Экспертлар томонидан тасдиқланган жавобларни олинг:
Неприятный сюрприз: если вы меняете пароль ЭЦП, выданной Центром регистрации электронных ключей НИЦ «Yangi texnologiyalar», это не гарантирует, что больше никто и никогда не сможет воспользоваться этой цифровой подписью со старым паролем.
Как в такой ситуации усилить защиту от несанкционированных действий, по просьбе buxgalter.uz рассказали эксперты:
Оказывается, так устроена система…
Рустам САБИРОВ, налоговый консультант:
– Сегодня во многих организациях ЭЦП юридического лица, полученную, как правило, на имя руководителя, используют в работе несколько сотрудников. В среднем, – от 3 до 10 человек. Помимо директора, это могут быть – главный бухгалтер, финансовый менеджер, сотрудники, выставляющие продукцию на биржу, оформляющие счета-фактуры и т.д.
Недавно я был свидетелем такой истории: после увольнения главбуха, чтобы ограничить ее доступ к электронным документам предприятия на различных ресурсах, директор распорядился сменить пароль ЭЦП. Дело было вечером, когда уже не было сотрудников. А утром, когда ответственный за смену пароля пошел раздавать сотрудникам новый пароль, то заметил, что некоторые из них уже работали за своими компьютерами. Бухгалтер занимался счетами-фактурами, кадровик – вносил данные о новых сотрудниках в систему my.mehnat и т.п. Сразу возник вопрос: как так?! Ведь пароль ЭЦП изменен и новый пока есть только у одного человека. Как выяснилось, старый пароль работает на всех компьютерах, где использовалась ЭЦП, за исключением того единственного компьютера, с которого производилась замена пароля!
Позвонили в Центр регистрации электронных ключей НИЦ «Yangi texnologiyalar», где сотрудник объяснил, что все происходящее – нормально, так устроена система.
Как оказалось, полностью прекратить возможность использования ЭЦП можно, только аннулировав ЭЦП закрытого ключа. Это – единственный способ.
И, естественно, в этом случае для продолжения работы нужно получить новую ЭЦП. Это – хлопоты и затраты. Получается, что при текучести кадров нужно нанимать специалиста, который будет следить за использованием ЭЦП и получением новых при каждом увольнении? Это – нереально...
В данной ситуации хорошо, что все сразу стало известно. Но ведь большинство предпринимателей об этих особенностях не знают и меняют пароль с уверенностью, что это защитит от несанкционированного использования ЭЦП. Это даже не говоря о том, что нередко ЭЦП используется и за пределами офиса. К примеру, – когда сотрудники берут работу на дом. Получается, что массивы информации о предприятии, хранящиеся на my.soliq.uz, my.mehnat.uz, customs.uz и других ресурсах, очень слабо защищены. И ЭЦП юрлица – это еще и доступ к огромному количеству государственных услуг.
На мой взгляд, систему идентификации пользователей на всех ресурсах, где используются ЭЦП, выданные Центром регистрации электронных ключей НИЦ «Yangi texnologiyalar», нужно совершенствовать. Информация хозяйствующих субъектов и доступ к услугам от их имени должны быть надежно защищены. Руководитель предприятия должен иметь эффективные инструменты контроля доступа к информационным системам от имени субъекта предпринимательства.
Нужно понимать, что в жизни бывают разные ситуации, не всегда работник и работодатель расстаются бесконфликтно, ЭЦП может попасть в руки третьим лицам и будет использована для несанкционированного доступа к ресурсам. А на ликвидацию последствий может понадобиться много времени и усилий.
Есть альтернатива!
Замира УСМАНОВА, специалист отдела технической поддержки пользователей НИЦ «Yangi texnologiyalar» при ГНК:
– Сейчас внедряется более надежная система – ЭЦП на USB-токене. Ее нельзя куда-либо скопировать и использовать без USB-токена, на который она записана.
Если USB-токены будут собственностью предприятия, можно организовать работу так:
1) при приеме на работу сотрудник получает ЭЦП юрлица на свое имя. Центр госуслуг запишет ее на USB-токен;
2) сам USB-токен будет собственностью предприятия, выдаваемой сотруднику под роспись и под ответственность. Сотрудник должен быть предупрежден, что он несет полную ответственность за любые действия, совершенные при помощи выданной ему ЭЦП 
;
3) при увольнении сотрудник обязан сдать USB-токен под роспись ответственного сотрудника работодателя.
Сегодня технология с использованием USB-токенов внедрена только на my.soliq.uz и портале ГТК. Чем быстрее она получит массовое распространение, тем эффективнее станет защита от несанкционированного доступа.
Подготовил Олег ГАЕВОЙ
Экспертлар ўз нуқтаи назарларидан келиб чиққан ҳолда тушунтириш берганлар, бу Сизнинг мустақил қарор қабул қилишингиз учун асос бўлади.
