Как грамотно использовать электронную подпись

— Какие виды электронных подписей бывают? Ведь есть разница по возможностям использования и по обладателям.

— Законом предусмотрены 3 типа электронной подписи:

1) простая,

2) усиленная неквалифицированная и

3) усиленная квалифицированная.

Простая электронная подпись (ПЭП) создается без криптографии, только средствами той информационной системы, в которой ее используют. ПЭП чаще всего применяется при банковских операциях, для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративной системы электронного документооборота (ЭДО).

Например, онлайн-банк может установить, что простая электронная подпись клиента – это код, который банк присылает клиенту на СМС для подтверждения операции. Номер телефона, на который присылают код, принадлежит физлицу, то есть ПЭП подтверждает, что действие совершает конкретный человек.

Два остальных вида подписи – усиленные: неквалифицированная электронная подпись (НЭП) и квалифицированная электронная подпись (КЭП).

Чем они похожи:

1. Технология подписания основана на сложном криптографическом алгоритме с применением открытого и закрытого ключей электронной подписи:

• закрытый ключ хранится на специальном ключевом носителе (токене) с пин-кодом или в компьютере пользователя. Он известен только владельцу подписи. С помощью закрытого ключа владелец генерирует электронную подпись, которой подписывает каждый отдельный документ;
• открытый ключ доступен всем, с кем его обладатель ведет электронный документооборот (ЭДО), и предназначен для проверки подлинности ЭП;
• эти ключи однозначно связаны друг с другом, но благодаря асимметричному шифрованию невозможно подобрать закрытый ключ, зная открытый.

2. Усиленная подпись (и КЭП, и НЭП) подтверждает, что документ подписал конкретный человек и после этого документ не меняли.

Но между КЭП и НЭП есть и отличия:

По обладателю усиленная квалифицированная ЭП подразделяется на:

1. КЭП физлица. Если электронная подпись выдается на физлицо, в сертификате указаны фамилия, имя и отчество его владельца, город проживания, а также ИНН и СНИЛС. Чтобы увидеть эти данные, можно открыть сертификат через средство криптозащиты – программу КриптоПро CSP (она устанавливается на каждом компьютере или носителе сертификата, см. Рисунок 2) или панель управления Рутокен (если тип носителя Рутокен, см. Рисунок 1).

С сертификатом квалифицированной ЭП физлицо может работать с порталами ФНС и Госуслуги, регистрировать ИП или недвижимость, подавать заявление на загранпаспорт или документы для поступления в вуз и многое другое.

2. КЭП юрлица. Если сертификат КЭП выдается на юрлицо, то в нем должны быть указаны:

• наименование, местонахождение, ИНН и ОГРН компании, а также
• Ф.И.О. и СНИЛС физлица, которое владеет этой подписью (руководитель или лицо, действующее от имени компании по доверенности). Дополнительно может быть указана должность физлица.

Чтобы увидеть эти данные, нужно открыть сертификат подписи в КриптоПро CSP (Рисунок 3).

С квалифицированной электронной подписью юрлица можно от имени организации участвовать в электронных торгах, сдавать отчетность в электронном виде, взаимодействовать с госорганами онлайн и подписывать документы.

Но тут нужно учесть один важный нюанс. Как видите, существующая ЭП юрлица фактически привязана к определенному физлицу – ее обладателю.

Сейчас прорабатывается возможность выдачи ЭП организации без ее привязки к физлицу. Такие планы активно обсуждались в марте 2019 года. Они были в одном из проектов изменений в ФЗ «Об электронной подписи». Представители Удостоверяющего центра СКБ Контур участвовали в работе экспертной группы, анализирующей законопроект.

Согласно проекту подписывать документы от имени организации можно было подписью:

• юрлица (ей владеет руководитель организации, но его Ф.И.О. не указаны в сертификате подписи) или
• подписью физлица с доверенностью в электронном виде.

В таком проекте было несколько проблем, в том числе:

• полномочия выступать от имени юрлица невозможно извлечь из подписи физлица (в ней указаны только Ф.И.О.). Обязательно нужно открыть доверенность и проверить ее подлинность. А значит, нужно пересмотреть все существующие механизмы проверки ЭП во всех информационных системах страны – на это потребуются миллиарды рублей;
• не проработан механизм отзыва полномочий владельца сертификата. Что делать, если полномочия руководителя организации прекратились? Отзывать сертификат всего юрлица нельзя – ведь оно действует, только с новым руководителем. Что делать, если полномочия человека, работавшего по доверенности, прекратились? Отозвать доверенность нельзя – это просто файл. Отозвать его сертификат физлица тоже нельзя – он ведь не перестал быть физлицом.

В итоге этот проект отправили на доработку из-за недовольства со стороны бизнес-сообщества.

— Как получателю электронного документа, подписанного ЭП, проверить целостность и аутентичность – что после подписания документ никто не редактировал, что на момент подписания подпись была действительна?

— С помощью специальных программ или веб-сервисов для шифрования электронных документов, например Контур.Крипто.

Также проверить подпись и подписанный электронный документ можно через Госуслуги.

— Может ли аккредитованный удостоверяющий центр выдавать не только квалифицированные, но и неквалифицированные подписи? На каких условиях?

— Да, может. Ограничений по выдаче НЭП для аккредитованных удостоверяющих центров (УЦ) нет. Они могут выдавать и НЭП, и КЭП.

Ограничение есть для неаккредитованных УЦ. Они могут выдавать только НЭПы.

Однако аккредитованные УЦ сейчас нечасто выдают НЭП. Да и у большинства организаций и физлиц пропал к ним интерес, потому что почти все внешние площадки используют КЭП. Например, спрос на НЭП сильно упал в 2018 году, когда госзакупки, ранее проходившие только с использованием НЭП, полностью перешли на КЭП.

Есть 2 ситуации, когда УЦ выдают НЭП:

• для использования во внутреннем документообороте компании (НЭП выдаются ее сотрудникам);
• для международных компаний, которые ведут электронный документооборот с российскими организациями. НЭП нужны иностранным компаниям, т.к. они не зарегистрированы в РФ и не могут получить КЭП.

— Как простому обывателю потом отличить квалифицированную ЭП, выданную УЦ, от неквалифицированной?

— Для проверки КЭП можно использовать внешние ресурсы, например, сервис подтверждения подлинности сертификата ЭП на портале Госуслуг (https://www.gosuslugi.ru/pgu/eds).

Есть несколько признаков, которые отличают сертификат КЭП и НЭП. Чтобы их увидеть, нужно открыть сертификат в программе КриптоПро CSP или через панель управления Рутокен (если у вас носитель Рутокен).

Признаки КЭП:

• выдан аккредитованным УЦ и
• все поля в сертификате соответствуют требованиям ФСБ (приказ ФСБ РФ от 27.12.2011 № 795).

На практике вы поймете, что у вас КЭП, когда попробуете работать с порталами или системами, которые требуют именно квалифицированную подпись: площадки закупок, портал Госуслуг, Система межведомственного взаимодействия (СМЭВ) и другие. Если вы попробуете зайти на эти площадки через НЭП, вам откажут во входе.

— Какие документы надо подавать в УЦ для получения квалифицированной ЭП на должностное лицо организации? Кто это может делать?

— Уточню, что ЭП выдается на уполномоченное лицо, не обязательно это должен быть сотрудник организации.

Юрлицам для получения квалифицированного сертификата ЭП потребуются:

• паспорт будущего владельца сертификата;
• СНИЛС;
• заявление на выдачу сертификата подписи, подписанное будущим владельцем;
• доверенность, если сертификат получает не сам заявитель, а курьер;
• доверенность от имени руководителя (если ЭП получает уполномоченное лицо);
• доверенность на право подписи (если ЭП получает уполномоченное лицо и оно пишет заявление на выдачу от имени юрлица);

Это минимальный список документов, который может расшириться в зависимости от типа организации, достоверности ее данных в выписке ЕГРЮЛ и типа получаемой подписи. За полным списком лучше обратиться в УЦ. Предварительно узнать список необходимых вам документов можно на сайте удостоверяющего центра (например, мы на своем сайте его выводим после того, как пользователь выберет, какой сертификат ЭП он хочет получить).

— Кому и что выдает удостоверяющий центр, чтобы у должностного лица организации появилась своя квалифицированная подпись?

— На самом деле пользователь всегда получает не саму ЭП, а инструмент для ее создания. Этот инструмент отличается в зависимости от вида ЭП.

В случае с усиленной КЭП инструментом являются сертификат электронной подписи (закрытый и открытый ключ, сведения о владельце). Именно его можно получить в УЦ. Сертификат может быть записан на токен (устройство в виде USB-флешки) в офисе УЦ, либо человек самостоятельно может записать их через личный кабинет УЦ на токен или свой компьютер.

— Как грамотно отозвать ЭП при увольнении этого уполномоченного лица, чтобы без ведома человека его подписью потом документы не подписывали в организации, а также без ведома организации бывший работник этого не смог сделать? Кто должен отзывать? Как проверить, что это сделано?

— Мы рекомендуем действовать следующим образом. Кадровая служба или другое подразделение компании, которое участвует в увольнении сотрудников, отслеживает, получал ли сотрудник электронную подпись организации. Если получал, то отозвать сертификат можно двумя способами:

• владелец сертификата – уволившийся сотрудник сам обращается в УЦ, чтобы отозвать сертификат. Работодатель сможет узнать, что сертификат отозван, на сайте УЦ в списке отозванных сертификатов. Информация о том, что подпись отозвана, появится в этом списке в течение суток;
• если бывший сотрудник не хочет сам обращаться в УЦ и отзывать сертификат, сделать это может его руководитель или другое лицо, уполномоченное представлять интересы компании в УЦ.

— С какими проблемами в использовании ЭП сталкивался ваш удостоверяющий центр, разработчики системы электронного документооборота и служба ее поддержки? Как грамотно минимизировать эти проблемы или даже предотвратить полностью – дайте, пожалуйста, практические советы физлицам и организациям.

— Проблемы с использованием ЭП возникают в том случае, если она оказалась в руках не своего законного владельца. Если это подпись физлица, то злоумышленники могут подписать любые документы от его имени, оформить сделки по продаже недвижимости. С подписью юрлица злоумышленники могут возместить НДС организации, ликвидировать компанию или вывести из нее средства.

Чтобы предотвратить ситуации мошенничества с электронной подписью, придерживайтесь следующих правил:

1. Владелец сертификата ЭП не должен передавать закрытый ключ электронной подписи или его копию другим лицам. Это правило чаще всего нарушается в отношении подписи руководителей компаний. Но носитель, на который записан сертификат ЭП, нельзя передавать даже заместителю, бухгалтеру или самому добросовестному сотруднику. Возможно, вам удастся установить виновника произошедшего, но ответственность за его действия понесете вы.

2. Соблюдайте гигиену рабочего места – нужно обеспечить информационную безопасность компьютера, на котором будут использовать электронную подпись. Это необходимо, чтобы злоумышленники не могли получить закрытый ключ ЭП через компьютер. В частности, нужно установить надежный пин-код на носитель ЭП, антивирус, не запускать программы из непроверенных источников. Эти требования указаны в памятке, которую выдают УЦ.

3. Отслеживайте изменения полномочий сотрудников, владеющих подписями:

• для уволенных работников – отзывать подписи;
• для сотрудников, у которых изменились полномочия – отзывать сертификат или закрывать / открывать им доступ в системы, в которых они лишились / приобрели полномочия.

4. Снижайте возможность мошенничать с вашими бумажными документами. Например, скан копии паспорта руководителя не должен быть доступен третьим лицам. Если его получат мошенники, они смогут выпустить поддельную доверенность и получить ЭП на имя руководителя, сотрудника или юрлицо.

5. Кроме того, целесообразно регулярно сверяться с бюджетом в части уплаты налогов, чтобы неверные данные можно было быстро заметить.

Что делать, если документы вашей организации кто-то подписал без вашего ведома:

1. Выясните, каким сертификатом ЭП подписан документ и кто владелец сертификата. Если документ находится в госоргане или на площадке – обратитесь к ним. Если документ вам доступен – самостоятельно откройте сертификат ЭП.

2. Узнайте, по каким документам выдан сертификат ЭП. Для этого обратитесь в УЦ, который выдал подпись (данные УЦ будут указаны в сертификате). Мошенник мог подделать ваши документы, чтобы получить по ним сертификат. В таком случае УЦ сразу же заблокирует сертификат подписи.

3. Обратитесь в правоохранительные органы. Это можно сделать сразу после того, как вы поняли, что стали жертвой мошенников. Так появится шанс найти виновников, привлечь их к ответственности и взыскать ущерб. Помните, что при электронном документообороте поймать мошенника, который подделал электронную подпись, проще, чем при использовании бумажных документов и рукописной подписи.

Замечу, что мошенничество с электронной подписью существует не на электронном, а на бумажном уровне. Технология создания электронных документов надежна – Удостоверяющий центр СКБ Контур за 16 лет работы не зафиксировал ни одного случая их подделки. А вот бумажные документы легко подделать, постоянно изобретаются новые способы. Необходимо совершенствовать закон, чтобы у мошенников, подделывающих бумажные документы, не было возможности получить ЭП.

Поэтому СКБ Контур вместе с другими участниками процесса – Министерством цифрового развития, массовых коммуникаций и связи России и Советом Федерации РФ – последовательно выступает за ужесточение на законодательном уровне требований к проверке заявителей.

Сейчас Совфедом разработан законопроект, который, в частности, вводит усиленные требования по идентификации и проверке полномочий лиц, получающих электронную подпись, а также существенно увеличивает ответственность удостоверяющих центров. Также законопроект предусматривает, что любой человек сможет следить за выданными на его имя электронными подписями через единый реестр выданных сертификатов электронной подписи. Проверить, какие сертификаты выданы вам или по доверенности на ваше имя, можно будет в личном кабинете на портале Госуслуг. Если в реестре будут подписи, которые вы не получали, то вы сможете обратиться с жалобой в Минкомсвязи России или УЦ, который выдал эту подпись.

Беседовала Наталия Сараева