С 01.09.2023 согласно Федеральному закону от 19.12.2022 № 536-ФЗ работодатель может попросить вас оформить ключ усиленной квалифицированной электронной подписи (УКЭП) для работы с машиночитаемыми доверенностями, чтобы вы могли совершать какие-то действия или подписывать документы от имени работодателя.
Также всё чаще работодатели применяют информационные системы кадрового электронного документооборота (КЭДО) согласно Федеральному закону от 22.11.2021 № 377-ФЗ (статья 22 ТК РФ) и выпускают на ваше имя усиленные неквалифицированные электронные подписи (УНЭП) и эти системы не обделены ошибками, которые могут использовать злоумышленники.
Какие бывают электронные цифровые подписи?
Согласно статье 5 Федеральному закону от 06.04.2011 № 63-ФЗ электронные цифровые подписи бывают следующих видов:
- ПЭП - простая электронная подпись, подтверждает факт формирования электронной подписи определенным лицом посредством кодов (СМС, email) или паролей (например вводите пароль после нажатия кнопки "Подписать", часто достаточно просто ввода логина и пароля при входе в личный кабинет). С её помощью могут быть подписаны некоторые кадровые документы в информационной системе КЭДО работодателя или на портале "Работа в России" (https://trudvsem.ru), что указано в положении об электронном документообороте вашей организации.
- УНЭП - усиленная неквалифицированная электронная подпись, может служить средством удалённой идентификации владельца такой подписи (т.е. избавляет от личного присутствия), а также защиты документа от изменения после подписания. Создаётся с помощью криптографического преобразования информации с использованием вашего ключа электронной подписи и криптопровайдера (специального программного обеспечения для подписания электронных документов, например КриптоПро CSP, VipNet CSP).
- УКЭП - усиленная квалифицированная электронная подпись, полностью соответствует вашей собственноручной подписи на бумаге и наделяет подписанный с её помощью документ юридической значимостью. Для её выпуска необходима идентификация владельца. Создаётся с помощью криптографического преобразования информации с использованием вашего ключа электронной подписи и криптопровайдера (специального программного обеспечения для подписания электронных документов, например КриптоПро CSP, VipNet CSP).
Сама подпись состоит из закрытого ключа (используется при подписи с помощью криптопровайдера) и открытого ключа (размещается в подписываемом документе или в виде отсоединённого файла формата .sig к подписываемому документу). Согласно ФЗ 63 подписать можно как один документ, так и пакет документов - в последнем случае документы помещаются в zip-архив и подписывается сам архив, также можно объединить несколько документов в один PDF-файл.
В чём риск?
Ранее работодатель выпускал вам квалифицированную подпись в аккредитованном МинЦифры удостоверяющем центре с ограничением по области\сфере использования, т.е. такая подпись была идентична вашей собственноручной на бумаге, но распространялась только на определённые документы - с помощью этой подписи нельзя было подписать документы о продаже вашей квартиры или открыть фирму однодневку на ваше имя. При этом ограничения области применения это опциональное поле в самой подписи согласно ФЗ 63.
Ранее ЭЦП в бухгалтерии для взаимодействия с банками дополнительно защищались "вторым фактором" (в смс на номер бухгалтера приходил код, который надо было ввести в приложении, использовались специальные генераторы кода как программные, так и аппаратные), при этом закрытая часть ключа электронной подписи (который нужен для подписи) находилась на "флешке" (USB flash memory), которая подключалась к персональному компьютеру с криптопровайдером (например КриптоПро).
Ваши ключи электронных цифровых подписей, включая ключи для усиленных квалифицированных партнёры и работодатель предпочитают хранить в своём облаке (КЭДО работодателя HRLink, строительная компания ПИК и т.д.).
Федеральная Налоговая Служба как российский пионер применения электронных цифровых подписей предупреждает, что свою УКЭП надо беречь и никому не передавать ибо с помощью такой подписи:
- На ваше имя могут оформить микрокредиты;
- Ваш автомобиль могут продать без вашего ведома;
- Вас могут сделать номинальным руководителем фирмы-однодневки;
- Если вы владелец организации, ее могут переоформить на другое лицо, вывести деньги компании на другой счет, незаконно возместить НДС;
- Вместо вас могут подписать любые документы;
- Вас могут привлечь к ответственности за нарушение законодательства Российской Федерации в области электронной подписи.
Как себя защитить?
1. Внимательно прочитайте положение об электронном документообороте и проверьте: а) какие документы и каким видом подписи предполагается подписывать б) где будет храниться ключ электронной подписи в) как называется программное обеспечение для документооборота г) есть ли двухфакторная аутентификация или "второй фактор" при подписи документов. Помните!!! УКЭП равнозначна вашей собственноручной подписи и передача её партнёру или работодателю по сути равносильна передаче своих прав партнёру или работодателю, пока вы не отзовёте\аннулируете ключ проверки ЭЦП лично в УЦ (удостоверяющий центр).
2. Внимательно прочитайте заявление на выпуск ключа\сертификата электронной цифровой подписи - стоит насторожиться, если в заявлении нет вида выпускаемой ЭЦП и\или не указаны цели выпуска (см. рис. 1 выше).
3. Уточните можете ли вы пользоваться уже выпущенным ключом электронной цифровой подписи: а) в приложении "Госключ" можно выпустить как ключ проверки ЭЦП вида УНЭП, так и УКЭП - документы отправлять на подпись через портал Госуслуги (спросите электронного помощника на портале - он поможет); б) выпустить ЭЦП типа УКЭП и сохранить в токене или на флешке, платить 500-1000 рублей за использование криптопровайдера.
4. Если закрытый ключ проверки ЭЦП вида УКЭП и\или УНЭП храниться у работодателя или в "облаке" и при этом нет секретного PIN-кода, который необходимо вводить при подписании документов или данный PIN-код приходит на электронную почту работодателя - смело отказывайтесь от ЭДО. С 01.09.2023 сотрудники и работники организаций подписывают документы исключительно личной УКЭП, а работодатель выдаёт машиночитаемую доверенность.
5. Вы всегда можете отказаться от электронного документооборота - это не может быть препятствием для приёма на работу согласно ТК РФ. Лучше зафиксировать отказ заявлением и заверенную надлежаще копию оставить себе, т.к. тем кто начал трудовую карьеру по трудовой книжке после 21.12.2021 согласие писать не надо - считается, что такие работники\сотрудники согласны, пока не откажутся.
6. Если есть сертификат ключа проверки ЭЦП, который просят подписать (с помощью ПЭП или УНЭП) при выпуске ЭЦП - стоит насторожиться, он обязателен только для УКЭП согласно ФЗ 63 (см. рис. 3 ниже).
7. Проверьте аккредитован ли УЦ, если нет, то юридически вам не смогут выпустить ЭЦП типа УКЭП, а вот технически такое возможно, но не всегда удачно - смотрите ниже.
8. Если вы всё таки согласились на хранение ключа проверки ЭЦП вида УНЭП не на своём устройстве: а) позвоните в УЦ и уточните какой тип ЭЦП был для вас выпущен (может так случиться, что по ошибке или намеренно выпущена именно УКЭП вместо УНЭП) б) зайдите на портал госуслуги и посмотрите не появилась ли новая подпись (пока не все УЦ отправляют данные на портал Госуслуги моментально или сразу после выпуска).
9. Всегда проверяйте документы и сертификаты\подписи в специальных сервисах.
Чтобы проверить, что документ и подпись на нём валидны (все в порядке с самой подписью и документ не изменялся) можно воспользоваться государственными сервисами:
- УКЭП с отсоединённой подписью - https://www.gosuslugi.ru/eds
- ЭП или пакет документов - https://www.gosuslugi.ru/pgu/eds
Риск мошенничества или разгильдяйство?
При трудоустройстве работодатель предложил электронный кадровый документооборот в ПО HRLink (ООО "Инновации в управлении кадрами), по положению выпускается ключ проверки ЭЦП вида УНЭП, а УКЭП выпускается и используется только в случае необходимости (договора на образование, материальная ответственность и то, что в ч.1 ст. 22.3 ТК РФ ), ключ храниться в "облаке". Меня смутило заявление на выпуск. Я позвонил в УЦ и спросил удастся ли оперативно получить информацию о виде выпускаемого ключа проверки ЭЦП сразу после выпуска, проверил список аккредитованных удостоверяющих центров и не нашел там ООО "Астрал-Софт". Отправил заявление и увидел сертификат проверки, который тоже было необходимо подписать. От подписи отказался естественно. Позвонил в УЦ и узнал, что вид выпущенного ключа УКЭП, а не УНЭП (дважды перезванивал - разные операторы УЦ сказали одно и то же) - оставил заявку на отзыв ключа по телефону, обещали перезвонить. Договорились с кадрами, что оформляемся бумажным документооборотом. Отправил заявление на отзыв ключа как в HRLink, так и в УЦ, заявление подписал УНЭП с помощью приложения "Госключ". На следующий день перезвонили из УЦ и сказали, что по электронной почте заявления мало и надо явиться в УЦ лично - явился лично и подписал точно такое же заявление на аннулирование\отзыв ключа проверки ЭЦП.
А далее длинная переписка с технической поддержкой HRLink на тему "Ребята, вам надо поправить в интеграции то и то и как вариант это можно сделать так-то: формулировка задачи для программиста" - уверяли, что проблемы быть не может потому, что такое поведение информационной системы незаконно (но кто ж её арестует?) - в итоге отфутболили в кадры работодателя - дескать они должны быть инициаторами изменений.
С кадрами пообщался, объяснил проблему, а также напомнил про ФЗ 63, что идентификацию владельца подписи в целях ее выпуска скорее всего должны были проводить ООО "Инновации в управлении кадрами", т.к. им это доверил УЦ, а не работодатель.
Ещё раз написал в поддержку HRLink добавив аргумент про ФЗ 63 - инженер техподдержки прислал скриншот проверки сертификата в КриптоПро через некоторое время и n-е количество писем.
Даже, если вместо УНЭП по технической ошибке или намеренно вам выпустят УКЭП, то не факт, что она будет работать, если удостоверяющий центр не является аккредитованным - на рисунке 5 скриншот проверки сертификата в сервисе КриптоПро, который мне прислал инженер техподдержки HRLink. Ключ проверки ЭЦП должен был быть уже аннулирован к этому моменту - проверка этого не показывает, но текст ошибки говорит о том, что сертификат не проходит проверку по причине именно того, что попытались выпустить УКЭП не имея на то права.
Происходит такое либо по причине попытки мошенничества с ЭЦП, либо по разгильдяйству при разработке и внедрению информационной системы КЭДО - наиболее вероятно, что в HRLink в интеграции с УЦ неверно указали вид ЭЦП, который выпускается, а со стороны УЦ не поправили сервис, который принимает запросы на выпуск ЭЦП так, чтобы появлялась ошибка при попытке выпустить ЭЦП вида УКЭП (запрещено для ООО "Астрал-Софт", т.к. данный УЦ не является аккредитованным).
PS: Могли просто скопировать программный код с варианта для УЦ "Калуга-Астрал" (может выпускать ЭЦП вида УКЭП), что является аккредитованным и аффилирован с УЦ "Астрал-Софт".
Также можете ознакомиться с этой статьёй: https://www.kp.ru/expert/elektronika/elektronnaya-podpis/
