Цифровизация оказывает всё большее влияние на нашу повседневную жизнь. Возможно подать налоговую декларацию или заключить договор без физического присутствия, просто подписав файл квалифицированной электронной подписью (КЭП). И не все знают, что большинство действий не требуют использования КЭП руководителей организаций, и допускают типовые ошибки, снижающие защищенность главной квалифицированной электронной подписи организации.
В настоящее время со стороны государства ведется активный процесс по наведению порядка в области обеспечения граждан и бизнеса квалифицированными электронными подписями. Перечень Удостоверяющих Центров, осуществляющих выдачу КЭП, значительно сокращён, а функцию выдачи КЭП для руководителей юридических лиц (единый исполнительный орган - ЕИО) передали в Федеральную налоговую службу.
Эти изменения нацелены на снижение вероятности мошенничества с использованием электронных подписей. В этих целях ФНС России следит, чтобы КЭП ЕИО юридического лица была в единичном экземпляре и находилась на защищенном носителе, без возможности экспорта с него. Кроме того, на её сайте размещены материалы по реализации безопасного электронного документооборота, в том числе «Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)».
Указанные ограничения и рекомендации были подготовлены, чтобы снизить вероятность копирования и распространения особо значимых для бизнеса КЭП ЕИО. Например, недопущения ситуаций, когда главная КЭП организации, фактически совокупность подписи руководителя и печати организации, раздается сотрудникам для осуществления ежедневных операционных функций, например, электронного документооборота с Федеральной Налоговой Службой или Пенсионным Фондом, причём часто такая неограниченная КЭП не требуется.
Текущая практика показывает, что нововведение по защите КЭП породило новую услугу - интернет заполнен инструкциями и объявлениями об взломе защищенных носителей и экспорте КЭП куда захочет заказчик. Стоимость услуги разнится, от полностью бесплатной до символических 500 рублей.
При этом, зачастую пользуясь подобными услугами, организация не только рискует компрометацией собственной КЭП, но и снижает ее защищенность, возвращаясь к практике не контролируемого распространения между сотрудниками.
Фактически извлечение КЭП из защищенного от экспорта носителя - это взлом устройства. Обращаясь к неизвестным лицам, оказывающим подобные услуги, организация рискует получить не только заказанную услугу, но и, в зависимости от условий: создать несанкционированную копию КЭП, которую исполнитель не только передаст заказчику, но и оставит себе, получить вместе с копией КЭП вредоносное программное обеспечение, например, направленное на кражу денежных средств, или заражение вирусом-шифровальщиком.
Рекомендуется взвесить все риски перед попыткой реализации экспорта КЭП ЕИО с защищенного носителя. Подобные действия не только не соответствуют рекомендациям ФНС России, но и несут существенные риски, о которых сказали выше.
Важно понимать, что применение КЭП ЕИО требуется только в редких ситуациях, когда необходимы наивысшие полномочия, в остальных случаях возможно использовать КЭП сотрудников, действующих по доверенности, или функционал машиночитаемой доверенности (вводимый цифровой аналог обычной доверенности).
Наиболее правильным и безопасным подходом является ограничение физического доступа к КЭП ЕИО (доступ только для владельца) и её использование только когда это действительно необходимо и под контролем. Например, необходимые действия с ЭП ЕИО осуществляет сам владелец, или действия осуществляются комиссионно с составлением внутреннего акта проведения работ.
Соблюдение типовых, минимальных мер по обеспечению безопасности главной КЭП организации, эквивалентной подписи руководителя и печати, позволит избежать создания несанкционированных копий КЭП и в разы снизить вероятность мошенничества.
Вывод
С развитием цифровизации возникают как новые возможности, так и новые виды рисков, связанные мошенническими действиями.
Наиболее важной для организации является КЭП ЕИО, представляющая собой эквивалент подписи руководителя и печати организации. Именно на получение данной КЭП могут быть направлены основные и целенаправленные мошеннические действия.
Соблюдение типовых, минимальных мер безопасности и рекомендаций ФНС России при работе с КЭП ЕИО организации значительно снизит риски мошенничества.
Хорошо подумайте перед реализацией экспорта КЭП ЕИО с защищенного носителя. Подобные действия не только нарушают рекомендации ФНС, но и несут существенные риски.
Соколов Артем, независимый эксперт в области информационной безопасности
А как у вас, коллеги? Знаете ли случаи, когда организации терпели убытки от невыполнения подобных рекомендаций?