ЯК ЗАХИСТИТИ СВІЙ ЕЛЕКТРОННИЙ ПІДПИС ВІД ШАХРАЇВ

 


В часи цифрової трансформації та «діджиталізації»  багато різноманітних  послуг перейшли в онлайн – простір. Багато операцій можна провести, не виходячи з дому: від банальної купівлі в інтернет- крамниці чи  реєстрації (прописки) в житлі до укладання договорів  з нерухомості або фінансових угод.  

І, саме тому,  паперова форма документів, договорів та актів  поступово відходить у минуле. Все більше угод підтверджується за допомогою  Електронного Цифрового Підпису (ЕЦП), який підтверджує юридичну силу правовідносин між фізичними та юридичними особами, спрощується багато операцій.

Про ЕЦП,  способи його отримання та сфери використання докладніше  у публікації

«ЕЛЕКТРОННИЙ ПІДПИС: ДЛЯ ЧОГО ПОТРІБЕН І ЯК ЙОГО ОТРИМАТИ»

за посиланням

https://www.blogger.com/blog/post/edit/1781339381633819439/5437132949157016551

Але шахраї теж не стоять осторонь. Сьогодні фіксують багато злочинів, пов’язаних  з «цифровізацією». Люди (не без допомоги ЕЦП) за декілька секунд позбавляються своєї власності або заощаджень, а іноді, самі того не підозрюючи, стають  власниками кредиту або фірми-одноденки.

Особи, отримавши доступ до КЕП, можуть здійснювати юридично значимі дії від імені компанії або в особистих цілях. Наприклад, підписати фінансовий документ, отримати грошові кошти в банку або перерахувати їх на рахунок зловмисника.

Як же можна без згоди власника підпису вчинити протиправні дії з ЕЦП?

Бо, якщо є зразок оригіналу фізичного  підпису людини, то підробити її для професійного шахрая не складе труднощів, а ось використовувати її без відома власника набагато складніше.

Наприклад, керівник компанії перед своїм відходом у відпустку на всякий випадок залишив свій підпис на порожньому бланку. Деякі його підлеглі можуть скористатися ситуацією і вчинити шахрайські дії, які згодом завдадуть шкоди компанії.

А що з електронним підписом?

Згідно з законом “Про довірчі послуги” (текст за посиланням

https://zakon.rada.gov.ua/laws/show/2155-19#Text ), що діє в  Україні з 7 листопада 2018 року, електронний підпис може бути трьох категорій:

        простий електронний підпис та печатка — низький рівень довіри;

        удосконалений електронний підпис та печатка — середній рівень довіри;

        кваліфікований електронний підпис та печатка — високий рівень довіри.

САМЕ ТА ЛИШЕ КВАЛІФІКОВАНИЙ ЕЛЕКТРОННИЙ ПІДПИС (тобто, підпис з високим рівнем довіри) прирівнюється до власноручного (частина 4 статті 18 Закону про ЕДП).

При розробці цифрової моделі електронного підпису перед Державною службою спеціального зв’язку та захисту інформації України були поставлені високі вимоги щодо захисту від підробок різного роду: підписів, ключів і т.д. Реалізували їх за рахунок криптошифрування інформації. Найбільш вразливим і небезпечним в даному випадку виявився простір за межами інтернету.

Ось основні правила захисту користувача ЕЦП (КЕП) від несанкціонованого доступу до його кваліфікованого електронного підпису.

ВИБЕРІТЬ НАДІЙНИЙ СПОСІБ ЗБЕРІГАННЯ ЕЦП. 

Кваліфіковані надавачі електронних довірчих послуг (АЦСК) – це інстанції, що формують ваш підпис ,  видавати кваліфікований електронний підпис на:

·        звичайному флеш-носії або оптичному носії CD/DVD (можна принести свою флешку або купити в місці отримання електронного підпису,

·        захищеному носії особистих ключів.

·        Також кваліфікований електронний підпис може зберігатися на сім-карті особи, у випадку отримання послуги Mobile ID.

·        Нещодавно PrivatBank ввів послугу SmartID — в цьому випадку КЕП зберігається у хмарі, а саме на серверах банку.

Як ще уникнути небезпеки -  крадіжки електронного ключа, адже зловмисники можуть викрасти ключ з, отримавши інсайдерську (внутрішньоорганізаційну) інформацію про спосіб його зберігання.

Основні способи крадіжки, саме на ці моменти в роботі з ЕЦП слід звертати увагу.

·        Власник особисто передав електронний підпис людині, яка використала його довіру в своїх цілях.

·        Шахрай вкрав носій ключа КЕП.

·        Один з найбільш трудомістких способів — взлом корпоративної системи в компанії.

·        Випуск КЕП шляхом обману центру сертифікації ключів (ЦСК, раніше акредитовані ЦСК). Шахраї можуть отримати електронний підпис, надавши підроблені документи. У такій ситуації людина або представник компанії навіть може не знати про його випуску. (Співробітник ЦСК, який приймає документи, повинен проявляти уважність і спостережливість при роботі з кожним клієнтом, бути тонким психологом. І все це для того, щоб вчасно розпізнати перед собою зловмисника.)

ЯК ЖЕ ВИКОРИСТОВУВАТИ КЕП БЕЗПЕЧНО:

·        Нікому не передавати файл ключа чи закритий ключ. Є достатньо історій про колишніх співробітників, які використовували КЕП підприємства для помсти чи власного збагачення. Бухгалтерів та відповідальних за підписання документів співробітників треба наділити повноваженнями та видати їм власні е-підписи через SmartID.

·        Придумати складний пароль до закритого ключа. Послідовність цифр від 1 до 8 чи дату народження запам'ятати легко, але це перше що спробують шахраї, намагаючись підібрати закритий ключ до файлу КЕП. Чим складніший пароль, тим важче буде використати е-підпис.Дотримуватися цифрової гігієни.

·        Робочий комп'ютер, на якому збережений файл ключа, має бути як мінімум захищений паролем. Не завадять також антивірусні програми та вибірковість до підозрілих файлів, програм чи листів.

Дотримуючись таких правил можна серйозно зменшити вірогідність того, що ваш КЕП потрапить в руки шахраїв.

Коментарі