Главная > Статьи > Электронное делопроизводство > Правоприменительная практика > Мошенничество в сфере применения электронных подписей

Мошенничество в сфере применения электронных подписей

Прочитать позже   Отправить по e-mail

Мошенничество в сфере применения электронных подписей
Иногда даже у технологически продвинутых пользователей – физических лиц и сотрудников компаний – встречается «упрощенное» отношение к обеспечению безопасности при использовании электронной подписи, которое проявляется в неправильном хранении ключей и паролей, передаче их другим лицам, пренебрежении к влияющим на безопасность настройкам оборудования и т.д. Часто такое отношение становится источником проблем и компьютерных преступлений, связанных с хищением денежных средств.

Действующее законодательство в сфере электронного взаимодействия требует от его участников обеспечить доверительную среду для использования ключей электронной подписи, всегда исключать подозрения на нарушение конфиденциальности, не использовать скомпрометированный ключ.

Создание доверительной среды – это, прежде всего: 

  • определение и утверждение списка лиц, имеющих доступ к технологическим средствам ЭП, установление ответственности за использование ЭП; 
  • контроль доступа и наблюдение за техническими средствами с программным обеспечением, предполагающим использование ЭП (ПК с системами «Клиент-банк», «Контур» и т.д.); 
  • в организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним; 
  • для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствам.

Однако даже достаточный уровень конфиденциальности и безопасности не исключает возможности мошенничества при использовании ЭП. Причем чаще всего это связано с несанкционированным списанием денежных средств со счетов клиентов банков на основании платежных поручений, подписанных ЭП.

Условно виды мошенничества в этой области можно разделить на две группы:

  • связанное с взломом кода шифрования (алгоритма) как самой информации, так и прикрепленной удостоверяющей ЭП;
  • связанное с ненадлежащим хранением и открытым доступом к сертификатам ключей проверки ЭП.

Первая группа непосредственно связана с новыми технологиями взломов шифровальных кодов и является видом кибермошенничества. Благоприятствует совершению подобных преступлений незащищенный доступ к локальным сетям, отсутствие надежных систем защиты от вирусов при использовании программного обеспечения, недостаточная квалификация сотрудников при работе с программным обеспечением. Кроме того, киберпреступниками часто используются специальные приемы на основе компьютерных технологий для сокрытия следов вмешательства. 

Как мы уже отметили, большая часть кибермошенничества совершается с целью хищения денежных средств, хотя это не всегда оправдано с технологической точки зрения: затраты на сами технологии взлома могут превзойти прибыток. 

Также следует опасаться неправомерного использования персональных данных, несанкционированного доступа к конфиденциальной информации, нарушения работоспособности корпоративных систем. 

Более широкое распространение имеет мошенничество, не связанное с взломом алгоритмов шифрования подписи, а попросту связанное с хищением ключей ЭП, обманом лиц, обладающих ЭП. Надо иметь в виду, что участниками преступных схем могут быть и сами удостоверяющие центры.

Достаточно часто владельцы ключей ЭП в нарушение режима безопасности осуществляют неконтролируемую передачу ключей своим подчиненным и коллегам. Это несет серьезные риски в обеспечении информационной безопасности электронного взаимодействия, а также создает проблемы при доказывании факта подписания электронного документа определенным лицом. 

Так, например, в июне 2016 года Промышленный районный суд г. Ставрополя вынес приговор по делу № 1-361/2016, в соответствии с которым признал виновным некоего финансового директора общества с ограниченной ответственностью в совершении преступления, предусмотренного ч.4 ст.159 УК РФ. Преступник похитил у компании более 1 млн. руб. Для совершения преступных действий мошенник обманным путем получил доступ к ЭП генерального директора компании. Факт передачи ключа документально зафиксирован не был.

Не исключены и мошеннические схемы с участием УЦ: получение квалифицированного сертификата ключа проверки электронной подписи по поддельным доверенностям, выдача УЦ сертификата неуполномоченным лицам. Это чревато тем, что совершать юридически значимые действия – участвовать в электронных торгах и аукционах, заключать сделки, получать займы  – будут неустановленные лица. 

Так, например, при рассмотрении дела о взыскании задолженности по договору поставки № А60-32436/2015 Арбитражным судом Свердловской области и Семнадцатым арбитражным апелляционным судом было установлено, что при выдаче изготовленной квалифицированной электронной подписи заявителем в удостоверяющий центр была предоставлена доверенность, на которой подпись руководителя юридического лица была подделана. Этот факт подтвержден почерковедческой экспертизой. 

Незаконно полученная ЭП была использована для подписания договора, в соответствии с условиями которого была совершена поставка товара. Юридическое лицо, являющееся по условиям данного договора покупателем, отказалось оплачивать товар, сославшись на незаконность данной сделки. Арбитражный апелляционный суд по указанному делу поддержал эту позицию: «Решением суда признано, что квалифицированная электронная подпись на договоре № 31502191775-ЗК от 30.03.2015 является недействительной. Следовательно, договор поставки № 31502191775-ЗК от 30.03.2015 является не подписанным, а равно, не заключенным, и оснований для вменения Ответчику обязательств по этому договору не имеется». Компания-поставщик понесла убытки.

В соответствии с законодательством Российской Федерации УЦ несет ответственность за вред, причиненный третьим лицам в результате: 

  • неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром; 
  • неисполнения или ненадлежащего исполнения обязанностей, предусмотренных настоящим Федеральным законом. 

Таким образом, при возникновении убытков в следствии неисполнения УЦ своих обязательств по договору оказания услуг, а также обязательств, установленных законодательством РФ, лицо, чье право нарушено, имеет право в судебном порядке защищать нарушенные права, а именно требовать полной компенсации понесенных убытков.

А. Будкова
эксперт 
по правовым вопросам
Полезная статья?
Да / Нет
Прочитать позже В избранное Отправить по e-mail
  • Поделиться в соцсетях:
Только зарегистрированные участники могут оставлять комментарии. Авторизуйтесь или зарегистрируйтесь

Материалы по теме:

Сервисы

Все сервисы

Ваши идеи

Знаете как сделать портал лучше? Поделитесь идеей.