Перейти к основному содержанию
Реклама
Прямой эфир
Мир
Россия и США договорились завершить эксплуатацию МКС к концу 2030 года
Мир
В Чернобыльской зоне отчуждения возник пожар
Наука и техника
«Союз МС-29» с двумя космонавтами РФ и астронавтом NASA пристыковался к МКС
Армия
Силы ПВО за день сбили 252 беспилотника ВСУ в небе над регионами России
Мир
В Батуми отменили концерты «Тату» и Ани Лорак
Мир
Во Франции сочли оскорбительным участие солдат ВСУ в параде 14 июля
Мир
Власти США начали расследование против сети Taco Bell из-за массовых отравлений
Мир
В Турции объявили Нетаньяху в международный розыск
Наука и техника
Археологи нашли во Франции кандалы возрастом около 2,3 тыс. лет
Туризм
Средняя стоимость номера в отелях Москвы снизилась на 6% за год
Наука и техника
Ракета с пилотируемым кораблем «Союз МС-29» стартовала к МКС
Мир
Вучич подтвердил встречу с Зеленским в Киеве 15 июля
Мир
Польша подняла истребители из-за полета российского Ил-20 над Балтикой
Мир
Кронпринцессу Норвегии выписали из больницы после пересадки легкого
Армия
ВС РФ поразили два сухогруза на переходе из порта Черноморска в Одессу
Мир
Солдаты ВСУ приняли участие в праздновании Дня взятия Бастилии во Франции
Мир
Песков указал на необходимость для РФ и Азербайджана развивать отношения
Армия
Армия России поразила используемые ВСУ объекты ТЭК и транспортной инфраструктуры

Эксперт дал рекомендации по защите электронной подписи

Кофанов: для защиты ЭП тщательно анализируйте источник, запрашивающий ваши данные
0
Фото: ИЗВЕСТИЯ/Алексей Майшев
Озвучить текст
Выделить главное
Вкл
Выкл

Основатель и CEO Sign.Me Александр Кофанов 16 января рассказал «Известиям» о видах хакерских атак на электронную подпись (ЭП) и способах защиты.

По словам специалиста, в сфере электронной подписи можно выделить три вида мошеннических схем. Первая — атаки на программное обеспечение. В этом случае средства защиты ЭП подвергаются анализу, в них идет поиск уязвимости, и злоумышленники пытаются заставить пользователя подписать документы, которые им необходимы.

«Успех атаки на ПО в случае с электронной подписью стремится к нулю. Но мы всё же остановимся на том редком случае, когда это теоретически возможно — если применяется простая электронная подпись (например, логин-пароль, код из СМС). Этот вид ЭП имеет не такую серьезную защиту, как усиленные ЭП, которые созданы с помощью системы криптошифрования. Хакерской атакой на простую ЭП может стать брутфорс (brute-force — атака полным перебором). Возможные последствия атаки: компрометация подписи и заверение документов без ведома пользователя», — сказал Кофанов.

Второй вид мошенничества — атаки на инфраструктуру (сетевое окружение, операционную систему). По словам эксперта, самая популярная атака — это DDoS (Distributed Denial of Service «распределенный отказ от обслуживания», перегрузка сервера сетью множества устройств, когда к ней затрудняют доступ для обычных пользователей).

«За 12-летний опыт работы нашей компании было совершено несколько попыток DDoS-атак на инфраструктуру Sign.Me, сайты разных удостоверяющих центров и узлов инфраструктуры в РФ, но все они были по большому счету безуспешными. Российские специалисты научились работать с ними на эталонном уровне», — заявил Кофанов.

Третий вид — социальная инженерия (обман людей). Собеседник издания отметил, что 99% схем злоумышленников с электронной подписью — это именно мошенничество, а не хакерские атаки.

«Например, подделка паспорта и оформление на него сертификата ЭП, обман сотрудника или пользователя, украденный ПИН-код от токена и так далее. Такие кейсы не имеют отношения к надежности технологии — это исключительно человеческий фактор в результате нарушения правил безопасности. Если вашей электронной подписью обманом завладели, злоумышленники могут подписать любой документ. На практике мошенников, использующих методы социальной инженерии, можно разоблачить, так как электронная подпись вынуждает оставлять за собой множество цифровых следов и доказательную базу», — сказал он.

Кофанов дал ряд рекомендаций, которые помогут избежать хакерских атак и мошеннических схем с электронной подписью. Так, следует использовать надежные сервисы ЭП с криптографическим шифрованием, хорошей репутацией и сертификацией с неизвлекаемыми ключами.

«Не передавайте средства хранения ЭП, мобильный телефон или ПК другим людям. Регулярно заходите на «Госуслуги» в раздел «Сертификаты электронной подписи», там отображаются все выпущенные на пользователя сертификаты ЭП. Также можно проверять электронную почту, привязанную к учетной записи «Госуслуг», при выпуске на ваше имя сертификата ЭП придет уведомление. Храните паспорт и другие документы в надежном месте. Обновляйте приложения и программы, как только выходят новые версии. Используйте антивирусы», — сказал он.

Также специалист советует тщательно анализировать источник, который запрашивает ваши данные, применять разные пароли для учетных записей и двухфакторную аутентификацию и использовать МЧД (машиночитаемая доверенность, указывающая на человека, который может использовать подпись помимо того, на кого она выпущена), чтобы не передавать свой личный токен, например, ЭП генерального директора бухгалтеру для подписания отчетности.

В конце декабря руководитель юридического департамента Sign.Me Вадим Дерюжинский рассказал «Известиям», в каких ситуациях можно воспользоваться электронной подписью.

Читайте также
Прямой эфир