Перейти к основному содержанию
Реклама
Прямой эфир
Мир
Захарова прокомментировала беспокойство США из-за углубления связей РФ и КНДР
Политика
Замглавы МИД России Рябков исключил вступление Украины в НАТО
Мир
В ЕС допустили включение компаний из Казахстана в 14-й пакет санкций против РФ
Мир
Армия Израиля утвердила планы боевых действий для наступления в Ливане
Мир
Захарова указала на полную зависимость Европы от США
Мир
В столице Чада из-за пожара на складе боеприпасов произошла серия взрывов
Мир
Антонов назвал конфискацию российских активов «грабежом среди бела дня»
Мир
Посол РФ предупредил Канаду об ответе России на санкции
Армия
Штурмовики Су-25 ВКС России нанесли удар по подразделениям ВСУ
Общество
Синоптики пообещали жителям Москвы и Московской области до +28 градусов 19 июня
Мир
Посол Антонов указал на открытость России к диалогу с Украиной
Экономика
Китайские «дочки» в полтора раза нарастили межбанковское кредитование в РФ
Армия
Командир штурмовой роты ВС РФ рассказал о боях за Очеретино
Армия
Снайперы ВС РФ уничтожили живую силу ВСУ в зоне СВО
Происшествия
Землетрясение магнитудой 4,2 произошло рядом с Биробиджаном
Мир
Антонов назвал конференцию в Швейцарии продлением кровопролитного проекта Запада
Общество
Суд во Владивостоке приговорил американца Блэка к 3 годам и 9 месяцам колонии

Эксперт дал рекомендации по защите электронной подписи

Кофанов: для защиты ЭП тщательно анализируйте источник, запрашивающий ваши данные
0
Фото: ИЗВЕСТИЯ/Алексей Майшев
Озвучить текст
Выделить главное
вкл
выкл

Основатель и CEO Sign.Me Александр Кофанов 16 января рассказал «Известиям» о видах хакерских атак на электронную подпись (ЭП) и способах защиты.

По словам специалиста, в сфере электронной подписи можно выделить три вида мошеннических схем. Первая — атаки на программное обеспечение. В этом случае средства защиты ЭП подвергаются анализу, в них идет поиск уязвимости, и злоумышленники пытаются заставить пользователя подписать документы, которые им необходимы.

«Успех атаки на ПО в случае с электронной подписью стремится к нулю. Но мы всё же остановимся на том редком случае, когда это теоретически возможно — если применяется простая электронная подпись (например, логин-пароль, код из СМС). Этот вид ЭП имеет не такую серьезную защиту, как усиленные ЭП, которые созданы с помощью системы криптошифрования. Хакерской атакой на простую ЭП может стать брутфорс (brute-force — атака полным перебором). Возможные последствия атаки: компрометация подписи и заверение документов без ведома пользователя», — сказал Кофанов.

Второй вид мошенничества — атаки на инфраструктуру (сетевое окружение, операционную систему). По словам эксперта, самая популярная атака — это DDoS (Distributed Denial of Service «распределенный отказ от обслуживания», перегрузка сервера сетью множества устройств, когда к ней затрудняют доступ для обычных пользователей).

«За 12-летний опыт работы нашей компании было совершено несколько попыток DDoS-атак на инфраструктуру Sign.Me, сайты разных удостоверяющих центров и узлов инфраструктуры в РФ, но все они были по большому счету безуспешными. Российские специалисты научились работать с ними на эталонном уровне», — заявил Кофанов.

Третий вид — социальная инженерия (обман людей). Собеседник издания отметил, что 99% схем злоумышленников с электронной подписью — это именно мошенничество, а не хакерские атаки.

«Например, подделка паспорта и оформление на него сертификата ЭП, обман сотрудника или пользователя, украденный ПИН-код от токена и так далее. Такие кейсы не имеют отношения к надежности технологии — это исключительно человеческий фактор в результате нарушения правил безопасности. Если вашей электронной подписью обманом завладели, злоумышленники могут подписать любой документ. На практике мошенников, использующих методы социальной инженерии, можно разоблачить, так как электронная подпись вынуждает оставлять за собой множество цифровых следов и доказательную базу», — сказал он.

Кофанов дал ряд рекомендаций, которые помогут избежать хакерских атак и мошеннических схем с электронной подписью. Так, следует использовать надежные сервисы ЭП с криптографическим шифрованием, хорошей репутацией и сертификацией с неизвлекаемыми ключами.

«Не передавайте средства хранения ЭП, мобильный телефон или ПК другим людям. Регулярно заходите на «Госуслуги» в раздел «Сертификаты электронной подписи», там отображаются все выпущенные на пользователя сертификаты ЭП. Также можно проверять электронную почту, привязанную к учетной записи «Госуслуг», при выпуске на ваше имя сертификата ЭП придет уведомление. Храните паспорт и другие документы в надежном месте. Обновляйте приложения и программы, как только выходят новые версии. Используйте антивирусы», — сказал он.

Также специалист советует тщательно анализировать источник, который запрашивает ваши данные, применять разные пароли для учетных записей и двухфакторную аутентификацию и использовать МЧД (машиночитаемая доверенность, указывающая на человека, который может использовать подпись помимо того, на кого она выпущена), чтобы не передавать свой личный токен, например, ЭП генерального директора бухгалтеру для подписания отчетности.

В конце декабря руководитель юридического департамента Sign.Me Вадим Дерюжинский рассказал «Известиям», в каких ситуациях можно воспользоваться электронной подписью.

Прямой эфир