Чи можливо вважати електронний ключ (підпис) скомпрометованим, якщо пароль для ключа передається електронному пристрою для автоматичного підпису документів?

Це питання лежить на межі технічної зручності та юридичної безпеки. Якщо коротко: так, з точки зору чинного законодавства та кібербезпеки, це можна вважати компрометацією ключа.

Ось чому це ризиковано і як це трактується:
1. Юридичний аспект: «Особисте використання»
Закон України від № 2155-VIII від 05.10.2017. «Про електронну ідентифікацію та електронні довірчі послуги».
Законом обумовлена робота з електронними ключами. В Законі вказано, що власник ключа (підписувач) зобов’язаний забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа.
1. Передача пароля пристрою: Як тільки ви вводите пароль у сторонню програму або скрипт для автоматизації (автоматичного підпису), ви втрачаєте одноосібний контроль над ним.
2. Відповідальність: Якщо пристрій підпише документ, який ви не бачили (через помилку або злам), ви не зможете в суді довести, що це зробили "не ви". Юридично підпис, накладений за допомогою вашого ключа і пароля, вважається вашим особистим підписом і прирівнюється до вашого власноручного підпису на папері.
2. Технічні ризики (чому це небезпечно)
Передача пароля автоматизованій системі створює кілька вразливостей:
1. Зберігання пароля: Де пристрій зберігає цей пароль? Якщо в коді скрипту, у файлі конфігурації або в базі даних, то будь-який розробник або зловмисник, що отримав доступ до системи, може отримати ваш підпис.
2. Логи та перехоплення: Пароль може потрапити в логи сервера або бути перехопленим під час передачі всередині системи.
3. Відсутність волевиявлення: Суть підпису - це підтвердження волі людини. Автоматизація перетворює підпис на технічний процес, де людина не контролює зміст того, що підписується.
Якщо ваш пароль вже збережений у пам’яті якогось "несертифікованого" пристрою або скрипта:
1. Вважайте цей ключ скомпрометованим.
2. Змініть пароль або краще відкличте сертифікат і отримайте новий.
Щоб зрозуміти, чи можна довіряти програмі, пройдіть через цей "чек-лист безпеки":

1. Перевірте тип інтеграції (найважливіше)

Програми можуть взаємодіяти з вашим підписом двома способами:
1. Безпечний (локальний): Програма не "бачить" ваш пароль. Вона викликає спеціальний захищений модуль (наприклад, веб-віджет АЦСК або системну бібліотеку), ви вводите пароль у вікні, яке не належить програмі і вона отримує лише готовий "результат" підпису.
2. Небезпечний (передача вводу): Програма має власні поля для введення пароля і вимагає завантажити файл ключа (.jks, .zs2, .pfx) на свій сервер. Це величезний ризик, бо розробник технічно може зберегти ваш пароль і ключ.

2. Юридичний статус розробника
   Перш ніж вводити дані, з’ясуйте, хто створив софт, наприклад, офіційні банківські додатки: Приват24, ОщадPAY тощо. Вони проходять жорсткий аудит безпеки НБУ. Для державних систем та серйозних фінансових інструментів в Україні обов’язковою є сертифікація ДССЗЗІ (Держспецзв’язку).
   3. Наявність сертифіката КСЗІ
   Щодо програмних РРО:
   Приватні структури, софт яких працює з документами, які обробляють приватні данні або інформацію з обмеженим доступом, в обов’язковому порядку повинні проходити «Комплексну систему захисту інформації» (Закон України № 80/94-ВР «Про захист інформації в інформаційно-комунікаційних системах»). Якщо розробник заявляє, що його ПРРО або система документообігу має Атестат відповідності КСЗІ, це означає, що держава перевірила, як програма поводиться з вашими даними та підтвердила її безпечність.
   Програмний РРО обробляє податкову інформацію, яка включає в себе, як персональні данні, так і фінансову інформацію, самостійно підписує розрахункові документи та направляє їх до органів ДПС, а це означає що програмні РРО в обов’язковому порядку повинні мати Атестат відповідності КСЗІ.
   На сьогоднішній день жоден розробник ПРРО не заявив що його програма пройшла Атестацію відповідності КСЗІ.
   Приклад, як це повинно виглядати, можливо подивитися за посиланням: https://www.eset.com/ua/about/why-eset/experts/?srsltid=AfmBOopULVzwHwvGRLjmcGDXVmwEpUArkG9hh90qjNmCUBmKcLFmI7fP
   4. Технічні ознаки "підступ"
   Уникайте софту, який:
   1. Просить надіслати файл ключа та пароль у чат підтримки або на пошту.
   2. Зберігає пароль "для зручності", щоб не вводити його наступного разу (якщо це не хмарний підпис типу SmartID, наприклад, для автоматичного підпису розрахункових документів та звітів).
   3. Працює через HTTP (без літери S), тобто з’єднання не зашифроване.
   Як зробити це максимально безпечно?
   Якщо вам потрібно автоматизувати роботу (наприклад, ПРРО в магазині), найкращий шлях - розподіл ролей:
   1. Не використовуйте основний ключ директора/ФОП у щоденних програмах.
   2. Отримайте окремий ключ "Електронна печатка" для ПРРО або ключ на найнятого касира.
   3. Навіть, якщо цей ключ буде скомпрометовано через програму, зловмисники не зможуть з його допомогою, наприклад, переоформити ваше майно або подати змінену податкову декларацію чи мати доступ до вашого банківського рахунку.
   Порада: Якщо у вас виникають сумніви, найкраще використовувати хмарні ключі (SmartID від Привату, ДІЯ-підпис). У такому разі ви підтверджуєте кожен підпис у своєму смартфоні самостійно.
   Висновок, чому наявність КСЗІ - це важливо для вас?
   Коли ви вводите пароль від свого КЕП у програму, яка має атестат КСЗІ, ви захищені юридично та технічно:
   1. Державна гарантія: Експерти перевірили код програми на відсутність "закладок", які могли б вкрасти ваш пароль.
   2. Захист від зламу: Сервери компанії мають спеціальні контури захисту, що робить витік вашого ключа практично неможливим.
   3. Відповідність закону: Для деяких державних установ або великих корпорацій використання софту з КСЗІ є обов’язковою вимогою.

Якщо розробник ПРРО не має атестату КСЗІ, юридичної та державної гарантії безпеки ваших ключів немає. Це не обов’язково означає, що програма "краде" ваші дані, але це означає, що ніхто не гарантує, що ваші ключі є у небезпеці, як саме зберігаються та передаються ваші паролі.
Розбір ризиків та того, що ви отримуєте (або не отримуєте) у такому випадку:
1. Відсутність незалежного аудиту
Без КСЗІ безпека тримається лише на "чесному слові" розробника.
• З КСЗІ: Державні експерти (ДССЗЗІ) тестують софт на вразливості, перевіряють код і архітектуру серверів.
• Без КСЗІ: Ви довіряєте внутрішнім стандартам компанії. Якщо в коді є помилка, через яку пароль зберігається в незашифрованому журналі (логах), ви дізнаєтеся про це тільки після того, як відбудеться злам.
2. Юридична незахищеність
Це найслабша ланка. Якщо з вашим ключем виконають незаконну операцію (наприклад, подадуть підробну звітність):
1. Якщо ПРРО має КСЗІ, ви можете апелювати до того, що система сертифікована і стався технічний збій або злам захищеного контуру.
2. Якщо КСЗІ немає, податкова та суд стануть на позицію: «Ви самі передали ключ та пароль сторонньому софту, чим порушили правила конфіденційності. Отже, ви несете повну відповідальність за всі підписані документи».
Резюме
Гарантії без КСЗІ не існує. Є лише ваша довіра до репутації розробника софту. Для мікробізнесу (кав’ярня, невеликий магазин) це зазвичай припустимий ризик. Для великого бізнесу або компаній з великими оборотами - це критична вразливість, яку варто закривати переходом на сертифікований софт.