Директор по информационной безопасности компании «БелИнфоНалог» Дмитрий Корнев рассказал «Фонарю», какие схемы используют злоумышленники, почему нельзя передавать подпись даже сотрудникам и как защитить свои данные.
Электронная подпись стала привычной. Но многие до сих пор недооценивают риски
Сегодня электронная подпись используется практически везде: от получения госуслуг до подписания договоров и бухгалтерских документов. Особенно активно её применяют предприниматели и компании, которые работают с электронным документооборотом. В том числе электронные подписи выдаёт и компания «БелИнфоНалог».
По словам директора по информационной безопасности компании Дмитрия Корнева, главная проблема в том, что многие относятся к электронной подписи слишком легкомысленно.
— Электронная подпись — это фактически аналог обычной подписи человека, только в цифровом виде. Документ, который подписан электронной подписью, имеет юридическую силу. И если владелец сам передал доступ к подписи другому человеку, потом доказать непричастность к каким-либо действиям бывает крайне сложно. Многие почему-то уверены, что передать ЭЦП бухгалтеру, сотруднику или знакомому — это что-то бытовое и безопасное. На практике именно с этого начинаются серьёзные проблемы, — рассказал Дмитрий Корнев «Фонарю».
Он пояснил, что сама технология электронной подписи считается надёжной. Подделать электронную подпись практически невозможно, потому что в её основе лежат криптографические механизмы защиты. Однако мошенники обычно даже не пытаются взломать систему — им проще получить доступ к подписи через невнимательность владельца.
Как мошенники получают доступ к чужой ЭЦП
По словам Дмитрия Корнева, чаще всего злоумышленники используют не технические уязвимости, а человеческий фактор.
— Основная проблема — не взлом подписи, а беспечность людей. Кто-то передаёт файлы с ключами сторонним лицам, кто-то хранит пароль рядом с подписью, а кто-то просто отдаёт доступ сотрудникам «для удобства». В итоге человек сам передаёт мошенникам инструмент, который позволяет действовать от его имени. После этого могут появиться кредиты, сомнительные сделки, проблемы с налоговой или даже уголовные разбирательства, — объяснил эксперт.
Одна из самых распространённых схем связана с работой компаний. Руководитель передаёт электронную подпись бухгалтеру или другому сотруднику, чтобы не подписывать документы самостоятельно. После этого недобросовестный работник может оформить фиктивные сделки, вывести деньги со счёта компании или взять займ от имени организации.
Подобная история описывалась и в материалах специалистов по информационной безопасности. Бизнесмен передал электронную подпись бухгалтеру, чтобы сократить количество рутинной работы. Позже выяснилось, что сотрудник оформил на компанию микрозайм на 1,2 миллиона рублей, перевёл деньги себе и уволился.
— Многие предприниматели считают, что если сотрудник работает в компании много лет, то рисков нет. Но электронная подпись не должна передаваться никому. Для сотрудников существуют отдельные сертификаты и машиночитаемые доверенности. Это нормальная и законная практика, которая позволяет разграничивать ответственность, — отметил специалист.
«Мёртвые души», кредиты и чужая прописка
С помощью чужой электронной подписи мошенники могут проводить самые разные операции. Например, устраивать на работу несуществующих сотрудников и получать зарплату за «мёртвые души». Формально документы будут подписаны владельцем ЭЦП, поэтому именно ему потом придётся объясняться с правоохранительными органами.
Кроме того, злоумышленники могут использовать подпись для оформления микрозаймов и кредитов.
— Сейчас мошенники всё чаще работают через давление и социальную инженерию. Человеку звонят якобы из полиции, банка или госорганов, убеждают, что идёт какая-то спецоперация, пугают уголовными делами и просят срочно передать данные электронной подписи. Некоторые люди действительно верят и сообщают пароли или отправляют файлы с ключами. После этого на человека могут оформить кредиты или получить доступ к важным сервисам, — рассказал Дмитрий Корнев.
Иногда проблемы возникают и из-за банальной невнимательности. Например, люди создают электронную подпись на общедоступных компьютерах и забывают удалить файлы. После этого ими могут воспользоваться посторонние.
Отдельный риск связан с регистрацией людей в жилье без ведома владельца. Если злоумышленники получают доступ к подписи собственника, они могут использовать её для оформления регистрации других граждан.
Почему утечки данных вызывают тревогу
В 2026 году тема безопасности электронных подписей снова оказалась в центре внимания после сообщений о возможной утечке данных пользователей «КриптоПро». Об этом сообщил телеграм-канал «Пост-».
Авторы публикации заявили, что в так называемых «ботах для пробива» появились данные клиентов компании за 2026 год. Речь шла о ФИО, датах рождения, паспортных данных и СНИЛС. При этом официальной информации о взломе на момент публикации не было.
— Любая утечка персональных данных — это серьёзный риск. Даже если злоумышленники не получили сами ключи электронной подписи, им могут быть полезны паспортные данные, СНИЛС и другая информация. Чем больше данных о человеке собрано в одном месте, тем проще проводить атаки с использованием социальной инженерии. Поэтому к защите своих документов и аккаунтов сейчас нужно относиться максимально внимательно, — считает эксперт.
Он отметил, что пользователям важно следить не только за безопасностью самой подписи, но и за всеми сервисами, где используются персональные данные.
Почему электронную подпись нельзя хранить «как попало»
Директор по информационной безопасности компании подчёркивает: многие проблемы возникают из-за элементарных ошибок пользователей.
— Некоторые люди называют папку с электронной подписью её же паролем, чтобы не забыть комбинацию. Другие хранят пароли на рабочем столе компьютера или отправляют их себе в мессенджерах. Всё это сильно облегчает задачу злоумышленникам. Электронная подпись требует такого же отношения, как банковская карта или паспорт, — пояснил Димитрий Корнев.
По его словам, особенно опасны вирусы и шпионские программы. Иногда достаточно открыть подозрительный файл или перейти по ссылке из письма, чтобы мошенники получили доступ к компьютеру.
Эксперт рекомендует:
- использовать сложные пароли;
- не хранить пароль рядом с ключом подписи;
- не устанавливать сомнительные приложения;
- регулярно обновлять антивирус;
- блокировать компьютер, если пользователь отходит от рабочего места;
- не пересылать файлы ЭЦП через мессенджеры и электронную почту.
О том, как составить сложный пароль, мы рассказывали тут.
Что делать, если подпись могла попасть к мошенникам
Если владелец подозревает, что доступ к электронной подписи получили посторонние, действовать нужно быстро.
— Самое важное — сразу отозвать сертификат электронной подписи через удостоверяющий центр. Чем быстрее это сделать, тем меньше шансов, что подпись успеют использовать. Многие тянут до последнего, надеясь, что ничего страшного не произошло. Но в вопросах информационной безопасности время играет критическую роль, — рассказал эксперт.
Кроме того, специалисты советуют проверить, не выпускались ли на имя человека другие сертификаты электронной подписи. Сделать это можно через личный кабинет на Госуслугах в разделе, связанном с электронной подписью.
— Люди часто думают, что мошенников невозможно найти. На самом деле электронная подпись оставляет достаточно много цифровых следов. Удостоверяющие центры хранят информацию о выдаче сертификатов, документы и другие данные. Поэтому расследовать такие случаи обычно проще, чем истории с поддельными бумажными подписями. Но гораздо лучше не доводить ситуацию до этого этапа, — добавил специалист.
«Удобство не должно превращаться в угрозу»
По словам Дмитрия Корнева, электронная подпись сама по себе остаётся удобным и безопасным инструментом, если соблюдать базовые правила цифровой гигиены.
— Электронный документооборот действительно экономит время и упрощает многие процессы — и для бизнеса, и для обычных людей. Но удобство не должно превращаться в угрозу. Сейчас мошенники всё чаще пытаются атаковать не программы, а самих пользователей. Поэтому главное правило остаётся прежним: никому не передавать доступ к своей электронной подписи и внимательно относиться к безопасности своих данных, — заключил он.
