Налоговый контроль: 5 основных заблуждений у предпринимателей

Сегодня у нас горячая тема — обсудим топ заблуждений, касаемых цифрового налогового контроля, которые исповедуют руководители.

Налоговый контроль: 5 основных заблуждений у предпринимателей

Для тех, кому удобнее смотреть и слушать — скачивайте наш вебинар.

Важно: мы не поддерживаем игру в прятки от налоговой, а лишь помогаем руководителям и владельцам малого и среднего бизнеса осуществить должную защиту своих данных.

Заблуждение №1. Сдача отчетности с разных ip-адресов

Полагаем, этот пункт особо интересен тем, у кого в той или иной сфере присутствует дробление бизнеса, за которое с прошлого года предпринимателей начали «гонять» несмотря на то, что само по себе оно не нарушает никаких законов. Но при наличие налоговых выгод, этот факт сразу же вызывает интерес налоговых органов.

Есть поверье, что, когда мы отправляем отчетность с одного компьютера в ФНС, то на другом конце видно, с какого ip-адреса оно пришло. И если, сидя за одним компьютером, мы отправляем отчетность разных компаний, то на том конце это видно и, конечно, является очевидным признаком дробления.

Что говорят безграмотные айтишники?

Поменяйте ip-адрес, да и всё. Есть же VPN и прочее. В крайнем случае воткните USB-модем, подключайтесь к разным Wi-Fi, к разному интернету, и проблема решена.

Безграмотные айтишники

Доводим до вашего сведения, что все системы сдачи отчетности в момент отправки файла в ФНС внутри файла упаковывают информацию об устройстве, на котором эта отчетность готовилась.

Как делать грамотно

Первое решение — это отдать ведение и сдачу отчетности на аутсорс. Есть бухгалтерские компании, которые делают это со своих серверов и ip-адресов. В этом случае проблем не возникнет. Это и есть задача таких фирм.

Второй вариант — использовать разные компьютеры. Это тот случай, когда в офисе стоят несколько ноутбуков, с разными ip-адресами и wi-fi. Решение рабочее, но проблемы начнутся в момент выездной проверки, когда эти ноутбуки у вас найдут.

Поэтому лучше использовать для сдачи отчетности виртуальные компьютеры.

Виртуальный компьютер (или виртуальный рабочий стол) — это по сути компьютер в компьютере. С операционной системой (любой), со своими настройками и т.д. В то же время, физически он не существует.

Заблуждение №2. Сервер в секретном месте/за рубежом

Этот пункт для тех людей, кто прячет сервер где-нибудь за рубежом — в той же Германии, Латвии или Израиле, либо спрятал его в России, но якобы так, чтобы его точно не нашли. Мы слышали о многих вариантах вплоть до того, что серверы оказываются на даче у тещи. И от этого становится только смешнее.

Коллеги, ну неужели вы думаете, что по вам сделают запрос в Интерпол, чтобы достать сервак в Израиле или по проводу будут выискивать его в бабушкином огороде?

Дела обстоят иначе: если у вас в компании есть человек, который знает, как включить то, что вы выключили — будут просить его. Геройствовать и рисковать собой ради зарплаты в условные 80к никто не будет и все вскроется.

Поэтому неважно, где вы его спрятали. Наша задача сводится к тому, что надо сделать так, что если вы выключаете свой сервер сами, то без вас его включить не может НИКТО.

Например, мы своим клиентам выдаем наружные тревожные кнопки. В случае если вы гасите сервер тревожной кнопкой, после этого включить его можно ТОЛЬКО с вашим личным участием.

Этот механизм полностью выводит из-под удара ваших сотрудников. Также мы рекомендуем каждому из них установить приложение с такой кнопкой. В этом случае, если грозит опасность, вы можете выиграть время и дать возможность своим адвокатам и юристам оказать вам должную помощь. Доказать, что идеи скрывать сервер у вас не было и нет.

Заблуждение №3. Шифрованные мессенджеры и VPN

Теперь давайте перейдем к мессенджерам. Регулярно переписка попадает в дела по экономическим составам. Вопрос — как она там оказывается, если мы знаем, что перехватить по воздуху сообщения невозможно? Конечно, мы не берем сейчас возможности ФСБ, ЦРУ, которым нет до вас дела.

Все гораздо проще — обычно в рамках проверки, которая не является обыском, просят ваших сотрудников открыть телефоны и показать переписку. Всё.

Попросят вашего финдиректора и главбуха показать сообщения, где обсуждается, сколько зарплат, кому и каким образом начисляется. И никакое шифрование вас не спасет, ведь никто не будет заморачиваться.

Поэтому тут задача сводится к защите переписки. Необходимо сделать так, чтобы переписки сотрудника в его же телефоне, оказавшегося в ненужных руках, уже не было.

Как это можно сделать? Самый простой вариант — использовать секретный чат WhatsApp или Telegram.

Это хорошая штука, она действительно удаляет, и на телефоне ничего не найдут. Единственная проблема в том, что она их удаляет навсегда и вы сами не получите доступа к информации, которую, например, квартал назад обсуждали с главбухом.

Поэтому нужен мессенджер, который не хранит информацию на телефоне, а сохраняет ее на виртуальном компьютере, используя телефон как телевизор для трансляции.

Такого чата не было, и мы написали его сами. Называется он “Безопасный чат”, есть в Google Play, но нет по понятным причинам в AppStore. И это не страшно, ведь в браузере он также прекрасно функционирует.

Если вам интересно узнать, как работают виртуальные компьютеры, записывайтесь на бесплатную онлайн-экскурсию на сайте.

Заблуждение №4. Анонимная почта на зарубежных серверах

Ситуация такая же, как в прошлом пункте.

Простое правило защиты переписки, рабочих документов и всего остального: на компьютере ничего не должно быть. Пользуйтесь виртуалкой, с которой вы можете заходить в тот же Telegram или куда угодно. Она не сохранит никаких следов, и в случае ЧП вы с любого устройства ее быстро «погасите».

Понимаем, что переезд компании, например, на 50-80 человек звучит страшно. Но с 2015 года мы успешно осуществляем бесшовные переезды, когда переход на виртуальные компьютеры с полной зачисткой всех устройств в офисе, происходит за пару недель без остановок рабочих процессов. В качестве примера приводим кейс нашей компании, как логистическая компания перешла в облако за 2 дня без остановки работы и навела порядок в своем бизнесе, обезопасив данные от третьих лиц.

Схема "бесшовного" переезда офиса на удаленку
Схема "бесшовного" переезда офиса на удаленку

То же самое, что поменять двигатель машине во время того, как она едет.

Заблуждение №5. Прослушка

Для начала разделим прослушку на две части.

Первая — это когда нас слушают рекламные системы. Например, непонятное приложение на смартфоне, которому вы добровольно дали доступ к микрофону. Сюда же голосовые помощники типа “Алисы” или “Алексы”. То есть поговорили вы с братом за ужином про инвестиции, а уже на следующий день у вас всплывают предложения от банков.

Такая прослушка не страшна, потому что она нигде не записывает данные и не передает их в виде записи. Она лишь распознает речь и присваивает вам рекламные теги.

А вот второй тип прослушки опасен. Именно он и попадает в материалы уголовных дел. Речь идет о системе СОРМ – система оперативно-розыскных мероприятий.

При этом СОРМ-1 это телефонная «прослушка», а СОРМ-2 контроль содержимого интернет-соединений сети передачи данных.

Налоговый контроль: 5 основных заблуждений у предпринимателей

Например, тот же Ростелеком обязан подключать к своим серверам «проводок» из ФСБ. По которому весь трафик по пакету Яровой сливается и хранится 3 года.

Результат такой прослушки как раз можно транскрибировать. Называется флажок на прослушку. Конечно, это особая процедура, на которую нужно еще и разрешение от следственного комитета.

Почему мы это говорим? Периодически мы замеряем статистику использования этих систем. На конец прошлого года получились примерно такие цифры:

Из 10 флажков на прослушку по системам СОРМ, которые выдает ФСБ, 8 касаются серьезных дел, связанных с экстремизмом, терроризмом и прочим. И, надеемся, к нашим читателям это не относится.

Поэтому наша с вами вероятность напороться на транскрибацию ну очень низкая. Исключения: политический заказ, обнал в крупных размерах и прочее.

В общем, опасность телефонных разговоров сильно переоценена.

НО есть другая опасность, которую как раз недооценивают руководители среднего и малого бизнеса — это использование SIM-карт для подписания платежек в банке.

Когда в ящике стола с кучей дешевых телефонов и SIM-карт на разных людей организовывается некое централизованное казначейство — это очень опасно.

Просим заметить, что местоположение sim-карты легко определяют методом триангуляции по трем базовым станциям. И если вы эти телефоны вместе, например, перемещаете, или они у вас просто находятся в одном месте, оператор связи их условно склеит как эксплуатируемые одним владельцем.

Эту информацию операторы связи собирают сами для собственных маркетинговых целей и получить доступ к ним может любой оперативник.

Какие варианты решений?

Первый — заменить sms на push-уведомления. Проблема в том, что тогда нужны не простые телефоны, а смартфоны. Да и push-уведомления поддерживают не все банки. Тому же Сберу нужна sim-карта.

Второй — перейти на электронные SIM-карты (eSIM). Они привязываются к виртуальному компьютеру и у вас прямо на рабочий стол виртуального компьютера на симку приходит код подписания платежей. Но тут опять же свои нюансы. Не все банки и не все операторы дадут вам это реализовать.

Третий — использовать для подписания платежек токены, которые подключаются по USB, и без SMS. Здесь минус в том, что эти токены нельзя перенести на виртуалки. Они должны быть физическими, а значит — их легко у вас найдут.

Лучший вариант — телефоны хранить реальным директорам, чтобы уведомления приходили на их личный телефон, а sms они просто пересылали по безопасным участкам.

Также советуем по доверенности написать у провайдера заявление по запрету действий с вашей sim-карты. Например, тот же выпуск дубликата.

Надеемся, статья была для вас полезной. Те, кого заинтересовал переход на виртуальные компьютеры, читайте наш кейс о том, как руководитель оптовой компании перестал тратить время на IT-процессы и начал контролировать сверхурочную работу сотрудников.

Подписывайтесь на наш телеграм-канал: мы помогаем руководителям малого и среднего бизнеса бесплатно и человеческим языком разобраться в технических нюансах цифровой и экономической безопасности.

11
3 комментария

Дела обстоят иначе: если у вас в компании есть человек, который знает, как включить то, что вы выключили — будут просить его. Геройствовать и рисковать собой ради зарплаты в условные 80к никто не будет и все вскроется.


А чисто ради интереса - где гарантии что вы будете геройствовать? С учетом того что вы становитесь уязвимым местом - ФНС есть прямой смысл вас попросить сделать так, чтобы кнопки аварийные у ваших клиентов - не срабатывали когда это надо ФНС. Либо почему это - не угроза?

Периодически к нам приходят запросы из органов. Поскольку мы полностью работаем «в белую», мы всегда на них отвечаем и готовы выдать по своим клиентам информацию. Единственный нюанс – информация выдается в шифрованном виде. Если клиент нажал тревожную кнопку и выключил свои виртуалки, то у нас хранится просто шифрованный контейнер, который мы можем выгрузить и отдать кому скажут.

Да, мы используем сертифицированные ФСТЭКом средства криптозащиты, то есть контейнер можно расшифровать в Управлении «К» ФСБ. Но здесь нужно исходить из того, что ФСБ занимается другими делами и для малого, и среднего бизнеса это все еще нужно заслужить. Поэтому для задач выиграть время и перехватить инициативу этого решения достаточно. А самое главное, что это полностью лежит в русле законодательства, нигде не нарушается ни одна буква закона.

Таким образом мы выводим из-под удара себя и ваших айтишников, а в руки владельца отдаем ключ от цифрового суверенитета.

Комментарий недоступен