Эксперт предупредил об опасности бесконтрольного использования ЭЦП на флешке

Photo of author

By starvox

Эксперт предупредил об опасности бесконтрольного использования ЭЦП на флешке

Оригинальный текст опубликован на сайте «Podrobno.uz», 28 августа 2023, 14:45. Материал доступен по ссылке.

Сегодня в большинстве электронных систем налоговых, статистических и других государственных органов разрешается применение ключа электронной цифровой подписи (ЭЦП) в виде электронного файла. Это потенциально может приводить к серьезным злоупотреблениям. Изменить ситуацию могут физические средства защиты ключа ЭЦП – USB-токены, считает эксперт в сфере электронного документооборота и применения ЭЦП, директор компании MyToken Рустам Асымов.

321441213.pngЭксперт в сфере электронного документооборота и применения ЭЦП, директор компании MyToken Рустам Асымов

– Государственные органы и банки Узбекистана уже много лет дают предпринимателям возможность взаимодействия через интернет. Многие уже и не помнят, как это было раньше – сдавать налоговую или статистическую отчетность в инспекции, теряя в душной очереди время и нервы. Платежные поручения давно не нужно отвозить в банк. Договора, счета фактуры и акты выполненных работ подписываются в электронной форме.

Работа с документами стала действительно удобной и оперативной. Но у этого удобства есть цена, о которой нужно знать – это безопасность ключа электронной цифровой подписи (ЭЦП).

Напомним, что в Узбекистане ЭЦП по юридической значимости законом приравнена к собственноручной подписи. И тем же законом ответственность за конфиденциальность ключа ЭЦП полностью возложена на его владельца. А это значит, что в случае разбирательств суд не примет оправданий владельца, что, передавая свой ключ ЭЦП третьим лицам, он “поступал как все”.

Подача налоговой отчетности и оплата налогов, регистрация и сопровождение договоров ВЭД и подача таможенных деклараций, регистрация записей в электронной трудовой книжке и подача статистической отчетности – все эти действия сейчас выполняются в электронном виде. К сожалению, в большей части этих систем сейчас нет контроля доступа, когда исполнитель может подписывать только те документы, на которые он уполномочен, причем собственным ключом ЭЦП.

Так что исполнитель получает ключ ЭЦП руководителя, а вместе с ним и возможность злоупотребления. В качестве возможных примеров можно привести такие варианты:

  • Налоговый отчет с завышенными показателями приведет к разбирательствам с налоговой службой с риском блокировки расчетного счета компании;

  • Договор, подписанный в электронном виде на невыгодных условиях, приведет к проблемам с репутацией и финансовой устойчивостью;

  • Товарный лот в электронном магазине, выставленный с заниженной ценой, неверной спецификацией или в неправильном количестве, может привести к невозможности выполнить договорные обязательства.

От таких рисков нужно обязательно защищаться! Можно пытаться выбирать, кому передавать свой ключ ЭЦП и брать с исполнителей какие-то расписки, но это в чистом виде “человеческий фактор”.

Более надежным способом будет использовать физические средства защиты ключа ЭЦП – USB-токены, которые у нас традиционно называются USB-ключи. Несмотря на то, что внешне такое устройство очень похоже на USB-флешнакопитель (так называемую “флешку”), оно в корне отличается выполняемой задачей:

  • Токен обеспечивает возможность подписать ключом ЭЦП необходимый электронный документ, но не даст злоумышленнику скопировать этот ключ. Вплоть до того, что при попытках взлома токен блокируется, как платежная карта;

  • Обычная “флешка” предназначена для копирования, переноса и передачи любых файлов подходящего размера. Копирование данных – то, для чего она была создана. 

Банки в Узбекистане уже много лет выдают своим корпоративным клиентам аппаратные USB-ключи. Порталы интерактивных государственных услуг тоже поддерживают использование USB-ключа, но все еще позволяют использовать ЭЦП в виде обычного файла на “флешке”.

Для физических лиц есть альтернативный носитель ключа ЭЦП – это ID-карта, которую в Узбекистане выдают взамен общегражданского паспорта. Но руководители предприятий и предприниматели должны сами позаботиться о том, чтоб обеспечить безопасность своему ключу ЭЦП.

Если уж и давать свой ключ ЭЦП исполнителю для работы, то нужно избавить его от искушения сохранить себе копию “на всякий случай” – с токеном такой фокус проделать не получится.