Эксперт СберКорус рассказал россиянам, как защитить цифровую подпись от хакерских атак
Иван Дмитриев, заместитель генерального директора по безопасности, СберКорус, цифровой платформы для электронного документооборота, объяснил, какие наиболее популярные механики используют злоумышленники и каким мерам предосторожности нужно следовать, чтобы не стать их жертвой.
Электронная подпись (ЭП) — это электронный аналог обычной подписи, который используется для подтверждения авторства и подлинности электронных документов. Она имеет такую же юридическую силу, как собственноручная подпись на бумажном документе, и может использоваться как в профессиональной деятельности, так и в личной жизни.
У ЭП есть механизмы защиты. Ключ электронной подписи — это уникальный набор бит информации (цифровых символов), сформированный средством электронной подписи. Он используется для формирования электронной подписи к электронному документу и хранится на ключевом носителе.
Однако, в цифровом пространстве ЭП может стать объектом хакерских атак. Виды хакерских атак могут быть различными: от фишинга до взлома аккаунтов и кражи личных данных.
Главные меры предосторожности и профилактики для защиты электронной подписи включают такие действия:
1. Хранить ЭП на сертифицированном носителе ключа ЭП (токене), который гарантирует невозможность извлечения закрытого ключа.
2. Не передавать носитель ключа (токен) ЭП третьим лицам и не предоставлять им пароль.
3. Регулярно изменять пин-код к токену после получения ЭП для предотвращения несанкционированного доступа.
4. Использовать сложные пин-коды, не связанные с личной информацией, такой как даты рождения и избегать использования одних и тех же паролей на всех ресурсах, чтобы диверсифицировать риски.
5. Изменить все стандартные пароли по умолчанию на ваших устройствах, где вы используете ЭП (в т.ч. мобильные устройства и планшеты), а также на токене.
6. Использовать шифрование жесткого диска и сложных паролей при хранении закрытого ключа на компьютере.
7. Избегать рискованных операций при сомнительных обращениях третьих лиц, это может быть механикой фишинга или социальной инженерии (обмана людей). Обычно такие попытки выглядят как подозрительные e-mail и звонки с целью обмануть владельца ЭП, чтобы завладеть пин-кодом от токена.
8. Использовать антивирусное программное обеспечение, регулярно обновлять как его, так и программное обеспечение ваших устройств для закрытия уязвимостей, которые могут использовать злоумышленники.
9. Разделить личное и рабочее пространства на устройствах и избегать установки сомнительного ПО, посещения небезопасного сегмента интернета (даркнета) и сайтом с сомнительным контентом (онлайн-казино, порносайты, ресурсы с пиратским контентом и т.д.)
10. Проводить мониторинг поведения устройств и реагировать на любые особенности необычного поведения (устройство стало громко работать и появились непонятные шумы, нестабильность в рабочих процессах).
11. Обеспечить безопасность данных при продаже или ремонте компьютера, чтобы избежать утечки информации: например, полностью отформатируйте жёсткий диск или вовсе извлеките его, поставив на продающееся устройство новый.
В случае столкновения с угрозой компрометации электронной подписи необходимо:
1. Немедленно уведомить удостоверяющий центр, где была выпущена ЭП, в случае угрозы компрометации электронной подписи.
2. Связаться с сервисами, где использовалась ЭП, для проверки наличия подозрительной активности.
3. Принять необходимые меры безопасности, включая изменение паролей и переутверждение личности для выпуска новой подписи.
4. Вовремя обратиться к сервисам, где использовалась подпись, чтобы предотвратить ущерб и потерю активов.
Кейсы, описанные выше не имеют отношения к безопасности использования технологии ЭП как таковой, а связаны именно с человеческим фактором, когда нарушаются элементарные требования безопасности. Поэтому хранить ЭП лучше всего на токене, который является специальным устройством для хранения ЭП. Токены имеют функционал машиночитаемой доверенности, что позволяет передавать ЭП без передачи самой подписи. С 01.09. 2023 года сотрудники компании получают сертификаты, как физические лица, без привязки его к работодателю. Если сотрудник увольняется, то компания отзывает машиночитаемую доверенность (МЧД), и она становится недействительной. При этом сертификат электронной подписи остаётся у сотрудника, и он её может использовать в личных целях, а новый работодатель сможет выпустить МЧД, чтобы сотрудник мог подписывать документы компании с использованием имеющего сертификата.
Какой у этих атак механизм, как именно он работает?
Механизм атак простой: злоумышленники тем или иным способом хотят получить контроль над цифровым профилем человека. Один из последних трендов у хакеров ‒ это проставление электронной подписи в юридически значимом документе. На практике для физических лиц это угроза потерять имущество, например, недвижимость ‒ такие кейсы уже есть. Для юрлиц это угроза подделки платёжных поручений в банки и других документов с помощью которых подтверждается согласие на финансовые операции.
Злоумышленник с помощью атаки на устройство или обмана его владельца получает доступ к ЭП и совершает противоправные действия от имени владельца ЭП. В среднем каждую неделею происходит попытка эксплуатации уязвимостей, связанных с ЭП.
Устройство, как правило, атакуется через уязвимости в самом ПО устройства, при помощи софта для автоматического подбора паролей, а также сторонних приложений из ненадёжных источников. Для Android-устройств последнее особенно опасно, так как может привести к рутингу телефона — выходу за пределы полномочий пользователя, предоставленных производителем, для разблокировки дополнительных функций, изменения и удаления системных файлов приложений, а также установке сторонних программ и прошивок.
Обман владельца осуществляется с помощью методов социальной инженерии. Если вам в коммуникации с представителями любых сервисов кажется что-то странным или возникает малейшее недоверие, просто откажитесь от операции или действий. Сотрудники удостоверяющего центра, банка и других организаций никогда не будут настаивать на установке программ для удаленной технической поддержки на ваш телефон или компьютер. Они также не будут просить вас ввести пин-код от ключа электронной подписи или передать токен. Если у вас возникли сомнения, лучше прекратить разговор и обратиться в официальную службу поддержки.