В состав нашей крупной организации входит более пятидесяти различных юридических лиц, управляемых из единого центра. Бухгалтерия, соответственно, тоже централизованная. И вот уже два с лишним года это создаёт немалые проблемы.
Проблема «некопируемых» токенов
Каждому юридическому лицу соответствующий орган выдаёт один токен для подписи документов. Копировать его нельзя, что в принципе соответствует линейной логике государственного органа. Токен постоянно находится у ответственного сотрудника, который занимается всевозможной отчётностью. Другим он попросту не нужен.
Но реальность часто бывает сложнее умозрительных построений. С чем мы и столкнулись.
Эпидемия привела к удалённой работе, а дистанционная схема — к децентрализации. Сотрудники разошлись по филиалам, разбросанным по всей области. Если раньше все бухгалтеры занимали три соседние комнаты в одном здании, то сейчас между ними десятки километров по пробкам.
Раньше главбух мог лично выдать токен нужному специалисту и через пару часов забрать его назад. Сейчас это стало малореальным. Не гонять же курьера за тридевять земель и обратно — дорого и совершенно неэффективно.
Вернуться к сверхцентрализации? Вряд ли это разумно. Сотрудники уже привыкли работать поближе к дому, да и цены на московскую аренду кусаются.
Выход только один. Надо сделать «некопируемые» токены доступными для всех филиалов.
Решение проблемы — USB over IP
Суть технологии USB over IP заключается в предоставлении дистанционного доступа к USB-устройствам, подключенным к специальному концентратору. Разумеется, при условии, что сам концентратор «виден» пользователю.
Таким образом, теоретически решение проблемы выглядит так. В головном офисе устанавливается концентратор, к которому подключаются все токены. При необходимости подписать какой-либо отчёт сотрудник филиала пользуется соответствующим токеном так, как будто бы ключ физически воткнут в локальный порт его машины.
Выбор концентратора
Предварительно анализировались три решения: программа FabulaTech, концентратор Digi AnywhereUSB и концентратор DistKontrolUSB. Прежде всего интересовала стоимость одного порта при использовании ста портов. Тут картина получилась такая.
Самым дорогим оказался Digi AnywhereUSB. Стоимость одного порта — более 16 тыс. рублей. Получается, нам придётся выложить больше миллиона. Сумма, честно говоря, не особенно приятная.
FabulaTech подешевле — около 13 тыс. рублей за порт. Но это без учёта расходов на сам компьютер и хабы. За миллион вряд ли перевалим, но получится что-то близкое к этому. Тоже недёшево.
К тому же, что греха таить, импорт — это санкционные риски. А мы политикой не занимаемся — мы деньги зарабатываем.
Стоимость одного порта, при использовании старшей модели DistKontrolUSB-64, начинается от 2.5 тыс. рублей. Нам необходимо решение 16-ти портовой модели, стоимость одного порта составит около 6 тыс.руб. Таким образом, всё решение обойдётся нам примерно в 100 тыс. рублей. Разница с предыдущими вариантами слишком заметная. А поскольку устройство разрабатывается и производится в России, то политических рисков вовсе нет.
DistKontrolUSB — первое знакомство
Существенное достоинство DistKontrolUSB — гарантия совместимости с токенами, так как концентратор «пробрасывает» сам порт, а не эмуляцию USB-устройства, следовательно, ему не особо важно, что находится в пробрасываемом порту. Если есть какие-то сомнения, то можно приехать в офис разработчика и лично убедиться, что всё работает. И вообще потрогать товар руками и посмотреть глазами, что часто бывает очень важно.
Например, мы планируем устанавливать концентратор на стол, расположенный в кабинете главного бухгалтера. По ряду причин размещение в стойку нам не подходит.
Для настольной установки DistKontrolUSB комплектуется специальными резиновыми «ножками», а его корпус выполнен из металла. Для физической защиты токенов, как дополнительная опция, предназначены металлические кожухи глубиной 10 см. Благодаря этому нет необходимости обращаться с концентратором, как с хрустальной вазой. Хотя, безусловно, ронять на пол его не стоит.
Важно и то, что корпус универсален. Если мы решим переместить устройство в стойку, то никаких переделок или дополнительных покупок не потребуется. Крепления для стойки 19” идут в комплекте с концентратором, что, в свою очередь, очень приятно.
Что касается скорости монтажа, то мы решили заранее проверить, сколько времени у нас займёт перенос концентратора со стола в стойку. Оказалось — примерно 10 минут. И это с первой попытки без помощи специалистов компании-разработчика.
Практика — критерий истины
Сразу после установки и подключения к сети DistKontrolUSB работает в режиме «всё доступно всем». По умолчанию все порты находятся в одной группе без каких-либо ограничений прав. Понятно, что главбуха этот не устроило, поскольку в финансовых делах порядок должен быть.
С другой стороны, ему не нравилась старая схема, когда каждый токен приходилось выдавать под роспись. Это отнимает слишком много времени, а главбуху и так есть, чем заняться. Методом проб и ошибок пришли к следующей схеме.
Из всех сотрудников, которым должны быть доступны токены, были сформированы группы, причём некоторые работники вошли сразу в несколько групп. Соответственно для каждой группы был разрешён доступ только к тем ключам, которые могут понадобиться. Но доступ к портам по группам, не совсем то, что нужно, поэтому можно, и мы это сделали, «разграничить» права между портами и пользователями в этой самой группе. А чтобы не возникло путаницы назвали каждый ключ по имени его обладателя, а «лишние» порты были убраны в отдельную группу и сделаны невидимыми всем пользователям.
Вопреки нашим опасениям со стороны сотрудников бухгалтерии никаких проблем не возникло. Переход от физического доступа к дистанционному прошёл практически незаметно. Рост количества обращений в техническую поддержку был примерно такой же, как и при прочих новшествах, причём все они были обусловлены не отказами оборудования, а обычным страхом пользователей перед чем-либо непривычным. Через неделю всё пришло в норму.
Спустя некоторое время выяснилось, что некоторые сотрудники не могут получить доступ к ключам. Оказалось, что главбух выключал концентратор, когда был вынужден отлучиться куда-либо по делам и не планировал вернуться в тот же день. Оставлять работающие устройства на ночь он категорически отказывался, поскольку мало ли что.
Проблема была решена при помощи настроек. Сформировали задание, согласно которому отключение всегда производилось в одно и то же время в конце рабочего дня. Главбуха это вполне устроило, тем более, что он ежедневно получал уведомление об отключении концентратора.
Итоги и планы
Благодаря концентратору DistKontrolUSB мы благополучно справились с проблемой «некопируемых» токенов. При этом каких-либо принципиальных сложностей у нас не возникло — все возникающие вопросы решались в рабочем порядке.
В настоящее время обсуждается идея полного отказа от выдачи на руки любых токенов, включая внутренние. Потому что так удобней.
Комментарии (25)
b01d
23.05.2022 13:24+4То что вы это решили технически - это безусловно здорово. Но как быть с организационной частью вопроса? В том числе и как контролировать кто и что "наподписывал" по удаленке?
Zzzz9
23.05.2022 14:30+2Предполагаю, что этот ящик скоро будет не нужен, если закончат с машиночитаемой доверенностью.
Машиночитаемая доверенность — это электронная доверенность руководителя организации, которая передает полномочия сотруднику при подписании документов. Таким работником в компании может быть бухгалтер, секретарь или менеджер по закупкам — человек, которому чаще всего необходимо ставить подписи от лица организации. Доверенность не нужно заверять у нотариуса. Достаточно, чтобы руководитель подписал ее своей квалифицированной электронной подписью (КЭП).
kovrovdv
23.05.2022 15:43+3Помимо уже обозначенных выше вопросов безопасности и нарушений правил использования токенов, которые приведут к тому, что в любой непонятной ситуации крайними будете вы, не понятна причина по которой вы это делаете. У вас может быть более одной подписи в организации и в зависимости от назначения вам просто надо правильно ее оформить.
Если речь идет про отчетность, например, ФНС или ПФР - сертификат регистрируются либо ножками, либо через специальные приемные комплексы, например ИРУД для ФНС.
Сертификат лица не являющееся генеральным директором, регистрируются вместе с параметрами доверенности, в том числе для УП. Информацию об этом поставляет в ФНС ваш СОС, он же и проверит вашу доверенность.
Если речь идет про счет-фактуры, то ранее сертификаты, которыми можно подписывать СЧФ требовали бумажную доверенность и регистрацию через 13-ый ЭДО ФНС вашим оператором ЭДО. Сейчас он это же делает через АИС3.
Договора так же может подписывать любой сотрудник с бумажной доверенностью.
Понятно, что сертификат на каждого сотрудника это деньги, доверенность это время, но риски, которые вы берете даже физически передавая токен, имеющий право любых действий от имени организации стороннему лицу, кажутся несколько существеннее.
Если же по какой-то непонятной причине для вас это приемлемые риски, и проблема только техническая посмотрите в сторону облачной подписи. Не знаю сертифицировали ли ее уже для всех необходимых вам действий, но вполне уже могли
i9i6
23.05.2022 15:53+8Раньше главбух мог лично выдать токен нужному специалисту и через пару часов забрать его назад. - после этой строчки можно не читать, хорошему эти люди не научат.
Abyss777
23.05.2022 18:37Копировать его нельзя
Ключи выданные ФНС копируются на раз.
Всё это такая профанация... Ощущение, что придумано просто чтоб поднять продажи токенов.
sergyalosovetsky
24.05.2022 01:43+1Мне понравился тег у статьи "Информационная безопасность"
Учитывая сильную иллю́зию прозра́чности в интернете, тут нужно в самом начале статьи написать большой дисклаймер сарказм.
Потому что в статье описывается, как ни в коем случае не надо обращаться с токенами
gdt
24.05.2022 05:28Интересная математика у вас в начале, можете объяснить как вы сравниваете цену решения 16x100 портов и 6x16 портов? Оно конечно что так что так все равно дороже/дешевле получается, но посчитали бы 6х100 для разнообразия, или 16x16, а то первое решение больше миллиона, а последнее ~100 тысяч, выглядит как профитный профит - но ведь количество портов разное.
amm1go
25.05.2022 08:58есть контора за 1.5 р скопирует не экспортируемое эцп. проверял
dimsoft
25.05.2022 10:30IMHO надо разделять ключи, в которых просто в поле "не копируемый" для Крипто-Про поставлено "1" и настоящие ключи, где при создании средствами самого токена сделан не экспортируемый ключ. Первый вариант обходится на рутокен, второй я ещё не встречал в "дикой природе"
ruomserg
Так, хорошо — технический вопрос вы решили. А как вы это сумели оформить организационно ?!
У меня есть стойкое впечатление, что вот этот концентратор, который «просто пробрасывает USB порт» является нарушением как правил эксплуатации самих токенов, так и регламента УЦ который выдал вам ключи для записи на токены.
Смотрите, какое дело — когда производитель делал токены, он держал в голове, описывал, тестировал и сертифицировал некоторую модель угроз. И скорее всего, в этой модели угроз считалось что трафик между CPU и USB портом на локальной машине является доверенным (потому что идет в пределах дорожек материнской платы).
Вы своим устройством эту модель угроз могли неким образом обрушить. Теперь у вас трафик от CPU/криптопровайдера до USB порта является сетевым. И тут два варианта:
— Либо токены настолько хороши, что их модель угроз не нарушилась — и с USB трафиком по сети они будут работать так же секьюрно, как на локальной машине
— Либо программно-аппаратный комплекс для проброса портов настолько крут, что обеспечивает защиту трафика USB в распределенной сети — и модель угроз токенов не расплывается.
И первое решение, и второе — следовало бы подтвердить бумагами, которые нужно внимательно прочитать, осознать, и спрятать в сейф. Потому что пока у вас все хорошо работает — это не будет волновать ни УЦ, ни производителя токена, ни вас самих. Проблемы будут только тогда, когда нечто юридически значимое (подписанное одним из ваших токенов) всплывет в районе налоговой (например, корректировка НДС — чтобы закрыть чьи-то грехи по чужой цепочке). Вы тогда пойдете в налоговую и в полицию. А дальше будет очень интересный вопрос установления виновных лиц. Одна ситуация, когда вы криптосредства использовали в соответствии с правилами эксплуатации и регламентом УЦ (то есть выдавали физически под роспись). Другой вопрос — если вы такие правила нарушили… Стать соучастником (или хотя бы свидетелем) вместо потерпевшего — тот еще цирк с конями…
Ну или вы должны были тогда как-то исхитриться, и внутренними приказами оформить эквивалентность «старой» схемы (где ключ выдается под роспись) и «новой» (где ключ выдается через тыкание в галочки настройки). Если да, то чрезвычайно интересно было бы посмотреть — как это документально проведено?!
EVolans
Зайти на сайт и бегло глянуть заняло бы гораздо меньше времени чем весь ваш комментарий.
Там по сути двухфакторная авторизация плюс удаленное включение/отключение физическое отключение. Плюс на ключе так же по умолчанию доступ по пинкоду идет.
darkmon
Комментарий был про трафик, насколько он доверенный, а не про авторизацию. А также про последствия проблем. В статье все эти вопросы изящно опущены.
nick-for-habr
Токен с ЭЦП — это средство (инструмент) подписи электронных документов.
Как распорядится этим средством его хозяин (лицо, которое получил этот токен) — сугубо его личное дело: ни УЦ, ни производитель токена тут вообще ни при чём. Хозяин токена может убрать его в сейф, может повесить на шнурок на шею, может вживить себе под кожу, а может расбрасывать свои токены в общественных местах — это его право. И это право закономерно влечёт и обязанность — отвечать за последствия выбранного им самим способа обращения с этим токеном.
Так что если хозяин токена (ЭЦП) добровольно решил использовать такую схему обращения с этим своим инструментом — то и все последствия сугубо на его совести.
Кстати в предыдущих поколениях токенов — с «извлекаемым» ключом — всё было ровно так же: кто-то то же допускал только личное использование токена в единственном экземпляре, а кто-то — давал разрешение на копирование контейнера на разные устройства «для удобства». Каждый сам решает в данном случае, как поступить со своим имуществом: ЭЦП.
Совершенно другой вопрос — противоправные действия с токеном: его кража, мошенничество, принуждение к использованию вопреки воле хозяина и т.п. Но на это всё уже давно есть соответствующие статьи УК.
Админ, которые вставил токен в аппаратный хаб USB — разве украл его у хозяина? Нет. Хозяин сам добровольно передал ему токен, предназначенный для индивидуального использования, для установки в хаб. А большинстов админов ещё дополнительно и по доброй воле обычно разъясняют хозевам токенов последствие этого шага, и возможные риски. Думаю и автор статьи то же всё разъяснил ))
Другой вопрос — если вы официально в данной организации отвечаете за организацию работы и обращения со средствами ЭЦП, и это отражено в регл. документах и вашем трудовом договоре. В этом случае да: надо подстраховаться бумажками, сертификатами и лицензиями, т.е. переложить ответственность на других. Точно так же ставят антивирусы, которые по факту не дают никакой защиты, но зато на них можно возложить ответственность: «это они не сработали, а я не виноват». Но в 99% компаний ничего этого не записано у админов в трудовом.
Но даже в этом случае «если что-то пойдёт не так» — в худшем у вас будет «халатность» и увольнение по несоответствию должности. К ответственности могут привлечь, только если будет доказан злой умысел реализатора этой схемы, что практически нереально.
В налоговой никто не будет «искать виновного» — это не их обязанность, да у них уже и есть «виновный» — владелец ЭЦП, который получил токен лично (или по доверенности), других им не нужно. Недаром сейчас акцент в токенах сместился с «ООО Рога и копыта» на «Иванов Иван Иваныч, директор ООО „Рога и копыта“. Вот Иван Иваныч и пойдёт по этапу „по умолчанию“.
Владелец ЭЦП может конечно через следствие и суд оспорить такое видение ситуации налоговой, но как выше написал — шанс на это для него стремится к нулю, т.к. криминала — нет, злого умысла — нет, а есть его пофигизм — его же собственный. За него и ответит.
kovrovdv
то, что владелец ЭЦП огребет первым - не вызывает сомнения, но и админ тоже не у дел не окажется. Он обеспечивает функционирование инфраструктуры, и так же несет ответственность за ее эксплуатацию. Сомневаюсь, что ему удастся объяснить, что бухгалтер знающий, что "нужно воткнуть флешку и нажать кнопку" сам, принял информированное решение об использовании такой схемы.
Или, что у него есть бумага от гендира в которой написано, что сделайте именно так, и не важно что в инструкции, которую мы подписали при получении токена в УЦ написано.
В любой непонятной ситуации, все включая гендира будут говорить - я только кнопки давить умею - все проектировал настраивал он, мимо инструкции делал тоже он. Захочет ли админ участвовать в этом цирке даже если, как вы говорите, по итогу у него проблем не будет - вопрос открытый.
А поэтому во всем, что связано с криптографией, правило одно: 63-ФЗ + инструкция ПО/железа, которое используем и ни шагу в сторону.
nick-for-habr
Ну тут есть одно замечание, я выше указал его: ген.диру нужно будет не просто сказать: «я — не я, и корова — не моя». Он уже по умолчанию — единственный виновный, как владелец своей же ЭЦП. По умолчанию админа тут вообще никто ни о чём спрашивать не будет. Максимум, как я уже писал — его уволит этот же директор «за некомпетентность» (если ещё сможет). Неприятно конечно, но у нас в РФ к этому традиционно не очень чувствительно относятся, да и тут можно уже админу посудиться с руководством компании.
Эта ситуация в корне отличается например от случая «пиратского» использования ПО в компании — где действительно сначала будут искать (усердно или не очень) виновника, что бы наказать его, и админ имеет большой шанс попасть под раздачу.
Тут виновный уже есть: владелец ЭЦП, конкретное физическое (!) лицо. Ему автоматом прилетят санкции, а он уж потом будет пытаться от них «отмазаться», и сделать это ему будет практически невозможно.
ruomserg
Ну… тут все-таки будущее многовариантно. Когда к гендиру пойдут с вопросом про подпись — он скорее всего сможет доказать, что лично он действий по подписи не совершал (а он их таки реально не совершал — к чему могут быть приложены показания свидетелей, записи камер наблюдения, и т.д.). А вот что произойдет дальше — вопрос судебной практики (не знаю уж, сформированной или еще только ожидающейся).
Если суд решит, что оставление токена в таком устройстве эквивалентно его временному выбытию (утрате контроля) о котором гендир должен был заявить, но не заявил — тут гендир виноват 100%. Правда, он может гнуть линию, что ву-умный админ показал ему технические документы которых гендир не понимает, и поэтому был уверен что токен в устройстве так же защищен как в кармане. Поверит суд или нет? Я не готов сказать.
Если суд признает что токен в устройстве так же защищен как токен в кармане — тогда вины на гендире нет. Виноват будет админ, предоставивший права не тому кому надо, или сам исполнитель который что-то не то подписал, или даже «неустановленное лицо, осуществившее неправомерный доступ (модификацию) охраняемой законом компьютерной информации».
С точки зрения ГК (как мне кажется) — эти случаи эквивалентны. Внешний контрагент (если он действовал в пределах обычаев делового оборота) не обязан знать как было устроено подписание документов на фирме. Подписали — выполняйте (а дальше разбирайтесь внутри).
А вот с точки зрения УК — вопрос важный. Потому что даже условная судимость никак не украшает резюме специалиста…
ruomserg
Я, в целом, со всем написанным согласен. Но юридическая часть — это вопрос для специально обученных людей. Причем, у нас очень мало людей, которые специально обучены и юридической части и технической — склад ума должен быть разным. А в юристы еще под влиянием моды зашло немало случайных людей…
Тут важно различать гражданскую и уголовную ответственность. И от способа использования токена может различаться квалификация одних и тех же действий. В природе же вообще нет ничего абсолютного — а в законах, тем более! И это я не говорю уже о правоприменительной практике, которая может быть перпендикулярна закону в этой стране…
С одной стороны, владелец безусловно может делать с вещью все что хочет. С другой стороны, изготовитель токена и УЦ выдали на публику пределы того, что они считают нормальными условиями эксплуатации. Если вы находитесь в этих нормах, то суд скорее всего сочтет вас проявившим «разумную осмотрительность» и действовавшим в условиях «обычаев делового оборота». Это хотя бы исключает вину в форме неосторожности и умысла.
Если же вы придумали нечто нестандартное с российской криптографией, то оно хотя бы и могло быть не запрещено — но как обычно вылезет где-то в неожиданном месте и неприятным образом. Меня бы лично немного беспокоила ситуация, когда с одной стороны — подписанные документы можно потенциально признать неподписанными (если доказать нарушение правил эксплуатации СКЗИ и регламента УЦ), а с другой стороны — что есть вероятность обнаружить непонятно где документы, которых ты в глаза раньше не видел (потому что проброс USB оказался подвержен MITM или replay attack или в нем самом нашли 0day).
И да, под свою ответственность человек может делать почти все. А на предприятии, я бы все-таки проверил, что руководство хорошо понимает, что примененное решение — это не просто «проброс USB портов», а нарушение правил эксплуатации СКЗИ с определенными правовыми (втч для этого же руководства) последствиями. Бывает же как? Админ нашел способ, купили, работает — и все довольны. А убедиться что СКЗИ сертифицированы в такой конфигурации — никто не подумал. Хорошо хоть коммерсы, а не гостайна…