Хакерские атаки на электронную подпись и способы защиты от них

Представьте, что вы владелец туристического агентства. Не так давно вы выпустили электронную подпись (ЭП) и уже ощутили на себе все ее плюсы: можно удаленно подписывать договоры, ваучеры и листы бронирования с клиентами, принимать в штат новых сотрудников или отправлять работников в отпуск. Чтобы сделать процессы еще более эффективными, вы передаете свою ЭП сотрудникам, чтобы они могли вести документооборот без вашего участия. В результате выясняется, что из бюджета компании были украдены средства, и вы вынуждены обращаться в суд. Где была допущена ошибка? В статье разберем этот кейс, а также обсудим, чем хакерская атака отличается от мошеннических схем в области ЭП и как их не допустить.

Когда мы слышим про мошенничества с цифровыми продуктами, первое что приходит в голову – это хакеры. В голове автоматически всплывает образ злодея, но это не всегда так. Например, есть так называемые «белые хакеры», которых компании нанимают специально, чтобы проверить степень уязвимости своих информационных систем. Другое дело, когда хакеры взламывают программы, чтобы завладеть вашими данными и воспользоваться ими в корыстных целях. В сфере ЭП такое почти невозможно, но мы все рассмотрим два очень редких, но все же теоретически возможных сценария. А потом поговорим о том, кто действительно представляет угрозу – и это не хакеры, а просто мошенники.

Атака на ПО

Сюда относятся ситуации, когда злоумышленники пытаются взломать вашу ЭП, чтобы подписать нужные им документы от вашего имени. Важный момент: речь идет об удаленном взломе. Например, частый страх пользователей связан с тем, что кто-то получит доступ к личному кабинету сервиса ЭП и тут же заключит от имени владельца договор о продаже недвижимости. Спешим вас успокоить: успех атаки на ПО в случае ЭП стремится к нулю. Все потому, что усиленные виды ЭП (УКЭП и УНЭП) создаются при помощи системы криптографической защиты информации (СКЗИ). Эта система использует две уникальные последовательности знаков, связанные между собой математически: открытый и закрытый ключ.

Алгоритмы криптографии настолько сложны, что на взлом одного ключа ЭП уйдет примерно 10 000 лет, а люди столько не живут. К тому же, сертификат ЭП действует только год, после чего его нужно продлевать. Но это касается усиленных видов ЭП, тогда как простая электронная подпись (ПЭП) более уязвима для мошеннических схем. По отношению к ней хакеры могут применить метод брутфорс – атака полным перебором. В таком случае действительно есть риск, что вашу ПЭП скомпрометируют и, например, заверят документы без вашего ведома. Но хорошая новость в том, что квартиру с помощью ПЭП не продашь, эта возможность ограничена законодательно. Но и для других важных документов мы рекомендуем использовать только усиленные виды ЭП.

Атака на инфраструктуру (сетевое окружение или операционную систему)

Самыми популярными в этой сфере являются DDoS-атаки (Distributed Denial of Service), когда хакеры специально перегружают сервер, чтобы обычные пользователи не могли на него зайти. Эти атаки могут приводить к неработоспособности сервисов, однако они не направлены на какой-либо взлом или хищение данных, их суть заключается только во вредительстве.

В сфере ЭП такие атаки тоже встречаются, но чаще всего они они не имеют успеха, поскольку современные программисты умеют профессионально их отражать. На нашем личном опыте: за 12 лет работы было несколько безрезультатных попыток DDoS-атак на инфраструктуру Sign.Me, сайты разных УЦ и узлов инфраструктуры в России.

Специалисты информационной безопасности ведут постоянную работу по строительству защитных обвязок от подобных атак, поэтому в настоящее время информационные системы, построенные на качественной сетевой инфраструктуре с использованием современного оборудования и при наличии в штате специалиста по информационной безопасности, защищены от подобных атак практически на 100%.

Мошенничество (социальная инженерия)

Если предыдущие виды мошенничества в случае с ЭП оказываются безуспешны, то социальная инженерия представляет собой наиболее реальную угрозу. И связана она не с технологией, а с человеческим фактором. Так, например, в случае, описанном в самом начале статьи, вы, как генеральный директор туристического агентства, не должны были передавать свою ЭП другим людям, даже бухгалтеру, которому доверяете. Что можно было бы сделать иначе? Выпустить отдельную ЭП для сотрудника, а также сделать машиночитаемую доверенность (МЧД) с указанием того, какие именно документы он может подписывать в рамках документооборота компании. Это обезопасило бы вашу ЭП и помогло избежать судебных разбирательств. В данном случае украденные деньги из компании ложатся под ответственность генерального директора, чью подпись использовал бухгалтер.

Среди других примеров социальной инженерии можно назвать использование чужого паспорта, в который вклеена фотография мошенника вместо владельца. Поверьте, такое бывает, и иногда у злоумышленников получаются подделки, которые могут пройти даже проверку в системе межведомственного электронного взаимодействия (СМЭВ). Если вы потеряли паспорт, то в полной мере вы этим риском не управляете, но и тут есть рабочие методы борьбы со злоумышленниками. В данном случае мы рекомендуем регулярно проверять раздел «Сертификаты электронной подписи» на портале Госуслуги – именно там отображаются все выпущенные на пользователя сертификаты ЭП, а также электронную почту, привязанную к учетной записи на Госуслугах – при выпуске нового сертификата ЭП туда поступит уведомление. Если вы не оформляли новую ЭП, но при этом получили уведомление о ее выпуске, необходимо сразу же обратиться в полицию. Если у вас есть подозрение, что ваша ЭП скомпрометирована, то есть попала в чужие руки, незамедлительно обратитесь в удостоверяющий центр (УЦ), который выпускал вам ЭП или в сервис, в котором вы подписываете документы. Ну и берегите свой паспорт, а если потеряли его, сразу заявите в полицию.

Безусловно риск мошенничества есть во всех сферах, и ЭП не исключение. Однако она, в отличие от той же рукописной подписи, вынуждает злоумышленника оставлять за собой множество цифровых следов, по которым его будет легче вычислить. Например, логи – запись событий в программе. Чтобы подделать рукописную подпись, нужна всего лишь шариковая ручка, тогда как взломать алгоритмы криптографии в случае усиленных ЭП не получится даже при помощи всех компьютеров мира. Подписанный документ содержит метку доверенного времени и позволит точно указать время, в которое был подписан документ. Также, если в подписанный документ внести малейшее изменение, например, добавить пробел – разорвется математическая связь созданной подписи и документа, и документ нужно будет переподписывать. Все эти методы призваны обезопасить вас и вашу ЭП от злоумышленников, однако существуют определенные правила безопасности пользования ЭП, которые необходимо соблюдать.

Хакеры даже не пытаются взламывать ЭП, потому что это бесполезно. Пользователям важно постараться максимально защитить себя и свои данные от простого человеческого обмана, так как подавляющее большинство схем злоумышленников – это именно мошенничество путем социальной инженерии, а не хакерские атаки. В любой системе, насколько бы она ни была надежная, человеческий фактор может оказаться уязвимостью и слабым звеном. Подписывая важные документы, используйте только надежные сервисы и не передавайте свою подпись третьим лицам. Соблюдая простые правила безопасности, можно не беспокоиться об уловках злоумышленников и использовать все преимущества быстрого подписания документов без бумаги.