Почему бухгалтеры продолжают передавать токен руководителя, чем это грозит и какие решения позволяют подписывать отчетность без экспорта ключа.
Бухгалтер на аутсорсе знает: экспортировать ключ электронной подписи руководителя на свой компьютер — это риск компрометации подписи. Но делает это каждый квартал, потому что «иначе работа встанет». Разбираемся, откуда берется этот замкнутый круг и какие технические решения позволяют из него выйти — без машиночитаемой доверенности (МЧД) на каждого сотрудника и без передачи токена по офису.
Передача ЭП директора бухгалтеру: как это выглядит на практике
Подавляющее большинство бухгалтеров на аутсорсе (по некоторым оценкам, порядка 70%) хотя бы раз в квартал сталкиваются с необходимостью экспортировать ключ электронной подписи (ЭП) директора. В одном из опросов Клерка бухгалтеры признались, что хранят у себя «ЭП всех клиентов». Их коллеги (единичные), которые работают иначе, описывали процесс так: «когда надо отправить с ЭП, пишу им, чтобы подписали и отправили» — то есть каждый раз просят руководителя компании-заказчика зайти в систему и нажать кнопку.
Схема привычная: директор отдает токен для ЭЦП (ЭП по новой терминологии), бухгалтер экспортирует закрытый ключ на свой ПК — и дальше подписывает отчетность, акты, счета-фактуры, первичные учетные документы. Токен руководителя лежит у бухгалтера на столе, ключ скопирован в реестр рабочего компьютера или хранится в общей папке на сервере. Все работает быстро и удобно. Проблема в том, что с момента экспорта ключ считается скомпрометированным — юридически и технически.
Чем это грозит бухгалтеру и директору
Закон рассматривает ключ электронной подписи как персональный инструмент владельца. Не как флешку, которую можно передать по офису.
Согласно п. 1 ст. 10 Федерального закона № 63-ФЗ «Об электронной подписи», при использовании усиленных электронных подписей участники электронного взаимодействия обязаны «обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия». Пункт 3 той же статьи запрещает использовать ключ ЭП, если есть основания полагать, что его конфиденциальность нарушена. Экспорт закрытого ключа на чужой компьютер — это именно такое нарушение.
Если ключ экспортирован и использован другим лицом, это квалифицируется как компрометация электронной подписи. В случае спора суд может признать документы подписанными неуполномоченным лицом. В судебной практике встречаются случаи привлечения бухгалтеров к ответственности по долгам компании из-за работы с экспортированным ключом.
Есть ли эта проблема на самом деле? С 2020 по 2024 год произошло более 2500 судебных дел, связанных с махинациями при электронном подписании с ущербом до 131 млн руб. За 2023 год произошло более 20 000 успешных кибератак с хищением ЭП компаний. Достаточно одного письма с фишинговой ссылкой. Общий ущерб за 2023 год составил 7,8 млрд руб.
Последствия компрометации ЭП затрагивают все стороны:
Риски для бухгалтера:
- Когда бухгалтеры работают с электронной подписью совместно, возникает риск передачи ключей ЭП между сотрудниками. Если один из сотрудников увольняется, он может сохранить доступ к ключам и использовать их в случае конфликта с компанией.
- Личная ответственность за документы, подписанные чужим ключом, — в судебной практике бухгалтеров привлекали по долгам компании.
- Если ключ скомпрометирован — все подписанные документы могут быть оспорены, а разбираться придется бухгалтеру.
- Потеря или кража токена клиента — репутационный ущерб для аутсорсера и потеря клиента.
- Увольнение с «хвостами» — если ключ клиента остался на ноутбуке бухгалтера, это может всплыть позже.
Риски для директора (предпринимателя):
- Хищение средств компании — достаточно одного подписанного платежного поручения.
- Втягивание бизнеса в мошеннические схемы — договоры и акты, подписанные без ведома директора, имеют юридическую силу.
- Остановка деятельности — пока идет разбирательство, операции по счетам могут быть заблокированы.
- Репутационные потери — контрагенты и банки теряют доверие к компании.
- Судебные издержки — доказывать, что подпись использовал не владелец, придется в суде.
Как подписывать отчетность без передачи токена
Компании пытаются решить проблему доступными средствами. На рынке есть несколько популярных подходов, но у каждого — свои ограничения:
- USB over IP. Токены собирают в одном месте и подключают к ним сотрудников по сети. Удобно, но экспорт ключа по-прежнему возможен, нет настройки ролей, нет информации о том, кто и что подписал. Токены вылетают и требуют перезагрузки — при аукционе на госзакупках даже секунды простоя определяют результат торгов.
- Терминальный сервер (общий сервер). Ключи хранятся на сервере, требует высокой квалификации и штатных ИТ специалистов, сотрудники подключаются удаленно. Подходит для небольших компаний с 15−20 токенами, но администраторы получают полный доступ ко всем ключам, журнала подписаний нет. Если сервер выйдет из строя — все бухгалтеры одновременно теряют доступ к ключам.
- Сейф. Токены запирают и выдают по запросу. Хранение решено, но контроля над тем, что происходит с ключом после выдачи, нет — экспорт, копирование, подписание в неразрешенных системах остаются за пределами видимости.
- Облачная подпись. Ключ хранится на сервере удостоверяющего центра, подписание происходит через мобильное приложение. Безопасно, но подпись привязана к телефону директора — делегировать подписание бухгалтеру нельзя.
- МЧД. Единственное полностью законное решение: бухгалтер получает собственную квалифицированную электронную подпись (КЭП) и подписывает документы от своего имени с приложением электронной доверенности. Но на практике мало кто перешел на МЧД, так как это обязывает бухгалтера брать на себя еще больше ответственности. Кроме того, оформлять доверенности нужно в разных форматах для разных ведомств, а аутсорсеру может потребоваться лицензия на криптографию.
Общая проблема всех этих подходов: ни один из них не позволяет разделить роли «тот, кто готовит документ» и «тот, кто подтверждает подписание». А именно это разделение нужно аутсорсинговой бухгалтерии.
Относительно новый подход — программно-аппаратные комплексы, которые хранят ключи в защищенной зоне и позволяют именно это: один сотрудник формирует запрос на подписание, а владелец ключа подтверждает его.
Как это выглядит: бухгалтер готовит документ в 1С и нажимает «Подписать» — как обычно. Запрос автоматически уходит на сервер Ключника. Директору приходит push-уведомление на телефон, он просматривает запрос и подтверждает — документ подписан и отправлен в ЭДО. Ключ при этом не покидает устройство, экспорт невозможен, каждое подписание фиксируется в журнале.
Как это работает на практике
На рынке уже есть решения, работающие по такому принципу. Одно из них — программно-аппаратное решение «Ключник ГОСТ» компании RNDSOFT. Это компактное аппаратное устройство, к которому подключаются токены сотрудников и руководителя. Устройство устанавливается в защищенном месте — в компактном сейфе или в закрытой части серверной. Для рабочем месте сотрудника используется стандартный КриптоПро CSP, который уже установлен на компьютере бухгалтера, — дополнительное ПО ставить не нужно. Установка и настройка всего решения занимают около часа, а на комьютере пользователей настройка занимает две минуты самим сотрудником.
На практике это меняет расклад для всех участников процесса:
Директор впервые получает контроль над подписанием. Он видит каждый запрос, принимает решение — подписать или нет — и получает регулярные отчеты: сколько раз и какие сотрудники направляли ему запросы на подписаниеи с каких адресов. При необходимости можно ограничить подписание разрешенными IP-адресами — например, если у компании несколько юрлиц и важно исключить подписание «не от того ИП».
Бухгалтер работает в привычном режиме: готовит документы, отправляет на подписание. При этом ему не нужно экспортировать ключ, хранить чужой токен или оформлять МЧД на себя. Ключник переносит ответственность за подписание на директора — окончательное право подписания остается за владельцем ЭП, который подтверждает каждое действие через свой телефон (функция 2FA).
Системный администратор получает контроль без избыточной ответственности. Он видит полный журнал подписаний, но не имеет доступа к самим ключам. При использовании токенов с неизвлекаемым ключом экспорт невозможен даже для администратора, а сброс пароля пользователя автоматически сбрасывает и ПИН-код — воспользоваться чужой подписью не получится.
На практике это меняет расклад для всех участников процесса:
Директор впервые получает контроль над подписанием. Он видит каждый запрос, принимает решение — подписать или нет — и получает регулярные отчеты: сколько раз и какие сотрудники направляли ему запросы на подписаниеи с каких адресов. При необходимости можно ограничить подписание разрешенными IP-адресами — например, если у компании несколько юрлиц и важно исключить подписание «не от того ИП».
Бухгалтер работает в привычном режиме: готовит документы, отправляет на подписание. При этом ему не нужно экспортировать ключ, хранить чужой токен или оформлять МЧД на себя. Ключник переносит ответственность за подписание на директора — окончательное право подписания остается за владельцем ЭП, который подтверждает каждое действие через свой телефон (функция 2FA).
Системный администратор получает контроль без избыточной ответственности. Он видит полный журнал подписаний, но не имеет доступа к самим ключам. При использовании токенов с неизвлекаемым ключом экспорт невозможен даже для администратора, а сброс пароля пользователя автоматически сбрасывает и ПИН-код — воспользоваться чужой подписью не получится.
Для аутсорсинговой компании это еще и способ выстроить доверие с заказчиком. Директор в любой момент может проверить историю подписаний — и видит не «черный ящик», а прозрачный процесс. Разговор с клиентом из «отдайте мне ключ, я все сделаю» превращается в «ваш ключ под вашим контролем, а мы работаем через запросы».
Полный отказ от экспорта ключей электронной подписи директора — задача, которую можно решить уже сегодня, без потери гибкости в работе. Современные программно-аппаратные решения, такие как программно-аппаратное решение «Ключник ГОСТ», позволяют хранить ключ в защищенной зоне, делегировать формирование запросов на подписание сотрудникам и бухгалтерам, а само подтверждение оставить за владельцем подписи.