Nota fiscal eletrônica: certificados expõem empresas a riscos
por
em 21-07-2009 às 10:25 (18711 Visualizações)
Segundo especialista, cerca de 95% das companhias que adotaram o sistema estão desprotegidas por vulnerabilidades.
Por Rodrigo Afonso, da COMPUTERWORLD
Após período de implantação nas empresas, a nota fiscal eletrônica (NFe) é realidade na maioria das transações que antes se valia de documentos em papel. O mercado de tecnologia da informação se apressou em oferecer diversas soluções, desde o fornecimento de módulos para sistemas de gerenciamento de negócios já existentes até a terceirização da emissão das notas.
Para a emissão de notas, as empresas precisam comprar certificados digitais que validarão a assinatura dos documentos. No entanto, muitas companhias podem se deparar com problemas, já que o tipo de certificado mais adotado, o A1, traz vulnerabilidades. Se chegarem às mãos de pessoas mal intencionadas, correm o risco de serem usados para emissão de notas em nome da empresa.
Segundo o especialista em segurança de informação da consultoria Epsec, Denny Roger, já existem vários casos de empresas que sofreram com algum tipo de fraude. E investigações que correm em segredo de justiça mostram que os problemas foram causados por certificados digitais utilizados indevidamente.
Roger faz uma analogia entre o início do Internet Banking no Brasil, quando as empresas tinham somente uma senha simples de acesso à conta com a situação do certificado A1. Depois que as fraudes nas contas correntes explodiram, as instituições foram atrás de soluções. O mesmo deve acontecer com os certificados digitais para emissão das notas eletrônicas, diz.
De acordo com o especialista, há grupos que defendem a substituição dos certificados A1 por certificados A3, instalados em um hardware ou smartcard; em tese, invioláveis. O presidente da NFe do Brasil, Marco Zanini, afirma que não há a necessidade de eliminar o certificado do tipo A1, pois ele pode ser mantido em segurança.
Bastaria, para isso, implantar, nas operações da empresa, módulos de segurança conhecidos por HSM (Hardware Security Module). Eles podem ser instalados diretamente na estrutura de servidores para assinar digitalmente e com segurança todas as notas.
Apesar disso, Zanini concorda que a maioria das corporações estão expostas a riscos. Eu diria que, se hoje houver 10 mil empresas emitindo nota fiscal eletrônica, no Brasil, somente 500 estão seguras e utilizam a proteção adequada, afirma.
O executivo acrescenta que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada. Já o gerente de certificação digital da Serasa Experian, Igor Ramos, acredita que o risco com o certificado digital A1 está muito mais relacionado à corrupção do arquivo do que à existência de fraudes. Hoje as companhias já contam com formas eficazes de proteção, diz.
Por outro lado, destaca, se o arquivo sofrer algum dano, causado ou não por terceiros, e não houver plano de contingência, a companhia pode ficar algum tempo sem emitir notas e deixará de fazer negócios.
Fonte: http://computerworld.uol.com.br/seguranca/2009/07/20/nota-fiscal-eletronica-certificados-expoem-empresas-a-riscos/
Observações e considerações: por Denny Roger
Antes de mais nada, muito obrigado por acompanhar o meu blog. Gostaria de comentar algumas coisas em relação a matéria. Ou melhor, complementar as informações. http://blog.dennyroger.com.br/wp-inc.../icon_wink.gif
Existem vários tipos de certificado digitais. Porém, os utilizados na Nota Fiscal Eletrônica são:
A1 Certificado gerado em PC/Servidor: tem validade de 1 ano, chave RSA 1024 bits e menor custo.
A3 Certificado gerado em HSM/token (hardware seguro): tem validade de 3 anos, chave RSA 1024 bits e maior custo.
Para mais informações sobre certificados digitais, acesse https://www.icpbrasil.gov.br/.
O certificado digital é a identidade virtual de uma empresa. É uma garantia legal, respaldada pela Medida Provisória 2.200 de 27 de Julho de 2001. Documentos assinados com um certificado digital possuem valor jurídico, fé pública e possuem não-repúdio. Ou seja, não há como negar que foi a empresa a emissora de uma NFe.
O certificado do tipo A1 oferece grandes riscos a empresa ou ao provedor de soluções de assinatura remota (SAAS). Um certificado A1 nada mais é que um arquivo instalado no computador, protegido por senha, sem nenhum mecanismo rigoroso de proteção. O certificado é passível de extravio ou furto durante o transporte por meios digitais (e-mails) ou físicos (pendrives). Para copiar um certificado A1 de um computador, basta algum conhecimento de informática, pois requer apenas que se copie ou recorte um arquivo e cole em uma mídia removível ou em um e-mail, por exemplo. O próprio Windows oferece, no Internet Explorer, mecanismos de exportação de certificados e suas chaves.
Diversas empresas compram software de terceiros para emitirem a NFe. Essas empresas geralmente disponibilizam para o fornecedor do software o certificado A1 para realizar os testes para emissão da NFe. Ou seja, o fornecedor do software fica com uma cópia do certificado digital e poderá agir de má fé emitindo a NFe sem que o cliente saiba, causando grandes prejuízos para a empresa que disponibilizou o certificado digital para testes.
Existe uma segunda ameaça relacionada ao se fazer um clone da HD do computador onde está o certificado digital para NFe. Dessa forma, caso o atacante tenha acesso ao clone do HD poderá acessar o certificado digital e emitir NFe sem que a empresa saiba.
Caso alguém de má-fé obtiver o certificado digital de uma outra pessoa (Jurídica ou Física), poderá se passar por tal pessoa. No ambiente on-line, por exemplo, é possível emitir uma NFe real, causando grandes prejuízos à empresa.
No site da Receita Federal, um certificado digital pode alterar os dados críticos da empresa, emitir documentos verdadeiros e causar estragos cujas consequências são praticamente imprevisíveis.
Existe um comentário do Marco Zanini, presidente da NFe do Brasil, afirmando que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada. Empresas que emitem centenas ou milhares de NFe por dia utilizam HSM para proteger o certificado digital do tipo A3 e assinar digitalmente os arquivos que são enviados a SEFAZ. Ou seja, o argumento não é válido. http://blog.dennyroger.com.br/wp-inc.../icon_wink.gif
Abraços,
Denny Roger
[email protected]
www.epesec.com.br
(11) 8196-5141
Comentários
+ Enviar Comentário