За семью замками - настраиваем максимальную безопасность для использования МКДО в организации

Введение

Когда дело доходит до электронных подписей, начинают возникать вопросы касательно безопасности. А когда появляются требования установки закрытого ключа электронной подписи на сервер - начинает беспокоиться служба безопасности организации, что сильно влияет на дальнейшее развитие продукта с такими требованиями в организации.

Цель этой статьи рассказать, как максимально обезопасить закрытый ключ от компрометации, что делать, если он был скомпрометирован, и как избежать весомых последствий.

Технические требования и рекомендации

Первым делом необходимо понять, что от нас требуется для организации МКДО и какие есть рекомендации. Все требования и рекомендации перечислим ниже:

1. Сервер для DISI с доступом в Интернет;
2. Локальная усиленная квалифицированная электронная подпись (обычно от КриптоПро/CryptoPro), соответствующая федеральному закону РФ №63 "Об электронной подписи";
3. Зарегистрированная организация на сервисе обмена документами (Диадок, Synerdocs или др.), с которыми сейчас есть коннекторы у системы DIRECTUM. Причём у этой организации для отправки документов контрагентам уже должен быть оплачен тариф на обмен, а также желательно уже настроена структура подразделений и заведены все необходимые сотрудники. Если предполагается только приём документов (без отправки), приобретать что-то на сервисе нет необходимости, хватит только регистрации и настройки.
4. Система DIRECTUM. В зависимости от требований к возможностям обмена есть рекомендации по версиям системы:
   • До 5.4 - обмен только неформализованными документами. На данный момент работа МКДО на версиях ниже 5.4 нестабильна, поэтому рекомендуется обновить систему до более новых версий.
   • 5.4 - реализован только приём формализованных документов, отправка невозможна (обмен неформализованными документами возможен).
   • 5.4.1 - обмен формализованными и неформализованными документами.
   • 5.4.3 - обмен с контрагентами в роуминге (в версиях ниже не поддерживается, могут возникнуть конфликты);
   • 5.5 - удобная работа с формализованными документами в модуле "Финансовый архив" (в виде модуля, а не технического решения);
   • 5.5.1 - красивые и информативные штампы на печатных формах документов;
   • 5.6 - удобная настройка модуля "Финансовый архив", удобное массовое подписывание и выдача полномочий, повышенная стабильность работы.
5. Если планируется использование любой другой системы обмена кроме Synerdocs - купленная лицензия коннектора к этой СОД (из списка поддерживаемых) и установленный дистрибутив данного коннектора.
6. Закрытый ключ электронной подписи должен быть установлен на сервере с установленной службой DISI для автоматического подписания служебных документов.

Обычно вопросы возникают как раз в последнем шестом пункте. Но об этом ниже.

К содержанию

Варианты компрометации закрытого ключа

Итак, мы установили службу DISI и начинаем обмениваться с контрагентами финансовыми документами. Сама по себе электронная подпись обеспечивает очень хорошую защиту от незаконных действий, так что влезть без следов в уже установленную подпись практически невозможно. А тем более сделать так, чтобы проверка на сервисе обмена не выявила подмены - и вовсе задача невыполнимая. Чего же нам бояться в таком случае?

Вспомним общую схему взаимодействия: Человек -> ЭЦП -> Сервер -> Сервис. Начнём рассматривать точки внедрения нашего воображаемого шпиона в каждое звено этой цепи.

• Атака на сам сервис практически бесполезна, так как там существует много ступеней защиты. Не зря сервис обмена документами обеспечивает юридическую значимость передаваемых через себя документов. Вариант отпадает.
• На стыке отправки электронного документа в сервис наш шпион тоже не сможет вмешаться, всё же защищённые протоколы https порой творят чудеса.
• В саму ЭЦП, как мы выяснили выше, вмешаться тоже невозможно бесследно.
• Сразу скажу, что воздействие на человека мы не рассматриваем, ведь мы полностью доверяем ответственному за ЭЦП, на которого она была выписана.
• Остаётся только атака на сервер для получения образца закрытой подписи. Это самый простой и, пожалуй, логичный вариант компрометации закрытого ключа.

Таким образом мы вычислили, где наш, напомню, воображаемый шпион может расставить свои сети и нанести удар по конфиденциальности закрытого ключа. Теперь же приступим к строительству нашей супер-защищённой цифровой крепости.

К содержанию

Цифровая крепость

В данном разделе мы начнём с самых первичных мер противодействия компрометации закрытого ключа с сервера и закончим наиболее защищёнными вариантами, требующими значительного усложнения работы. Какой уровень защиты устанавливать для себя - выбирать только вам. Но помните, что чем сильнее ваша защита, тем она менее удобна в использовании.

Уровень первый.

Кратко: настраиваем список пользователей имеющих право удалённого подключения к серверу.

Подробно:

Первый способ защитить сервер от попыток туда проникнуть и что-то украсть - это в принципе не давать возможности для подключения сторонних пользователей. Или же выдать доступ только для определённых пользователей (например, владельца закрытого ключа). Сделать это можно, поменяв параметры удалённого доступа к серверу в настройках системы Windows.

Например, можно настроить как на скриншоте:

После этого доступ будет предоставлен только пользователям, которые здесь указаны. Либо же в этой же настройке полностью запретить удалённое подключение к серверу.

Уровень второй.

Кратко: выделяем локального админа и доменного пользователя для выделенного сервера DISI.

Подробно:

Доверие в организации всегда находится на уровне того, насколько мы доверяем своим администраторам. Администраторы выступают глобальными регуляторами процессов в организации, которые имеют доступ к практически любой информации (а при нужных действиях - ко всей информации, если это специально не ограничить).

Но обычно в организациях есть некий домен, где можно очень подробно настроить возможные права для пользователей. А ещё машина "в домене" имеет свойство давать любому пользователю заходить на неё под своим уникальным в сети пользователем, даже если его отдельно в системе не завести. Используя эти две возможности, мы можем выстроить ещё одну "линию обороны".

Идея проста - на каждой машине могут быть как локальные администраторы, которые могут об этой машине заботиться, так и доменные, которые имеют права вообще ко всему, в том числе, к примеру, доступ к смене паролей доменных пользователей. И если доменный администратор в этом смысле "божество", то локальный администратор - это некий "локальный бог конкретной машины". И менять пароли он может только у локальных пользователей. На этом и строится этот способ защиты.

Для администрирования службы DISI на этом сервере мы создаём локального администратора. Он будет обслуживать службу, перезапускать её, анализировать логи и так далее. Сама служба будет работать от доменного пользователя, который зайдёт на этот компьютер и внесёт свой закрытый ключ в Личное хранилище реестра сертификатов.

Что это нам даёт?

• У нас всегда есть локальный администратор, который администрирует и следит за службой DISI, но фактически может отличаться от доменного администратора;
• У локального администратора нет привилегий менять пароль пользователя домена, а значит физически нет возможности получить доступ к его профилю.

К содержанию

Юридическая сторона вопроса

Если посмотреть на всю ситуацию с юридической стороны, то мы придём к выводу, что компрометация закрытого ключа - это тоже самое, что потеря банковской карты. То есть это нечто, что может представлять вас и ваши интересы, что-то, чем вы можете подтвердить своё согласие с поставленными условиями.

Защититься от последствий компрометации можно с этой стороны. Первым делом рассмотрим, что нужно сделать перед началом работы с ЭП, чтобы снизить риск наступления нежелательной ситуации:

• Оформить приказ о назначении ответственного за подпись первичных документов и служебных документов. В связи с этим удобно использовать следующую схему:
  • На сервисе обмена регистрируются 2 профиля - Директора и Секретаря;
  • Подписью Директора могут быть подписаны все финансовые документы и договора;
  • Подписью Секретаря могут быть подписаны только служебные документы;
  • Служба DISI работает из под профиля Секретаря, на сервис отправляется финальная подпись на документах от Директора.
• Этот приказ должен быть заверен юридическим отделом.

Эти действия могут помочь в дальнейших разбирательствах, если будут незаконно подписаны какие-либо договора, соглашения или финансовые документы.

Также обязательно знать, что нужно делать, когда стало известно об компрометации закрытого ключа:

1. Сообщить удостоверяющему центру, который выпустил закрытый ключ, о его компрометации с просьбой его отзыва и перевыпуска;
2. Заменить скомпрометированный ключ на новый во всех местах, где он ранее использовался (у пользователя, на сервере DISI, на сервисе обмена);
3. Проверить документы, подписанные данным закрытым ключом с момента предполагаемой компрометации. Если такие документы есть - запустить процесс их аннулирования текущих документов и запрос новых для правильного согласования и подписания.

Если после всех этих действий появятся вопросы от контрагентов или ФНС, вам необходимо будет предоставить:

• Информацию об отправленном запросе на перевыпуск закрытого ключа;
• Сведения о факте подписания этим закрытым ключом ключевого документа, по которому возникли вопросы (например, скриншот о установленных подписях на документе в программе OverDoc);
• Приказ, в котором подписанный вид документа не входит в перечень тех, которые разрешено подписывать этим закрытым ключом.

Таким образом при утечке информации у вас будет возможность быстро вернуть контроль над ситуацией.

К содержанию

Краткие выводы

Если подводить итоги статьи, то будет правильным первым делом сказать следующее: размещение закрытого ключа на сервере - это далеко не всегда небезопасно. А вот основная уязвимость любой информационной системы в первую очередь - это пользователь. Тем более пользователь с широким кругом прав и возможностей.

Поэтому к данному вопросу нужно подходить не только с технической стороны, но и юридической. Рассматривать обеспечение безопасности нужно с учётом обоих сторон, достигая баланса между уровнем безопасности и удобством.

В комментариях же вы можете поделиться своим опытом и мнением на этот счёт. А ещё разными уловками и программами для защиты закрытых ключей, которыми вы сами пользуетесь и готовы порекомендовать другим.

К содержанию