Сегодня любая операция в электронной среде оставляет цифровой след.
И этот след всё чаще становится поводом для внимания надзора.
В 2025 году государство окончательно определилось с позицией:
штрафы выросли, требования ужесточились, а способов собрать информацию о том, кто, где и как использует электронные подписи, стало заметно больше.
Ещё недавно можно было встретить удивительные картины.
Формально — всё чисто: каждая организация сама по себе, связи между ними не видно.
Но если чуть прищуриться и заглянуть в тень…
Из одного офиса, с одного компьютера, по одному каналу связи совершаются операции от имени разных организаций, разных директоров, производится подписание с защищенных носителей — буквально с разницей в минуты.
Одни и те же контрагенты, одинаковые банковские операции. Изо дня в день. Как эти ...цать человек помещаются в такой маленькой комнатушке?
Электронные подписи (ЭП) спокойно переданы третьим лицам — бухгалтерам, брокерам, специалистам по торгам.
Или подписи продублированы с защищённых носителей на обычные флешки.
Или произведён импорт ЭП прямо в рабочие машины — и необходимость в токенах отпала.
Удобно? Ещё бы. Примерно как держать входную дверь настежь — удобно, пока никто не зашёл.
Телефоны с корпоративными сим-картами разных организаций часто лежали рядом — для приёма SMS с кодами 2ФА.И хотя специалисты давно понимали, что всё вот это — вопиющее нарушение и требований по обеспечению информационной безопасности, и кое-чего ещё, всерьёз никто не реагировал. Ни консалтинг, ни надзор.
Штош. Теперь — реагируют все. Законодатели подтянулись, и в 2025 году санкции в части защиты информации ужесточились.
Сегодня надзор работает точнее.
Системы банков, гейты госресурсов, сервисы ФНС и операторы отчётности генерируют поток технических данных, по которым можно увидеть, кто и откуда совершает операции, применяя ЭП и прочие инструменты для идентификации и авторизации.
В итоге вскрываются связи “несвязанных” организаций, выявляется взаимозависимость, квалифицируются “схемы”. Бизнес получает доначисления, пени, штрафы, суды — вплоть до полной остановки деятельности.
Но вернёмся непосредственно к ЭП.
Основные нарушения:
передача ЭП третьим лицам;
извлечение ЭП с защищённого носителя;
дублирование или копирование ЭП;
хранение ЭП на незащищённых носителях.
Раньше за это могли пожурить. Теперь — штрафуют, и не только.
Физлица: от 5 000 до 10 000 руб.
Должностные лица: от 10 000 до 50 000 руб.
Юрлица: от 50 000 до 100 000 руб.
И конфискация средств обработки информации.
В практике встречается даже такая квалификация, как подделка документов и неправомерный доступ к компьютерной информации. УК РФ, между прочим.
А если ЭП используется для доступа к персональным данным — могут добавиться фиксированные штрафы за нарушение правил работы с инфо, и оборотные штрафы за утечки.
Срок давности теперь увеличен до одного года со дня нарушения.
А санкции, как нам всем известно, применяются по каждому эпизоду отдельно, а не “оптом”.
Используйте отдельные компьютеры для работы с ЭП.
Мы уже писали об этом отдельно (ссылка на статью) — это не паранойя, а здравый смысл.
Помните, что площадки, на (или через) которых вы авторизуетесь с помощью ЭП, уже видят, находится ЭП на защищенном носителе в неизвлекаемом контейнере, или нет.
С каждой организацией — отдельный договор, отдельные гонорары.
Используйте собственную УКЭП физлица и отдельные МЧД от клиентов.
С помощью такого комплекта можно взаимодействовать с ЕИС, ФНС и прочими сервисами легально от имени обслуживаемых организаций.
Проконсультируйтесь с юристом, особенно если вы совмещаете штатную и аутсорс-деятельность. Пообщайтесь со своим инспектором.
Используйте выход в большой инет через интернет-канал организации, просите айтишников пробросить вас до корпоративного шлюза — чтобы технически отделить одну организацию от другой.
Если работа осуществляется локально на месте, по возможности используйте отдельный компьютер от каждой организации и лицензионное ПО, оформленные на организацию.
Некоторые операции удается оставить на площадках в офисе и работать с ними удаленно с личного домашнего компьютера, на котором вообще ничего нет ни от одной организации. Это тоже очень хорошая модель.
Да, в какой-то момент вы можете утонуть в компьютерах, но зато легко сконфигурируете честную и прозрачную ситуацию, подтверждающую ваш позицию:
У каждой организации — своя техника, свои подписи, свои каналы связи, свой специалист и свои логи.
Мы помогаем организациям и ИП навести порядок в этой части.
Проведём экспресс-аудит ваших процессов, где используются ЭП — бесплатно.
Что потребуется:
модели и типы носителей;
список площадок, где используется ЭП;
версии криптопровайдеров и лицензий;
перечень программ, в которых применяются подписи.
Оставляйте заявку на нашем сайте administrators.ru, или свяжитесь с нами удобным образом - звоните на +7-98-98-11-13-98 (тап), или пишите на get1@administrators.ru
В течение дня после отправки заявки вы дополнительно получите базовый чек-лист "Точки роста ИТ инфраструктуры" — в подарок.
Межрайонная ИФНС России № 6 по Республике Крым ещё в марте официально напоминала о позиции государства: передача ключа электронной подписи третьим лицам может повлечь не только финансовую и административную, но и уголовную ответственность.
Рекомендуем руководителям и специалистам наконец отнестись к этому предупреждению всерьёз.
*
- Это я чо ль?
- Пушкин чо ль!
© М/ф Буревестник, А. Туркус, Аргус
==
Мы не скрываем, что в написании статьи нам помогали нейросети.