ЭЛЕКТРОННАЯ ПОДПИСЬ ВОССТАНОВИТЬ ИЛИ ВЫДАТЬ НОВУЮ

Что это и как использовать

Рутокен — это вид ключевого носителя (токена). Он хранит электронную подпись и цифровой сертификат. В отличие от флешки, на токенах данные защищены паролем и дополнительными средствами безопасности. Рутокены имеют сертификацию ФСТЭК/ФСБ, что соответствует требованиям 63-ФЗ.

Владелец ЭП может обнаружить проблемы с использованием электронного метода заверения документа. К примеру, удаление или утерю цифровой подписи (ЦП). В статье рассмотрим возможность восстановления ЦП, расскажем, что делать при ее утрате или противоправном применении другим человеком.

Можно ли переоформить «старую» ЦП?

В целях безопасности не предусмотрена возможность восстановить ЭП – потребуется создавать ее заново. Восстанавливают утраченную ЦП лишь в ряде случаев. Далее необходимо разобраться во всех тонкостях использования подписи.

Она представлена тремя компонентами:

В восстановлении электронной подписи заинтересованы те ее владельцы, которые удалили ключи ЦП или потеряли носитель с файлами доступа.

Компьютер безвозвратно стирает данные ЦП из памяти в случае их удаления пользователем. Такие меры предосторожности обеспечивают безопасность и защиту личной информации от действий мошенников.

ЭЦП:  КАК ПРОВЕРИТЬ ЭЛЕКТРОННУЮ ПОДПИСЬ В ЛИЧНОМ КАБИНЕТЕ НА САЙТЕ ГОСУСЛУГ

Два условия для восстановления файлов доступа и сертификата ЭП:

Отсутствуют механизмы восстановления ЭП при ее утере или нелегитимном использовании другим человеком. Потеря токена означает утрату ключей подписи. Невозможно вторичное создание общедоступного и закрытого ключей, так как они представляют собой цифровые знаки. Их совокупность уникальна. В этом случае необходима новая ЦП.

Не существует исключительного способа восстановления потерянной подписи.

Зачастую ЦП не восстанавливают, для продолжения работы с документацией потребуется генерирование новых ключей и сертификата. Менеджеры компании проконсультируют по возникшим вопросам и помогут оформить ЭП.


ЭЛЕКТРОННАЯ ПОДПИСЬ ВОССТАНОВИТЬ ИЛИ ВЫДАТЬ НОВУЮ

Что делать, если гражданин, индивидуальный предприниматель или руководитель организации потерял носитель (USB-токен), на котором хранился контейнер с ключами и сертификатом усиленной квалифицированной электронной подписи? Чем в этой ситуации грозит промедление?

Утрата контроля над носителем влечет компрометацию ключа электронной подписи (ЭП). Говоря, что «ключ ЭП был скомпрометирован», мы имеем в виду, что у владельца ЭП появились сомнения в сохранности тайны ключа ЭП, так как предположительно произошло хищение или утеря ключа электронной подписи, и к нему могли получить доступ посторонние лица.

Согласно Ст.10 закона № 63-ФЗ от 06.04.2011 «Об электронной подписи» владелец ЭП обязан обеспечить безопасность хранения и применения ЭП, а в случае компрометации (утраты, хищения, передачи другим лицам) должен принять меры для отзыва сертификата. Отсюда вывод — пока сертификат ЭП действующий, ответственность за несоблюдение конфиденциальности сертификата и ключей ЭП и их использования третьими лицами несёт владелец ЭП.

Чем рискует владелец утерянного сертификата ЭП?

Документы, заверенные усиленной квалифицированной электронной подписью, признаются юридически значимыми, то есть равнозначны документам на бумаге, подписанным собственноручной подписью (п.1 ст.6 Закона № 63-ФЗ).

Проблема в том, что при установлении реального подписанта электронных документов нельзя назначить графологическую экспертизу: подписантом электронных документов считается владелец, указанный в сертификате ЭП.

В чем опасность утерянной ЭП

За время, пока носитель с ЭП не под вашим контролем, им могут воспользоваться злоумышленники. К каким негативным сценариям и непредсказуемым последствиям это может привести?

Потеря денежных средств на банковском счете и потеря имущества

Используя вашу электронную подпись, злоумышленники могут подписать фиктивный договор по продаже имущества (автомобиля, недвижимости, техники или оборудования) компании. Деньги выводятся с расчетного счета, а факт кражи юридически доказать не получится, если все платежки подписаны вашей ЭП.

Несанкционированное подписание документов и отчетности

Завладев чужой ЭП, мошенники смогут подписывать любые документы от лица компании/ИП, в том числе недостоверную отчетность для незаконного возмещения НДС. Смогут заключать фиктивные договоры с контрагентами на невыгодных условиях, подписывать закрывающие документы на крупные суммы.

«Рейдерский захват» компании

Злоумышленники могут внести изменения в данные ЕГРЮЛ/ЕГРИП путем подачи в регистрирующий орган заявления в электронной форме. Например, сменят руководителя: бизнес переоформят на другого человека и выведут активы компании. С помощью ЭП допускается подать заявление на закрытие ИП или начать процедуру ликвидации ООО.

Порча репутации фирмы на порталах закупок

Частый сценарий, по которому действуют злоумышленники-конкуренты, — это незаконное участие в электронных торгах. С помощью украденной ЭП можно поучаствовать и выиграть тендер на невыгодных условиях. Если компания не выполнит обязательства по тендеру, то ее репутация испортится: в будущем она не сможет получить допуск к другим закупкам и работать с этим госпорталом.

Регистрация фирм-однодневок на владельца ЭП

Если злоумышленники воспользуются ЭП физлица, то этого человека без его ведома сделают номинальным руководителем фирм-однодневок. Таким способом мошенники «вешают» на номинального руководителя штрафы и долги, которые числятся за компанией. Ответственность за противозаконную деятельность несет руководитель фирмы-однодневки, электронной подписью которого заверены фиктивные документы.

Оформление кредитов

На владельца ЭП могут оформить микрозаймы. Для получения микрокредитов не требуется большой список документов, процедура оформления часто проходит онлайн. С помощью ЭП злоумышленники берут микрозаймы сразу в нескольких МФО на имя владельца сертификата ЭП и успевают вывести эти деньги. Такие действия влекут за собой большие денежные потери и долгие разбирательства для пострадавшего, так как у подобных займов установлен очень большой процент.

Заказ других ЭП

Владея действующей ЭП и персональными данными владельца, мошенники смогут оформить «дополнительные» ЭП в удостоверяющих центрах, которые при выпуске сертификата ЭП не требуют личного присутствия владельца (так называемый «безбумажный» дистанционный выпуск ЭП). Таким образом мошенники будут продолжать совершать противоправные действия, даже в том случае, если владелец ЭП спустя время аннулирует потерянную ЭП.

Оформление фиктивных машиночитаемых доверенностей

С помощью ЭП индивидуального предпринимателя или руководителя злоумышленники могут оформить на других физлиц машиночитаемые доверенности (МЧД) с самым широким спектром полномочий по подписанию договоров, участию в тендерах и представлению отчетности в контролирующие органы.

Обязательно ли аннулировать сертификат при утере токена?

Если вы потеряли токен и подозреваете, что ЭП скомпрометирована, то сертификат нужно срочно отозвать (аннулировать). Отзыв или аннулирование — это прекращение действия сертификата электронной подписи, то есть блокировка использования ключей ЭП для совершения юридически значимых действий.

Даже если впоследствии носитель с ЭП найдется, нельзя быть уверенным, что он не попадал в чужие руки. Злоумышленники могли воспользоваться ЭП и подписать документы от вашего имени, а также несанкционированно сделать копию токена с ЭП. В дальнейшем будет практически невозможно доказать, что эти документы подписали не вы. При минимальном подозрении на пропажу сертификата даже на короткое время, рекомендуем оформить заявление на его отзыв.

Что важно сделать, если вы потеряли ЭП

Если вы подозреваете, что ваша электронная подпись была скомпрометирована, вам следует немедленно обратиться в удостоверяющий центр. Чем раньше вы свяжетесь с УЦ, тем меньше вероятность, что злоумышленники воспользуются вашей подписью в своих целях.

При утере ЭП необходимо выполнить два шага:

Обратиться в УЦ и аннулировать (отозвать) сертификат

В течение 1 (одного) рабочего дня с момента компрометации ЭП свяжитесь с тем Удостоверяющим центром, в котором вы ее выпускали (пп.2 п.1 Ст.10 закона № 63-ФЗ). Заявление на отзыв на бланке УЦ должен представить сам владелец ЭП (физлицо, руководитель организации, уполномоченный сотрудник).

Уведомить других участников электронного взаимодействия о нарушении конфиденциальности ЭП

Если вам известно о фактах использования вашей ЭП злоумышленниками, также потребуется уведомить о произошедшем налоговую службу (например, подать заявление о недостоверности сведений данных в ЕГРЮЛ) и полицию по месту своего жительства, к заявлению нужно приложить копии документов из УЦ.

Если незаконные действия посторонних с вашей ЭП причинили вам ущерб, можете обратиться в суд и попробовать аннулировать подписанные документы (в судебном порядке признать их недействительными).

А можно ли восстановить утерянную ЭП?

Увы, восстановить потерянный сертификат электронной подписи не получится. Если потеряли носитель с ЭП, то потеряли и ключи электронной подписи: закрытый и открытый ключи являются наборами уникальных цифровых символов, заново сгенерировать копию которых невозможно. Поэтому и «восстановить» прежний сертификат ЭП неосуществимо — нужно оформлять новую электронную подпись.

А в целом, сама процедура восстановления утерянного, а значит скомпрометированного, сертификата ЭП не имеет смысла.

Правила безопасного использования и хранения ЭП

Если вы — счастливый владелец сертификата ЭП, постарайтесь соблюдать следующие правила безопасности:

Не передавайте токен с ЭП третьим лицам

Даже если вы полностью доверяете своему сотруднику, не отдавайте ему носитель с сертификатом ЭП, подписывайте все электронные документы лично. Самая распространенная причина мошенничества с ЭП — это последствия передачи ЭП третьим лицам. При этом ответственность за совершенные действия будет нести владелец сертификата.

Записывайте ЭП на защищенный носитель

Если контейнер с ключами и сертификатом хранится не на защищенном токене, а в памяти компьютера или на обычной флешке (что крайне не рекомендуется специалистами по информационной безопасности), то он потенциальный объект для взлома. Хранение сертификата на сертифицированном ФСТЭК носителе (Рутокен, eToken, JaCarta и др.) с доступом по паролю поможет вам защитить свои данные от несанкционированного использования.

Не храните токен в открытом доступе

Лучшее место для носителя с ЭП — надежный сейф, который открыть сможете только вы. Не оставляйте носитель ЭП без присмотра в помещениях, где всегда много людей: сотрудников, клиентов. Если носитель с ЭП постоянно вставлен в USB-порт компьютера, позаботьтесь о том, чтобы ваш ПК был огражден от несанкционированного удаленного доступа к нему, а также оснащен регулярно обновляемым антивирусным программным обеспечением. Когда пользователь покидает рабочее место, компьютер нужно блокировать и не оставлять в нём токен.

Соблюдайте политику безопасности паролей

На носитель должен быть установлен надежный пин-код, который знает только его владелец. Не используйте «заводской» пароль, а установите свой. Как и со всеми паролями, нежелательно устанавливать в качестве пин-кода очевидные комбинации цифр. Пароль должен храниться в надежном месте (но отдельно от физического носителя). Экспортируемый сертификат легко копируется даже с защищенного носителя, если злоумышленник знает пароль от ключа ЭП.

Не делайте копии сертификата ЭП

Не рекомендуется изготавливать копии сертификата ЭП, так как это кратно усложняет безопасное хранение. Если все же вы делали дубликаты сертификата и обнаружилась пропажа одного из них, то это уже является весомой причиной аннулировать (отозвать) сертификат ЭП.

Регулярно проверяйте факт выпуска ЭП в личном кабинете на портале Госуслуг

Портал Госуслуги с октября 2020 г. собирает данные о выпущенных квалифицированных электронных подписях из Единой системы идентификации и аутентификации (ч. 5 ст. 18 закона № 63-ФЗ). Поэтому периодически контролируйте все ваши сертификаты в личном кабинете Госуслуг, не игнорируйте уведомления о новых выпущенных на ваше имя сертификатах.

Как мониторить сертификаты ЭП на Госуслугах

Если в списке указан сертификат, который вы не получали, то необходимо немедленно обратиться в этот УЦ с вопросом, на каком основании он выпустил сертификат. При необходимости напишите заявление в УЦ о прекращении действия этого сертификата ЭП.

Вывод

Электронная подпись на сегодняшний момент становится необходимым инструментом ведения бизнеса, и важно понимать не только юридические аспекты ее применения, но аспекты, связанные с информационными технологиями. Случаи мошенничества в сфере электронной подписи чаще всего связаны с тем, что владелец недооценивает опасность компрометации ключа и не соблюдает необходимые меры информационной безопасности.

Потерю носителя с сертификатом ЭП легче предотвратить, чем затем исправлять негативные последствия при попадании вашей электронной подписи в руки технически подкованных лиц с неблагонадежными намерениями.

Что будет, если вовремя не отозвать электронную подпись

Существует два варианта развития событий. Первый — относительно безобидный, когда злоумышленник похитил ключ
электронной подписи, чтобы вы не смогли принять участие в торгах или подписать важный договор. Такое встречается
при нечестной конкурентной борьбе.

Второй — когда подпись похищена специально для махинаций с документами. К чему это может привести?

Как и где можно хранить электронную подпись

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в
Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения
квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется
в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на
защищенном носителе, сертифицированном ФСБ.

Дополнительная защита электронной подписи

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой
вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении
к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили
инструкцию по смене для Рутокен,
eToken,
JaCarta.
Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить
защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ
электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке
экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе
никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому
мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит
доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое
рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста.
ЭП можно и вовсе потерять, если с компьютером что-то случится.

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью
можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах.
Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической
защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2. 0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком
носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП
подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота.
Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE,
используются только для работы с ЕГАИС.

О чем нужно помнить при хранении квалифицированной ЭЦП

Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей.
И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому
человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который
просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите,
то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте
с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального
закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены
электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор»
удобным для вас способом.

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный
документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте
в нашей статье.

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца
подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы,
будет тяжело.

Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем
другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует
злоумышленника.

Какие действия необходимо выполнить при потере ЭЦП?

Если обнаружили пропажу токена, то необходимо сразу запустить процедуру отзыва ключа. После ваших действий ЭП будет заблокирована. Такие действия необходимы даже в том случае, если спустя некоторое время нашли сертификат, но еще не успели активизировать процедуру блокировки.

Необходимость таких действий заключается в том, что во время «исчезновения» токена, нельзя быть уверенным, что он не попал в «чужие» руки. Процедура оформления нового сертификата будет менее затратным вариантом, чем спустя некоторое время появятся документы, подписаны вашей подписью, и будут неприятным сюрпризом.

Также не рекомендуется изготавливать копии сертификата. Если это действительно необходимо, то хранение копий должно соответствовать необходимому уровню безопасности компании. Если обнаружилась пропажа одного из ключей, то это весомая причина аннулировать сертификаты и заказать новые. Чем быстрее подадите заявку на блокировку, тем меньше шансов у злоумышленников воспользоваться вашими ключами.

Как провести отзыв сертификата

Для отзыва ЭП или ЭЦП необходимо выполнить несколько действий:

Шаг 1. Заполнение заявления

Бланк заявления для отзыва сертификата можно запросить или получить в том УЦ, где он выдавался. Если вы являетесь пользователем Контура, то бланк можно найти в разделе «Документы» на нашем сайте.

При заполнении бланка потребуется указать серийный номер. Если нет подобной информации, то можно воспользоваться программой «Крипто Про CSP». Для этого надо выполнить следующие действия:

Если ключ не использовался на компьютере, то необходимо обратиться в УЦ, где он выдавался. Сотрудники центра помогут с оформлением заявления и подскажут, какие действия необходимо выполнить.

Шаг 2. Подача заявления

Необходимо понимать, что отзыв сертификата, такая же важная процедура, как его получение. Поэтому подача заявления на отзыв производится лично владельцем ключа.

Если нет возможности, времени или по какой-то другой причине не можете попасть в УЦ Контур, то можно воспользоваться услугой «Вызов курьера». Наш сотрудник прибудет по указанному адресу, удостоверится в том, что вы являетесь владельцем ключа и примет заявление.

Шаг 3. Проверка отзыва сертификата

В стандартной ситуации отзыв происходит в течение двенадцати часов, после подачи заявления. Для проверки отзыва, если вы клиент Контура, можно зайти на сайт центра и сказать перечень отозванных сертификатов. Обновление списка проводится раз в двенадцать часов.

Что может произойти после потери сертификата

Потеря ключа может означать, что им завладели злоумышленники. Пока он не отозван, они могут зарегистрировать фирму, получить кредит, заключить фиктивные сделки, получить предоплату и многое другое. При действующем расчетном счете могут воспользоваться вашими деньгами, продать имущество, провести смену руководителя. Это только некоторые варианты развития событий.

Как видите вариантов слишком много, чтобы не обращать на них внимания. Поэтому при минимальном подозрении на пропажу сертификата даже на небольшое время, рекомендуем оформить заявление на отзыв.

Носитель Рутокен и Рутокен Лайт используются как носители ключевой информации.

Подробные сведения о данных носителях можно найти на сайте компании Актив — разработчика российских средств аутентификации.

Разблокировать носитель можно одним из способов:

Рутокен. Разблокировать через Панель управления

Если ключ электронной подписи пропал или его украли, сразу же сообщите об этом в удостоверяющий центр «Тензор»
любым удобным способом: лично придя в офис, по телефону или e-mail. Вам нужно успеть отозвать подпись до того,
как ею кто-нибудь воспользуется для кражи денег со счета, заключения фиктивных сделок или в других целях.

Что вы узнаете

Это базовый и самый бюджетный вариант.

В нем нет встроенного средства криптозащиты, поэтому для использования ЭЦП нужно установить ПО на компьютер. Информация на токене защищена ПИН-кодом владельца — без него получить доступ к ЭЦП нельзя.

Рутокен не подходит для работы с алкоголем в ЕГАИС.

Носитель с более высоким уровнем безопасности — сертифицирован ФСТЭК и ФСБ. Это означает, что токен может работать с усиленной квалифицированной ЭЦП.

Модель содержит встроенное СКЗИ: для использования подписи не нужно устанавливать дополнительные программы.

Токен защищен двухфакторной аутентификацией — для его использования нужен ПИН-код.

Единственная модель Рутокена, которая подходит для работы с ЕГАИС.

Рутокен ЭЦП 2. 0 Type-c

Тот же вариант, но с другим разъемом: подходит для ноутбуков с портом USB Type-C или Thunderbolt 3 (кроме Apple iPad Pro 2018 года).

Сравнение моделей

Для наглядности мы подготовили таблицу.

Как настроить

Для работы с носителями без встроенного СКЗИ нужно устанавливать ПО на компьютер. Самая распространенная программа — это КриптоПро CSP. Установить программу и драйверы можно самостоятельно либо обратиться в удостоверяющий центр.

Мы предлагаем упрощенное решение — запустить мастер настройки рабочего места. Он установит не только драйвер, но и другое ПО, которое требуется для работы с электронной подписью. С мастером не нужно устанавливать драйверы вручную.

Ваш компьютер будет готов к работе с ЭП.

В состав драйверов Рутокен входит специальное приложение — «Панель управления Рутокен». В ней можно:


ЭЛЕКТРОННАЯ ПОДПИСЬ ВОССТАНОВИТЬ ИЛИ ВЫДАТЬ НОВУЮ

Срок действия электронной подписи — 12 месяцев.

Где купить

Для отзыва квалифицированной и неквалифицированной электронной подписи установлены разные процедуры. О том, как
понять, какая у вас подпись, читайте здесь. Отозвать квалифицированную ЭП можно двумя способами.

Ссылка из e-mail

Если у вас нет аккаунта СБИС для документооборота и сдачи отчетности, отзывайте подпись по ссылке из e-mail.
Для этого:

В СБИС

Отозвать подпись проще, если у вас есть аккаунт в СБИС. Вам нужно:

Неквалифицированная подпись отзывается в СБИС еще быстрее. Найдите нужный сертификат в карточке
сотрудника и нажмите кнопку «Отозвать». Подпись будет отозвана, больше ничего делать не придется.

Оцените статью
ЭЦП64