Один из распространенных сценариев — использование общего ключа на отдел. В такой ситуации все сотрудники отдела применяют одну электронную подпись. В случае мошенничества или ошибки установить виновного невозможно. Еще чаще встречаются случаи, когда сотрудники имеют личную ЭЦП, но их полномочия не ограничены в соответствии со служебной необходимостью.

«Забытые» доступы после увольнения сотрудника — еще одна проблема. Сотрудник увольняется, а его доступ в удостоверяющем центре не отзывается. Если хакер получит доступ к ЭП уволенного сотрудника, он сможет подписывать документы.

Внешние подрядчики получают слишком широкие права доступа. Еще один распространенный сценарий — когда подрядчику дают ЭП с правами, превышающими его обязанности.

Как обезопасить бизнес при использовании электронной подписи? Использование ЭП в компании должно быть регламентировано, подчеркивают эксперты бухгалтерии для бизнеса «Мое дело». Законодательных требований к локальным нормативным актам, регулирующим использование электронной подписи, нет. Поэтому компания может самостоятельно определять виды и содержание документов. Целесообразно разработать регламенты применения электронной подписи, порядок регистрации и отзыва прав и т.д.

Каждый сотрудник, имеющий право подписывать документы, получает собственную квалифицированную электронную подпись (КЭП) с реквизитами физица и машиночитаемую доверенность (МЧД). Машиночитаемая доверенность подтверждает, что работник имеет право подписывать конкретные документы. Главному бухгалтеру может потребоваться несколько МЧД — для налоговой, для СФР, у которых есть собственные форматы доверенностей. Для документооборота с контрагентами, систем «Честный знак», ЕГАИС, «Федеракурс» и т.д. подойдет МЧД единого формата 003.

В компании должны быть прописаны регламенты отзыва полномочий в удостоверяющем центре при увольнении сотрудника. Иначе уволенный сотрудник или хакер, который получил доступ к токену, может месяцами подписывать документы, а руководство компании узнает об этом только при появлении серьезных проблем. В идеале отзыв должен быть автоматизирован — например, с помощью службы Active Directory и подобных ей.

Выдача, хранение, использование электронной подписи в бухгалтерии должны быть регламентированы и оформлены внутренними нормативными документами. Необходимо разработать четкие правила выдачи и отзыва электронной подписи, ее использования, ответственности за утрату или передачу третьему лицу. Полномочия, которые дает КЭП, должны соответствовать обязанностям работника. Бухгалтер среднего звена не должен иметь ЭП с правом подписи на все виды документов, включая налоговую отчетность и банковские платежи. В такой ситуации вред компании может быть нанесен и неумышленно. Например, подача отчетности с ошибками. Это позволяет снизить влияние человеческого фактора и избежать основных рисков, связанных с использованием ЭП, — советуют эксперты бухгалтерии для бизнеса «Мое дело».

Как защитить инфраструктуру и выстроить IT-контур? Минимизируйте человеческий фактор. Он может сделать бессмысленной любую, даже самую совершенную, техническую защиту и криптографию. Нередко сотрудники пренебрегают физической защитой токена, рассказывает директор по безопасности «Кибердома» Антон Терешонков. Например, уходя домой, оставляют его в рабочем ПК. В этом случае злоумышленнику достаточно подобрать PIN-код. Слабые или типовые PIN-коды к токену, использование одного PIN-кода на весь отдел облегчают работу мошенника.

Закрытый ключ может храниться не только на токене, но и на жестком диске ПК в незашифрованном виде. Если хакер получит доступ к рабочему месту сотрудника, например с помощью фишинга или социальной инженерии, он сможет использовать электронную подпись. Поэтому нельзя пренебрегать защитой в погоне за удобством.

На критических рабочих станциях должна быть установлена двухфакторная аутентификация (2FA). Второй фактор должен быть независим от рабочего устройства (например, push-уведомление, СМС, IP).

Организуйте сегментацию сети. Рабочие места, использующие ЭП, должны быть изолированы в отдельный сегмент корпоративной сети (VLAN) со строгими правилами фильтрации трафика. Все операции с ключами должны логироваться и передаваться в SIEM для выявления подозрительной активности. Это позволит отслеживать аномальную активность — например, попытки подписать документ в нерабочее время или с недоверенного IP-адреса.

Разработайте план реагирования на инциденты. Сотрудники обязаны четко знать, что делать в нештатных ситуациях. Например, при утрате токена сертификат в удостоверяющем центре следует немедленно отозвать.

Следует исходить из презумпции нарушения: рано или поздно оно произойдет. И ущерб будет зависеть от скорости реагирования. Поэтому стоит регламентировать действия сотрудников при возникновении нештатных ситуаций. Также необходимо непрерывно обучать персонал киберграмотности. Это позволит уменьшить влияние человеческого фактора, улучшить систему «учений» по кибербезопасности. Бизнесу необходимо иметь штатных ИБ-специалистов, привлекать независимых экспертов. Это необходимо для того, чтобы совершенствовать киберустойчивость компании, — рекомендует Антон Терешонков, директор по безопасности «Кибердома».

Чтобы электронная цифровая подпись не превратилась в «мину замедленного действия», необходим комплексный подход. Внутренние регламенты, разграничение полномочий, обучение персонала кибербезопасности и поведению в нештатных ситуациях помогут снизить человеческий фактор. Не стоит экономить и на технических средствах защиты инфраструктуры. Инвестиции в информационную безопасность — страховка от многомиллионных убытков, репутационных потерь и судебных тяжб.