BISA
Статьи
Квалифицированные Электронные Подписи — Проблематика Использования
Квалифицированные электронные подписи — проблематика использования
вернуться
Статьи Bisa
03.03.2023

Цифровизация оказывает всё большее влияние на нашу повседневную жизнь. Возможно подать налоговую декларацию или заключить договор без физического присутствия, просто подписав файл квалифицированной электронной подписью (КЭП). И не все знают, что большинство действий не требуют использования КЭП руководителей организаций, и допускают типовые ошибки, снижающие защищенность главной квалифицированной электронной подписи организации.

В настоящее время со стороны государства ведется активный процесс по наведению порядка в области обеспечения граждан и бизнеса квалифицированными электронными подписями. Перечень Удостоверяющих Центров, осуществляющих выдачу КЭП, значительно сокращён, а функцию выдачи КЭП для руководителей юридических лиц (единый исполнительный орган - ЕИО) передали в Федеральную налоговую службу.

Эти изменения нацелены на снижение вероятности мошенничества с использованием электронных подписей. В этих целях ФНС России следит, чтобы КЭП ЕИО юридического лица была в единичном экземпляре и находилась на защищенном носителе, без возможности экспорта с него. Кроме того, на её сайте размещены материалы по реализации безопасного электронного документооборота, в том числе «Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)».

Указанные ограничения и рекомендации были подготовлены, чтобы снизить вероятность копирования и распространения особо значимых для бизнеса КЭП ЕИО. Например, недопущения ситуаций, когда главная КЭП организации, фактически совокупность подписи руководителя и печати организации, раздается сотрудникам для осуществления ежедневных операционных функций, например, электронного документооборота с Федеральной Налоговой Службой или Пенсионным Фондом, причём часто такая неограниченная КЭП не требуется.

Текущая практика показывает, что нововведение по защите КЭП породило новую услугу - интернет заполнен инструкциями и объявлениями об взломе защищенных носителей и экспорте КЭП куда захочет заказчик. Стоимость услуги разнится, от полностью бесплатной до символических 500 рублей.

При этом, зачастую пользуясь подобными услугами, организация не только рискует компрометацией собственной КЭП, но и снижает ее защищенность, возвращаясь к практике не контролируемого распространения между сотрудниками.

Фактически извлечение КЭП из защищенного от экспорта носителя - это взлом устройства. Обращаясь к неизвестным лицам, оказывающим подобные услуги, организация рискует получить не только заказанную услугу, но и, в зависимости от условий: создать несанкционированную копию КЭП, которую исполнитель не только передаст заказчику, но и оставит себе, получить вместе с копией КЭП вредоносное программное обеспечение, например, направленное на кражу денежных средств, или заражение вирусом-шифровальщиком.

Рекомендуется взвесить все риски перед попыткой реализации экспорта КЭП ЕИО с защищенного носителя. Подобные действия не только не соответствуют рекомендациям ФНС России, но и несут существенные риски, о которых сказали выше.

Важно понимать, что применение КЭП ЕИО требуется только в редких ситуациях, когда необходимы наивысшие полномочия, в остальных случаях возможно использовать КЭП сотрудников, действующих по доверенности, или функционал машиночитаемой доверенности (вводимый цифровой аналог обычной доверенности).

Наиболее правильным и безопасным подходом является ограничение физического доступа к КЭП ЕИО (доступ только для владельца) и её использование только когда это действительно необходимо и под контролем. Например, необходимые действия с ЭП ЕИО осуществляет сам владелец, или действия осуществляются комиссионно с составлением внутреннего акта проведения работ.

Соблюдение типовых, минимальных мер по обеспечению безопасности главной КЭП организации, эквивалентной подписи руководителя и печати, позволит избежать создания несанкционированных копий КЭП и в разы снизить вероятность мошенничества.

Вывод

С развитием цифровизации возникают как новые возможности, так и новые виды рисков, связанные мошенническими действиями.

Наиболее важной для организации является КЭП ЕИО, представляющая собой эквивалент подписи руководителя и печати организации. Именно на получение данной КЭП могут быть направлены основные и целенаправленные мошеннические действия.

Соблюдение типовых, минимальных мер безопасности и рекомендаций ФНС России при работе с КЭП ЕИО организации значительно снизит риски мошенничества.

Хорошо подумайте перед реализацией экспорта КЭП ЕИО с защищенного носителя. Подобные действия не только нарушают рекомендации ФНС, но и несут существенные риски.

Соколов Артем, независимый эксперт в области информационной безопасности


А как у вас, коллеги? Знаете ли случаи, когда организации терпели убытки от невыполнения подобных рекомендаций?

Михаил Смирнов Главный редактор BISA
Понравилась статья? Узнайте больше о событиях мира ИБ в нашем телеграм-канале
Может быть интересно
О рисках применения искусственного интеллекта при защите КИИ
99
Актуальные схемы мошенничества
108
Почему я регулярно участвую в BIS-саммите?
168