что такое компрометация ключа электронной подписи
Что представляет собой компрометация ключей электронной подписи?
В этом споре суд встал на сторону клиента, указав, что компания своевременно известила банк о факте компрометации ключа электронной подписи доступным для него способом, в связи с чем банк должен был прибегнуть к осуществлению дополнительных мероприятий с целью установления действительного волеизъявления клиента на совершение спорных операций.
Вместе с тем, денежные средства были списаны. Решением Арбитражного суда города Москвы от 22.07.2015, оставленным без изменения постановлением Девятого арбитражного апелляционного суда от 19.10.2015, с ОАО «СБЕРБАНК РОССИИ» в пользу ООО «ГОРДОРСТРОЙ» взысканы денежные средства в размере 88 404 416 руб. 67 коп., из которых 86 000 000 руб. — сумма убытков, 2 404 416 руб. 67 коп. — проценты за пользование чужими денежными средствами.
Но существует и противоположная практика. В Определении Верховного Суда РФ от 17.12.2015 № 303-ЭС15-16315 по делу № А51-35104/2014 суд отказал в возмещении убытков, поскольку на момент приема к исполнению распоряжений клиента, а также на момент списания денежных средств с его счета сообщений заявителя в банке еще не имелось.
Данные случаи показывают, насколько серьезно нужно относиться к вопросам компрометации.
Причинами компрометации могут быть совершенно различные факторы, начиная от потери ключей, увольнения сотрудников, которые передают информацию о ключах конкурентам и мошенникам, и заканчивая утечками информации, использованием специальных технических средств.
Что это такое – компрометация ключа электронной подписи
Электронная цифровая подпись (ЭЦП) – это специальная криптографическая комбинация, которая позволяет удостовериться в подлинности документа и/или авторстве человека, подписывающего его, а также проверить дату последних изменений. А вот компрометация ключа электронной подписи – это отсутствие доверия к ЭЦП, подразумевая факт причастности к данным третьих лиц. Рассмотрим этот момент подробнее.
Понятие
Как таковое определение компрометации ключа электронной подписи в действующем российском законодательстве отсутствует. Однако под нею принято понимать потерю доверия к тому, что используемые ключи обеспечивают безопасность информации (см. например, разд. 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).
Как ни странно, про компрометацию ключа электронной подписи Федеральный закон «Об электронной подписи» 2011 года № 63-ФЗ ничего не говорит.
Вместе с тем за компрометацию ключа электронной подписи по 63-ФЗ отвечает не только её владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.
Когда наступает компрометация ключа ЭЦП
Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:
Владелец электронного ключа самостоятельно определяет риски и возможные последствия, при которых шифр мог оказаться у посторонних людей.
Напрямую ответственность за компрометацию ключа электронной подписи законом не установлена. Она может выражаться в отобрании ЭЦП, а также последующем преследовании за нарушение режима конфиденциальности закрытых сведений (например, когда компрометация ключа привела к разглашению коммерческой тайны).
Порядок действий при компрометации ключа
Пользователь, обнаруживший или заподозривший возможную компрометацию, по общему правилу обязан выполнить следующие шаги:
Обычно скомпрометированный ключ отзывают в течение получаса после заявления, но при этом не удаляют из системы в целях безопасности. Далее пользователь по желанию может заказать изготовление нового шифра.
Что такое компрометация ключа электронной подписи
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Приказ Федерального казначейства от 23 декабря 2011 г. № 621 “Об утверждении регламента организации работы с сертификатами ключей проверки электронных подписей”
В соответствии с приказом Министерства финансов Российской Федерации от 21 июля 2011 г. № 86н «Об утверждении порядка предоставления информации государственным (муниципальным) учреждением, ее размещения на официальном сайте в сети Интернет и ведения указанного сайта» и совместным приказом Министерства экономического развития Российской Федерации и Федерального казначейства от 14.12.2010 № 647/22н «Об утверждении Порядка регистрации пользователей на официальном сайте Российской Федерации в сети Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг», приказываю:
1. Утвердить прилагаемый Регламент организации работы с сертификатами ключей проверки электронных подписей.
2. Настоящий приказ вступает в силу с 1 января 2012 года.
| Руководитель | Р.Е. Артюхин |
Регламент
организации работы с сертификатами ключей проверки электронных подписей
(утв. приказом Федерального казначейства от 23 декабря 2011 г. № 621)
1. Термины и определения
2. Общие положения
2.1. Настоящий Регламент определяет основные правила получения и использования сертификатов уполномоченными лицами Участника.
2.2. Мероприятия по управлению сертификатами (выдача, аннулирование, приостановление/возобновление действия) осуществляются РЦР, в случае положительного результата проверки документов, представленных в установленном порядке Участником Организатору для работы на Официальном сайте.
3. Подготовительные мероприятия
3.1. Организатор передает Участнику во временное пользование:
— ПО для формирования ключей ЭП, файлов запросов и заявлений на получение сертификатов (Приложение № 1 к настоящему Регламенту)*;
— СКЗИ (в порядке, установленном Организатором);
— Эксплуатационную документацию на передаваемое ПО и СКЗИ.
3.2. Участник обеспечивает установку переданного в соответствии с п. 3.2.2 настоящего Регламента ПО.
3.3. Участник, используя полученное от Организатора ПО, обеспечивает формирование ключей ЭП, файла запроса, распечатку и подпись заявлений на получение сертификатов уполномоченными лицами Участника, заверяет их собственноручной подписью руководителя (или полномочного должностного лица) Участника и печатью Участника.
4. Порядок первичного получения сертификатов
4.1. Для первичного получения сертификата уполномоченное лицо Участника представляет в РЦР:
4.1.1. Файл Запроса на сертификат** на съемном носителе информации (дискета или др.) на издание сертификата;
4.1.2. Заявление на получение сертификата на бумажном носителе (Приложение № 1 к настоящему Регламенту);
4.1.3. Документ, удостоверяющий личность уполномоченного лица Участника (его доверенного лица);
4.1.4. Заверенную копию приказа о назначении полномочного должностного лица Участника (в случае, если заявление на получение сертификата заверено не руководителем Участника);
4.1.5. Оформленную в установленном порядке от уполномоченного лица Участника доверенность (при получении сертификата по доверенности).
4.2. В случае не предъявления указанных в п. 4.1 документов или несоответствии данных Запроса сведениям, представленным в заявлении на получение сертификата, уполномоченному лицу Участника отказывается в выдаче сертификата.
4.3. В течение 5-х рабочих дней после представления документов уполномоченное лицо Участника информируется о готовности сертификата по электронной почте, адрес которой указан в Запросе, либо другим согласованным с уполномоченным лицом Участника способом.
4.4. После издания сертификата уполномоченному лицу Участника передаются:
— электронные копии файла сертификата и файла корневого сертификата УУЦ (на съемном носителе информации, предоставляемом уполномоченным лицом Участника);
4.5. Участник обеспечивает установку полученных в РЦР файлов сертификатов на АРМ, с которого будет осуществляться работа с Официальным сайтом, и выполнение настроек согласно эксплуатационной документации.
5. Порядок плановой смены сертификатов
5.1. Плановая смена сертификатов осуществляется в течение 10 рабочих дней до окончания срока их действия по обращению Владельца сертификата (или его доверенного лица) в РЦР по месту получения сертификата.
5.3. В течение 5-х рабочих дней после представления документов уполномоченное лицо Участника информируется о готовности сертификата по электронной почте, адрес которой указан в Запросе, либо другим согласованным с уполномоченным лицом Участника способом.
5.4. Получение и установка сертификата в рамках плановой смены осуществляется в порядке согласно п.п. 4.4 и 4.5 настоящего Регламента.
6. Порядок аннулирования сертификата
6.1. Осуществляется аннулирование сертификата в случаях:
— компрометации ключа ЭП;
— изменения сведений или полномочий Владельца сертификата или Участника, указанных в сертификате;
— прекращения полномочий Владельца сертификата;
— выхода из строя носителя ключевой информации.
6.2. Аннулирование сертификата при компрометации ключа ЭП.
Запрещается использовать скомпрометированные ключи ЭП для подписи ЭД. ЭД, подписанный скомпрометированным ключом ЭП, считается недействительным и не исполняется.
6.3. При компрометации или подозрении на компрометацию своего ключа ЭП Владелец сертификата должен незамедлительно по телефону заявить в РЦР, выдавший сертификат, об аннулировании сертификата, сообщив причину аннулирования, серийный номер сертификата и номер идентификатора ключей при смене, указанный в бумажной копии соответствующего сертификата.
6.4. При сообщении корректного номера идентификатора ключей Владельца сертификата, действие сертификата приостанавливается. В противном случае РЦР имеет право отказать в приостановлении действия сертификата до получения соответствующего письменного заявления.
6.5. В день обращения в РЦР Владелец сертификата скомпрометированного ключа ЭП должен направить в РЦР, выдавший сертификат, письменное заявление на аннулирование сертификата по форме согласно Приложению № 2 к настоящему Регламенту с указанием даты аннулирования, причины аннулирования и серийного номера сертификата, заверенное подписью руководителя (или полномочного должностного лица) Участника и печатью Участника. В случае, если заявление на аннулирование сертификата не будет представлено, РЦР вправе отказать Владельцу сертификата в получении нового сертификата.
6.7. При изменении сведений или полномочий владельца, указанных в сертификате, аннулирование сертификата осуществляется по письменному заявлению владельца на аннулирование сертификата, представленному в РЦР, где был выдан сертификат, заверенному подписью руководителя (или полномочного должностного лица) Участника и печатью Участника.
6.8. При прекращении полномочий Владельца сертификата аннулирование сертификата осуществляется по письменному заявлению, представленному в РЦР, где был выдан сертификат, заверенному подписью руководителя (или полномочного должностного лица) Участника и печатью Участника. При наличии подключения Участника к СЭД Федерального казначейства допускается направлять заявление об аннулировании сертификата в электронном виде с подписью руководителя (или полномочного должностного лица) Участника.
6.9. При выходе из строя носителя ключевой информации аннулирование сертификата осуществляется по письменному заявлению Владельца сертификата, представленному в РЦР, где был выдан сертификат, заверенному подписью руководителя (или полномочного должностного лица) Участника и печатью Участника.
7. Порядок приостановления действия сертификата
7.1. Приостановление действия сертификата может осуществляться по инициативе Владельца сертификата на период возможного длительного неисполнения обязанностей, связанных с подписанием ЭД, или по инициативе Организатора в случае непредставления Участником информации об изменении реквизитов Участника.
7.2. Приостановление действия сертификата на период возможного длительного неисполнения обязанностей, связанных с подписанием ЭД, осуществляется по письменному заявлению Владельца сертификата, представленному в РЦР по форме согласно Приложению № 2 к настоящему Регламенту, где был выдан сертификат, с указанием даты, причины приостановления действия сертификата и его серийного номера, заверенному подписью руководителя (или полномочного должностного лица) Участника и печатью Участника. При наличии подключения Участника к СЭД Федерального казначейства допускается направлять заявление о приостановлении действия сертификата в электронном виде с электронными подписями Владельца сертификата и руководителя (или полномочного должностного лица) Участника.
8. Порядок возобновления действия сертификатов
8.1. Возобновление действия сертификата после приостановления его действия по инициативе Организатора в случае непредставления информации об изменении реквизитов Участника или в случае непредставления бумажной копии сертификата осуществляется после получения Организатором соответствующих документов, оформленных в установленном порядке.
8.2. Возобновление действия сертификата после приостановления его действия по инициативе Участника на период длительного неисполнения Владельцем сертификата обязанностей, связанных с подписанием ЭД, осуществляется по письменному заявлению Владельца сертификата, в РЦР, где был выдан сертификат, заверенному подписью руководителя (или полномочного должностного лица) Участника и печатью Участника.
* Съёмный носитель для записи ПО предоставляется Участником
** Формируется на этапе генерации ключей ЭП, используя ПО, переданное Участнику
Приложение № 1
к Регламенту организации работы
с сертификатами ключей проверки
электронных подписей
Заявление на получение в Уполномоченном удостоверяющем центре
Федерального казначейства сертификата ключа проверки электронной подписи
В связи с _____________________________________________________________,
предоставлением права использования ЭП, плановой сменой, изменением
реквизитов владельца или указать другую причину
прошу выдать сертификат ключа проверки электронной подписи (ЭП) для
работы со средством криптографической защиты информации (СКЗИ) КриптоПро
CSP участнику информационной системы:
Фамилия, имя, отчество
Полномочие Участника в
сфере размещения заказов
Полномочия Участника на
Официальном сайте ГМУ
Код организации в сводном
Код организации в реестре
На основании ___________________________________________________________
(указать исх. № служебной записки, приказа о предоставлении
полномочий начальника Управления, руководителя)
______________________________________ от «___» _________ 20___ г. № ___
работнику предоставлены полномочия на эксплуатацию СКЗИ и использование
ЭП при электронном документообороте.
Алгоритм открытого ключа:
Распечатка значения ключа проверки ЭП пользователя:
Алгоритм подписи запроса:
Распечатка значения подписи запроса:
Сведения об отношениях, при осуществлении которых электронный документ с
ЭП будет иметь юридическое значение:
— недопустимость признания электронной подписи и (или) подписанного ею
электронного документа не имеющими юридической силы только на основании
того, что такая электронная подпись создана не собственноручно, а с
использованием средств электронной подписи для автоматического создания
и (или) автоматической проверки электронных подписей в информационной
Расширенное назначение сертификата ключа проверки ЭП:
Наименование средств ЭП, с которыми используется данный ключ проверки
— СКЗИ КриптоПро CSP
— Сертификат предназначен для обмена электронными документами с
Общероссийским официальным сайтом(OID).
— Сертификат предназначен для обмена электронными документами с
Официальным сайтом ГМУ(OID).
— Сертификат предназначен для АРМ СЭД (OID).
— Сертификат предназначен для внутриведомственного документооборота
Владелец ключей ЭП ___________________________________________
«___» _________ 20___ г.
Директор (Руководитель) ___________________________________________
«___» _________ 20___ г.
* В данном поле указывается полный список полномочий пользователя (владельца сертификата ключа ЭП) в системах Федерального казначейства, в которых может использоваться данный сертификат
** Курсивом приведены примеры значений Назначения сертификата. Полный перечень возможных значений приведён в документе «Правила пользования единым универсальным сертификатом»
Приложение № 2
к Регламенту организации работы
с сертификатами ключей проверки
электронных подписей
Заявление на аннулирование (приостановление действия)
в Уполномоченном удостоверяющем центре Федерального казначейства
сертификата ключа проверки электронной подписи
В связи с ______________________________________________________________
увольнением, изменением реквизитов владельца, уходом в отпуск или
указать другую причину
прошу отозвать (приостановить действие) сертификат(а) ключа проверки
электронной подписи (сертификат).
Наименование организации (сокращенное/краткое): ________________________
Фамилия, Имя, Отчество: ________________________________________________
Контактный телефон: ______________________________________________
Дата выдачи сертификата: ______________________________________________
Дата приостановления действия сертификата: _____________________________
Серийный номер: ______________________________________________
Владелец сертификата: ______________________ «___» _________ 20__ г.
Руководитель организации: ______________________ «___» _________ 20__ г.
МП «___» _________ 20__ г.
Приказ Федерального казначейства от 23 декабря 2011 г. № 621 “Об утверждении регламента организации работы с сертификатами ключей проверки электронных подписей”
Настоящий приказ вступает в силу с 1 января 2012 г.
Текст приказа официально опубликован не был
Обзор документа
Регламентированы правила получения и использования сертификатов ключа проверки электронной подписи (ЭП) уполномоченными лицами организации, представившей в орган Федерального казначейства необходимые документы для работы на официальном сайте (участника).
Выдает, аннулирует, приостанавливает, возобновляет действие сертификатов Региональный центр регистрации (РЦР).
Для первичного получения сертификата уполномоченное лицо участника представляет следующие документы. Запрос на сертификат на съемном носителе (дискете или др.). Заявление на получение сертификата на бумажном носителе (форма приводится). Документ, удостоверяющий личность уполномоченного лица, доверенность и др.
После издания сертификата уполномоченному лицу передаются электронные копии файла сертификата и корневого сертификата УУЦ, а также 2 бумажные копии. Полученные файлы устанавливаются на автоматизированное рабочее место (АРМ), с которого будет осуществляться работа с официальным сайтом.
Плановая смена сертификатов осуществляется в течение 10 рабочих дней до окончания срока их действия. Владельцу сертификата (доверенному лицу) необходимо обратиться в РЦР по месту его получения.
Определен порядок аннулирования, приостановления и возобновления действия сертификатов.
Что делать, если украли электронную подпись?
Мы подготовили инструкцию о том, что делать, если вы потеряли электронную подпись или она оказалась в руках посторонних. Узнайте, как обнаружить пропажу и куда обратиться, чтобы остановить злоумышленников.
Потеря или кража электронной подписи (ЭП) — редкая, но неприятная для владельца подписи ситуация. Чтобы минимизировать ущерб, нужно быстро заметить пропажу и отозвать сертификат. Как выявить пропажу, что делать дальше и каких последствий опасаться — рассказываем в статье.
Как понять, что электронная подпись пропала
Потеря и кража ЭП (или ЭЦП) очевидна, если из вашего офиса вынесли сейф, в котором лежал токен с подписью, носитель пропал из ящика тумбочки или вы думаете, что потеряли электронную подпись. Сложнее заметить пропажу подписи, если ее закрытый ключ скопировали с компьютера или подпись тайком оформил тот, кто завладел вашим паспортом.
С 1 июля 2020 года электронная подпись стала еще более недоступным инструментов для мошенничества. Теперь нельзя получить электронную подпись за другого человека — владелец подписи должен лично встретиться с сотрудниками удостоверяющего центра и подтвердить свою личность.
О компрометации или краже электронной подписи можно узнать несколькими способами:
Главное — если подозреваете, что электронная подпись скомпрометирована, электронный ключ утерян или им кто-то завладел без вашего ведома, отзовите сертификат подписи в удостоверяющем центре и примите меры, описанные ниже.
Что делать, если украли электронную подпись: инструкция
Шаг 1. Отзовите сертификат в удостоверяющем центре
Напишите в УЦ заявление на отзыв сертификата ЭП, как только поймете, что ваша подпись попала в руки посторонних. Чем раньше вы аннулируете сертификат, тем меньше незаконных операций от вашего имени они проведут.
Шаг 2. Подайте в налоговую заявление о недостоверности данных
Это шаг для тех, от чьего имени незаконно подали налоговую декларацию, зарегистрировали компанию или совершили другое действие в налоговой.
Если за вас сдали отчетность, как можно скорее посетите ближайшую налоговую инспекцию и подайте заявление в произвольной форме о недостоверности сведений.
Если на вас зарегистрировали компанию, то нужно посетить налоговую инспекцию, в которой на учете стоит фиктивная организация. Узнать, в какую именно, можно в выписке из ЕГРЮЛ. Подайте заявление в произвольной форме о том, что не регистрировали юрлицо. Что нужно указать в заявлении, разъяснила налоговая.
Шаг 3. Подайте заявление в полицию
Если действия посторонних с вашей электронной подписью причинили ущерб, то подайте заявление в полицию по месту своего жительства или по месту нахождения налоговой инспекции, в которой зарегистрировали фиктивное юрлицо. К заявлению приложите копии документов из УЦ. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минкомсвязь.
Возможно от вашего имени успеют провести незаконную сделку или подписать значимые документы. Тогда вы можете обратиться в суд и аннулировать договор или признать документы недействительными. Так, в октябре 2019 года суд признал недействительным договор купли-продажи квартиры, которую мошенники украли у москвича с помощью электронной подписи. Разбирательство заняло около полугода.
Как отозвать электронную подпись
Если вы потеряли ЭЦП или ее у вас украли, как можно скорее отзовите сертификат. Тогда посторонние люди не смогут им воспользоваться. Для этого напишите заявление на отзыв сертификата и передайте его в удостоверяющий центр, выпустивший сертификат.
Бланк для заявления вам выдадут в офисе УЦ, на нем нужно будет поставить свою рукописную подпись и печать компании. Также бланк можно заранее получить по электронной почте. Для этого позвоните в техподдержку УЦ. Еще один способ получить бланк — скачать с сайта УЦ. Для клиентов удостоверяющего центра СКБ Контур форма для заявления опубликована в разделе «Документы».
Сертификат будет отозван в течение 12 часов с момента, как УЦ примет ваше заявление. Проверить это можно на сайте удостоверяющего центра — там будет опубликован список отозванных сертификатов. Списки обновляются каждые 12 часов.
Большинство УЦ без проблем отзывают подпись по заявлению владельца. Но если УЦ откажется прекращать действие сертификата, необходимо обратиться в Минкомсвязь или суд. Когда в суде будет доказано, что законный владелец потерял ключ электронной подписи или просто им не владеет, УЦ будет обязан аннулировать сертификат.
Что будет, если не отозвать электронную подпись
Злоумышленники редко охотятся за электронными подписями физлиц, поскольку риск быть пойманным очень высок, а суммы махинаций сравнительно небольшие. Однако с такой подписью они могут открыть фиктивные фирмы или ИП, оформить кредит и подписать любые документы вместо владельца.
Раньше мошенники также могли украсть квартиру с помощью ЭП, однако теперь это невозможно. С 12 августа 2019 года электронная продажа квартир, которыми владеют физлица, запрещена по умолчанию. Чтобы провести сделку онлайн, собственник должен сначала передать свое согласие в Росреестр — лично или по почте. Нет согласия на электронные сделки — нет возможности украсть недвижимость с помощью подписи.
Для юридических лиц последствия кражи электронной подписи более серьезные. Чаще всего мошенникам интересны ЭП руководителя, бухгалтера или сотрудника с генеральной доверенностью — с ними можно провести махинации на большие суммы:
Чтобы минимизировать эти риски или полностью избежать их, нужно отзывать сертификат ЭП, как только стало известно о краже или утере электронного ключа.
Помните, что действия мошенников с ЭП можно аннулировать. Суды часто встают на сторону потерпевших и признают недействительным договор, подписанный украденной электронной подписью. Также благодаря тому, что мошенник «засветился» в УЦ при получении незаконной ЭП, полиция с высокой вероятностью найдет его и поможет возместить ущерб.