Избегайте уязвимости: рекомендации по защите электронной подписи
По мнению экспертов в области электронной подписи можно выделить три типа мошеннических схем.
Первый тип — атаки на программное обеспечение. В этом случае злоумышленники анализируют средства защиты электронной подписи, ищут уязвимости и пытаются заставить пользователей подписывать документы, которые им не нужны. Вероятность успешной атаки на программное обеспечение электронной подписи стремится к нулю. Однако мы все же рассмотрим редкий случай, когда это теоретически возможно — если используется простая электронная подпись (например, логин-пароль, код из СМС). Этот тип электронной подписи обладает меньшей степенью защиты по сравнению с усиленными электронными подписями, созданными с использованием криптографических систем.
Второй тип мошенничества — атаки на инфраструктуру (сетевую среду, операционную систему). По словам эксперта, самая распространенная атака — это DDoS (Distributed Denial of Service), когда сервер перегружается из-за множества устройств, затрудняющих доступ для обычных пользователей. Ежедневно совершается огромное множество DDoS-атак сайтов удостоверяющих центров и на узлы инфраструктуры в России, но, по большому счету, они были неудачными. Российские специалисты научились справляться с такими атаками на высоком уровне.
Третий тип — социальная инженерия (обман людей). 99% схем мошенничества с использованием электронной подписи - это именно мошенничество, а не хакерские атаки. Например, подделка паспорта и получение на него сертификата электронной подписи, обман сотрудника или пользователя, украденный PIN-код от токена и так далее. Такие случаи не связаны с надежностью технологии - это исключительно человеческий фактор, вызванный нарушением правил безопасности. Если вашу электронную подпись украдут мошенники, они смогут подписать любой документ. На практике мошенников, использующих методы социальной инженерии, можно раскрыть, так как электронная подпись оставляет множество цифровых следов и доказательств.
Специалисты предлагают ряд рекомендаций, которые помогут избежать хакерских атак и мошеннических схем с использованием электронной подписи:
- следует использовать надежные сервисы электронной подписи с криптографическим шифрованием, хорошей репутацией и сертификацией, а также с неизвлекаемыми ключами;
- не передавайте свои электронные подписи другим людям, а также не передавайте другим на хранение носители электронной подписи, мобильные телефоны или персональные компьютеры;
- регулярно проверяйте раздел «Сертификаты электронной подписи» на портале «Госуслуги», где отображаются все выданные вам сертификаты электронной подписи;
- также рекомендуется проверять свою электронную почту, привязанную к учетной записи, чтобы получать уведомления о выдаче сертификатов электронной подписи на ваше имя;
- храните паспорт и другие документы в надежном месте. Регулярно обновляйте приложения и программы до последних версий. Используйте антивирусное программное обеспечение.
Кроме того, специалисты рекомендуют тщательно анализировать источник, который запрашивает вашу информацию, использовать разные пароли для учетных записей, включить двухфакторную аутентификацию и использовать машиночитаемую доверенность (МЧД), чтобы предоставлять доступ к своей подписи определенным лицам. Например, генеральный директор может выдать МЧД, указывающую, что бухгалтер также может использовать его электронную подпись для подписания отчетности.