Сложные пароли, здоровая паранойя и шифрование: основные правила безопасного использования ЭЦП

Прочтёте за 4 мин.

Сохраните эту статью в закладки

IT-инструменты, которые использует Анастасия Антонова

  • КриптоПро CSP
  • ViPNet CSP
  • Рутокен
  • КриптоАРМ
  • Telegram

В современном цифровом мире, где всё больше операций переходят в онлайн-режим, электронная цифровая подпись (ЭЦП) становится неотъемлемой частью бизнеса. К её использованию многие предприниматели относятся ещё довольно легкомысленно. Например, передают главному бухгалтеру для подписания документов в своё отсутствие или оставляют на экране компьютера, выходя из кабинета. О том, почему необходимо соблюдать меры безопасности при работе с ЭЦП, порталу Biz360.ru рассказала Анастасия Антонова, специалист по корпоративной безопасности и конкурентной разведке.

Досье

Анастасия Антонова – эксперт в сфере корпоративной безопасности и конкурентной разведки, президент Союза предпринимателей развития инновационных технологий. Специалист в вопросах корпоративной безопасности и конкурентной разведки.

Анастасия Антонова

Чем может быть опасна потеря контроля над ЭЦП  

Электронная цифровая подпись (ЭЦП) является важным инструментом для обеспечения безопасности в онлайн-пространстве. Она используется для аутентификации и целостности электронных документов, а также для обеспечения конфиденциальности информации при её передаче и хранении. 

Размещение любой информации в интернете небезопасно. Всё, что однажды попадает в сеть, подвергается риску утечки или несанкционированного доступа. Поэтому предпринимателям необходимо соблюдать меры предосторожности при работе с электронной цифровой подписью и документами. 

Все необходимые сведения об использовании ЭЦП перечислены в приказе ФНС России «Об утверждении порядка реализации Федеральной налоговой службой функций аккредитованного удостоверяющего центра и исполнения его обязанностей» (№ ВД-7-24/982@ от 30.12.2020), который действует до 2027 года. В пп. 1 п. 1 ст. 10 63-ФЗ зафиксировано, что владелец обязан обеспечивать конфиденциальность ключей электронных подписей. Поэтому важно не пренебрегать простыми правилами безопасности. 

С помощью украденной ЭЦП можно, например, продать имущество предпринимателя или его компании, переписать бизнес на посторонних людей, заключить заведомо убыточные сделки. Предприниматели, использующие ЭЦП, должна заботиться о том, чтобы ключ от их подписи не попал к преступникам или мошенникам, а сама подпись не была скопирована. 

Правила безопасного использования и хранения ЭЦП

  • Защитите свой ключ. ЭЦП использует публичный ключ для проверки подписи и приватный ключ для создания подписи. Приватный ключ должен быть доступен только владельцу. Убедитесь, что к нему нет доступа у ваших подчинённых или деловых партнёров.

  • Установите надёжный пароль. Он должен быть сложным, состоять минимум из шести-восьми знаков (а лучше – ещё больше), включать в себя буквы, цифры и символы, без логичной последовательности набора знаков и не содержать каких-либо ассоциаций, тем более личных. Если это возможно, используйте двухфакторную аутентификацию.

  • Обновляйте ключи, сертификаты и пароли не реже одного раза в 1-2 месяца. Кроме того, как и любые другие защитные меры, ключи и сертификаты имеют ограниченный срок действия. Регулярно проверяйте сроки действия ваших ключей и сертификатов и обновляйте их при необходимости. Это поможет избежать уязвимостей и предотвратить возможность несанкционированного доступа к вашей ЭЦП.

  • Храните ключ исключительно в недоступных местах. Например, на надёжных носителях, таких как USB-накопители с шифрованием, или в защищённых облачных хранилищах.

  • Никогда не передавайте приватный ключ по сети. Публичный ключ можно свободно распространять, но приватный должен оставаться строго конфиденциальным и не передаваться через сеть. Если вам нужно передать приватный ключ, используйте надёжные методы: личная встреча или зашифрованные сообщения.

  • Не делайте копии приватного ключа. Копирование приватного ключа может привести к его утрате и возможности несанкционированного использования. Если копию ключа необходимо хранить, используйте надёжные методы шифрования и защиты доступа.

  • Следите за сохранностью своих личных данных, чтобы никто не мог изготовить дубликат или выпустить новую подпись вместо вашей.

  • Ни при каких обстоятельствах не передавайте свои учётные данные и подпись третьим лицам.

  • Ключи ЭЦП не должны быть доступны главному бухгалтеру или кому-то из ваших сотрудников. Если есть необходимость, выпускайте ключи на их имя, с разграничением доступа. При увольнении сотрудника в обязательном порядке отзовите доверенность и ключи.

  • Защитите свой компьютер. Устанавливайте пароли по всем правилам. Если вам нужно ненадолго отлучится от компьютера, всегда блокируйте его. Никогда не оставляйте компьютер без присмотра: зачастую опытным мошенникам требуется совсем немного времени, чтобы украсть нужную информацию.

  • Не используйте ключ в облачных системах и на рабочих компьютерах. Чтобы считать данные, мошеннику нужно меньше 10 секунд. Если у него будет цель получить необходимую информацию, то он легко справится с этой задачей.

  • Предпринимателям рекомендую обратиться в ФНС России с заявлением о запрете регистрации юридического лица без личного присутствия. Даже если затем удастся доказать, что вы к зарегистрированной компании не имеете отношения, вашу историю уже нельзя стереть из базы. 

Технологичные преступления довольно распространены, поэтому предпринимателям необходимо быть бдительными. 

Вместо резюме

Чтобы обеспечить защиту своих данных и подтвердить подлинность документов, необходимо соблюдать основные правила безопасного использования ЭЦП. Основные из них – это хранение ключей в надёжном месте, отсутствие доступа к ЭЦП у третьих лиц, использование надёжного ПО с поддержкой электронной цифровой подписи. 

Соблюдение этих правил поможет избежать потенциальных угроз и обеспечит надёжность и безопасность цифрового обмена информацией. Помните, безопасность – постоянный процесс, и важно регулярно обновлять свои знания и современные методы защиты.

Signature

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-каналстраницу в «ВКонтакте» и канал на «Яндекс.Дзен».

15 ноября 2023

Комментарии

0
  • Прокомментируйте первым.

  • Задайте вопрос
    по автоматизации бизнеса

    Наши эксперты ответят на вопросы по автоматизации бизнеса


    Задать вопрос
    Ваш вопрос отправлен

    Ваш вопрос

    Введите Имя
    Введите E-mail
    Отправить Очистить
Возможно, вас заинтересуют другие наши материалы
Загрузить ещё
Идёт загрузка материалов