«Бросая в воду камешки, смотри на круги, ими образуемые; иначе такое бросание будет пустою забавою». Пожалуй, руководствуясь именно этой мудростью Козьмы Пруткова руководство нашей компании полностью изменили метод работы с ключами доступа к ресурсам и документам.

Токен ИФНС: удобство или головная боль?

Эта история началась, когда руководство нашей компании приняло решение получить ЭЦП в ИФНС. При помощи этой подписи можно подавать налоговую отчетность, отправлять документацию в госорганы, принимать госзаказы, работать с ЕГАИС и проч. Правда, есть один нюанс — ключ не подлежит копированию. Но на это мы не обратили особого внимания. Как оказалось, напрасно.

Впрочем, если не выходить за рамки «книжных» бизнес-процессов, то никаких копий делать не надо. Право подписи имеет один человек, поэтому токен должен находиться именно у него. Когда он уходит в отпуск или заболеет, то передаёт ключ своему заместителю. Важно тут то, что в любой момент времени «владелец» у корпоративной ЭЦП может быть только один.

Но на практике это работает не всегда. Например. у нашей компании два владельца, обладающих практически одинаковыми правами. Плюс к этому — дистанционно работающий главный бухгалтер. Одному нужно подписать отчёт, другому — договор, третьему — зайти на ЕГАИС…

Постоянно передавать токен из рук в руки — вариант очень плохой. От него мы отказались буквально через неделю. И начали искать другой метод.

Наш выбор — маршрутизатор "технологии USB over IP"

Использование решений, построенных на "технологии USB over IP", позволяет удалённо подключать различные USB-устройства. В том числе и токены.

Само решение мы искали недолго. Стратегически наша компания ориентирована на импортозамещение, поскольку риски, в том числе и политические, мы давно считать научились. Примеров того, как внезапно введённые санкции могут серьёзно повредить бизнесу, более чем достаточно. Поэтому маршрутизатор "технологии USB over IP" без вариантов.

Также учитывались дополнительные удобства: возможность заранее протестировать работу устройства, доступность техподдержки на русском языке и т. д. К тому же, по критерию цена/качество российская модель выглядит предпочтительней остальных.

Поскольку принципиальное решение уже было принято, осталось только выбрать количество портов. Предлагаемые разработчиком варианты: 16, 32, 48 и 64. И это при том, что нам нужно было сделать дистанционно доступным всего один токен.

В таких условиях руководство приняло парадоксальное решение — приобрести старшую модель на 64 порта. Практика показала, что выбор был сделан верно. И не только потому, что стоимость одного порта у старшей модели минимальный.

Костыль или смена парадигмы?

Дело в том, что помимо ключа ИФНС у нас и другие токены. Например, для доступа к внутренним ресурсам. Эти копировать можно, чем мы и пользовались. Иными словами, текущая проблема касалась всего одного ключа и для её решения требовалось то, что программисты называют костылём.

Отношение к такому методу решения проблем полностью характеризуется его названием. Один костыль обязательно повлечёт за собой следующий и этому не будет конца. Наше руководство это прекрасно понимало и подобные способы не одобряло. Тем более, если есть другие варианты.

Итак, было принято решение полностью отказаться от выдачи токенов на руки и постепенно переходить на дистанционную модель. Основное достоинство новой парадигмы — полный контроль за использованием ключей.

Практика перехода

План был следующим. Токен ИФНС подключался к маршрутизатору сразу. Доступ к нему был разрешён владельцам и главному бухгалтеру. Впоследствии в этот список был включён начальник отдела продаж, который часто замещал одного из владельцев бизнеса.

С этим особых проблем не было. Круг лиц был изначально ограничен и все они достаточно дисциплинированы и ответственно относятся к работе.

А вот следующий шаг мы планировали долго. Выбрали токен доступа к каталогу с договорами. Всего было выпущено восемь копий, которые находились у начальников коммерческих подразделений. Те, в свою очередь, давали ключи во временное пользование своим сотрудникам, работающим с документацией.

Сначала мы хотели попробовать реализовать некую гибридную схему. Все физические ключи остались у сотрудников, а параллельно с этим один токен был подключен к маршрутизатору "технологии USB over IP". Но плавного перехода не получилось — сотрудники предпочитали привычную им схему работы.

Поэтому все физические ключи были изъяты. Из всех сотрудников каждого отдела мы сформировали группы, имеющие доступ к данному токену. Почему из всех? Потому, что начальники отделов не вели учёта выдаваемых ключей и затруднялись составить готовый список групп.

Через неделю администратор посмотрел лог-файлы и исключил из групп тех сотрудников, которые за это время ни разу не воспользовались токеном. Остались только те, кто заведомо нуждался в доступе. Впоследствии состав групп корректировался, но уже строго по служебной записке начальника подразделения.

Когда всё это нормализовалось, начальникам отделов были делегированы права администратора группы. Таким образом, все его действия отслеживались по логину, что способствовало быстрому обнаружению и исправлению возможных ошибок.

По той же схеме были подключены и другие отделы. Чтобы избежать путаницы каждая группа видела только те ключи, доступ к которым был ей разрешён.

Будучи уже отработанной, вся процедура миграции с физических копий на сетевой доступ занимала максимум десять дней. За это время удавалось решить все рабочие вопросы.

Наконец, наступила очередь постоянных и временных групп, состоящих из сотрудников разных отделов. По сути схема работы была той же самой, правда административные права не передавались никому — выделить в таких коллективах главного было затруднительно.

Так, начав с одного «некопируемого» токена, мы полностью сменили концепцию работы с ключами доступа. Использование маршрутизатора "технологии USB over IP" позволило нам полностью отказаться от изготовления дубликатов и упорядочить ряд критичных бизнес-процессов компании.

Комментарии (84)


  1. Mur81
    00.00.0000 00:00
    +9

    Правда, есть один нюанс — ключ не подлежит копированию.

    Я Вас расстрою возможно, но он запросто копируется. Здесь же вот, на Хабре, и писали как это сделать.


    1. nitro80
      00.00.0000 00:00
      +6

      Копируется только если носитель определенный, не любой можно скопировать.


    1. yarkovoy
      00.00.0000 00:00
      +2

      Рутокен 2.0 можете скопировать?


      1. asolokha
        00.00.0000 00:00
        -1

        Если ключ сгенерирован не в Рутокене - можно.


        1. yarkovoy
          00.00.0000 00:00
          +1

          Это я знаю.


        1. zBornss
          00.00.0000 00:00
          -1

          Если в рутокене тоже легко копируется. Статья дикий бред. Единственное, что из ключей вызывает проблемы, но решение есть все равно - это hasp Сбера


          1. BDI
            00.00.0000 00:00
            +2

            Рутокены бывают разные. Не подскажете как скопировать КЭП ФНС с Рутокен TLS?


    1. denilenko
      00.00.0000 00:00
      -2

      Предлагаю поменьше об этом писать, чтобы не прикрыли эту лазейку в ближайшем будущем.


    1. Underkom
      00.00.0000 00:00

      Многократно обсуждалось, что если есть доступ к созданному ключу в обход СКЗИ, то да можно. Но если ИФНС создавала ключ на токене и не отметила флаг"экспортируемый", то без специальных и дорогостоящих методов никак.


      1. MashaDashkina
        00.00.0000 00:00

        Но если ИФНС создавала ключ на токене и не отметила флаг"экспортируемый", 

        В интерфейсе в котором операторы точек выдачи КЭП ФНС России делают свои проверки, создают закрытый ключ ЭП и запрос на открытый сертификат такого чекбокса попросту нет! И все ключи, как они считают создаются неэкспортируемыми.


    1. MashaDashkina
      00.00.0000 00:00
      +3

      Наверное "не подлежит копированию" и "запросто копируется" немного разные вещи. Возможно, "он запросто копируется", либо если сотрудники УЦ ФНС России при создании ключей электронной подписи нарушили свой собственный Регламент (Приложение к приказу ФНС России от «25» апреля 2022 г.№ ЕД-7-24/340@), а именно пункт 5.1.1 этого регламента: "Ключевой носитель должен отвечать следующим требованиям: иметь действительный сертификат соответствия, выданный ФСБ России или ФСТЭК России;", либо если эти конторы при сертификации токена проглядели у него такие недекларируемые возможности. А вообще ситуация странная. Руководитель организации должен быть сам заинтересован, в том чтобы правом своей безграничной подписи мог распоряжаться только он, а для остальных сотрудников - ЭП физлица и МЧД с ограниченными, конкретными полномочиями, подписанная ЭП руководителя.


      1. Mur81
        00.00.0000 00:00

        Нет, именно "запросто". Дело нескольких секунд. Причём используется легитимное ПО от известного вендора, ранее находившееся в свободном доступе (сейчас уже нет). Возможно (скорее всего) не со всех моделей токенов.

        Руководитель организации должен быть сам заинтересован, в том чтобы правом своей безграничной подписи мог распоряжаться только он, а для остальных сотрудников - ЭП физлица и МЧД с ограниченными, конкретными полномочиями, подписанная ЭП руководителя.

        Здесь у руководителя имеется конфликт интересов. С одной стороны безопасность, а с другой эффективная работа бизнеса. Здесь можно долго погружаться в философию но скажу только, что есть системы которые до сих пор не умеют в МЧД. И на этом как бы всё.

        Поэтому такие костыли, как описаны в этом посте, делать все равно будут. В плане безопасности это мало чем отличается от простого копирования ключа, но зато кто-то на этом поднимет нормально денег.


        1. Kuprijan
          00.00.0000 00:00
          +1

          Ну да, попробуй отследить 100500 мчд, а ключи кто покупать будет? Сотруднику он нифига не сдался, и предприятию тоже не камильфо на физлицо эп оформлять - ушёл человек на другую работу, и эп с ним...


      1. admsergei
        00.00.0000 00:00

        В тематических тредах 1С с прошлого года ходят страшилки, как один программист размножил ключ утилитой, единовременно поток подписанных документов пошел по всем направлениям, чем привлек комплексную проверку "фнс-фсб-прокуратура".

        Одна моя компания умудрилась получить неэкспортируемый ключ от ФНС на флешке, вопрос был закрыт однострочным скриптом subst в автозапуске, криптопро прекрасно работает с эмулированными томами.

        На странице "Контура" до сих пор висит предупреждение:
        В файле подписи будут указаны только ФИО физлица. Чтобы доказать правомочность своих действий от имени компании, нужна электронная доверенность (МЧД). МЧД - новый инструмент для документооборота, который продолжают разрабатывать для широкого применения. Последние 4 слова не внушают никакого доверия.


        1. DvoiNic
          00.00.0000 00:00

          ну вот буквально позавчерашний вопрос в техночате маркировки:
          «Коллеги, кто сталкивался? При попытке входа под подпись выданной по доверенность ругается: „Пользователя не существует или пользователь не является директором“ При добавлении по инструкции в список, вроде как строчка добавляется в список, но в полях кроме ФИО — чёрточки. И при входе опять та же ошибка. Поддержка спустя две недели просто переслала тот же сертификат что я м скинул и всё, никаких комментариев.(( Попробовал добавить, проблема та же.(»©
          Хотели как лучше, а получилось как всегда©


    1. staskrukov
      00.00.0000 00:00
      +1

      Скиньте ссылочку пожалуйста, чет никак не найду


      1. Mur81
        00.00.0000 00:00
        -1

        Этот пост с Хабра убрали.


      1. Survtur
        00.00.0000 00:00

        Я вот такое нашёл в поисковике: https://dzen.ru/a/YwR_0XOhqibmZBhH



  1. GDragon
    00.00.0000 00:00
    +20

    Я возможно что то не понимаю...
    Но сделать из технологии требующей физический ключ - технологию управления доступом, это разве не костыль?
    Ведь "гибкая настройка прав доступа" это то что уже есть в любой системе, хоть с логином+паролем, хоть с сертификатом или ещё чем...
    Вы же как то даёте доступ (по какому то признаку) к ключу, так зачем все эти пляски? На этом признаке нельзя сделать доступ сразу?


    А то получается какой то сюр, "Повесили амбарный замок на дверь что бы никто не ходил, а для избранных сотрудников кладём ключ под коврик."


    1. DvoiNic
      00.00.0000 00:00
      +5

      «Технология, требующая физический ключ» по сути, навязана госорганами. Может, «из лучших побуждений», но все-таки.
      с реалиями бизнеса это соотносится очень плохо.


      1. GDragon
        00.00.0000 00:00

        Я к тому что в статье обсуждаются "ключи для доступа к внутренним ресурсам" которые сначала гуляли бесконтрольно по рукам, затем к ним начали выдавать удалённый доступ.
        И я искренне не понимаю что именно организация решает таким образом?
        Они же каким то образом идентифицируют сотрудника что бы выдать ему доступ к ключу, так зачем тогда ещё одна бесполезная прослойка в виде ключа?


        1. DvoiNic
          00.00.0000 00:00

          Организация имеет некоторые бизнес-процессы, организованные не лучшим образом. (в т.ч. и доступ к «особым ресурсам»). Но это организацию устраивает (ну, может быть, руководитель видит сотрудников насквозь. или сотрудники — это его жена, любовница и дети. Или над сотрудниками «в случае чего» висит угроза «наказания розгами»)
          Государство делает со своей стороны из лучших побуждений такие условия, что старые БП уже не работают, или работают с издержками (издержки — это не только «цена токена», это еще езда туда-сюда, получение, и т.д.). поэтому вполне реально, что кто-то с помощью такой системы «возвращает БП в привычное русло».

          «ключи для доступа к внутренним ресурсам» которые сначала гуляли бесконтрольно по рукам, затем к ним начали выдавать удалённый доступ.
          И я искренне не понимаю что именно организация решает таким образом

          «пусть безобразно, но однообразно». заодно — предотвращение физической потери, которая повлечет за собой не столько атаку или потерю доступа к ресурсу, сколько очередной геморрой.


      1. Tim_L
        00.00.0000 00:00

        Это до тех пор, как главбух не вывел n-миллионов $ и не свалил куда-нибудь в южную америку


        1. Layan
          00.00.0000 00:00

          Это кто же дает такие полномочия главбуху, что такие суммы проводятся без подписи гендира (а зачастую для таких сумм еще и одобрение владельцев нужно)?


          1. yukon39
            00.00.0000 00:00
            +5

            Так он как раз заверит платежку ЭЦП и гендира и всех остальных владельцев.


        1. DvoiNic
          00.00.0000 00:00

          вывести «n-миллионов» во-первых, надо суметь. во-вторых, есть еще такая прослойка, как банк (профиль платежей, финмониторинг, вот этто всё). в третьих, надо после этого суметь скрыться, и так, чтоб вывести деньги. Ну и кроме всего прочего, надо иметь на счету эти миллионы свободными.
          Там, где есть много свободных миллионов на счету — там есть соответсвующие процедуры, и там такую «коробочку» применять не будут.


          1. Tim_L
            00.00.0000 00:00

            Ну так чтобы такую "коробочку" не использовали, регулятор и принял такие требования. По опыту, люди, не связанные с иб, об этом даже не задумываются


      1. Gor40
        00.00.0000 00:00

        Потом кто-то обидевшись звонит в ФНСы/ЕГАИСы и говорит, что Иван Иваныч с такого по такое число отдыхал на багамах и самолично ничего не подписывал. ЭЦП скомпрометирована, что там из отчётности подписывалось - пойдёт на новую проверку?


  1. yukon39
    00.00.0000 00:00
    +26

    Впрочем, если не выходить за рамки «книжных» бизнес-процессов, то никаких копий делать не надо. Право подписи имеет один человек, поэтому токен должен находиться именно у него. Когда он уходит в отпуск или заболеет, то передаёт ключ своему заместителю.

    Неверная предпосылка ведет к неверным выводам. Когда носитель ключа уходит в отпуск или заболеет - то право подписи он делегирует своему заместителю. И заместитель подписывает документы своим ключом.

    В бумажном-то документообороте так и работало (ну почти) т.к. собственноручную подпись отдать кому-либо проблематично.

    Например. у нашей компании два владельца, обладающих практически одинаковыми правами. Плюс к этому — дистанционно работающий главный бухгалтер.

    Вот в слове "практически" наверно есть маленький ньюанс, что один владелец просто владелец, а второй генеральный директор с правом подписи. Ну а главный бухгалтер, он так-то никогда и не имел права распоряжения деньгами организации - максимум право второй (дополнительной) подписи платежек. Такая вот бумажная двухфакторная аутентификация платежей.

    Одному нужно подписать отчёт, другому — договор, третьему — зайти на ЕГАИС

    Действительно, понапридумывали всяких электронных доверенностей и т.п. бюрократий. Делаем одну общую ЭЦП "на все" и начинаем придумывать как с этим жить.

    Понятно было бы если вы написали, что вот есть все эти возможности, но в силу ряда причин ими неудобно пользоваться (что так и есть), поэтому решили выбрать вот такую схему работы.


    1. aik
      00.00.0000 00:00

      собственноручную подпись отдать кому-либо проблематично.

      Факсимиле?
      в силу ряда причин ими неудобно пользоваться (что так и есть), поэтому решили выбрать вот такую схему работы.

      Чаще всего лень и жаба. «Вот раньше прописывали всем ключ в реестре занахаляву с паролем 123 — и теперь хотим так же».


      1. ader
        00.00.0000 00:00
        +2

        Факсимиле имеет ничтожную юридическую значимость. С таким же успехом мой ребёнок может нарисовать цветочек.


    1. levkib
      00.00.0000 00:00
      +7

      Проблема в том что государство переведя всех директоров на "некопируемые" ЭЦП не создало нормально работающей схемы получения ЭЦП на работников с последующей выдачей доверенностей и доступов к нужным ресурсам. А некоторым функциям на госуслугах в принципе не предусмотрена возможность подписания кем-то кроме директора указанного в ЕГРЮЛ, работник предприятия с доступом к этой услуге может только создавать черновик документа.


      1. BDI
        00.00.0000 00:00
        +2

        ЭЦП на работников с последующей выдачей доверенностей

        Тут кроется ключевой момент — новые ЭЦП будут не на сотрудника, а на физическое лицо(со всеми вытекающими областями применения этой ЭЦП). В принципе, это уже сейчас вроде работает, но видимо не до конца — выпуск и использование «ЭЦП на сотрудника» продлено до сентября 2023(хотя ранее срок был декабрь 2022).

        И вот если ЭЦП на сотрудника ограничена действиями в пределах организации, и особого вреда от того что ЭЦП для документооборота установлены на сервере(который занимается взаимодействием между корпоративной ИС и оператором ЭДО), то у ЭЦП на физика уже слишком много полномочий, чтобы человек разумный отдал токен для втыкания в такой вот хаб. Если конечно человеку объяснили эту разницу. Тоже касается работы с ФТС — их ЭЦП и ранее были «неэкспортируемыми», но сотрудники вполне себе подменяли коллег выпускаясь под их подписями. Теперь же получается что им придётся или делиться «собственноручной подписью», либо перестраивать свою работу…

        Моё личное мнение — херню придумали, старый вариант(когда ЭЦП имела полномочия строго для того юрлица на сотрудника которой выдавалась) был более безопасен для сотрудника с подписью.


  1. Don_Koton
    00.00.0000 00:00
    +3

    Не претендую на то, что что-то понимаю, но вроде бы идея действительно в том что каждая подпись обозначает конкретного человека, она заменяет подпись ручкой. Соответственно в идее когда два человека с одинаковыми правами и бухгалтер, то должно быть три подписи каждому? Это не шутки, документ подписанный этой штукой может продать квартиру, взять кредит или дать расписку какую-нибудь


    1. KivApple
      00.00.0000 00:00

      Вроде токен юрлица и токен физлица имеют разные возможности. То есть кредит взять именно на физлицо токеном фирмы взять нельзя и наоборот.


    1. yukon39
      00.00.0000 00:00
      +4

      В бумажном-то виде это как работает? Есть устав - там написано кто имеет право действовать от имени организации без доверенности. Все остальные сотрудники и даже владельцы должны для осуществления действий предоставлять доверенность в которой написано какие именно полномочия им доверяются.

      Опять же право второй подписи на платежных документах может быть оговорено в уставе. И с такой оговоркой гендир никак не сможет провести никакой платеж "в одну каску" без подписи второго лица. Я правда, такую оговорку видел только один раз и довольно давно.


      1. Areso
        00.00.0000 00:00

        Часто банки требуют две подписи и безо всяких уставов. Главбух (либо его зам) + дирик (либо его зам).


        1. yukon39
          00.00.0000 00:00
          +2

          Это какие банки? Этот момент указывается в Уставе организации, и является инструментом ограничивающим полномочия гендира. Более того, есть положение о т.н. "крупных сделках" которые гендир не имеет права проводить единолично без письменного согласия владельцев.


          1. Areso
            00.00.0000 00:00

            https://www.buhonline.ru/forum/index?g=posts&t=268430

            По ссылке история со сбером


  1. Areso
    00.00.0000 00:00
    +8

    Во-первых, таких постов на Хабре уже было ( https://habr.com/ru/post/547880/ , https://habr.com/ru/post/445094/, к примеру); во-вторых, можете сделать фотографии с двукратным зумом? Просто иначе ну как-то совсем не заметен бренд производителя. Наконец, пишется, что заменили все ключи после "пилота", а на обоих фото и 12 ключей не набирается, так же, как и скриншотах с панели управления.


  1. avelor
    00.00.0000 00:00
    +7

    Девайсина прикольная (емнип только usb там не скоростные, под капотом линукс-сервер). Мне вот глянулось софтовое решение, usb virtual here, недорого и вкусно.

    А вот процессы - капец, как уже отметили выше. Токен - это решения для мультифакторки, который символизирует фактор обладания. Подобными решениями этот фактор убивается. Не говоря про риски - потому что да, это прям должно отпечататься в голове, в том числе у бизнеса и бэкофиса, что токены с эцп, особенно с каким-нить УКЭП - это тоже самое, что синяя печать и реальная подпись. И по-хорошему токен должен быть личный, у каждого кому нужно право подписи. Если копеечки жалко всем по токену - то хотя бы в сейф под наблюдение, ну и удалённому буху все ж выдать (и обмазать СЗИ).

    Были случаи, когда эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится, или делали общий комп с постоянно воткнутыми токенами.. компы троянились, платёжки подписывались, бабки улетали.


    1. yukon39
      00.00.0000 00:00

      У нас такое было еще в 2000-х. Целевой троян подсадили на конференции на нотник директора (чето-там копировали и т.п.) и когда воткнул флешку с ключом, ключ и пароль к нему "ушли". Выручило, что оператор в банке знала наш профиль платежей и перезвонила уточнить чего за платеж на полную сумму счета-10 руб.

      Да, сами лопухи, но для 2000-х это было довольно неожиданный вектор атаки. Ессно, когда позже подобное стало возникать у клиентов, мы уже типа на опыте выдавали рекомендации.


      1. mmMike
        00.00.0000 00:00

        2000x тысячные.. флешка(!) с ключом(!)
        какое из десятилетий 2-х тысячных то?


        1. Acidometer
          00.00.0000 00:00

          Сначала у банков были ключевые дискеты. С появлением флэш-накопителей ключи можно было скопировать с дискет, а при желании - хоть на внешний жесткий, хоть на Iomega Zip-drive


          1. mmMike
            00.00.0000 00:00

            Говорить 2000-х тысячные слишком не конкретно. Развивалось слишком стремительно. Даже в 2003 году еще нет. А в 2006 уже во всю.
            А уж просто в 2000 году.. их просто не было в России (только первые где то там демонстрации).
            вот поэтому и немного ворзмутился.


            1. Lirein
              00.00.0000 00:00
              +1

              Были. Transcend JetFlash на 32 мегабайта - самая топовая флешка того времени, в два раза здоровее "обычных" на 8 и 16 мегабайт. Потом они очень быстро перегнали Zip IoMega 100, и век "дискет" окончательно кончился.


        1. yukon39
          00.00.0000 00:00

          2006-2007 год.


      1. nitro80
        00.00.0000 00:00
        +1

        У знакомых такой случай в начале десятых: флешка от банка в сервере, удобно же.

        Ночью 2 платежа, на 900 и 600к в адрес ООО, зарегистрированного 3 дня назад.

        Оба банка слились, ничем не помогали, вроде какой-то платеж удалось остановить.


    1. aik
      00.00.0000 00:00
      +1

      Были случаи, эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится

      Почему «были»? До сих пор стандартная практика для очень многих.


    1. ruzhic
      00.00.0000 00:00
      +5

      Заметил несколько фактов:

      1) интерфейс клиентского приложения 1-в-1 как у virtualhere, отличие в шильдике

      2) издатель клиентского приложения VirtualHere Pty. Ltd.

      Видимо, "под капотом" именно по части usb over ip - решение от австралийской компании.


  1. SergeyDeryabin
    00.00.0000 00:00
    +4

    Тут, на хабре, не так давно "безопасники" рассказывали про эксперименты с "проникновением" и сколько всего можно интересного найти даже средь бела дня просто на столах. А вы им прям целый набор - вся жизнь вашей фирмы. Уверен там рядом еще на всякий случай и тетрадка с кодами от токенов же лежит?


    1. aik
      00.00.0000 00:00
      +1

      Такая железка всё же в закрытой комнате обычно ставится.
      Именно чтобы физического доступа не было.


      1. freeExec
        00.00.0000 00:00

        Да, украл так сразу всё, а не по одному по ящикам стола шариться.


        1. aik
          00.00.0000 00:00

          Кто украл? Тот, кто проник в ваш офис? А на что охрана, сигнализация и т.п.?

          Это в любом случае проще и надёжнее, чем толпа сотрудников, бегающих со своими флэшками. Особенно когда речь идёт о том, что к одному ключу должны иметь доступ несколько человек.

          Я не говорю, что это правильно, но это лучше, чем ключи у каждого в реестре или свободная передача ключа директора любому сотруднику, которому что-то вдруг понадобилось подписать.


  1. ekhaskel
    00.00.0000 00:00
    +23

    Коллеги - вот этот вот всё серьёзно? Да ещё под тегом "информационная безопасность"? Что тогда дальше? Статья "как мы поменяли полиси и разрешили заходить под эккаунтом администратора без пароля и это очень быстро и удобно и не надо запоминать пароли"? Или это просто попытка скрытой рекламы некоего устройства собственного производства?


  1. Alexsey
    00.00.0000 00:00
    +7

    Нахожу несколько странным что все упоминания этого продукта на хабре либо от аккаунтов, которые только-только зареганы, либо которые ничего кроме как про эту железку не постили. Надо бы менять тактику господа, уж слишком палитесь. (причем не знаю даже кто больше - НЛО, которое инвайты раздает таким постам, или сами разрабы железки)


    1. serafims
      00.00.0000 00:00
      +1

      продаваны железки вообще стрёмные, на тест устройство не дают, даже с договором юрлицу.


  1. vikarti
    00.00.0000 00:00
    +1

    А разве идея с токенами ИФНС была не "токен у ОДНОГО человека, на остальных делаются МЧД и МЧД + токена на физика достаточно"?
    Ну да — некоторые сервисы с МЧД сильно тормозят.


    1. dTi
      00.00.0000 00:00
      +2

      Эта идея разбилась об инструментарий Контура, который гуляет по сети. Процедура копирования обычной ЭЦП не для ЕГАИСа (Рутокен 2.0) занимает минуту от силы. И вопрос вовсе не о "набрать кредитов" или "отжать фирму", а о банальном удобстве.
      Во всей этой теме с ключами я вижу больше не заботу о безопасности, а отжатие неплохого куска бизнеса у УЦ. В нашей налоговой появился чудо-вендинговый аппарат по продаже токенов. Совсем не палевно, конечно.


    1. DvoiNic
      00.00.0000 00:00

      МЧД на каком-то из операторов ЭДО не работали до декабря прошлого года включительно.
      Документы с МЧД уходили на этого оператора по роумингу, а там они отражались как «с неудостоверенной подписью».


  1. AlexKMK
    00.00.0000 00:00
    +3

    Usbip в линуксе и его виндовом клиенте уже 20 лет в обед. Ждём запрета запроса "usb over ip opensource" в Яндексе ради процветания импортозамещения?


  1. elve
    00.00.0000 00:00
    +1

    Вы через эту штуку раздаете как некопируемые, так и копируемые ключи. Почему вы уверены, что теперь все ходы у вас записаны? Разве нельзя подключить себе на рабочее место копируемый ключ и скопировать? Эта железка такие кренделя не отслеживает, так что вы и не заметите.


  1. Tzimie
    00.00.0000 00:00

    А у нас токены надо гладить (потрогать рукой) после ввода ПИН. Как это делать удаленно?


    1. Zagrebelion
      00.00.0000 00:00
      +2

      на алиэкспрессе есть zegbee-устройства, из которых торчит небольшой штифт, позволяющее физически нажать на какую-то произвольную кнопку. Если к этому девайсу приделать сосиску, то и возможно и с "погладить" проблема решится.


      1. AlexKMK
        00.00.0000 00:00

        На hh.ru в разделе ищу работу разнорабочего таких устройств полно ???? и погладят кнопку и нажмут


  1. OneManStudio
    00.00.0000 00:00
    +9

    "Постоянно передавать токен из рук в руки — вариант очень плохой. От него мы отказались буквально через неделю. И начали искать другой метод. "
    Разогнать бы там весь ваш "ит" отдел за профнепригодность.
    Может сначала стоит разобраться как это делается правильно и почитать законодательство и нормативку по использованию ЭЦП да и вообще что это и зачем? А не тратить деньги на костыли и еще учить остальных как делать не правильно?

    Ключ уже на законодательном уровне сделали не экспортируемым, потому что рукожопы уже десятилетия используют его не так как надо и все равно находятся подобные умники... Как говорят эту страну не победить.


  1. HappyGroundhog
    00.00.0000 00:00
    +5

    Заметьте, как профессионально сделаны фото и скриншоты, на них на всех четко видно название железяки. Статья очень смахивает на рекламу, еще одну такую про сотрудника за границей, которому ну никак без ключей, уже читал на Хабре. С точки зрения ИБ это шаг в бездну...


    1. Exchan-ge
      00.00.0000 00:00

      на них на всех четко видно название железяки.


      Да, это первое, на что я неумышленно обратил внимание :)


  1. saipr
    00.00.0000 00:00

    руководство нашей компании приняло решение получить ЭЦП в ИФНС. При помощи этой подписи можно подавать налоговую отчетность, отправлять документацию в госорганы, принимать госзаказы, работать с ЕГАИС и проч.

    Так и гуляет это выражение "получить ЭЦП в ИФНС" или в УЦ. Но ведь ваше руководство приняло решение ПОДПИСЫВАТЬ налоговую отчётность, отправлять документы в госорганы с электронной подписью. Для это необходимо получить СЕРТИФИКАТ в ИФНС/УЦ на токене и, возможно закрытый ключ (лучше делать самому). А вот с помощью полученного сертификата и закрытого ключа и соответствующего программного обеспечения руководство или кто-то другой будет ставить электронные подписи под документами!


    Насчёт "передать токен", очень точно сказал OneManStudio


  1. SkyFly2006
    00.00.0000 00:00

    А для чего такие сложности? Сделайте ключ на учредителя, на бухгалтера и на ответственного по ЕГАИСу, раздайте доверенности и пусть каждый работает со своим ключом. Как минимум по закону даже заместителю нельзя передавать ключ руководителя. Или так хочется попытаться "обойти" систему? ????


  1. DBarskiy
    00.00.0000 00:00

    Ой .. а мы идиоты ... копий наклепали зачем-то ... а надо было вот так бюджет пилить.


  1. aborouhin
    00.00.0000 00:00
    +1

    Оставляя за скобками обсуждение безопасности такой схемы в целом (ибо если говорить не про ЭДО, а про гос. порталы, МЧД не работают примерно нигде, так что был бы выбор...) - предлагаемое решение не решает ещё одну проблему. А именно ту, что использование ЭЦП на компьютере каждого пользователя требует установки на этот компьютер как минимум кучки гос. и окологос. сертификатов в качестве доверенных, плагинов / расширений к браузерам и т.п. И тянуть это на рабочие места, с которых есть доступ к внутренним ресурсам и осуществляется работа с конфиденциальными данными (при этом пользователь не настолько квалифицирован, чтобы "отделять мухи от котлет" самостоятельно), - крайне плохая идея. В этом плане гораздо проще все ЭЦП завести на одну машину и для подписания / подачи документов пускать тех, кому надо, на неё по RDP. Те же вопросы по обеспечению безопасности всего этого хозяйства, но минус ещё одна головная боль.


  1. GaryKomarov
    00.00.0000 00:00

    Скажите зачем этот рекламный пост маршрутизатора "технологии USB over IP"?
    Получается профанация идеи ЭП!

    Вместо того чтобы каждому сотруднику оформить свою собственную личную ЭП!

    И использовать их вместе с электронными доверенностями подписанными первой ЭП (которая будет храниться в сейфе).

    Вы по сути создали дыру в безопасности и похерили основы...

    Я понимаю когда usb ключи защиты типа HASP пробрасывают на виртуалки чтобы избежать их эмуляции, которая не очень законна.
    Но пробрасывать подобным образом ЭП это изврат.


    1. aborouhin
      00.00.0000 00:00
      +1

      Вот все про "электронные доверенности" aka МЧД пишут... а куда эти МЧД, простите, засунуть, если ЭЦП нужны для судов (КАД, ГАС), ЕФРСБ, ЕФРСДЮЛ, Росреестра, Росстата, обязательных публикаций в Коммерсанте? Они же, насколько я понимаю, пока работают только для ФНС и для операторов ЭДО. Ну может какие-то ЭТП уже внедрили, давно не смотрел.

      Плюс сотрудники, если основываться на статистике утери пропусков и ключей от офиса :), свои токены точно потеряют в самый неподходящий момент, так что как-то копировать всё равно надо. Плюс тянуть на компьютеры сотрудников доверенные сертификаты и плагины, которые нужны для работы с гос. порталами, идея так себе...

      Вот и извращается каждый как может. Вариант автора поста мне не нравится, но идеальный вариант, который предполагается авторами закона, тоже не очень работоспособен.


  1. fixin
    00.00.0000 00:00

    Хорошая альтернатива копированию ключей. Спасибо.


  1. aol985
    00.00.0000 00:00
    +1

    то есть не просто наплодили хаос, но и подписались под уголовку половиной конторы. Хороший, годный подход!


  1. Neitr
    00.00.0000 00:00
    +1

    А это не работает у вас? Кажется уже везде внедрили и работает "удаленное подписание"
    https://sbis.ru/help/ep/additionally/coding/remote_use


  1. BillTheGalacticHero
    00.00.0000 00:00
    +1

    А почему никто не пишет, что на клиентская часть этого устройства монополизирует доступ к ключу только для одной учетной записи локальной или доменной. Если один сотрудник со своей учеткой работает с ключом, другим сотрудникам ключи не доступны.


    1. DvoiNic
      00.00.0000 00:00

      это и хорошо.


    1. Alexsey
      00.00.0000 00:00

      Не совсем понимаю как предполагается решать эту проблему иначе если по факту эта штука наверняка просто прокидывает USB протокол по сети прозрачно для устройства и системы. Тут возможен только монопольный режим, любые другие решения потребуют неиллюзорных костылей под каждый тип устройства (если не под каждую конкретную модель с отдельными девайсами).


  1. serafims
    00.00.0000 00:00

    Кстати, а никто не знает ли способа подключить к одному ПК одновременно условно 20 мышек/клавиатур/сенсорных экранов, но при этом чтобы реально работало только одно устройство в момент времени, а остальные при этом "висели" в винде устройствами, но данные с них не шли бы? Пока видится вариант как-то через командную строку включать выключать конкретное устройство, но не знаю как, если они имеют одинаковые vid pid и вообще..


  1. Exchan-ge
    00.00.0000 00:00
    +1

    Итак, было принято решение полностью отказаться от выдачи токенов на руки и постепенно переходить на дистанционную модель.


    Ничего нового под Луной:

    «Работа шла без задержки. Резина отлично заменила человека. Резиновый Полыхаев нисколько не уступал Полыхаеву живому. (с) ЗТ

    Основное достоинство новой парадигмы — полный контроль за использованием ключей.


    »Серну Михайловну со всех сторон осадили сотрудники. Все они держали в руках большие и малые бумаги. Прождав еще час, в продолжении которого гул за дверью не затихал, Серна Михайловна уселась за свой стол и кротко сказала:

    — Хорошо, товарищи. Подходите с вашими бумагами.

    Она извлекла из шкафа длинную деревянную стоечку, на которой покачивалось тридцать шесть штемпелей с толстенькими лаковыми головками, и, проворно вынимая из гнезд нужные печати, принялась оттискивать их на бумагах, не терпящих отлагательства" (с)


  1. NotSecure
    00.00.0000 00:00

    По-хорошему, обезличенные ключи от ФНС (https://www.nalog.gov.ru/rn77/related_activities/ucfns/anonymized_certificate/) должны быть экспортируемыми для установки на серверы без танцев с бубном.
    А вот именными ключами должны пользоваться только их владельцы и ответственности тоже должны нести только они.