Эксперт дал рекомендации по защите электронной подписи
Основатель и CEO Sign.Me Александр Кофанов 16 января рассказал «Известиям» о видах хакерских атак на электронную подпись (ЭП) и способах защиты.
По словам специалиста, в сфере электронной подписи можно выделить три вида мошеннических схем. Первая — атаки на программное обеспечение. В этом случае средства защиты ЭП подвергаются анализу, в них идет поиск уязвимости, и злоумышленники пытаются заставить пользователя подписать документы, которые им необходимы.
«Успех атаки на ПО в случае с электронной подписью стремится к нулю. Но мы всё же остановимся на том редком случае, когда это теоретически возможно — если применяется простая электронная подпись (например, логин-пароль, код из СМС). Этот вид ЭП имеет не такую серьезную защиту, как усиленные ЭП, которые созданы с помощью системы криптошифрования. Хакерской атакой на простую ЭП может стать брутфорс (brute-force — атака полным перебором). Возможные последствия атаки: компрометация подписи и заверение документов без ведома пользователя», — сказал Кофанов.
Второй вид мошенничества — атаки на инфраструктуру (сетевое окружение, операционную систему). По словам эксперта, самая популярная атака — это DDoS (Distributed Denial of Service «распределенный отказ от обслуживания», перегрузка сервера сетью множества устройств, когда к ней затрудняют доступ для обычных пользователей).
«За 12-летний опыт работы нашей компании было совершено несколько попыток DDoS-атак на инфраструктуру Sign.Me, сайты разных удостоверяющих центров и узлов инфраструктуры в РФ, но все они были по большому счету безуспешными. Российские специалисты научились работать с ними на эталонном уровне», — заявил Кофанов.
Третий вид — социальная инженерия (обман людей). Собеседник издания отметил, что 99% схем злоумышленников с электронной подписью — это именно мошенничество, а не хакерские атаки.
«Например, подделка паспорта и оформление на него сертификата ЭП, обман сотрудника или пользователя, украденный ПИН-код от токена и так далее. Такие кейсы не имеют отношения к надежности технологии — это исключительно человеческий фактор в результате нарушения правил безопасности. Если вашей электронной подписью обманом завладели, злоумышленники могут подписать любой документ. На практике мошенников, использующих методы социальной инженерии, можно разоблачить, так как электронная подпись вынуждает оставлять за собой множество цифровых следов и доказательную базу», — сказал он.
Кофанов дал ряд рекомендаций, которые помогут избежать хакерских атак и мошеннических схем с электронной подписью. Так, следует использовать надежные сервисы ЭП с криптографическим шифрованием, хорошей репутацией и сертификацией с неизвлекаемыми ключами.
«Не передавайте средства хранения ЭП, мобильный телефон или ПК другим людям. Регулярно заходите на «Госуслуги» в раздел «Сертификаты электронной подписи», там отображаются все выпущенные на пользователя сертификаты ЭП. Также можно проверять электронную почту, привязанную к учетной записи «Госуслуг», при выпуске на ваше имя сертификата ЭП придет уведомление. Храните паспорт и другие документы в надежном месте. Обновляйте приложения и программы, как только выходят новые версии. Используйте антивирусы», — сказал он.
Также специалист советует тщательно анализировать источник, который запрашивает ваши данные, применять разные пароли для учетных записей и двухфакторную аутентификацию и использовать МЧД (машиночитаемая доверенность, указывающая на человека, который может использовать подпись помимо того, на кого она выпущена), чтобы не передавать свой личный токен, например, ЭП генерального директора бухгалтеру для подписания отчетности.
В конце декабря руководитель юридического департамента Sign.Me Вадим Дерюжинский рассказал «Известиям», в каких ситуациях можно воспользоваться электронной подписью.
