• 13 декабря 2025 13:00
  • 149
  • Время прочтения: 1 мин

Как электронная подпись может превратить в «мину» для бизнеса и как это остановить — простые правила защиты

Как электронная подпись может превратить в «мину» для бизнеса и как это остановить — простые правила защиты Фото: Pexels
Электронная подпись (ЭП) упростила документооборот, но одновременно стала одним из главных векторов атак — злоумышленник с доступом к чужой КЭП получает фактически полномочия руководителя. Эксперты бухгалтерии для бизнеса «Моё дело» и проекта Кибердом подробно описывают типичные сценарии утечек и дают практические правила минимизации рисков. Об этом сообщили эксперты бухгалтерии для бизнеса «Моё дело» и проекта Кибердом.

Основная идея простая и неприятная: большая часть инцидентов с ЭП происходит не из-за «пробоев» в криптографии, а из-за организационных ошибок. Типичные сценарии — общий ключ на весь отдел, «забытые» доступы у уволенных сотрудников и чрезмерные права у подрядчиков. Без чётких регламентов и механизма отзыва полномочий даже безопасная технология превращается в источник судебных исков, срывов контрактов и репутационных потерь. «Выдача, хранение, использование электронной подписи в бухгалтерии должны быть регламентированы и оформлены внутренними нормативными документами. Необходимо разработать четкие правила выдачи и отзыва электронной подписи, ее использования, ответственности за утрату или передачу третьему лицу. Полномочия, которые дает КЭП, должны соответствовать обязанностям работника», — советуют эксперты «Моё дело».

Технические контрмеры и организация работы — две стороны одной медали. Директор по безопасности Кибердома Антон Терешонков подчёркивает важность готовности к инциденту: «Следует исходить из презумпции нарушения: рано или поздно оно произойдет. И ущерб будет зависеть от скорости реагирования. Поэтому стоит регламентировать действия сотрудников при возникновении нештатных ситуаций. Также необходимо непрерывно обучать персонал киберграмотности. Это позволит уменьшить влияние человеческого фактора, улучшить систему “учений” по кибербезопасности. Бизнесу необходимо иметь штатных ИБ-специалистов, привлекать независимых экспертов. Это необходимо для того, чтобы совершенствовать киберустойчивость компании».

Короткий чек-лист для руководителя и ИТ-/бухгалтерской службы

  • Формализуйте использование КЭП: локальный регламент на выдачу, хранение, использование и отзыв подписи.
  • Каждый подписант — со своей квалифицированной ЭП и машиночитаемой доверенностью (МЧД) с ограничением полномочий по типам документов.
  • Автоматизируйте отзыв доступа при увольнении (интеграция с AD, централизованный вызов в УЦ).
  • Разграничьте полномочия: принцип «минимально необходимых прав» для должности и подрядчика.
  • Обеспечьте физическую защиту токенов и контроль PIN; запрет хранения ключей в незашифрованном виде на рабочем столе.
  • Внедрите двухфакторную аутентификацию и изоляцию рабочих мест с ЭП в отдельный VLAN; логируйте операции и отправляйте события в SIEM.
  • Разработайте и отрепетируйте план реагирования на инциденты: сценарии, ответственные, инструкция по отзыву сертификата в УЦ.
  • Регулярно обучайте персонал и проводите тренировки по фишингу и реагированию.

Инвестиции в организационные регламенты, обучение и базовые технические меры — дешевле, чем последствия компрометации подписи. Для бизнеса это не только риск IT-катастрофы, но и коммерческая уязвимость: потери, срывы сроков и суды. Регламент + технический контур + быстрый реаг — вот где лежит реальная защита ЭП.