Почему смена пароля ЭЦП не мешает ее использовать злоумышленнику

preview

Неприятный сюрприз: если вы меняете пароль ЭЦП, выданной Центром регистрации электронных ключей НИЦ «Yangi texnologiyalar», это не гарантирует, что больше никто и никогда не сможет воспользоваться этой цифровой подписью со старым паролем.

Как в такой ситуации усилить защиту от несанкционированных действий, по просьбе buxgalter.uz рассказали эксперты:

 

Оказывается, так устроена система…

Рустам САБИРОВ, налоговый консультант:

– Сегодня во многих организациях ЭЦП юридического лица, полученную, как правило, на имя руководителя, используют в работе несколько сотрудников. В среднем, – от 3 до 10 человек. Помимо директора, это могут быть – главный бухгалтер, финансовый менеджер, сотрудники, выставляющие продукцию на биржу, оформляющие счета-фактуры и т.д.

Недавно я был свидетелем такой истории: после увольнения главбуха, чтобы ограничить ее доступ к электронным документам предприятия на различных ресурсах, директор распорядился сменить пароль ЭЦП. Дело было вечером, когда уже не было сотрудников. А утром, когда ответственный за смену пароля пошел раздавать сотрудникам новый пароль, то заметил, что некоторые из них уже работали за своими компьютерами. Бухгалтер занимался счетами-фактурами, кадровик – вносил данные о новых сотрудниках в систему my.mehnat и т.п. Сразу возник вопрос: как так?! Ведь пароль ЭЦП изменен и новый пока есть только у одного человека. Как выяснилось, старый пароль работает на всех компьютерах, где использовалась ЭЦП, за исключением того единственного компьютера, с которого производилась замена пароля!

Позвонили в Центр регистрации электронных ключей НИЦ «Yangi texnologiyalar», где сотрудник объяснил, что все происходящее – нормально, так устроена система.

Как оказалось, полностью прекратить возможность использования ЭЦП можно, только аннулировав ЭЦП закрытого ключа. Это – единственный способ.

И, естественно, в этом случае для продолжения работы нужно получить новую ЭЦП. Это – хлопоты и затраты. Получается, что при текучести кадров нужно нанимать специалиста, который будет следить за использованием ЭЦП и получением новых при каждом увольнении? Это – нереально...

В данной ситуации хорошо, что все сразу стало известно. Но ведь большинство предпринимателей об этих особенностях не знают и меняют пароль с уверенностью, что это защитит от несанкционированного использования ЭЦП. Это даже не говоря о том, что нередко ЭЦП используется и за пределами офиса. К примеру, – когда сотрудники берут работу на дом. Получается, что массивы информации о предприятии, хранящиеся на my.soliq.uz, my.mehnat.uz, customs.uz и других ресурсах, очень слабо защищены. И ЭЦП юрлица – это еще и доступ к огромному количеству государственных услуг.

На мой взгляд, систему идентификации пользователей на всех ресурсах, где используются ЭЦП, выданные Центром регистрации электронных ключей НИЦ «Yangi texnologiyalar», нужно совершенствовать. Информация хозяйствующих субъектов и доступ к услугам от их имени должны быть надежно защищены. Руководитель предприятия должен иметь эффективные инструменты контроля доступа к информационным системам от имени субъекта предпринимательства.

Нужно понимать, что в жизни бывают разные ситуации, не всегда работник и работодатель расстаются бесконфликтно, ЭЦП может попасть в руки третьим лицам и будет использована для несанкционированного доступа к ресурсам. А на ликвидацию последствий может понадобиться много времени и усилий.

 

Есть альтернатива!

Замира УСМАНОВА, специалист отдела технической поддержки пользователей НИЦ «Yangi texnologiyalar» при ГНК:

– Сейчас внедряется более надежная система – ЭЦП на USB-токене. Ее нельзя куда-либо скопировать и использовать без USB-токена, на который она записана.

Если USB-токены будут собственностью предприятия, можно организовать работу так:

    1) при приеме на работу сотрудник получает ЭЦП юрлица на свое имя. Центр госуслуг запишет ее на USB-токен;

    2) сам USB-токен будет собственностью предприятия, выдаваемой сотруднику под роспись и под ответственность. Сотрудник должен быть предупрежден, что он несет полную ответственность за любые действия, совершенные при помощи выданной ему ЭЦП ;

    3) при увольнении сотрудник обязан сдать USB-токен под роспись ответственного сотрудника работодателя.

Сегодня технология с использованием USB-токенов внедрена только на my.soliq.uz и портале ГТК. Чем быстрее она получит массовое распространение, тем эффективнее станет защита от несанкционированного доступа.

Подготовил Олег ГАЕВОЙ


ЭЦП ЭЦП ЭЦП /ru/publish/doc/text182551_pochemu_smena_parolya_ecp_ne_meshaet_ee_ispolzovat_zloumyshlenniku