В России уже выпущено 17 млн электронных подписей: почему их побаиваются

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.743
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
Замена бумажного документооборота на электронный во многих процессах — дело времени. А значит, все больше людей и компаний столкнутся с необходимостью использовать электронные подписи (ЭП). В статье ниже показано как их безопасно применять

Объем электронного документооборота в России в прошлом году на 22%, а рынок систем ЭДО увеличился на 10%. Сотрудники компаний используют больше 17 млн квалифицированных сертификатов электронных подписей. Однако, как показывает опрос предпринимателей, до сих пор 26,8% компаний исключительно с бумажными документами и только 3,8% ведут делопроизводство полностью в электронном формате.

Тем не менее количество пользователей ЭДО растет, юрлица и ИП стали активнее подключаться к цифровым сервисам документооборота. Использование электронной подписи — это определенная деловая культура, к которой нужно прийти. Поэтому компаниям важно обучать сотрудников работе с электронной подписью, а сотрудникам — осознавать все возможности и риски.

Разберем технологические аспекты, правовой статус и меры безопасности, обязательные для ее владельцев.

Виды электронной подписи

Электронная подпись — это аналог собственноручной подписи, который используют для заверения электронных документов.

Существует три вида электронной подписи:
  • простая электронная подпись (ПЭП);
  • усиленная неквалифицированная электронная подпись (УНЭП);
  • усиленная квалифицированная электронная подпись (УКЭП).
Простая электронная подпись (ПЭП) подходит для подтверждения действия конкретного лица. Она позволяет идентифицировать человека, который подписал документ, но не имеет юридической значимости. Такую подпись используют в банковских операциях физических лиц, для аутентификации в информационных системах и заверения внутренних документов.

В простой подписи часто используется связка «логин — пароль» и push-уведомление на телефон или СМС с подтверждением кода для авторизации в личном кабинете на сайтах. Это наименее стандартизированный и защищенный вид подписи.

Усиленная неквалифицированная электронная подпись (УНЭП) предназначена для взаимодействия между участниками электронного документооборота. Например, в отношениях между сотрудником и работодателем или в специализированных сервисах, таких как личный кабинет налогоплательщика.

Этим видом подписи можно визировать юридически значимые документы в том случае, если участники электронного взаимодействия предварительно заключили соглашение о ее признании и использовании. УНЭП позволяет подтвердить личность подписанта и проверить неизменность содержания документа после заверения.

УНЭП считается достаточно защищенной, формируется с помощью криптографических преобразований. Сегодня ее можно сгенерировать самостоятельно, например в мобильном приложении «Госключ» от Минцифры, или получить в удостоверяющем центре, в том числе неаккредитованном в Минцифры.

Усиленная квалифицированная электронная подпись (УКЭП) нужна, чтобы вести юридически значимый электронный документооборот с внешними контрагентами, предоставлять отчетность в контролирующие органы, участвовать в электронных торгах, обмениваться формализованными документами с ФНС. Создается она с помощью специальных средств криптографической защиты, которые сертифицированы ФСБ России. Хранится на персональном защищенном носителе (токен — устройство, визуально напоминающее флешку). Для использования такого токена на компьютере должно быть установлено дополнительное ПО (программный криптопровайдер), иначе ничего подписать не получится.

УКЭП должна иметь квалифицированный сертификат в бумажном или электронном виде, его структура определена приказом ФСБ. Квалифицированную подпись выдают удостоверяющие центры, аккредитованные Минкомсвязи России.

Для создания квалифицированной электронной подписи используется закрытый ключ ЭП, а для ее проверки — открытый ключ и сертификат ЭП. Они генерируются одновременно, когда происходит выпуск подписи в удостоверяющем центре. После того как УЦ идентифицировал личность владельца ЭП и то, что именно этот человек — обладатель закрытого ключа, он включает в сертификат открытый ключ.

Закрытый ключ известен только владельцу ЭП. Он хранится на том самом токене, который похож на USB-флешку и защищен ПИН-кодом, или в компьютере. С помощью закрытого ключа подписываются, или шифруются, электронные документы.

Открытый ключ и сертификат доступны всем, кому отправляются подписанные электронные документы. С их помощью расшифровывают ЭП, чтобы понимать, кто именно подписал документ и что его никто не изменял после подписания.
Благодаря асимметричному шифрованию (с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, — дешифруется) нельзя подобрать закрытый ключ, зная открытый. Поэтому подписанный документ никто не сможет изменить или подделать.

Контролирующие органы следят за тем, чтобы УКЭП было невозможно подделать с помощью существующих технологий, а также обновляют алгоритмы, которые сохраняют эту задачу на высоком уровне сложности.

Стандартный срок действия УКЭП и сертификата — один год. Но после принятия поправки к федеральному закону ФЗ-63 летом 2023 года аккредитованные удостоверяющие центры обязаны их выдавать на срок не менее 12 лет, если заявитель обращается за этим и есть техническая возможность.

Технические риски: реальные и мнимые​

В работе любых информационных систем случаются технические сбои.

Вероятность неполадок в работе сервиса криптографической защиты чрезвычайно мала. Но возможны проблемы при взаимодействии с системами электронного документооборота (СЭД). Например, могут возникнуть задержки при отправке файлов по вине провайдеров — при высокой нагрузке на сервер оператора ЭДО перестает работать функционал обмена документами. В итоге документ с электронной подписью доставляется не вовремя.

И здесь важно отдельно обговорить обмен электронными документами с ФНС. Если происходит задержка или сбои во время передачи данных в это ведомство, то дата предоставления документов может быть просрочена, а это грозит определенными санкциями. Но, как правило, когда случаются проблемы такого рода на стороне государственных органов, то они идут навстречу и с пониманием относятся к техническим неполадкам.

У некоторых людей есть предубеждения против электронной подписи. Другие относятся к ней несерьезно. Важно понимать: электронная подпись — это полноценное подтверждение, равное подписи на бумажном документе. Она влечет за собой те же обязательства и ответственность, поэтому файлы, которые подписываются таким способом, всегда нужно читать, перед тем как подтвердить какое-либо действие.

Еще одно опасение пользователей — возможная кража персональных данных и их последующая компрометация.

Чтобы этого не произошло, важно помнить: нельзя никому передавать свой токен и ПИН-код от него. Также нужно понимать нюансы работы с ЭП. Свою подпись на документе можно отозвать только в том случае, если документ еще не был отправлен внешнему контрагенту. Если это уже сделано, то нужно аннулировать документ, и для этого снова потребуется воспользоваться ЭП.

Также от подписи нельзя отказаться. Но ею можно перестать пользоваться. Для этого не нужно идти в удостоверяющий центр и подавать какие-то документы. Достаточно отсоединить носитель с токеном и больше никогда не подключать его к компьютеру. Например, генеральный директор может по доверенности передать полномочия на подписание документов своим сотрудникам и далее не подписывать электронные документы лично (и просто хранить токен со своей УКЭП в каком-либо надежном месте, где носитель не затеряется).

Если понимать все нюансы электронного документооборота и роли электронных подписей в нем, то это позволит преодолеть предубеждения и безболезненно внедрить ЭДО в любом бизнес-процессе.

Цифровая безопасность при работе с электронной подписью​

Обладателям электронной подписи необходимо соблюдать меры информационной безопасности. Если злоумышленники получат к ней доступ, последствия могут быть неприятными, а в случае с УКЭП — болезненными для бизнеса. Например, мошенники могут взять кредит на компанию или вывести деньги со счетов. Ведь имея квалифицированный сертификат физического лица, можно совершать любые сделки.

Но важна даже не утеря токена с электронной подписью, а ПИН-код от него.

Чтобы предотвратить проблемы, необходимо:

  • хранить УКЭП только на токене с хорошей криптографической защитой, а не на любой флешке;
  • обязательно блокировать компьютер, на котором ведется работа с ЭП, чтобы никто посторонний не имел к нему доступа;
  • не передавать никому свой ключ и не раскрывать пароль (ПИН-код) от ЭП коллегам или друзьям (как мы уже говорили выше, кроме владельца, его никто не должен знать).
Компаниям важно отзывать сертификаты у сотрудников, которые покидают организацию, если они использовали ЭП старого образца — с привязкой к юридическому лицу (они будут актуальны в течение ближайшего года).

Сертификаты для физических лиц проще и безопаснее, так как не привязаны к компании юридически и уволенный сотрудник не сможет ничего подписать от имени организации, если доверенность была отозвана.

В случае кражи или компрометации электронной подписи ее необходимо срочно отозвать. Сейчас для этого нужно писать заявление, причем именно в том удостоверяющем центре, где ЭП была выпущена. Но через год появится возможность делать это удаленно: в июле 2023-го Минцифры России опубликовало приказ № 634, по которому владелец квалифицированного сертификата может подать заявление о прекращении его действия через Единый портал государственных услуг. Заявление должно быть подписано квалифицированной ЭП, поэтому придется создать новую (по сути, перевыпустить ЭП). Приказ вступит в силу с 1 сентября 2024 года и будет действовать до 1 января 2027 года.

Что нужно, чтобы выпустить УКЭП​

Для разных категорий получателей существует свой порядок выпуска электронной подписи.

  • Руководители юридических лиц, предприниматели и нотариусы могут получить электронную подпись только в Удостоверяющем центре ФНС России.
  • Должностные лица государственных органов из бюджетных организаций должны обращаться в Удостоверяющий центр Федерального казначейства.
  • Кредитные организации, операторы платежных систем, некредитные финансовые организации и индивидуальные предприниматели, осуществляющие виды деятельности, перечисленные в ч. 1 ст. 76.1 федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации», получают ЭП в Удостоверяющем центре Центрального банка РФ.
  • ЭП для физического лица выдается в любом аккредитованном удостоверяющем центре.
С 1 сентября 2023 года УКЭП не выдают сотрудникам юридических лиц. Теперь их выдают только физическим лицам, при этом подпись не содержит данных о привязке физического лица к конкретной организации. Легитимность подписания документов такой электронной подписью подтверждается машиночитаемой либо бумажной доверенностью. Ранее полученные УКЭП юрлиц действуют до 1 сентября 2024 года.

Список документов, которые нужны для выпуска электронной подписи для сотрудников российских компаний:

  • паспорт;
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • идентификационный номер налогоплательщика (ИНН).
С сентября текущего года квалифицированные сертификаты в УЦ ФНС России могут получить и руководители филиалов иностранного бизнеса. В дополнение к стандартному перечню им нужно предоставить такие документы:

  • идентификационный номер налогоплательщика (ИНН) юридического лица иностранной организации;
  • код причины постановки на учет (КПП);
  • номер записи об аккредитации филиала или представительства иностранной организации (НЗА);
  • нотариально удостоверенную доверенность о наделении на территории РФ руководителя филиала или представительства иностранного юридического лица необходимыми полномочиями.
 
  • Теги
    пэп статьи укэп
  • Сверху Снизу