ЭЦП: в чем опасность технологии?

ЭЦП – неотъемлемая часть современного цифрового документооборота. Она позиционируется как аналог обычной, рукописной подписи. Но если росчерк, написанный от руки, уникален и привычен для людей, что такое ЭЦП? В чем минусы и плюсы данной технологии?

Зачем нужна ЭЦП?

Как и обычную подпись на документе, ЭЦП ставит только то лицо, которое имеет право удостоверять данную бумагу. По крайней мере, так принято позиционировать данную технологию.

Если обычная рукописная подпись – набор особых символов, выбранных человеком, то ЭЦП изнутри представляет собой уникальный код, а снаружи – просто кнопку с текстом «подписать» в конце документа. Технология позволяет избежать подделывания ручного росчерка на бумаге, излишних телодвижений со сканированием бумажных экземпляров и их печати в целом.

Как это происходит?

Электронную цифровую подпись выдает специализированный удостоверяющий центр. В зависимости от того, для каких нужд она необходима, подписи бывают разными, как и центры. Человек сам, или уполномоченный от организации от его лица готовит пакет документов, который отправляет в УЦ, где в дальнейшем будет изготовлен и получен сам шифрованный ключ.

На данном этапе возникает опасность под номером 1: человек может вообще не знать о том, что на него заказана и получена ЭЦП, а также о том, кто и где ее использует. Для получения во многих УЦ достаточно предъявить копии документов лица, за которым будет числиться ЭЦП, подписанное им заявление с печатью организации и доверенность на получателя.

Важно: процесс получения ЭЦП в настоящих реалиях достаточно трудоемкий и может занимать от одного дня, до нескольких недель.

В чем опасность технологии?

Электронную цифровую подпись от рукописной негативно отличает одно важное различие: ей может воспользоваться любой человек. Особенно, когда это ключ, хранящийся на флешке без парольной защиты. Зачастую в организациях происходит именно так. Здесь от лица директора ЭЦП может использовать бухгалтер, системный администратор, юрист или кто угодно еще, а доказать то, что решение принимал не лично директор никакой почерковедческой экспертизой будет невозможно.

ЭЦП обычно хранятся на специальных флешках — рутокенах. Есть множество средств защиты ключей, от восьми символьного пароля при подписании, до сканинга отпечатка пальцев. Но в отечественных реалиях, обычно, все куда проще. Здесь ЭЦП не то, что передается на флешке без пароля, но и копируется в реестр компьютера каждого, кому нужно подписать тот или иной документ, чтобы не бегать каждый раз к директору организации.

Стоит помнить: ответственность за подписанный документ, в случае его неправомерности, понесет тот, кому принадлежала данная подпись. В редких случаях привлечь могут и специалиста по информационной безопасности, если такой имеется на предприятии.

Еще одну опасность таит утечка информации в процессе формирования ЭЦП. Документы для получения заветного ключа передаются в УЦ при помощи специального сервиса, зачастую имеющего шифрование данных или, достаточно часто, при помощи электронной почты. Еще одну опасность таит то, что УЦ может отправить оригинал сертификата аналогично при помощи э-мейла, указанного в запросе на сертификат. Правда, только в случае его повторного выпуска при наличии действующего сертификата.

Разумеется, современный документооборот невозможен без использования ЭЦП. Но есть действительно защищенные решения, которые имеют большую стоимость, но спасут от нерадивых коллег или утечки информации, а классические рутокены скоро канут в лету.