЦП. Делать это необходимо только в сертифицированных по новым правилам УЦ. Список таких центров есть на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.

Но все-таки безопасность ЭЦП и вашего бизнеса зависит от вас самих. Защитить электронную подпись помогут следующие меры и средства:

PIN-код для контейнера. Очень редко в УЦ пользователям говорят о необходимости смены PIN-кода для токена. По умолчанию он 123456789 или что-то в этом роде. 10 попыток для ввода злоумышленникам может быть достаточно, чтобы подобрать пин. Поэтому после получения токена сразу меняйте на нем пин. И проконтролируйте, чтобы это сделали ваши сотрудники, которые будут получать подписи физлица после 1 января 2022 года и использовать их в работе.

Антивирусное ПО. Антивирус обнаруживает «трояны» и другие вредоносы, которые могут «вытащить» секретный ключ из реестра или обеспечить злоумышленникам возможность удаленного управления зараженным компьютером.
DLP-системы. Далеко не для каждой компании они актуальны (о внедрении, как правило, начинают думать, если в парке 50+ компьютеров). Система предотвращения утечек своевременно выявляет и блокирует несанкционированную передачу важных данных (среди которых может быть и закрытый ключ ЭЦП) за пределы охраняемого информационного периметра.

Двухфакторная аутентификация на рабочих компьютерах. Даже если злоумышленнику удастся получить физический или удаленный доступ к компьютеру, при наличии 2FA они ничего не сможет сделать.

Регулярное обновление баз антивирусных систем, компонентов операционных систем на рабочих станциях и других решений, а также «латание дыр» безопасности. Полезные для этого сведения можно почерпнуть, например, из Базы данных угроз ФСТЭК России. А крупным компаниям, по которым инциденты с ЭЦП могут ударить очень сильно, есть смысл подумать об услугах коммерческого SOC, который подключен к ГосСОПКА или другим подобным системам. Он возьмет на себя отслеживание и устранение всех уязвимостей в системе информационной безопасности.

Ну и конечно же, должна быть выстроена эффективная работа с персоналом. Сотрудники должны знать о недопустимости передачи ЭЦП третьим лицам, о критериях компрометации подписи, о действиях при наступлении таких событий. Человеческий фактор все-таки никто не отменял. Ведь именно из-за него все еще происходит большинство инцидентов в области информационной безопасности.