Как защитить от мошенников свою электронную подпись

Предприниматель должен соблюсти пять основных правил работы с электронной цифровой подписью (ЭЦП), чтобы не стать жертвой мошенников. На какие риски стоит обратить внимание и как от них защититься, "РГ" рассказали в компании-разработчике антивирусных решений ESET.

Российские предприниматели с июня этого года могут бесплатно оформить квалифицированную цифровую подпись, чтобы работать с электронными документами, пользоваться сервисами на портале госуслуг, налоговой службы и другими. Однако могут возникнуть проблемы с безопасностью организации.

Итак, правило первое. Никому не отдавать электронную цифровую подпись.

"Вообще никому, - подчеркнул эксперт ESET Станислав Жураковский. - Это не просто ключ от вашего сейфа, это ключ от целого бизнеса. Токен должен быть у вас всегда при себе - вместе с телефоном, ключами, кошельком. Но что делать, если постоянно носить его с собой не хочется? Тогда надо поставить дома или в офисе сервер для хранения данных (NAS) с источниками бесперебойного питания или отдельный ноутбук, на котором настроен защищенный удаленный доступ. Однако если отключится интернет или зависнет компьютер, подписать документы не получится".

Второе правило - регулярно, раз в квартал, менять пароли на всех аккаунтах.

Третье правило - не прописывать ключ в реестр.

"В некоторых операционных системах есть возможность сохранять ключи с токена прямо в компьютер. Так делать не стоит, - рекомендуют в ESET. Вредоносных программ, которые ищут подобные ключи в реестре, очень много. Более безопасная практика - работа с токеном и ЭЦП только по необходимости и разово, а не круглосуточно".

Четвертый пункт в цифровом кодексе предпринимателя - защитить все компьютеры в организации.

Если у руководителя стоит защищенное устройство, а у всех прочих нет - то достаточно любому сотруднику зайти на вредоносный сайт, чтобы вирусы, трояны, вымогатели, программы для кражи электронных ключей и прочие зловредные программы начали расползаться по внутренней сети компании. Чтобы этого не случилось, лучше пользоваться антивирусными продуктами для бизнеса, которые входят в Государственный реестр Федеральной службы по техническому и экспортному контролю РФ.

"Зачастую бизнес-версии выгоднее, чем отдельные антивирусы на каждый компьютер. В сумме выходит дешевле, а управление при этом осуществляется централизованно. Такая защита даст возможность спокойно работать, не отвлекаясь на настройку различного ПО для безопасности", - добавил Жураковский.

И, наконец, пятое правило - нужно обязательно сделать отдельные ЭЦП на бухгалтера и сотрудников в 2022 году. Тогда вступят в силу новые правила, по которым можно будет оформить квалифицированную электронную подпись на каждое физлицо в компании и даже сделать общую подпись организации. Это среди прочего снимет проблему выполнения первого правила безопасности.

Меры предосторожности надо соблюдать и при оформлении ЭЦП. Бесплатно ее могут получить индивидуальные предприниматели, нотариусы и ООО. Для этого нужны паспорт, СНИЛС (оригинал или распечатка скан-копии), номер ИНН, защищенный носитель и лицензия на программу CryptoPro.

"Если с документами все понятно, то что такое "защищенный носитель", для многих требует пояснения, - говорит Станислав Жураковский. - Он выглядит как обычная флешка и нужен для того, чтобы никто не смог скопировать файл ЭЦП. Но из соображений безопасности система технически не сможет передать электронную подпись на вашу личную флешку или персональный ноутбук. Подходящие защищенные носители по цене от одной до двух тысяч рублей продаются в аккредитованных центрах, список которых есть на сайте налоговой службы.

После покупки не лишним будет заменить стандартный пароль изделия на собственный - длинный и сложный, добавляет эксперт.

А при выборе криптографического токена надо быть осмотрительными. Рядом с налоговыми инспекциями нередко работают фирмы по оказанию вспомогательных услуг - распечатке и копированию документов, консультированию и так далее. Предлагаемые ими USB-ключи для электронной подписи могут оказаться небезопасными. Есть риск, что они будут передавать данные ЭЦП злоумышленникам.