Узбекистан, Ташкент – АН Podrobno.uz. Сегодня в большинстве электронных систем налоговых, статистических и других государственных органов разрешается применение ключа электронной цифровой подписи (ЭЦП) в виде электронного файла. Это потенциально может приводить к серьезным злоупотреблениям. Изменить ситуацию могут физические средства защиты ключа ЭЦП – USB-токены, считает эксперт в сфере электронного документооборота и применения ЭЦП, директор компании MyToken Рустам Асымов.
– Государственные органы и банки Узбекистана уже много лет дают предпринимателям возможность взаимодействия через интернет. Многие уже и не помнят, как это было раньше - сдавать налоговую или статистическую отчетность в инспекции, теряя в душной очереди время и нервы. Платежные поручения давно не нужно отвозить в банк. Договора, счета фактуры и акты выполненных работ подписываются в электронной форме.
Работа с документами стала действительно удобной и оперативной. Но у этого удобства есть цена, о которой нужно знать – это безопасность ключа электронной цифровой подписи (ЭЦП).
Напомним, что в Узбекистане ЭЦП по юридической значимости законом приравнена к собственноручной подписи. И тем же законом ответственность за конфиденциальность ключа ЭЦП полностью возложена на его владельца. А это значит, что в случае разбирательств суд не примет оправданий владельца, что, передавая свой ключ ЭЦП третьим лицам, он "поступал как все".
Подача налоговой отчетности и оплата налогов, регистрация и сопровождение договоров ВЭД и подача таможенных деклараций, регистрация записей в электронной трудовой книжке и подача статистической отчетности – все эти действия сейчас выполняются в электронном виде. К сожалению, в большей части этих систем сейчас нет контроля доступа, когда исполнитель может подписывать только те документы, на которые он уполномочен, причем собственным ключом ЭЦП.
Так что исполнитель получает ключ ЭЦП руководителя, а вместе с ним и возможность злоупотребления. В качестве возможных примеров можно привести такие варианты:
- Налоговый отчет с завышенными показателями приведет к разбирательствам с налоговой службой с риском блокировки расчетного счета компании;
- Договор, подписанный в электронном виде на невыгодных условиях, приведет к проблемам с репутацией и финансовой устойчивостью;
- Товарный лот в электронном магазине, выставленный с заниженной ценой, неверной спецификацией или в неправильном количестве, может привести к невозможности выполнить договорные обязательства.
От таких рисков нужно обязательно защищаться! Можно пытаться выбирать, кому передавать свой ключ ЭЦП и брать с исполнителей какие-то расписки, но это в чистом виде "человеческий фактор".
Более надежным способом будет использовать физические средства защиты ключа ЭЦП - USB-токены, которые у нас традиционно называются USB-ключи. Несмотря на то, что внешне такое устройство очень похоже на USB-флешнакопитель (так называемую "флешку"), оно в корне отличается выполняемой задачей:
- Токен обеспечивает возможность подписать ключом ЭЦП необходимый электронный документ, но не даст злоумышленнику скопировать этот ключ. Вплоть до того, что при попытках взлома токен блокируется, как платежная карта;
- Обычная "флешка" предназначена для копирования, переноса и передачи любых файлов подходящего размера. Копирование данных – то, для чего она была создана.
Банки в Узбекистане уже много лет выдают своим корпоративным клиентам аппаратные USB-ключи. Порталы интерактивных государственных услуг тоже поддерживают использование USB-ключа, но все еще позволяют использовать ЭЦП в виде обычного файла на "флешке".
Для физических лиц есть альтернативный носитель ключа ЭЦП – это ID-карта, которую в Узбекистане выдают взамен общегражданского паспорта. Но руководители предприятий и предприниматели должны сами позаботиться о том, чтоб обеспечить безопасность своему ключу ЭЦП.
Если уж и давать свой ключ ЭЦП исполнителю для работы, то нужно избавить его от искушения сохранить себе копию "на всякий случай" – с токеном такой фокус проделать не получится.
