Минфин — про укэп на документах. ничего нового

У ФНС будут новые полномочия. Это коснется всех компаний и ИП

Госдума сегодня приняла в первом чтении поправки в закон «Об электронной подписи». Этот проект касается всех организаций и ИП, поскольку изменятся правила выдачи электронных подписей.

Поправки предусматривают, что юридические лица и индивидуальные предприниматели смогут получать усиленную квалифицированную электронную подпись только в Федеральной налоговой службе, а финансовые организации — в ЦБ РФ. Аккредитованные Минкомсвязью удостоверяющие центры (УЦ), которые выдают КЭП сейчас, смогут выдавать такие подписи только физическим лицам.

При этом требования к УЦ сильно изменятся: собственный капитал должен быть увеличен с 7 млн до 500 млн — 1 млрд, размер страховой ответственности увеличивается с 30 млн до 300-500 млн рублей, срок аккредитации сокращается с 5 лет до 3 лет.

Законопроект уже вызвал острую критику как бизнеса, так и представителей власти (администрации Президента и ФСБ). Основные претензии сводятся к тому, что изменения приведут к закрытию подавляющего большинства коммерческих УЦ, потребуют значительных затрат из бюджета на расширение и поддержание мощностей УЦ ФНС, а также к концентрации всех типов рисков на единственной инфраструктуре, что станет удобной мишенью для кибератак.

Еще одна поправка, против которой выступает в том числе и Сбербанк — обязанность подписывать документы компаний не одной, а двумя усиленными квалифицированными подписями одновременно. Руководитель организации должен будет ставить на документе подпись юридического лица и личную цифровую подпись как физического лица. Это повлечет затраты на модернизацию информационных систем организаций, чтобы они могли одновременно проверять несколько электронных подписей на одном документе. Кроме того, появляется риск нарушения личных прав граждан, так как их персональные данные могут быть скомпрометированы из-за обязанности использовать личные электронные подписи для служебных целей.

Принятие законопроекта в том виде, в котором он существует сейчас, может привести к полному коллапсу в бизнесе. Впрочем, авторы документа и его сторонники пытаются убедить всех в том, что он необходим для защиты самих предпринимателей.

КЭП вместо ЭЦП: как повлияет новый приказ Минфина на использование электронной подписи с 1 апреля 2016 года

С 1 апреля 2016 года меняется порядок обмена электронными счетами-фактурами. Минфин своим приказом устранил противоречия в нормативных документах, изъяв из оборота устаревшую терминологию. Ранее в законодательстве фигурировала «электронная цифровая подпись», но организации подписывали и подписывают электронные счета-фактуры усиленной квалифицированной электронной подписью (КЭП). В новом приказе чётко сказано, что ЭСФ подписываются только КЭП.

Руководитель удостоверяющего центра Edisoft Елена Ткаченко поясняет, как эти поправки повлияют на тех, кто работает с электронными счетами-фактурами:

Для тех, кто использует электронную подпись при подписании счетов-фактур, ничего не изменится. Ещё в 2012 году были внесены поправки в Налоговый кодекс РФ (п. 6 ст. 169) о том, что счёт-фактура, составленный в электронной форме, подписывается усиленной квалифицированной электронной подписью.

Усиленная квалифицированная электронная подпись подтверждается сертификатом от аккредитованного удостоверяющего центра и во всех случаях приравнивается к бумажному документу с «живой» подписью. Такая подпись позволяет определить лицо, подписавшее электронный документ, и понять – вносились ли в документ изменения после подписания.

По закону, усиленную квалифицированную электронную подпись можно получить только в аккредитованном удостоверяющем центре.

Вместе с КЭП выдаётся квалифицированный сертификат ключа проверки электронной подписи.

Читать еще:  Увольнение беременной женщины - когда и почему?

В целом, использование усиленной КЭП несомненно более безопасно даже в случаях, не связанных с необходимостью подписывать электронные счета-фактуры.

Минфин рассказал о применении электронной подписи в первичных документах

Минфин выпустил письмо, разъясняющее, в каких случаях можно применять простую электронную подпись при составлении первичных документов.

В Минфине напоминают, что согласно Федеральному закону от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» каждый факт хозяйственной деятельности предпринимателя должен быть подтверждён первичными документами. Они составляются либо на бумажном носителе, либо в виде электронного документа, либо одновременно в двух форматах.

Если первичный документ составляется в электронном варианте, он обязательно должен быть подписан электронной подписью. Виды таких подписей регламентируются федеральными стандартами бухгалтерского учета. Однако до тех пор, пока соответствующий федеральный стандарт не утверждён, организации имеют право пользоваться теми электронными подписями, которые предусмотрены иными нормативными актами, в частности Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».

Еще одно требование закона – направлять в налоговые органы отчеты в электронном формате. Это требование распространяется на налогоплательщиков у которых численность сотрудников превышает 25 человек, при сдаче отчетности по НДФЛ. В случае с декларациями по НДС передавать информацию обязательно через телекоммуникационные каналы связи при любой численности работников. Остальная отчетность в ФНС в электронном варианте предоставляется при наличии 100 и более работников (например, декларации по спецрежимам, земельному и транспортному налогам). При этом в каждом из перечисленных случаев документы необходимо подписывать электронной подписью.

Согласно закону № 63-ФЗ, существует два типа электронных подписей – простая электронная подпись и усиленная электронная подпись. При этом различаются усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись. Тип подписи зависит от способа получения и наличия определенных степеней защиты. Любую из таких подписей можно получить в удостоверяющем центре, аккредитованном в Министерстве связи и массовых коммуникаций. Перечень таких центров содержится на сайте ведомства.

Чиновники считают, что закон разрешает подписывать первичные документы простой или усиленной неквалифицированной электронной подписью. При этом документ или отчет в ФНС (иные органы контроля) в электронном виде, подписанный электронной подписью, приобретает юридический статус, т.е. имеет такую же юридическую силу, как и бумажный документ с собственноручной подписью.

Отметим, что согласно статье 169 НК РФ электронный счет-фактура, который также является первичным документом, обязательно должен быть подписан усиленной квалифицированной электронной подписью руководителя организации, индивидуального предпринимателя или иных уполномоченных лиц. В противном случае этот документ будет считаться недействительной.

Минфин: первичные документы, подписанные простой или усиленной неквалифицированной электронной подписью, могут подтверждать расходы

Юридические лица могут организовать между собой электронный документооборот, подписывая первичные учетные документы простой и (или) усиленной неквалифицированной электронной подписью. Такие документы будут подтверждать расходы в целях налогообложения прибыли. Об этом сообщили специалисты Минфина России в письме от 12.09.17 № 03-03-06/1/58456.

Как известно, первичные учетные документы могут быть составлены как на бумаге, так и в электронном виде. Об этом сказано в пункте 5 статьи 9 Федерального закона от 06.12.11 № 402-ФЗ «О бухгалтерском учете». Виды электронных подписей, которые можно использовать для подписания документов бухгалтерского учета, устанавливаются федеральными стандартами бухгалтерского учета (ст. 21 закона № 402-ФЗ). По мнению Минфина, до принятия соответствующего федерального стандарта бухгалтерского учета, при оформлении первичных учетных документов в электронном виде можно использовать любой вид электронной подписи, в том числе простую и (или) усиленную неквалифицированную электронную подпись.

Читать еще:  По неудержанному налогу сдали 2-ндфл с признаком «2», но не сдали с признаком «1». штраф законен?

При этом недавно Минфин разъяснял, что организовать документооборот с использованием простой электронной подписи возможно только в том случае, когда организация заключила со своими контрагентами соглашения об организации документооборота с использованием простой ЭП (см. «Минфин напомнил, при каком условии документы, подписанные простой электронной подписью, могут подтверждать расходы»).

Обратите внимание: счета-фактуры не относятся к первичным учетным документам и не могут быть подписаны простой электронной подписью. Юридически значимые счета-фактуры следует подписывать усиленной квалифицированной электронной подписью и передавать только через оператора электронного документооборота, который фиксирует время отправки документов. Чтобы начать обмениваться с контрагентами юридически значимыми счетами-фактурами, накладными, УПД и прочими документами через систему «Контур.Диадок», достаточно иметь электронную подпись для налоговой отчетности. Получать документы от контрагентов можно бесплатно всегда. А в рамках акции «Безлимит на 2 месяца» в течение двух месяцев можно бесплатно отправить контрагентам любое количество документов.

Участвуйте в акции «Безлимит на 2 месяца»

Об обмене электронными документами также см.:

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью

На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов, сами того не подозревая, майнят в наших браузерах криптовалюту, мы решили покуситься на святая святых и взломать документы, подписанные усиленной квалифицированной электронной подписью. И вот что из этого вышло.

Сценарий с документом DWG, вектор атаки — внешние ссылки

Здесь и далее предполагается, что в системе уже установлен сертификат квалифицированной электронной подписи:

Создаём документ HVAC.dwg, который ссылается на файл nothing.dwg, расположенный на шаре в локальной сети предприятия. Файл nothing.dwg содержит выноски на оборудование Поставщика А;

Отправляем HVAC.dwg на согласование ответственному лицу;

С помощью программы «Autodesk→AutoCAD→Добавление цифровых подписей» ответственное лицо подписывает HVAC.dwg. Теперь это электронный подлинник:

Нужно заменить оборудование Поставщика А на оборудование Поставщика Б изменением nothing.dwg, расположенного на сетевом ресурсе;

Отдел снабжения получает электронный подлинник HVAC.dwg, руководитель отдела проверяет целостность электронной подписи, она не нарушена, а AutoCAD развеивает последнюю тень сомнения успокаивающей надписью «Чертеж не изменился с момента подписания», поэтому вместо Поставщика А заказ на оборудование уходит к Поставщику Б

Сценарий с документом DOC/DOCX, вектор атаки — шрифт

В этот раз будем использовать наиболее продвинутый комплекс защиты информации КриптоПро CSP 4.0, соответствующий стандарту ГОСТ Р 34.10-2012:

Создаём приказ о премировании сотрудников prikaz.docx. Основной текст набираем шрифтом Arial. Для размера премии используем похожий шрифт, например, бесплатный Noto Sans Regular от Google. Вводим согласованный с директором размер премии 150 000 руб.;

Устанавливаем шрифт Noto Sans Regular на компьютер директору и бухгалтеру (понадобятся права администратора);

Отправляем приказ на подпись директору;

Директор подписывает prikaz.docx усиленной квалифицированной ЭП с помощью КриптоПро Office Signature 2.0. Получаем электронный подлинник:

С помощью бесплатной программы FontForge модифицируем файл шрифта NotoSans-Regular.ttf, заменив векторное изображение глифа 1 на изображение глифа 2

Модифицированный NotoSans-Regular.ttf файл заменяем на компьютере бухгалтера [и ждём премию];

Получив подписанный директором подлинник приказа, бухгалтер открывает его и видит действительную подпись. Но размер премии увеличился со 150 000 руб. до 250 000 руб. Здесь важно знать меру, можно было заменить 1 на 9, но это будет слишком заметно.

Читать еще:  Чья зарплата может быть меньше мрот, рассказал минтруд

Это эффективные, но не единственные способы атаки. Есть еще макросы, вычисляемые значения полей, стили. Не защитит от них ни использование системы управления данными (PDM), ни откреплённые подписи, ни применение специализированных криптографических комплексов типа КриптоПро CSP.

Как же обеспечить защиту от такого рода атак? Самый эффективный способ — публиковать документы в нередактируемый формат или формат фиксированной разметки. Эти форматы нацелены на сохранение первоначального вида документа на любом устройстве, в любой точке мира. Вот наиболее распространённые представители форматов фиксированной разметки:

PDF (Portable Document Format) — разработан компанией Adobe. Стандарт ISO 32000;

XPS (XML Paper Specification) — разработан компанией Microsoft. Стандарт ECMA-388;

DWFx — разработан компанией Autodesk. Основан на XPS.

Но и здесь не всё так однозначно. Попробуем провести атаку через шрифт на подписанный PDF-документ:

Документ prikaz.docx опубликуем в PDF, например, с помощью виртуального принтера PDF-XChange. Полученный файл prikaz.pdf отправляем на подпись директору;

Директор открывает документ prikaz.pdf в программе Adobe Acrobat Reader DC;

Подписывает командой «Поставить цифровую подпись» в разделе «Сертификаты».

Подписанный PDF отправляется бухгалтеру.

Так же как и в сценарии с форматом DOCX устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

Получив подписанный prikaz.pdf, бухгалтер открывает его в Adobe Reader и видит размер премии 250 000 руб., целостность подписи при этом не нарушена

Для PDF удалось реализовать данный вид атаки потому, что этот формат допускает использование шрифтов по ссылке, поэтому он не подходит для создания подлинников.Существует стандарт PDF/A (подмножество PDF), который обеспечивает необходимую защиту. Поэтому перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов.

Форматы DWFx и XPS не подвержены такого рода атакам, так как на уровне стандарта ECMA-388 регламентируется хранение ресурсов внутри содержательной части документов (F.3.1 M2.6). Но DWFx не подходит для создания многостраничных текстовых документов, поэтому наиболее универсальным вариантом является XPS.

Попробуем по аналогии с PDF провести атаку через шрифт на подписанный XPS-документ:

Документ prikaz.docx опубликуем в XPS с помощью встроенного в Windows виртуального принтера Microsoft XPS Document Writer. Полученный файл prikaz.xps отправляем на подпись директору;

Директор открывает документ prikaz.xps в программе Pilot-ICE или в Pilot-XPS. Подписывает командой «Подписать» через КриптоПро CSP;

Подписанный XPS отправляется бухгалтеру.

Устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

Получив подписанный prikaz.xps, бухгалтер открывает его в Pilot-ICE, проверяет целостность ЭП и видит тот же размер премии, который был на момент подписания документа — 150 000 руб. Атака на XPS не удалась.

Усиленная квалифицированная электронная подпись по прежнему является надёжной технологией для обнаружения факта внесения изменений в документ. Но следует комплексно оценивать эффективность её применения. Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы. Более защищенными и универсальными для создания подлинников являются форматы PDF/А и XPS, так как они содержат всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.

Ссылка на основную публикацию
Adblock
detector