компрометация эцп это что
Компрометация эцп это что
Электронная цифровая подпись (ЭЦП) – это специальная криптографическая комбинация, которая позволяет удостовериться в подлинности документа и/или авторстве человека, подписывающего его, а также проверить дату последних изменений. А вот компрометация ключа электронной подписи – это отсутствие доверия к ЭЦП, подразумевая факт причастности к данным третьих лиц. Рассмотрим этот момент подробнее.
Понятие
Как таковое определение компрометации ключа электронной подписи в действующем российском законодательстве отсутствует. Однако под нею принято понимать потерю доверия к тому, что используемые ключи обеспечивают безопасность информации (см. например, разд. 2 Регламента регистрации и подключения юридических и физических лиц к системе электронного документооборота ПФР, утв. постановлением Правления ПФР от 26.01.2001 № 15).
Как ни странно, про компрометацию ключа электронной подписи Федеральный закон «Об электронной подписи» 2011 года № 63-ФЗ ничего не говорит.
Вместе с тем за компрометацию ключа электронной подписи по 63-ФЗ отвечает не только её владелец, но и удостоверяющий центр. На основании п. 4 ч. 2 ст. 13 он обязан обеспечивать конфиденциальность сгенерированных ключей ЭП.
Когда наступает компрометация ключа ЭЦП
Ситуации, при которых можно усомниться в действительности электронной подписи, следующие:
Владелец электронного ключа самостоятельно определяет риски и возможные последствия, при которых шифр мог оказаться у посторонних людей.
Напрямую ответственность за компрометацию ключа электронной подписи законом не установлена. Она может выражаться в отобрании ЭЦП, а также последующем преследовании за нарушение режима конфиденциальности закрытых сведений (например, когда компрометация ключа привела к разглашению коммерческой тайны).
Порядок действий при компрометации ключа
Пользователь, обнаруживший или заподозривший возможную компрометацию, по общему правилу обязан выполнить следующие шаги:
Обычно скомпрометированный ключ отзывают в течение получаса после заявления, но при этом не удаляют из системы в целях безопасности. Далее пользователь по желанию может заказать изготовление нового шифра.
Последствия передачи ключа ЭП другому лицу
Принадлежность подписи конкретному лицу
— ФИО, СНИЛС, ИНН – для физического лица, не являющегося индивидуальным предпринимателем;
— ФИО, СНИЛС, ИНН и ОГРН – для индивидуального предпринимателя;
— наименование, ИНН, место нахождения и ОГРН – для юридического лица. В качестве владельца сертификата ключа проверки электронной подписи также указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности (с 2022 г. – только физическое лицо, действующее от имени юридического лица без доверенности).
Эти атрибуты делают квалифицированную электронную подпись именной и обеспечивает признание электронных документов, заверенных ею, равнозначным документам на бумажном носителе, подписанным собственноручной подписью (п. 1 ст. 6 Закона № 63-ФЗ). И так же, как не должно предлагать другому человеку за себя расписываться, не следует допускать использования ключа УКЭП другим лицом.
Ст. 10 Закона № 63-ФЗ (п. 1) говорит, что при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности – не допускать использование принадлежащих им ключей электронных подписей без их согласия. Это довольно расплывчатая формулировка, но с учетом вышесказанного ее смысл проясняется: если владелец ключа не в состоянии научиться с ним обращаться, он может воспользоваться технической помощью другого лица, но не доверить тому использовать ключ самостоятельно, будь то на свое усмотрение или по поручению владельца.
Нельзя передать право использования своей электронной подписи ни на основании распорядительного документа, ни на основании договора, ни на основании доверенности на распоряжение ключом – никаким образом. Если требуется уполномочить иное лицо подписывать документы от имени организации, ИП, гражданина, необходимо оформить электронную подпись на это лицо и снабдить его доверенностью на совершение соответствующих действий.
Необходимые действия в случае компрометации ключа
Что делать, если конфиденциальность ключа нарушена, то есть он попал в чужие руки? Алгоритм действий владельца и АУЦ четко обозначен в Законе № 63-ФЗ (п. 2, 3 ст. 10, пп. 3, 5 п. 1 ст. 13, пп. 2 п. 6, п. 6.1, п. 9 ст. 14, п. 6 ст. 17):
1. не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
2. немедленно (в течение 1 рабочего дня) обратиться с заявлением в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата. Заявление можно подать на бумажном носителе или в форме электронного документа;
3. уведомить других участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения соответствующей информации;
4. удостоверяющий центр аннулирует сертификат ключа УКЭП и отражает в своем реестре дату и основания для аннулирования. До внесения в реестр сертификатов информации об аннулировании сертификата ключа проверки электронной подписи удостоверяющий центр обязан уведомить владельца сертификата ключа проверки электронной подписи об аннулировании его сертификата ключа проверки электронной подписи путем направления документа на бумажном носителе или электронного документа;
5. аннулированный сертификат ключа проверки электронной подписи использоваться не может. Его использование не влечет юридических последствий, за исключением тех, которые связаны с его аннулированием.
На практике крайне распространены случаи передачи ключа ЭП другим лицам. Пожалуй, два наиболее популярных связаны с тем, что директор вместе с передачей ряда полномочий главбуху или другому сотруднику, не задумываясь, допускает их к ключу своей УКЭП, а также с т.н. номинальными директорами – гражданами, числящимися руководителями организаций, однако фактически не участвующими в их деятельности. Последние до поры до времени абсолютно безмятежно относятся к тому, что оформленным на их имя ключом УКЭП распоряжается кто-то другой. Можно не рассчитывать на то, что такой персонаж добровольно выполнит требования Закона № 63-ФЗ, хотя бы потому, что вряд ли о них подозревает.
Но если сам владелец УКЭП добровольно и своевременно не обращается в УЦ, это не означает, что проблема рано или поздно не вскроется. Так, например, если налоговый орган в ходе мероприятий налогового контроля устанавливает, что руководитель утратил (или не имел) контроль над ключом ЭП, ему предлагают написать соответствующее заявление, которое затем передается налоговым органом в АУЦ с просьбой принять меры к аннулированию сертификата ключа проверки (Письма ФНС России от 28.07.2016 № ПА-4-6/13752@, от 28.07.2016 № 6-3-03/0043@, Письмо ФНС России от 20.08.2020 № ЕА-3-26/5960@, Письмо Минкомсвязи России от 12.07.2016 № ОП-П15-085-13646).
Последствия использования ключа другим лицом
Аннулирование УКЭП производится на определенную дату. Что, если при попустительстве владельца до этого момента его подписью пользовался кто-то другой? Удастся ли, например, потом откреститься от ответственности, сославшись на утрату контроля над ключом подписи?
Безусловно, нет! Не случайно закон предписывает как действовать, если владелец обнаружил неладное. Могут иметь место мошеннические действия или действия, которые повлекли негативные последствия для бизнеса со стороны лиц, в распоряжении которых оказался ключ ЭП.
Именно поэтому и нужно внимательно следить за сохранностью ключа и немедленно информировать о его компрометации. Не случайно еще в начале мы подчеркнули, что УКЭП приравнивается к собственноручной подписи и, как следствие, именно на владельца ключа ложится ответственность за подписанный документ вне зависимости от того, кем указанная подпись была использована фактически (см., например, Постановление АС Дальневосточного округа от 26.06.2020 № Ф03-781/2020 по делу № А51-20242/2018, Постановление АС Дальневосточного округа от 23.12.2019 № Ф03-6040/2019 по делу № А51-26035/2018 (Определением Верховного Суда РФ от 07.05.2020 № 303-ЭС20-4234 отказано в передаче дела № А51-26035/2018 в Судебную коллегию по экономическим спорам Верховного Суда РФ для пересмотра в порядке кассационного производства данного постановления)).
Приведем несколько примеров.
Пример 1
Организация представила уточненную налоговую декларацию по НДС, при проверке которой налоговый орган выявил неправомерное принятие к вычету налога на крупную сумму. Решение о привлечении к ответственности за налоговое правонарушение попытались оспорить, сославшись на то, что налоговая декларация была направлена в инспекцию бывшим главным бухгалтером, которая воспользовалась электронной цифровой подписью директора без его уполномочия.
Суд, куда обратилась организация с соответствующим заявлением, возразил, что поскольку электронная подпись является аналогом собственноручной подписи, ответственность за ее исполнение лежит на ее владельце. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования. Директор не представил доказательств нарушения конфиденциальности ключа электронной подписи и уведомления об этом удостоверяющего центра.
Как следствие, уточненная декларация была признана подписанной уполномоченным лицом – руководителем организации – и штраф за искажение суммы налога суд счел наложенным правомерно (см. Постановление 9 ААС от 05.08.2019 № 09АП-31911/2019 по делу № А40-42134/19).
К подобным выводам суды приходили многократно, см., например, также Постановление АС Московского округа от 03.10.2018 № А40-179170/16, Постановление 9 ААС от 25.06.2018 № 09АП-7/2018, 09АП-13779/2018, 09АП-14757/2018 по делу № А40-179170/16 и др.
Пример 2
Клиент обратился в банк с жалобой на несанкционированное списание средств со счета. В ходе проверки выяснилось, что во время работы компьютера, на котором оборудовано автоматизированное рабочее место системы «Клиент-Банк», произошло его внезапное отключение, а на следующий рабочий день было установлено, что в этот момент с расчетного счета ООО была списана денежная сумма в размере 1 760 000 руб. в пользу другой организации в качестве оплаты за аренду автомобилей по платежному поручению, подписанному подлинной электронной подписью директора.
При этом АРМ «Клиент-Банк» ООО было установлено на персональном компьютере главного бухгалтера, доступ в его кабинет был свободным для персонала организации; приказа о предоставлении доступа и о назначении администратора и оператора АРМ «Клиент-Банк» не было, носитель USB с электронной подписью директора ООО был передан директором главному бухгалтеру и хранился в сейфе последнего.
Все обстоятельства свидетельствуют о том, что в ООО не выполнялись условия договора с банком о соблюдении требований по обеспечению безопасности в процессе эксплуатации АРМ «Клиент-Банк», в результате чего имелась возможность использования ключа УКЭП руководителя лицами, не имеющим таких полномочий, как со стороны работников организации, так и со стороны сети Интернет. Владелец подписи не обращался ни в удостоверяющий центр, ни в банк с информацией о том, что ключ скомпрометирован.
В таких условиях ООО не удалось доказать, что названное платежное поручение было несанкционированным. Банк выполнил распоряжение клиента без нарушений, и требовать возмещение потерь от банка оснований нет (см. Постановление ФАС Центрального округа от 03.09.2013 по делу № А35-10589/12 (Определением ВАС РФ от 18.11.2013 № ВАС-15780/13 отказано в передаче дела № А35-10589/2012 в Президиум ВАС РФ для пересмотра в порядке надзора данного постановления)).
Пример 3
В суде директор возразил, что он являлся номинальным руководителем, фактически обязанности по управлению организацией не исполнял, а его электронной подписью воспользовалось другое лицо (судьба ключа подписи ему неизвестна). При этом директор не представил доказательств нарушения конфиденциальности ключа электронной подписи и уведомления об этом соответствующего центра.
Суд отклонил эти аргументы и одобрил привлечение директора организации к субсидиарной ответственности по ее долгам, указав, что поскольку электронная подпись является аналогом собственноручной подписи, ответственность за ее исполнение лежит на ее владельце. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования (см. Постановление АС Московского округа от 03.10.2018 № Ф05-14276/2018 по делу № А40-179170/16).
Решение по другому делу с похожими обстоятельствами и таким же результатом оформлено Постановлением АС Поволжского округа от 15.03.2021 № Ф06-42411/2018 по делу № А12-35538/2017.
Напомним, что 18 мая 2021 года Удостоверяющий центр «Такском» в соответствии с решением Правительственной комиссии первым в России получил аккредитацию согласно новым требованиям закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ. И продолжает оформлять электронные подписи юрлицам, индивидуальным предпринимателям и физлицам согласно всем требованиям законодательства.
Защита ЭЦП: от чего, зачем и как защищать
Согласно российскому законодательству, электронная цифровая подпись (ЭЦП) — это эквивалент «физической» подписи, который обладает полной юридической силой. Юридические лица используют ЭЦП для подписания договоров, сдачи отчетности, при проведении финансовых и других операций. Причем, в случае с юрлицами речь идет о квалифицированной ЭЦП, которая безоговорочно принимается любой системой, заменяя собой рукописную. Давайте условимся, что далее будем иметь в виду именно ее.
Существует еще 2 вида ЭЦП: простая и неквалифицированная. Но скорее всего это не про вашу компанию. Чтобы простая и неквалифицированная ЭЦП придали юридическую значимость подписанному с их помощью документу, требуется дополнительное соглашение между подписантами о правилах их применения и признания. Простая подпись к тому же не гарантирует неизменность содержимого документа.
Нововведения, касающиеся ЭЦП, с 1 июля 2021 и 1 января 2022 г. Придется немного пересмотреть защиту
С 1 июля 2021 вступает в действие часть поправок к Федеральному закону от 06.04.2011 № 63-ФЗ. Начиная с этой даты ФНС начнет выдавать КЭП для юридических лиц, ИП и нотариусов бесплатно. Физические лица смогут получить подпись в удостоверяющих центрах (УЦ), которые прошли аккредитацию по новым правилам (перечень УЦ станет известен в июле 2021).
К слову, подписи, полученные до этого времени, все еще продолжат работать. Это сделано, чтобы обеспечить бесшовный переход к новому порядку.
Остальные поправки начнут действовать 1 января 2022 года. И, пожалуй, самое существенное изменение — использование подписи физического лица для подписания документов от имени юридического. То есть сотрудники компании будут подписывать корпоративные документы собственной КЭП физлица. При этом она будет «усиливаться» электронной (машиночитаемой) доверенностью. С учетом этого факта многим компаниям, возможно, придется пересмотреть систему защиты ЭЦП. Нужно будет защищать:
Получается, что объектов, которые нужно защищать, в компании может стать больше. А это — повод пересмотреть систему защиты.
Что за документ электронная доверенность, пока (по состоянию на июнь 2021) ясности нет. Как с ним работать, и как защищать, станет понятно ближе к 2022 году. Мы будем отслеживать этот момент, и обязательно ознакомим вас со всеми нюансами. Следите за информацией в блоге.
Как ЭЦП может быть скомпрометирована и каких ждать последствий
Существует несколько вариантов хранения ЭЦП. Один из крупнейших российских УЦ, которому мы задали вопрос на этот счет, ответил так: «В данный момент подпись можно записать на специализированный носитель (токен), на обычную флешку, на не системный жесткий диск или в реестр компьютера. Есть некоторые исключения (к примеру, подпись для ФТС или ЕГАИС алкоголь), которые можно записывать только на токены».
На практике чаще всего используется 2 варианта: реестр компьютера и специализированный носитель (токен). Давайте рассмотрим, как ЭЦП может быть скомпрометирована в этом случае.
Компрометация ЭЦП, записанной на токен
В Федеральном законе от 06.04.2011 №63-ФЗ «Об электронной подписи» указывается на то, что участники взаимодействия с использованием ЭЦП не должны допускать применения своей электронной подписи другими лицами.
Получается, если токен руководителя попал чужие руки, речь идет о компрометации. В таком случае нужно обратиться в УЦ для отзыва сертификата ЭЦП и получения новой подписи. Но чего греха таить, во многих компаниях токеном с ЭЦП спокойно пользуется бухгалтер (а иногда и другие сотрудники). Здесь уже все на ваш страх и риск: решайте сами, доверять работникам или нет.
После 2021 года можно будет отказаться от передачи токенов сотрудников. Ведь они смогут подписывать документы личной ЭЦП физлица с доверенностью (об этом мы писали выше). Однако запрета на передачу подписи третьему лицу никто не отменял.
Получается, что компрометация электронной подписи на токене связана со случаями ее попадания не в те руки. Сюда же можно отнести:
Кстати, увольнение сотрудника, на которого была оформлена ЭЦП, — это тоже компрометация. Нужно сразу же (а лучше еще до фактического увольнения) аннулировать его сертификат электронной подписи.
Компрометация ЭЦП при хранении в реестре компьютера
Здесь все примерно так же, как и в предыдущем случае. Компьютером, в реестр которого записан закрытый ключ ЭЦП, в идеале, должен пользоваться только тот, на чье имя выдана подпись. Опять же, если имел место несанкционированный доступ, кража ноутбука с закрытым ключом ЭЦП в реестре, выход из строя, потеря доступа, увольнение сотрудника и другие инциденты, можно говорить о компрометации со всеми вытекающими.
Как еще злоумышленники могут завладеть ЭЦП
Существует еще несколько угроз для квалифицированной ЭЦП:
А чего бояться не стоит? По крайней мере пока
Из некоторых источников можно услышать «страшилки» про того, что злоумышленники могут расшифровать закрытый ключ ЭЦП по открытому. Теоретически это возможно. Но на практике в современных реалиях реализовать такую схему не получится. При генерации пары ключей подписи применяется факторизация или дискретное логарифмирование. Они обеспечивают высокий уровень защиты (подробнее здесь ). Подобрать ключ можно только методом полного перебора. Учитывая использование 64 или 128-битного шифрования и немалую длину ключа, сделать это быстро не в состоянии ни один современный суперкомпьютер: быстрее закончится срок действия ЭЦП, чем удастся подобрать комбинацию. Возможно, в будущем и появятся супермощные компьютеры, которым такой подбор будет под силу. Но это точно произойдет не в ближайшие несколько лет. Так что, можете не волноваться.
А чем грозит компании компрометация ЭЦП
Последствия могут быть серьезными. Ведь с помощью ЭЦП можно управлять различными процессами в компании. Злоумышленники, завладевшие подписью, могут взять от имени юрлица кредит и вывести деньги на подконтрольные счета, намеренно исказить отчетность, провернуть мошенническую схему с возвратом НДС и выводом денег и так далее. В общем встрять можно серьезно.
Что делать при подозрении на завладение ЭЦП злоумышленниками
Сразу обратитесь в удостоверяющий центр, который выдал электронную подпись. Сертификат на нее необходимо аннулировать, и тогда ЭЦП невозможно будет воспользоваться.
Как защитить ЭЦП при приобретении и при эксплуатации
Подумать о защите нужно уже на этапе оформления ЭЦП. Делать это необходимо только в сертифицированных по новым правилам УЦ. Список таких центров есть на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
Но все-таки безопасность ЭЦП и вашего бизнеса зависит от вас самих. Защитить электронную подпись помогут следующие меры и средства:
Ну и конечно же, должна быть выстроена эффективная работа с персоналом. Сотрудники должны знать о недопустимости передачи ЭЦП третьим лицам, о критериях компрометации подписи, о действиях при наступлении таких событий. Человеческий фактор все-таки никто не отменял. Ведь именно из-за него все еще происходит большинство инцидентов в области информационной безопасности.
Что представляет собой компрометация ключей электронной подписи?
В этом споре суд встал на сторону клиента, указав, что компания своевременно известила банк о факте компрометации ключа электронной подписи доступным для него способом, в связи с чем банк должен был прибегнуть к осуществлению дополнительных мероприятий с целью установления действительного волеизъявления клиента на совершение спорных операций.
Вместе с тем, денежные средства были списаны. Решением Арбитражного суда города Москвы от 22.07.2015, оставленным без изменения постановлением Девятого арбитражного апелляционного суда от 19.10.2015, с ОАО «СБЕРБАНК РОССИИ» в пользу ООО «ГОРДОРСТРОЙ» взысканы денежные средства в размере 88 404 416 руб. 67 коп., из которых 86 000 000 руб. — сумма убытков, 2 404 416 руб. 67 коп. — проценты за пользование чужими денежными средствами.
Но существует и противоположная практика. В Определении Верховного Суда РФ от 17.12.2015 № 303-ЭС15-16315 по делу № А51-35104/2014 суд отказал в возмещении убытков, поскольку на момент приема к исполнению распоряжений клиента, а также на момент списания денежных средств с его счета сообщений заявителя в банке еще не имелось.
Данные случаи показывают, насколько серьезно нужно относиться к вопросам компрометации.
Причинами компрометации могут быть совершенно различные факторы, начиная от потери ключей, увольнения сотрудников, которые передают информацию о ключах конкурентам и мошенникам, и заканчивая утечками информации, использованием специальных технических средств.
Ответственность за использование чужой электронной подписи
Электронная цифровая подпись содержит конфиденциальную информацию, и позволяет заверить документ, подтверждает авторство и неизменность содержания. Сегодня ЭЦП используются в электронном документообороте, на торговых площадках, в работе с государственными структурами и органами и т.д. Деятельность и силу цифровой подписи регулирует федеральный законопроект, в отдельной статье которого прописана и ответственность за использование чужой ЭЦП или компрометацию сертификата.
Условия исполнения закона о ЭЦП
Необходимость принятия федерального закона была обусловлена тем, что ЭЦП предоставляет новые права и обязанности субъектам правоотношений, а для удостоверения подлинности подписи сформирована целая система специализированных организаций. Все подзаконные акты, принятые вслед за ФЗ, лишь конкретизируют правовые механизмы и дополняют законодательную базу об ЭЦП.
ФЗ определяет условия использования ЭЦП, соблюдение которых не только признает средства ЭЦП надежными, но и позволяет обеспечить сохранность персональной информации и безопасную передачу данных даже по открытым каналам связи.
Закон прописывает также и ответственность владельца сертификата ключа. По ФЗ владелец ЭП обязан:
Если требования соблюдены не были, то вся ответственность и возмещение возможных убытков ложится на владельца сертификата ЭЦП.
Ответственность за нарушение законодательства
Федеральный закон о ЭЦП был принят 10.01.2002 г., а вступил в силу на территории РФ 22.01.2009 г. Законопроект не только охватывает все сферы действия ЭЦП, но и содержит основные наказуемые случаи за нарушение правил использования цифровой подписи.
По ФЗ несут уголовную ответственность лица:
Гражданско-правовая ответственность налагается:
Возмещение убытков возможно, если:
Если было доказано неправомерное использование электронной подписи или получение доступа к закрытому ключу, то наравне с уголовной ответственностью может налагаться гражданско-правовая или административная ответственность. Объясняется это тем, что наказуем не факт использования ключа ЭЦП, а его последствия (хищение денег, информации, интеллектуальной собственности и т.д.).
Процесс передачи ЭЦП
Цифровая подпись тождественна собственноручной оригинальной подписи, используемый в пространстве электронного документооборота. Передачи ЭЦП третьим лицам запрещена, и противоречит основному ФЗ-63. Основное положение этого законопроекта — электронная цифровая подпись идентифицирует своего владельца.
Однако при необходимости можно составить акт передачи электронной подписи, который должен соответствовать положениям федерального закона. По ФЗ-63 все участники ЭДО имеют право использовать электронную подпись любого типа, но обязаны обеспечить конфиденциальность. За сохранность подписи и область применения реквизита отвечает ее владелец. В случае возникновения спорных ситуаций такой документ будет иметь юридическую силу. Доверенность, составленная в устной форме между сотрудниками компании, при решении вопросов в судебном порядке иметь юридическую силу не будет.
Акт приема-передачи подписи
Пример акта приема-передачи ЭЦП:
Документ может быть составлен в произвольной форме, поскольку прямых требований законодательства к этому документу нет. Обязательно в нем указывают такие сведения, как:
Дополнительно можно включить цели передачи подписи и сроки действия договоренности, ответственность за использование цифровой подписи, условия ее хранения и возмещение ущерба при утере или компрометация ключа. Иногда дополнительно указывают стоимость сертификата. Если ЭП передается более, чем одному лицу, то в акте передачи указывается сразу несколько человек.
Компрометация ключа ЭП
В действующем ФЗ об электронной подписи определение компрометации отсутствует, но под ним обычно понимают потерю доверия к закрытому ключу. Однако по ФЗ ответственность за компрометация ключа несет не только владелец, но и УЦ, выдавший ЭЦП (п.4 ч.2 ст. 13).
В практике выделено несколько ситуаций, когда в сохранности и действительности ключа можно усомниться. К ним относят:
Если была обнаружена компрометация или есть подозрения, что к средствам ЭЦП получили доступ третьи лица, то необходимо:
Скомпрометированную ЭП обычно отзывают в течение 30-40 минут после обращения, однако, в системе она хранится в течение нескольких месяцев. Далее, пользователю необходимо оформить новую электронную подпись, предоставив полный пакет документов и оплатив реквизит согласно выбранному тарифу.
Соблюдение основных положений по безопасности в работе с ЭЦП позволит избежать многих неприятных ситуаций, в т.ч. компрометирующих деятельность фирмы или юридического лица. Передача прав пользования ЭЦП законом не запрещена, но нежелательна: нарушение конфиденциальности закрытого ключа может привести к финансовым или иным потерям, а доказать в судебном порядке факт нарушения или хищения не всегда возможно.