Чем опасна ЭЦП: риски директора и главбуха

28.02.2020

Несанкционированное использование ЭЦП может обернуться большими неприятностями для руководителя и главбуха. Адвокаты предупреждают: к электронной цифровой подписи нужно относиться так же серьезно, как и к печати организации или личной подписи уполномоченного сотрудника. Но что делать, если это не всегда возможно?

Сфера применения ЭЦП в Узбекистане расширяется. В 2020 году предприятия стали использовать электронные счета-фактуры и электронные трудовые книжки. Во всех информационных системах, кроме «Банк-Клиент», нужна цифровая подпись юрлица, выданная Центром государственных услуг. Во многих организациях она – единственная,  полученная на имя руководителя или главбуха (финдиректора).

Человек, в руках которого находится ЭЦП юрлица, получает неограниченные возможности в информационной системе, где она применяется (ЕПИГУ, персональный кабинет налогоплательщика, ЕНСТ, регистрация ВЭД-контрактов). Кто-то может воспользоваться этим из любопытства, а кто-то и со злым умыслом.

До сих пор в Узбекистане не было громких административных и уголовных дел, связанных с использованием ЭЦП. Одни эксперты объясняют это тем, что ЭЦП все еще новое для нас явление, другие – завершившимся двухгодичным мораторием на проверки финансово-хозяйственной деятельности. Третьи предполагают, что пока такие дела просто не попали в поле зрения СМИ.

С ЭЦП работают разные сотрудники, но зачастую ее передача не оформляется приказом или доверенностью. Поэтому невозможно определить, кем именно был завизирован электронный документ. А официальный владелец ЭЦП при этом может и не знать, что с ее помощью был создан какой-либо документ или на ЕПИГУ оформлена заявка на получение интерактивной услуги.

Согласно  Закону «О бухгалтерском учете»  документы, служащие основанием для приема и выдачи денег, товарно-материальных и других ценностей, кредитные и расчетные обязательства, а также финансовая и иная отчетность подписываются руководителем субъекта бухгалтерского учета или лицами, им определяемыми. На практике в бумажных бухгалтерских документах зачастую ставятся две подписи –  бухгалтера (или другого уполномоченного  сотрудника, который составил документ, и руководителя, который подтверждает, что он согласен с его содержанием. Более того,  в бумажных счетах-фактурах на реализацию товаров   предусмотрена еще и подпись сотрудника, отпустившего товар.

В электронном же документообороте, чтобы подписать документ, во всех этих случаях достаточно одной подписи – ЭЦП юридического лица. Учитывая, что электронные документы сегодня полностью создаются при помощи компьютера, доказать что он был создан  и  подписан сотрудником «А», а не сотрудником «В», практически невозможно.

Что говорит нормативная база

Все вопросы, связанные с ЭЦП, регулируются Законом «Об электронной цифровой подписи». В нем говорится, что отвечать за последствия использования ЭЦП будет физическое лицо, на чье имя выдан сертификат ключа (по факту – владелец ЭЦП). Всегда ли это справедливо в условиях, когда во многих информационных системах нет альтернативных способов авторизации и заверения документов? Готовы ли Центры госуслуг выдавать предприятиям множество ЭЦП – по одной на каждого сотрудника, указанного руководителем?

Нормативно-правовая база несовершенна и не позволяет однозначно ответить на эти вопросы.

Скоро Мининфоком представит новую ЭЦП. С этой подписью можно будет работать уже и в системе «Банк-Клиент».

Разработчики, по идее, должны позаботиться о том, чтобы:

  • ЭЦП позволяла с высокой точностью идентифицировать человека, который ее поставил, как это происходит с собственноручной подписью;
  • в электронных документах по аналогии с бумажными была предусмотрена возможность его визирования ответственными лицами на каждом этапе создания (главный бухгалтер, руководитель, сотрудник отпустивший товар). И ЭЦП, к примеру, директора должна свидетельствовать о том, что ее поставил именно директор, а не кто-то другой.

До появления новых технологий – работаем с теми, что есть.

Buxgalter.uz обобщил риски ЭЦП и подготовил рекомендации по их снижению.

Ситуация

Что делать

1. Директор передает ЭЦП подчиненным

Лица, на чье имя выдана ЭЦП, вместо того, чтобы делегировать право совершать определенные действия, часто передают подчиненным свою электронную подпись. Злоумышленник может использовать ЭЦП (с корыстными или вредительскими целями, в том числе – с целью разглашения конфиденциальной информации) непосредственно во время нахождения у него флешки с ЭЦП или скопировать ее и использовать позже

1) Передавайте ЭЦП только проверенным сотрудникам, отношения с которыми оформлены трудовым договором;

2) передачу ЭЦП оформляйте приказом или доверенностью;

3) максимально сократите круг сотрудников, имеющих доступ к ЭЦП;

4) используйте имеющиеся технические возможности разграничения доступа к информационным системам и права подписи документов (как у некоторых операторов ЭСФ)

2. Новый руководитель или главбух пользуются ЭЦП юридического лица, выданной на имя своего предшественника (может быть, с его согласия)

Это – незаконно, и в зависимости от последствий такие действия могут рассматриваться как подделка документов  или фальсификация

 

При увольнении сотрудника, на чье имя выдана ЭЦП:

1) как можно скорее обратитесь в Центр госуслуг для аннулирования старой и получения новой ЭЦП;

2) измените персональные данные руководителя (главбуха) с помощью кнопки «Реквизиты юрлица» в персональном кабинете налогоплательщика на my.soliq.uz

Сотрудник, имевший доступ к ЭЦП, уволен

Он может заниматься вредительством,  использовать ЭЦП в корыстных целях, разгласить конфиденциальную  информацию, полученную из информационных систем

 

При увольнении сотрудника смените пароль ЭЦП при помощи специальной кнопки в персональном кабинете юрлица на my.soliq.uz.

4. Флешка с ЭЦП утрачена или пароль от нее стал известен третьим лицам

Ситуация чревата неправомерным использованием ЭЦП в корыстных целях, вредительством или утечкой конфиденциальной информации

1. Регулярно меняйте пароль ЭЦП в персональном кабинете налогоплательщика на my.soliq.uz. Это нужно сделать как можно скорее, если флешка утеряна или пароль стал известен третьим лицам.

2. В случае утраты флешки обратитесь с заявлением в Центр госуслуг об аннулировании старой ЭЦП и оформлении новой

 5. Не обеспечена компьютерная безопасность

Злоумышленники могут украсть ЭЦП и пароль к ней при помощи шпионских программ и технических приспособлений

 

 

  1. Для хранения сертификата ЭЦП используйте только проверенные, технически исправные, не модернизированные устройства
  2. На компьютере, на котором работаете с ЭЦП:
  • периодически меняйте пароль;
  • установите лицензионный антивирус;
  • не переходите по подозрительным ссылкам;
  • не скачивайте программы и файлы из ненадежных источников;
  • не пользуйтесь непроверенными на вирусы флешками.

Контролируйте работу системных администраторов. Они тоже могут быть злоумышленниками

 

Олег ГАЕВОЙ 

 

Разъяснения экспертов отражают их мнение и создают информационную основу для принятия Вами самостоятельных решений.
Чтобы получать новости от Buxgalter.uz первыми, подписывайтесь на Telegram-канал