Простіше — не означає безпечніше. Чим загрожує скасування токенів
В Україні планують скасувати використання токенів — захищених носіїв для цифрових ключів. Уряд погодив три законопроєкти, які дозволять замінити їх на удосконалені електронні підписи та печатки, які базуються на кваліфікованих сертифікатах відкритих ключів. Простими словами, цифровий підпис можна буде зберігати на будь-якому файловому носії, наприклад, на звичайній флешці. Так, це зручно, адже такий ключ простіше отримати. Але з точки зору безпеки — не все так однозначно. Поясню в чому загроза, та як можна зручно й одночасно безпечно користуватися електронним підписом.
Источник: delo.ua
Зручно, але небезпечно
Наразі в Україні приблизно 90% електронних підписів — це файлові ключі. Найчастіше їх застосовують при поданні податкової звітності. Один із ухвалених законопроєктів скасує використання токенів саме для звітів у податкову. Замість них директора компаній та головні бухгалтери зможуть користуватися удосконаленим електронним підписом (УЕП).
У чому ж небезпека? Зараз дуже поширеною є практика зберігання цифрового підпису не у керівника компанії, а у бухгалтера або секретаря. Вони можуть цим підписом підписувати будь-які документи від імені директора. Але в цьому є ризики. Адже ви як директор можете і не знати, який контракт на мільйон підписали. Більш того, відповідно до закону про електронні довірчі послуги, власник підпису не може передавати його третім особам. Це вважатиметься компрометацією ключа. Відповідно, контракт, підписаний скомпрометованим ключем, можуть визнати недійсним.
Саме кваліфікований, а не удосконалений електронний підпис прирівняно до власноручного підпису. Тому що він міститься на захищеному носії (токені), який не можна передавати третім особам.
Хмарні ключі — безпечна альтернатива
Але можна відмовитися від токенів і при цьому не наражати себе на небезпеку. В Україні зараз динамічно розвивається технологія зберігання ключів у хмарних сховищах. Зокрема, Міністерство цифрової трансформації почало видавати кваліфіковані електронні підписи фізичним особам. Будь-хто може отримати хмарний КЕП і скористатися ним за допомоги застосунку Дія.
Якщо ж ви представник компанії, то варто вибрати іншого провайдера зберігання хмарних ключів, яких зараз вже є достатньо на ринку.
У чому зручність? Вам не потрібно носити із собою токен або флешку. Навіть, якщо це захищений носій, його все одно можна десь забути або загубити. І саме тоді, коли вам необхідно терміново щось підписати. Хмарний ключ завжди з вами. І ви можете ним скористатися будь-де з будь-якого гаджету з інтернетом.
Крім того, деякі провайдери надають можливість компанії керувати ключами співробітників, які їх отримали. Це зручно, тому що можна контролювати, що з ними відбувається: де, хто, коли і що підписує. Можна налаштувати відповідні обмеження, різні рівні доступу. І тоді ніхто не зможе підписати ключем компанії якісь сторонні документи. Якщо у ваших співробітників токени, то такого контролю у вас немає.
І, звичайно, безпека. Хмарний ключ має найвищий ступінь захисту. Це КЕП, який прирівнюється до власноручного підпису. Тож це найкращий варіант для контрактів та договорів.
Де використовувати
Хмарні ключі зручно використовувати із системами електронного документообігу, в які вони інтегровані. Ви зможете керувати тим, хто і що має підписувати всередині компанії. Це спрощує та прискорює внутрішні процеси.
Зараз вже є великий попит із боку медичних та агрокомпаній, банків і аптек на використання великої кількості ключів. Багато хто з наших клієнтів уже відчувають проблему: з розвитком електронного документообігу потрібно й більше підписів. А коли їх вже 10-20 — керувати складно. Який ключ уже закінчується, а який ще діє — все це потрібно організовувати. І саме хмарні сервіси надають таку можливість.
Проблема управління ключами є й при роботі з програмними касами. І хоча з ними дозволено використовувати удосконалений підпис, краще застосовувати захищені ключі.
На жаль, в Україні ще відсутня культура користування власним цифровим підписом. Таку тенденцію провокує, зокрема, практика, коли бухгалтер підписує звітність своїм ключем і ключем директора. І він не переймається тим, де перебуває його підпис. Хоча наслідки можуть бути дуже серйозними. Уявіть, якби у нас уже дозволяли продавати нерухомість з цифровими ключами. Тому використовуйте кваліфікований, тобто, захищений, електронний підпис і самостійно ним керуйте. Тільки так можна бути впевненим у його безпеці та повноцінно користуватися цифровими сервісами та послугами.
Антон Скоков, керівник сервісу цифрових рішень для бізнесу «Вчасно»
Фото: Depositphotos