Рано чи пізно кожному знадобиться ЕЦП (електронно-цифровий підпис) або його підсилена версія – КЕП (кваліфікований електронний підпис).
Нещодавно консультував знайомого адвоката з цього питання, але подумав, що така інформація знадобиться не лише для високо-ризикових професій.
Для пересічного громадянина питань дуже багато: де можна отримати ЕЦП, шопачьом, чи безпечно, які існують ризики, тощо.
Отже, про все по порядку.
Фактично, для кінцевого користувача ЕЦП – це просто невеличний файл спеціального формату. Генерують такі файли за запитом користувача спеціальні організації, які називаються АЦСК – авторизований центр сертифікації ключів.
Де знайти ці організації і як це все працює для звичайного громадянина?
Все просто: спочатку гуглимо «АЦСК+ваш населений пункт або адреса», беремо чисту флешку, паспорт та ІПН і йдемо ніжками до найближчого відділення АЦСК. Там вам все покажуть та скажуть що робити. Платимо їм близько 200 гривень (на рік) – і отримаємо на флешку персональний КЕП/ЕЦП. Після того ту флешку необхідно дуже сильно берегти. Бажано більше нічого на ній не записувати і не тикати нею в інші пристрої. А ще маленьку річ можна загубити, її можуть вкрасти, або ви самі її так заховаєте, що самі не зможете знайти (як у мене було не раз).
Як варіант файл ЕЦП можна перенести на комп’ютер.
Але і тут існують певні ризики. Комп’ютер може бути інфікований якимись стілерами чи іншою какою. Його теж можна прогубити десь в офісі чи у таксі. А для ризикових видів активностей (типу нелояльного блогерства) лептоп можуть віджати мусра під час свавільного обшуку.
Тому для збереження конфіденційної інформації на комп’ютері, рекомендую створити шифрований контейнер для чутливої інформації з паролем на 20+ символів. Відкривати його тільки на період використання та закривати одразу після.
До речі, ЕЦП можна отримати і безкоштовно, у вашій податковій. Але сильно подумайте що вам дорожче: ваш час та нерви чи 16 гривень на місяць.
Ще можна зберігати ЕЦП/КЕП у хмарі. Але персональне хмарне сховище – це рідкість серед пересічних користувачів, тому не буду на цьому зупинятися.
Звісно, існують і простіші способи. Безкоштовні, і не встаючи з дивану. Але попереджаю – вони значно менш безпечні з точки зору вашої приватності.
Загалом поняття «зручність» та «безпека» - майже завжди взаємно-виключні. Серйозна безпека майже ніколи не буває зручною. Але хороша новина у тому, що до неї можна звикнути, поматюкавшись на етапі звикання.
Отже, про зручні, але не дуже безпечні способи отримати ЕЦП/КЕП.
Безкоштовно та онлайн видають КЕП/ЕЦП деякі великі банки. Увага: це не означає, що кожен банк видає ЕЦП.
Якщо Ви вже клієнт такого банку, і банк вже однозначно ідентифікував Вас – він може згенерувати для Вас ваш персональний ЕЦП, яким можна користуватися і поза межами банківської системи. При цьому усі файли такого ЕЦП зберігатимуться на серверах банку. Де безпеку поводження з ними Ви ніяк не можете контролювати – лише вірити у неї.
Для тих безбашенних відчайдухів, які повністю довіряють партії та уряду – можна також скористатися Дія.Підписом. Зрозуміло, що треба бути зареєстрованим в Дії та пройти процедуру крутіння головою.
Головний недолік обох цих способів полягає у тому, що файли вашого цифрового підпису знаходяться поза межами Вашого контролю. Також банк або державна установа теоретично можуть дізнатися і Ваш пароль. Звісно, вони це заперечують, але наразі немає способів переконатися, що вони не мають таких можливостей. Адже Ваш ЕЦП знаходиться на їхніх серверах - а не на вашій флешці у вашій кишені.
Яскравим прикладом того, що державні чи комерційні інституції можуть здійснювати оборудки, зловживання та махінації з ЕЦП на своїх серверах є так званий «кейс Джо Байдена»
Дуже стисла фабула: задля компрометації петиції проти одного чиновника ОПи, АЦСК одного великого банку (у змові з високопоставленим офіцером СБУ), створив кілька ЕЦП для неіснуючих людей. Чуваки були настільки впевнені у своїй безкарності, що назвали один з тих фейків Joe Biden.
Тому якщо ваша особиста конфіденційна інформація знаходиться поза межами вашого ж особистого контролю – вона не може вважатися у безпеці. Особливо коли її контролює умовна «держава».
Якщо декому навіть на таких пальцях не все зрозуміло – тоді краще пройти курси базової кібер-грамотності. До речі, ми з партнерами якраз плануємо такі курси, від відомих фахівців та за чесну ціну. Кібер-фахівцем після них не станеш, але з таким базисом можна буде йти навчатися професійній кібербезпеці. Ще можна понтанутися перед друзями обізнаністю. Або просто почуватися впевненіше та спокійніше у сучасному цифровому Світі, озброївшись знаннями основ кібербезпеки.
Підписуйтесь на наш Telegram канал Enigma