Меры предотвращения противоправных действий по операциям с электронной подписью

Меры предотвращения противоправных действий по операциям с электронной подписью

Авторы публикации

Журнал

Журнал «Научный лидер» выпуск # 42 (87), октябрь ‘22

Дата публикации 17.10.2022

Поделиться

За последний год в СМИ много писали о событиях, связанных с мошенничеством на фоне цифровизации. Столь пристальное внимание к этой теме имеет искусственное происхождение. Оно навязано СМИ и связано лишь с новизной таких преступлений. По факту суть неправомерных действий осталась той же, просто появился другой способ их совершения – с использованием интернет-технологий. В статье рассматриваются правила защиты пользователя от несанкционированного доступа к его электронной подписи. 

Рассмотрим основные направления использования различных видов электронных цифровых подписей. Так, в случае обращения юридических и физических лиц с целью получения государственных и муниципальных услуг применяется простая (неквалифицированная) электронная подпись. Применение данного вида электронной цифровой подписи допускается в случае, если это разрешено на законодательном уровне, а также, если для получения данного вида услуг не требуется электронная цифровая подпись иного уровня [5].

Применение неквалифицированной электронной цифровой подписи в качестве инструмента для признания документа аналогичным документу на бумажном носителе с собственноручной подписью не определено Налоговым кодексом Российской Федерации. Согласно комментариям Минфина, документы, применяемые в налоговом учете и оформленные в электронном виде с неквалифицированной электронной подписью, не могут быть представлены как равнозначные бумажному документу с собственноручной подписью.

В связи с данным фактом, использование данного вида электронной цифровой подписи обосновано только между двумя хозяйствующими сторонами, и при наличии действующего соглашения. В случае же урегулирования споров с контролирующим органом, смысл данной электронной цифровой подписи утрачивается.

Использование квалифицированной (усиленной) электронной цифровой подписи, которая является наиболее совершенным видом электронным цифровым подписи, зачастую напрямую регламентируется законодательством. В частности, использование усиленной квалифицированной подписи строго регламентировано для годовой бухгалтерской отчетности, форм РСВ-1 ПФР, а также для отчетности в налоговую инспекцию [1, с.63-72].

Несмотря на очевидные преимущества использования электронных подписей, их распространенность, как в коммерческой среде, так и при взаимодействии граждан и юридических лиц с органами государственной власти, все еще остается на достаточно низком уровне. Причины такого положения можно разделить на две группы:

– стоимость использования;

– низкий уровень доверия.

Рассмотрим эти причины. Несмотря на положительный опыт использования технологий простой электронной подписи, например, в банковской сфере или Интернет-торговле (классическая пара логин/пароль или sms-подтверждение), преобладает точка зрения, что данная технология не обеспечивает 100% безопасности и не гарантирует авторства подписанта. Это обусловлено тем, что такая электронная подпись не исключает ее использования посторонними лицами, получившими доступ к ней как непосредственно от владельца (добровольная передача), так и в результате злоумышленных действий (взлом пароля, кража оборудования) [2, с.222-229].

Помимо отсутствия единого пространства доверия к электронной подписи, большую роль в ее распространении играет также стоимость получения квалифицированного сертификата, который наделяет документы, подписанные квалифицированной электронной подписью, полной юридической силой.

Перед тем как рассмотреть проблему подделки или незаконного использования электронной подписи, ответим на вопрос: а можно ли без согласия владельца подписи произвести противоправные действия?

Подделать собственноручную подпись любого человека можно, если есть образец оригинала. А вот использовать её без ведома владельца сложнее. Необходимо, чтобы была высокая степень доверия к сотруднику.

При разработке цифровой модели электронной подписи перед Федеральным агентством правительственной связи и информации при Президенте РФ были поставлены высокие требования по защите от подделок. Реализовали их посредством криптошифрования информации. Наиболее уязвимым и опасным в данном случае оказалось пространство вне интернета [3, с.51-55].

Другая опасность – похищение закрытого ключа. Это делается с использованием инсайдерской (внутриорганизационной) информации о способе его хранения. Конечно, электронная среда тоже не защищена на 100 %.

Распространенные способы завладения электронной подписью:

- владелец сам передает подпись лицу, которое злоупотребляет его доверием.

- мошенник похищает носитель ключа электронной подписи.

- менее распространенный способ, но самый трудоёмкий и требующий знаний в сфере информационных технологий – взлом корпоративной системы на предприятии.

- выпуск электронной подписи путём обмана удостоверяющего центра. Мошенники могут получить электронную подпись, предоставив подложные документы. В этой ситуации человек или представитель организации даже может не знать о её существовании. Сотрудник удостоверяющего центра, принимающий документы, должен быть внимательным и наблюдательным, а в идеале ещё и владеть знаниями в области криминалистики и криминологии, быть тонким психологом. И всё это для того, чтобы распознать перед собой мошенника. Причина сомневаться – наличие большого количества удостоверяющих центров, деятельность которых слабо согласована между собой. Может быть, поэтому законодатель внёс ряд глобальных изменений в Федеральный закон № 63 «Об электронной подписи» относительно выдачи электронной подписи. Ещё один недостаток – отсутствие единого реестра выданных подписей, который бы позволил вести их учёт [4].

Необходимо создать систему, которая даст возможность удостоверяющим центрам уведомлять заявителя о статусе выпуска электронной подписи. Например, это можно реализовать через портал ЕСИА. Также к основным мерам предотвращения противоправных действий с электронной подписью можно отнести:

- исключение передачи ключей электронной подписи третьим лицам. Сотрудников, ответственных за подписание документов, наделить полномочиями и выдать им собственные электронные подписи;

- усиление контроля за деятельностью работников, использующих электронную подпись. В информационной системе организации можно настроить отчёты, с помощью которых руководитель будет проверять, с какими контрагентами и на какие суммы они заключают договоры.

- отслеживание фактов увольнения сотрудников, которые активно использовали подпись организации.

- ограничение разовых сумм, которые могут быть переведены с использованием электронной подписи.

- создание дополнительных каналов контроля за финансовой дисциплиной. Например, систематически проводить аудиторские проверки.

- обеспечение граждан на безвозмездной основе средствами криптографической защиты информации для того, чтобы идентификация в аккредитованном удостоверяющем центре проводилась на основе предоставления биометрических персональных данных. Причём без личного присутствия граждан.

В идеале необходимо ввести внутренний порядок использования электронной подписи. Лучше его оформить в виде локального правового акта и ознакомить с ним всех заинтересованных сотрудников. В этом документе следует указать цели, способ и время применения электронной подписи, место хранения ключа, а также расписать алгоритм предоставления сотруднику подписи, случаи ограничения такой возможности или отзыва у работника.

Список литературы

  1. Блатова Т.А., Макаров В.В., Шувал-Сергеева Н.С. Количественные и качественные аспекты измерения цифровой экономики. – 2019. – №4. – С. 63-72.
  2. Макаров В.В., Старкова Т.Н., Устриков Н.К. Цифровая экономика: эволюция, состояние и резервы развития // Журнал правовых и экономических исследований. – 2019. – №4. – С. 222-229.
  3. Остроушко А.В. К вопросу о правовом регулировании оборота электронной подписи // Правовая информатика. – 2013. – №1. – С. 51-55.
  4. Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ (последняя редакция) // Справочно-правовая система «Консультант-Плюс».
Справка о публикации и препринт статьи
предоставляется сразу после оплаты
Прием материалов
c по
Осталось 4 дня до окончания
Размещение электронной версии
Загрузка материалов в elibrary