Электронная подпись (ЭП) упростила многие бизнес-процессы — облегчила документооборот, ускорила сдачу отчетности и заключение сделок. Однако она же стала и слабым звеном, которое способно привести к огромным убыткам, срыву сроков, судебным искам и репутационным потерям. Эксперты бухгалтерии для бизнеса «Моё дело» и проекта Кибердом делятся рекомендациями, как обезопасить бизнес при использовании ЭП. В условиях роста электронного документооборота ЭП стала одной из главных целей для хакеров –– она дает полные права руководителя организации с удаленным доступом. При этом в большинстве случаев «дверью» для киберпреступников становятся не технические, а организационные ошибки, рассказали эксперты проекта Кибердом. По их словам, существуют типовые сценарии риска, которые могут привести к негативным последствиям. Общий ключ на отдел. При таком сценарии все сотрудники отдела используют одну электронную подпись. В случае мошенничества или ошибки установить виновника невозможно. Еще чаще встречаются ситуации, когда сотрудники имеют личную ЭЦП, но полномочия не ограничены в соответствии со служебной необходимостью. «Забытые» доступы после увольнения сотрудника. Сотрудник увольняется, а его доступ в удостоверяющем центре не отзывается. Если хакер получит доступ к ЭП уволенного сотрудника, он получит возможность подписывать документы. Внешние подрядчики получают слишком широкие права доступа. Еще один распространенный сценарий — когда подрядчику дают ЭП с правами, превышающими его обязанности. Как обезопасить бизнес при использовании электронной подписи? Использование ЭП в компании должно быть регламентировано, отмечают эксперты бухгалтерии для бизнеса «Моё дело». Законодательных требований к локальным нормативным актам, регулирующим использование электронной подписи, нет. Поэтому компания может самостоятельно определять виды и содержание документов. Целесообразно разработать регламенты применения электронной подписи, порядок регистрации и отзыва прав и т. д. Каждый сотрудник, имеющий право подписывать документы, получает собственную квалифицированную электронную подпись (КЭП) с реквизитами физлица и машиночитаемую доверенность (МЧД). Машиночитаемая доверенность подтверждает, что работник имеет право подписывать конкретные документы. Главному бухгалтеру может потребоваться несколько МЧД — для налоговой, для СФР, у которых есть собственные форматы доверенностей. Для документооборота с контрагентами, систем «Честный знак», ЕГАИС, «Федресурс» и т. д. подойдет МЧД единого формата 003. В компании должны быть прописаны регламенты отзыва полномочий в удостоверяющем центре при увольнении сотрудника. Иначе уволенный сотрудник или хакер, который получил доступ к токену, может месяцами подписывать документы, а руководство компании узнает об этом только при появлении серьезных проблем. В идеале отзыв должен быть автоматизирован — например, с помощью сервиса Active Directory и подобных ему. — Выдача, хранение, использование электронной подписи в бухгалтерии должны быть регламентированы и оформлены внутренними нормативными документами. Необходимо разработать четкие правила выдачи и отзыва электронной подписи, ее использования, ответственности за утрату или передачу третьему лицу. Полномочия, которые дает КЭП, должны соответствовать обязанностям работника. Бухгалтер среднего звена не должен иметь ЭП с правом подписи на все виды документов, включая налоговую отчетность и банковские платежи. В такой ситуации вред компании может быть нанесен и неумышленно. Например, подача отчетности с ошибками. Это позволяет снизить влияние человеческого фактора и избежать основных рисков, связанных с использованием ЭП, — советуют эксперты бухгалтерии для бизнеса «Моё дело». Как защитить инфраструктуру и выстроить IT-контур? Минимизируйте человеческий фактор. Он может сделать бессмысленной любую, даже самую совершенную, техническую защиту и криптографию. Нередко сотрудники пренебрегают физической защитой токена, рассказывает директор по безопасности Кибердома Антон Терешонков. Например, уходя домой, оставляют его в рабочем ПК. В этом случае злоумышленнику достаточно подобрать PIN-код. Слабые или типовые PIN-коды к токену, использование одного PIN-кода на весь отдел облегчают работу мошенника. Закрытый ключ может храниться не только на токене, но и на жестком диске ПК в незашифрованном виде. Если хакер получит доступ к рабочему месту сотрудника, например с помощью фишинга или социальной инженерии, он сможет использовать электронную подпись. Поэтому нельзя пренебрегать защитой в погоне за удобством. На критических рабочих станциях должна быть установлена двухфакторная аутентификация (2FA). Второй фактор должен быть независим от рабочего устройства (например, push-уведомление, СМС, IP). Организуйте сегментацию сети. Рабочие места, использующие ЭП, должны быть изолированы в отдельный сегмент корпоративной сети (VLAN) со строгими правилами фильтрации трафика. Все операции с ключами должны логироваться и передаваться в SIEM для выявления подозрительной активности. Это позволит отслеживать аномальную активность — например, попытки подписать документ в нерабочее время или с недоверенного IP-адреса. Разработайте план реагирования на инциденты. Сотрудники обязаны четко знать, что делать в нестандартных ситуациях. Например, при утрате токена сертификат в удостоверяющем центре следует немедленно отозвать. — Следует исходить из презумпции нарушения: рано или поздно оно произойдет. И ущерб будет зависеть от скорости реагирования. Поэтому стоит регламентировать действия сотрудников при возникновении нештатных ситуаций. Также необходимо непрерывно обучать персонал киберграмотности. Это позволит уменьшить влияние человеческого фактора, улучшить систему «учений» по кибербезопасности. Бизнесу необходимо иметь штатных ИБ-специалистов, привлекать независимых экспертов. Это необходимо для того, чтобы совершенствовать киберустойчивость компании, — рекомендует Антон Терешонков, директор по безопасности Кибердома. Для того чтобы электронная цифровая подпись не превратилась в «мину замедленного действия», необходим комплексный подход. Внутренние регламенты, разграничение полномочий, обучение персонала кибербезопасности и поведению в нештатных ситуациях помогут снизить человеческий фактор. Не стоит экономить и на технических средствах защиты инфраструктуры. Инвестиции в информационную безопасность — страховка от многомиллионных убытков, репутационных потерь и судебных тяжб.
