Цифровые вопросы по Цифровому рублю

Название сессии по Цифровому рублю - "новые возможности для государства и бизнеса" лучше переименовать в "как поделить шкуру неубитого медведя", посмотрел запись, в которой обсуждают теорию смарт-контрактов, а не практику.

За прошедший с прошлого Finopolis'а год изменилось многие, начиная от куратора данного вопроса в ЦБ и заканчивая сроком внедрения на полтора года.

Если бы меня спросили, "что такое цифровой рубль", ответ бы был - "Это PKI". 🔐 в полный рост со всеми стандартами и требованиями. Чем быстрее это поймут в ЦБ, тем понятнее им станет, что же они внедряют на самом деле. Каждая транзакция - поручение банку на проведение операции с цифровым рублём, подписанное неквалифицированной электронной подписью. А криптография уже по своему определению не может быть простой. Сентябрьский кейс никакого отношения к цифровому рублю не имеет, а вот прототип от Газпромбанка уже похож (программный модуль, а всего их три - от КриптоПро, ViPNet, Валидата, какого производителя здесь используется?)

Понятно, что ответ на вопрос по используемому средству электронной подписи не поднимался, вопрос электронной подписи один раз лишь поднял представитель Коммуникационной платформы VK сами понимаете с чем, спикерам куда было интереснее обсуждать галлюцинирование нейросетей (какая неожиданность!).

А тем временем 01.10.2025 истёк⛔️ уже второй сертификат соответствия на средство электронной подписи АПК "Сигнатура-клиент L" версия 6 (исполнение 3), которое используется Головным УЦ платформы цифрового рубля - УЦ Банка России.

​​ 🔊 ГОСТ | Криптографическая защита информации. Термины и определения ➤

Опубликован национальный стандарт Российской Федерации ГОСТ Р 34.14-2025 «Информационная технология. Криптографическая защита информации. Термины и определения».

Национальный стандарт вводится в действие с 01.01.2026.

📣Одному человеку во всех банках можно будет получить не более 20 карт (ранее было 10), а в одном банке — не более 5 - данные изменения содержатся в редакции законопроекта об антифроде 2.0, направленной на оценку регулирующего воздействия.

📱 Об ЭП и УЦ

🔥Антифрод 2.0 выходит в онлайн: что готовит новый пакет законов о кибербезопасности

Минцифры завершена обработка поступивших предложений в рамках общественного обсуждения второго законопроекта о борьбе с кибермошенничеством.

❌ 95% предложений касались отмены или смягчения лимита в 10 карт на человека. Проводились аргументы:
🔹Это ударит по финансовой оптимизации (кэшбэк, акции)
🔹Ограничит конкуренцию между банками
🔹Накажет добросовестных граждан вместо мошенников

Ответ Минцифры был типовой - "Не учтено" и стандартная отписка про "борьбу с дропперами" без ответа на конкретные аргументы.

❌ Предлагались альтернативы:
🔹Не распространять ограничения на кредитные карты
🔹Увеличить лимит до 20-50 карт
🔹Сделать упор на финансовую грамотность и новые технологии

Ответ: "Эти меры не входят в данный законопроект"

✍️Но по факту Минцифры увеличило лимит до 20 карт в редакции законопроекта, направленного на оценку регулирующего воздействия.

✅ Что ещё учтено:
🔹Возможность восстановить доступ к Госуслугам с использованием КЭП🔐
🔹Уточнили формулировки про инструменты для кибербезопасности

🆕 Главные нововведения новой редакции:
🔹Для «значимых действий» в Интернете (список определит Правительство) потребуется обязательная SMS-подтверждение.
🔹Жесткая идентификация для корпоративных SIM-карт. Теперь юрлица и ИП смогут раздавать SIM-карты сотрудникам только после внесения их полных данных в ЕСИА.
🔹Борьба с «серыми» GSM-шлюзами. Оборудование для пропуска трафика попадают под строгий учет.
🔹Банки будут обязаны защищать свои приложения и сайты от вредоносного ПО. Если клиент откажется от этой защиты и лишиться денег - претензии будут не к банку.
🔹Банки платят за мошенников. Если банк проигнорировал «стоп-сигнал» из госсистемы о том, что номер абонента используется для мошенничества, и провел платеж, — он будет обязан возместить ущерб клиенту.
🔹Контроль над IP-адресами. Создается система учета «страновой принадлежности» сетевых адресов.

⏳ Когда вступит в силу?

Основные положения законопроекта планируется ввести с 1 сентября 2026 года, но для некоторых норм установлен длительный переходный период — до 2028 года.

📱 Об ЭП и УЦ

📣Удостоверяющий центр Федерального казначейства с 15.10.2025 осуществляет выдачу квалифицированных сертификатов со встроенной лицензией на КриптоПро CSP. Лицензия встроена в расширение сертификата "Ограниченная лицензия КРИПТО-ПРО" и предназначена для использования в рамках системы "Любая ИС". Сегодня выдано более 11 тыс. сертификатов.

✅Владельцу квалифицированного сертификата со встроенной ограниченной лицензией предоставляется право на использование КриптоПро CSP на условиях простой неисключительной лицензии без ввода серийного номера. Срок действия такой лицензии ограничивается сроком действия квалифицированного сертификата.

🚀Об ЭП и УЦ

✍️Ключ украли в 9 утра, а контракт подписали в 5 вечера. Кто прав? Решение Верховного Суда

Хронология одного конфликта:

1. Суть спора
🔹Истец - ООО «ЛП Проект» обратился в суд с требованием признать недействительной электронную подпись своего генерального директора и соответствующий квалифицированный сертификат
🔹Директор заявил об утрате ключа электронной подписи, и действие сертификата было прекращено в реестре 20 ноября 2023 г. в 09:42:55. Однако позже в тот же день (в 17:05:07) с использованием "утерянного" ключа ЭП был подписан договор поставки на крупную сумму через сервис «Контур.Диадок».
🔹Позиция истца: поскольку сертификат был использован после аннулирования, его прекращение не было мгновенным, что привело к негативным последствиям.

2. Прохождение судебных инстанций
🔹Суд первой инстанции (Арбитражный суд г. Москвы): отказал в удовлетворении иска, посчитав, что налоговый орган надлежащим образом исполнил обязанности по внесению сведений в реестр.
🔹Апелляция (Девятый арбитражный апелляционный суд) и окружной суд (Арбитражный суд Московского округа): отменили решение первой инстанции в этой части и удовлетворили иск, признав подпись и сертификат недействительными с момента внесения записи в реестр (09:42:55).

3. Кассация в Верховный Суд
🔹Вторая сторона - ООО «Луми Полар» подала кассационную жалобу и просила отменить постановления апелляции и окружного суда.
🔹Доводы ответчика: суды неправильно применили Закон об электронной подписи, так как на момент подписания договора подпись прошла автоматизированную проверку и считалась действительной.

4. Решение Верховного Суда
🔹Судья отказала в передаче кассационной жалобы для рассмотрения.
🔹Обоснование: выводы апелляции и окружного суда являются правомерными. Действие сертификата прекращается с момента внесения записи в реестр (09:42:55), а не с момента публикации списка отозванных сертификатов на сайте ФНС (что произошло в 20:50 того же дня). Технический интервал в 12 часов между внесением записи и ее публикацией не отменяет юридический факт прекращения действия сертификата. Доводы жалобы не подтверждают существенных нарушений норм права.

Итог: Верховный Суд оставил в силе решения апелляционной и кассационной инстанций, которые признали электронную подпись недействительной с момента аннулирования сертификата в реестре, несмотря на то, что сертификат использовался и в течение некоторого времени проходил проверку на действительность.

Данное решение суда должно стать прецедентом для изменения 63-ФЗ с целью регулирования процедур досрочного прекращения действия сертификатов и их аннулирования.

🤯Западные спецслужбы к 2030-2035 годам могут получить инструмент для взлома всех современных систем шифрования благодаря развитию квантовых вычислений, об этом заявил директор ФСБ Александр Бортников.

Он также призвал страны СНГ опасаться предложений Запада о помощи в модернизации IT-инфраструктуры. Подробнее о заявлениях главы ФСБ в материале SecPost😍

🙈Также напоминаем о недавнем материале про "кибервойска" США

🚨Банк дал кредит мошенникам по смс. Суд сказал: «Виновата жертва». Кассация всё отменила

💸 История, которая может произойти с каждым: мошенники, представившись сотрудниками «Мосэнергосбыта», удаленно получили доступ к телефону клиента банка. Через мобильное приложение банка они оформили на ее имя кредит на 135 тыс. рублей и тут же перевели их на свой счёт.

🔍 Что сделала жертва?
🔹написала заявление в полицию.
🔹потребовала в суде признать кредитный договор недействительным, так как она его не подписывала и не получала денег.

⚖️ Шокирующее решение судов:
Суды первой и апелляционной инстанций отказали ей. Их вердикт: раз операция была подтверждена СМС-кодом (по их мнению - простой электронной подписью), отправленным на ее номер, значит, это было ее «волеизъявление». Вина клиентки, по их мнению, в том, что она «не обеспечила сохранность данных».

😱 Фактически, суды постановили: если мошенники смогли взломать ваше мобильное устройство вы автоматически соглашаетесь со всеми их действиями. Банк при этом не несет никакой ответственности.

🛡 Справедливость восторжествовала: Первый кассационный суд общей юрисдикции отменил это решение, указав на грубейшие нарушения.

Вот главные претензии кассации к нижестоящим судам:
🔹Игнорирование отсутствия ВОЛИ. Суды забыли главный принцип права: сделка требует настоящего волеизъявления. Доказательств, что клиент банка хотела взять кредит, нет, а доказательств обмана — предостаточно.
🔹Банк проигнорировал «красные флаги». Мгновенная подача заявки на кредит и такое же мгновенное распоряжение о переводе всей суммы третьему лицу — это повод для банка проявить повышенную бдительность. Банк этого не сделал, и суды не дали этому никакой оценки.
🔹Суды не выяснили, с кем же банк заключил договор. Это ключевой вопрос! С гражданкой, чью волю исказили, или с мошенником, который технически использовал ее данные? Без ответа на этот вопрос нельзя говорить о законности сделки.
🔹Не исследованы обстоятельства. Суды даже не проверили, была ли у пострадавшей реальная возможность ознакомиться с условиями договора, пока мошенники контролировали ее телефон.

Вывод: Это ещё одно прецедентное решение, возможно суды уже используют решение Верховного Суда — в любом случае это ещё один серьезный сигнал для остальных судов. Он ставит технологическую формальность (логин, СМС) на второе место после базового права — права на реальное выражение своей воли.

Дело направлено на новое рассмотрение. Теперь у суда есть четкий ориентир: установить, чья же воля была реализована в сделке — пострадавшей стороны или мошенников.

🚀Об ЭП и УЦ

✍️Исторический пост - 8 лет назад
участники круглого стола «Сфера электронных услуг Российской Федерации. Пути развития и угрозы», проведенного CNews и РОСЭУ, обсудили внесенный Минцифры законопроект и предложили свой вариант усовершенствование работы удостоверяющих центров.

На сегодняшний день регулирования сферы выдачи электронной подписи в России со стороны государства явно недостаточно, что способствует возникновению множества проблем и снижению доверия к этому важному инструменту развития цифрового государства. Однако, усилия регулятора должны быть направлены не на разрушение уже сложившейся инфраструктуры, а на ее совершенствование. Все предложенные поправки к закону «Об электронной подписи» не меняют порядок деятельности УЦ – они меняют только их количество.

- говорили 8 лет назад.

Изменения по итогу были внесены Федеральным законом, получившим номер 476-ФЗ.

✍️Чистосердечное признание сети O'КЕЙ о компрометации личных ключей электронной подписи их сотрудников

📣Цифровизация даёт обратный ход

Пока законопроект об электронных архивах четвертый год пылится в Госдуме. Давно уже уволился зам.министра Минэка, который представлял его в рамках первого чтения (если в прошлом году представитель Минэка принимал участие в PKI-Форуме в рамках тематической сессии об электронных архивах, то в этом году Минэка не было) цифровизация в стране начинает делать реверс в сторону бумажных документов:

🔹Депутат Госдумы Михаил Делягин сообщил «Газете.Ru», что направил в Росреестр письмо с просьбой возобновить выдачу бумажных свидетельств о собственности на недвижимость. Депутат отметил, что бумажный документ воспринимается как нечто более надежное и менее подверженное угрозе фальсификаций, чем запись в базе данных.

🔹ComNews опубликовал статью, что на сай­те гос­за­купок поя­ви­лось шесть тен­де­ров на соз­да­ние бу­маж­ных ко­пий элек­трон­ных до­кумен­тов, ко­торые фор­ми­рует ав­то­мати­зиро­ван­ная ин­фор­ма­цион­ная сис­те­ма "Еди­ная ме­дицин­ская ин­фор­ма­цион­но-ана­лити­чес­кая сис­те­ма го­рода Мос­квы" в 2025-2027 гг.
ComNews отправил запрос в Департамент информационных технологий Москвы, Департамент здравоохранения Москвы, ГКУ Москвы "Информационно-аналитический центр в сфере здравоохранения", однако ответа не получил. Департамент города Москвы по конкурентной политике на момент публикации не предоставил комментария. Расходы на соз­да­ние бу­маж­ных ко­пий составят 832 млн. руб., никакой юридической значимости у распечаток естественно не будет.

Пишут, что Департамент здравоохранения Москвы 🏥 планирует до 2027 года сделать резервные копии всех медицинских сведений из ЕМИАС... на бумаге. Если не придираться к цитате юриста, что:

"Требования к хранению персональных данных вынуждают дублировать сведения из ЕМИАС в бумажном виде для хранения в архивах"

(таких требований в законодательстве лично мне не известно), то эта история очень показательная ☝️ Последние годы российское здравоохранение активно продвигает электронный формат медицинских документов – введены правовые нормы, разрешающие или стимулирующие отказ от бумажного документооборота, а в нормативных актах прямо указано, что при хранении электронных медицинских документов должна быть организована резервная копия и возможность восстановления. При этом эксперты критикуют избыточное дублирование бумажной и электронной формы: 📄

"Эксперты НФ призвали исключить дублирование бумажных и электронных документов в здравоохранении".

Решение Депздрава идет вразрез с трендом. Почему? Если отбросить невозможное (надо срочно потратить неизрасходованный до конца года миллиард), то видится мне несколько причин: ✍️
1️⃣ Опасение, что резервные копии (электронные) не позволяют гарантировать восстановление. На практике крупные цифровые проекты часто сталкиваются с проблемами при резервировании – устаревшие форматы, миграции, отказ оборудования, человеческий фактор. Возможно, чиновники делают бумажную копию как "страховку"; если система выйдет из строя, бумага все равно останется (если хранится будет правильно).
2️⃣ Неумение в кибербез или недоверие к тем, кто это делает. В такой ситуации, бумажная копия может рассматриваться как менее уязвимая "офлайн"-страховка (хотя у нее свои риски: пожар, истирание, контроль версий, аудит изменений и т.д.).
3️⃣ Нежелание идти в ЭДО с его непостоянными требованиями и необходимостью постоянно перевыпускать ключи ЭП. Оставлю свое же предположение без комментариев 😊
4️⃣ Переходный этап / сохранение "legacy"-процессов. Медицинские учреждения часто имеют "привычку" бумажной работы, ведения бумажных карт. И даже при электронной системе документооборота могут поддерживать бумагу "на всякий случай" или из-за сопротивления изменениям. Помню в одном госоргане бухгалтера взбунтовались при попытке перевести их на Астру. Директору поставили ультиматум: "или Астра и ты без зарплаты или мы на Винде, но все как ты привык". Директор не стал сопротивляться, хотя по бумагам там 100%-е импортозамещение операционных систем и офисного ПО 😂
5️⃣ Возможно, существует бюджет на бумагу, заинтересованные подрядчики, "архивные" услуги, что стимулирует создание бумажных копий.

Если верно любое из первых двух предположений, то это плохой знак 👎 Государство не верит в кибербез, потому что не умеет выстраивать процессы. Вот тут в новом канале по ИБ об этом тоже упоминается. Одно дело в чеклисте проставить галочку "наличие бэкапа" и совсем другое дело выстроить процесс резервного копирования с регулярной проверкой возможности восстановления данных в заданное время 👎

Возможно, госорган не в состоянии выполнить растущее число разрозненных нормативных требований по ИБ от разных регуляторов ☹️ В любом случае если это станет трендом (а вот тут Евгений пишет о схожих проблемах), то это нехорошо; я уже привык к Госуслугам (ЕМИАСом не пользуюсь – раз в год только зайду посмотреть, сколько неоказанных мне в реальности услуг на меня навесили), с ними реально стало удобно и число походов по всяким госорганам за справками сократилось многократно 📉

ЗЫ. Спасибо подписчице, что подкинула новость в комментариях 🙏

#стратегия

Помните историю про отключение банков от СМЭВ при отсутствии аттестации ФСТЭК? 🗂 История получает свое развитие. Банки получили от Минцифры письмо, в котором говорится о риске отключения от ЕСИА при отсутствии СКЗИ класса КС3 (VPN и средство ЭП). Не знаю, что стоит за этим письмом (не инцидент же), но описанная в нем логика прослеживается достаточно давно. Например, ФСТЭК еще с 2022-го года считает, что внутренний нарушитель есть всегда, а значит по линии ФСБ 🇷🇺 – это уже модель нарушителя Н3 и средства криптографической защиты не ниже класса КС3. А в 2019-м году на Магнитке зампред ЦБ, Ольга Скоробогатова, прямо говорила, что по их мнению все банки должны использовать СКЗИ классом не ниже КС3.

Отдельной вишенкой на этом "торте" 🍰 является предупреждение от Минцифры 🔢 о том, что если кто-то не исполнит описанные требования, то доступ к ЕСИА может быть ограничен, а к нарушителю может быть отправлена проверка ФСБ 👮

Но, как мне кажется, банки 🏦 – это только начало и требование применения КС3 будет распространено на все компании, подключающиеся к ЕСИА. Что это значит для большинства компаний? Например, запрет на виртуализацию и облака, в которых КС3 просто нельзя реализовать из-за требований ФСБ к криптографии этого класса защиты. В свою очередь это приводит нас к перестройке архитектуры решений, пересмотру используемых решений, росту затрат... А учитывая, что в ЕСИА/ЕБС сегодня загоняют многих, то 🕺

#регулирование #криптография #тенденции

✍️Только у меня глаз задёргался от формулировки из письма Минцифры?

С использованием сертифицированного ФСБ России средства электронной подписи (далее – СЭП), имеющего класс не ниже КСЗ, при этом техническое решение, использующее данное СЭП, должно пройти оценку влияния на СКЗИ в соответствии с требованиями Приказа ФСБ России от 9 февраля 2005 г. № 66 «Положение ПКЗ-2005»

Открываем реестр сертифицированных СКЗИ и читаем, чему там должно быть соответствие:

соответствует Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3 и может использоваться для криптографической защиты (шифрование и имитозащита данных, передаваемых в IP‑пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну

ни слова про средства электронной подписи (796 приказ ФСБ России, как например для HSM), криптошлюз КС3 - только на соответствие СКЗИ.
Безграмотность Минцифры уже не удивляет.

📣Мифы не только про электронную подпись

Вирусные твиты «тупят» ИИ, пишет BIS Journal с ссылкой на исследование учёных из Университета Иллинойса, Массачусетского технологического института и Сингапурского университета управления.

А у нас высказывания депутатов "тупят" СМИ. Чего только стоит фраза, процитированная федеральными СМИ (РИА Новости, Ведомости):

"С 1 июля 2026 года в России начнет функционировать новая правовая норма, позволяющая использовать биометрические данные при совершении дистанционных сделок с недвижимостью. Простыми словами это значит, что граждане смогут подтверждать свою личность с помощью биометрических данных - отпечатков пальцев, лица, радужной оболочки глаза или другого биометрического признака - без необходимости физического присутствия на сделке по купле-продаже, оформлению ипотеки и аренде"

Нейросети это запомнили и уже выдают ответы про отпечатки пальцев и радужную оболочку глаза.

Как на самом деле. Если открыть закон о Единой биометрической системе, то можно увидеть только два фактора биометрии:
🔹изображение лица человека, полученное с помощью фотовидеоустройств;
🔹запись голоса человека, полученная с помощью звукозаписывающих устройств.

О чем на самом деле речь - летом был подписан Федеральный закон 133-ФЗ, вступающий в силу с 1 июля 2026 года, в котором говорится:

сторонами договора об отчуждении объекта недвижимости, если соответствующее заявление и прилагаемые к нему документы в форме электронных документов и (или) электронных образов документов подписаны усиленной квалифицированной электронной подписью заявителей при условии идентификации сторон договора с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»

✅ Документы подписываются КЭП, идентификации через ЕБС🗿 🗣