На сессии «Защита цифрового периметра: дуэт ЭДО и безопасности» в рамках конференции «Искусство бизнеса» эксперты обсудили, кто несет ответственность при компрометации ключа электронной подписи, как на практике происходят атаки и какие меры помогают бизнесу снизить риски. Отдельное внимание участники уделили мониторингу, реагированию на инциденты и защите цепочки поставки, в которую входят оператор ЭДО, удостоверяющий центр, подрядчики и внутренние пользователи компании.
Модератором дискуссии выступил Лев Плинер, технический директор направления ЭДО Контура. В обсуждении приняли участие Сергей Лапшин, менеджер продукта КЦР Контура (Удостоверяющий центр Контура), Сергей Голованов, главный эксперт «Лаборатории Касперского», и Роман Черенков, руководитель отдела поддержки выявления и реагирования F6.
В первой части сессии эксперты обсудили границы ответственности при использовании электронной подписи. Участники разобрали, кто отвечает за документ, если под ним появилась подпись: владелец сертификата электронной подписи, удостоверяющий центр, оператор или другая сторона процесса.
Сергей Лапшин, менеджер продукта КЦР Контура (Удостоверяющий центр Контура): «Квалифицированная электронная подпись сильно зарегулирована, и ответы на многие вопросы уже есть в нормативной базе. Если удостоверяющий центр выдал сертификат после корректно проведенных процедур, он ничего не нарушил. Владелец сертификата становится ответственным лицом за то, как, где и при каких обстоятельствах используется его сертификат».
Эксперты отметили, что при разборе спорной ситуации важно учитывать факты: был ли сертификат аннулирован, сообщал ли владелец о компрометации, были ли предупреждения или другие обстоятельства. Если сертификат не был отозван, а документ подписан действующим ключом, ответственность в первую очередь ложится на владельца сертификата.
Отдельное внимание участники уделили практике передачи электронного ключа другим сотрудникам. По словам экспертов, такой подход может привести к несанкционированному подписанию документов и затруднить определение ответственного за совершенные действия. Поэтому передавать токен третьим лицам не рекомендуется.
Сергей Голованов, главный эксперт «Лаборатории Касперского»: «Самое простое, что можно сделать, — никому не передавать свой ключ. Не нужно писать PIN-код рядом с токеном, оставлять его в рабочем компьютере и передавать коллеге, чтобы он подписывал документы за вас».
Во второй части дискуссии эксперты перешли к реальным сценариям компрометации. Участники отметили, что злоумышленникам не всегда нужно атаковать саму систему ЭДО или удостоверяющий центр. На практике доступ часто получают через уязвимое программное обеспечение, особенно с доступом из интернета: устаревший VPN, слабые пароли, подрядчиков, фишинговые письма и сообщения в мессенджерах.
Сергей Голованов, главный эксперт «Лаборатории Касперского»: «Если посмотреть на инциденты безопасности, в том числе связанные с хищением денежных средств с корпоративных счетов, основные причины повторяются. Это необновленное программное обеспечение, слабые пароли, доверительные отношения с подрядчиками и фишинг. Многие компании во время ковида установили VPN, через какое-то время — забыли и перестали его обновлять, в результате — через эту уязвимость злоумышленники проникают внутрь».
Эксперты подчеркнули, что базовая защита начинается не с дорогих решений, а с дисциплины: регулярных обновлений, сложных паролей, менеджеров паролей, контроля подрядчиков, обучения сотрудников и запрета на передачу закрытых ключей. Эти меры не закрывают все возможные атаки, но снижают риск большинства типовых инцидентов.
Роман Черенков, руководитель отдела поддержки выявления и реагирования F6: «Один из важных моментов — обучение. Нужно периодически проверять сотрудников и учить их, как правильно действовать. На практике это работает не с первого раза, но со второго или третьего уже дает результат. Даже с флешками: если несколько раз провести учебные проверки, сотрудники перестают оставлять их на столе».
В третьей части сессии участники обсудили, как компаниям действовать, если инцидент уже произошел. Эксперты разделили защиту на два направления: предотвращение атак и готовность к реагированию. По их мнению, бизнесу важно не только снижать вероятность инцидента, но и заранее понимать, как быстро обнаружить атаку, изолировать зараженные машины, восстановить процессы и собрать доказательства.
По словам Романа Черенкова, если инцидент уже произошел, нужно говорить о реагировании. Внутри инфраструктуры помогают антивирусы, EDR-агенты, SIEM-системы и другие инструменты. Но я бы начал с внешнего контура. По статистике, сейчас значительная часть атак приходит через внешние сервисы и внешний периметр. Поэтому нужно понимать, какие ресурсы открыты наружу, где есть уязвимости, утечки, подрядчики и другие точки входа.
Участники отметили, что даже у малого и среднего бизнеса внешний контур шире, чем кажется. Это не только сетевое оборудование или VPN, но и лендинги, временные сайты, ресурсы подрядчиков, тестовые сервисы и забытые страницы после маркетинговых кампаний. Такие активы могут создавать не только технические, но и репутационные риски.
Отдельно эксперты остановились на логировании и мониторинге. По их словам, во многих компаниях журналы событий не включены на сетевом оборудовании, важных серверах и VPN. Из-за этого расследование инцидента становится сложнее: команда реагирования не может быстро понять, кто подключался, когда это произошло и какие действия совершал пользователь.
Роман Черенков, руководитель отдела поддержки выявления и реагирования F6: «На практике мы часто видим, что логирование не включено ни на сетевом оборудовании, ни на важных серверах. Это сильно мешает реагированию. VPN — серьезная точка входа для злоумышленников, и отслеживать, что там происходит, обязательно. Одного антивируса уже недостаточно, особенно во времена таргетированных атак».
Сергей Голованов добавил, что современные атаки все чаще нацелены не только на прямое хищение денег. Злоумышленники стремятся остановить бизнес, зашифровать инфраструктуру, уничтожить данные или похитить персональную информацию. Такие сценарии часто приводят к простою, репутационным потерям, проверкам и финансовым последствиям.
В финальной части дискуссии эксперты обсудили безопасность цепочки поставки и вопрос доверия к ЭДО и удостоверяющим центрам как части инфраструктуры. Участники отметили, что компании важно контролировать не только собственные действия, но и процессы вокруг сертификатов, МЧД, подрядчиков и автоматического подписания.
Сергей Лапшин пояснил, что если у контрагента скомпрометирован ключ, сторонняя компания не может просто отозвать его сертификат. Сертификат может быть аннулирован по заявлению владельца или по инициативе удостоверяющего центра в предусмотренных случаях. Поэтому практический путь — обращаться в удостоверяющий центр, фиксировать факты и учитывать, был ли владелец сертификата предупрежден о компрометации.
Отдельно участники обсудили МЧД. По словам экспертов, машиночитаемая доверенность выпускается внутри организации и отзывается без участия удостоверяющего центра.
В конце сессии эксперты разобрали риск автоматического подписания. С одной стороны, при больших объемах документов компаниям сложно работать без автоподписания. С другой стороны, серверы с ключами требуют отдельной защиты: ограничения доступа, физической безопасности, контроля администраторов и понятных регламентов.
Возврат к списку