✍️Чистосердечное признание сети O'КЕЙ о компрометации личных ключей электронной подписи их сотрудников

📣Цифровизация даёт обратный ход

Пока законопроект об электронных архивах четвертый год пылится в Госдуме. Давно уже уволился зам.министра Минэка, который представлял его в рамках первого чтения (если в прошлом году представитель Минэка принимал участие в PKI-Форуме в рамках тематической сессии об электронных архивах, то в этом году Минэка не было) цифровизация в стране начинает делать реверс в сторону бумажных документов:

🔹Депутат Госдумы Михаил Делягин сообщил «Газете.Ru», что направил в Росреестр письмо с просьбой возобновить выдачу бумажных свидетельств о собственности на недвижимость. Депутат отметил, что бумажный документ воспринимается как нечто более надежное и менее подверженное угрозе фальсификаций, чем запись в базе данных.

🔹ComNews опубликовал статью, что на сай­те гос­за­купок поя­ви­лось шесть тен­де­ров на соз­да­ние бу­маж­ных ко­пий элек­трон­ных до­кумен­тов, ко­торые фор­ми­рует ав­то­мати­зиро­ван­ная ин­фор­ма­цион­ная сис­те­ма "Еди­ная ме­дицин­ская ин­фор­ма­цион­но-ана­лити­чес­кая сис­те­ма го­рода Мос­квы" в 2025-2027 гг.
ComNews отправил запрос в Департамент информационных технологий Москвы, Департамент здравоохранения Москвы, ГКУ Москвы "Информационно-аналитический центр в сфере здравоохранения", однако ответа не получил. Департамент города Москвы по конкурентной политике на момент публикации не предоставил комментария. Расходы на соз­да­ние бу­маж­ных ко­пий составят 832 млн. руб., никакой юридической значимости у распечаток естественно не будет.

Пишут, что Департамент здравоохранения Москвы 🏥 планирует до 2027 года сделать резервные копии всех медицинских сведений из ЕМИАС... на бумаге. Если не придираться к цитате юриста, что:

"Требования к хранению персональных данных вынуждают дублировать сведения из ЕМИАС в бумажном виде для хранения в архивах"

(таких требований в законодательстве лично мне не известно), то эта история очень показательная ☝️ Последние годы российское здравоохранение активно продвигает электронный формат медицинских документов – введены правовые нормы, разрешающие или стимулирующие отказ от бумажного документооборота, а в нормативных актах прямо указано, что при хранении электронных медицинских документов должна быть организована резервная копия и возможность восстановления. При этом эксперты критикуют избыточное дублирование бумажной и электронной формы: 📄

"Эксперты НФ призвали исключить дублирование бумажных и электронных документов в здравоохранении".

Решение Депздрава идет вразрез с трендом. Почему? Если отбросить невозможное (надо срочно потратить неизрасходованный до конца года миллиард), то видится мне несколько причин: ✍️
1️⃣ Опасение, что резервные копии (электронные) не позволяют гарантировать восстановление. На практике крупные цифровые проекты часто сталкиваются с проблемами при резервировании – устаревшие форматы, миграции, отказ оборудования, человеческий фактор. Возможно, чиновники делают бумажную копию как "страховку"; если система выйдет из строя, бумага все равно останется (если хранится будет правильно).
2️⃣ Неумение в кибербез или недоверие к тем, кто это делает. В такой ситуации, бумажная копия может рассматриваться как менее уязвимая "офлайн"-страховка (хотя у нее свои риски: пожар, истирание, контроль версий, аудит изменений и т.д.).
3️⃣ Нежелание идти в ЭДО с его непостоянными требованиями и необходимостью постоянно перевыпускать ключи ЭП. Оставлю свое же предположение без комментариев 😊
4️⃣ Переходный этап / сохранение "legacy"-процессов. Медицинские учреждения часто имеют "привычку" бумажной работы, ведения бумажных карт. И даже при электронной системе документооборота могут поддерживать бумагу "на всякий случай" или из-за сопротивления изменениям. Помню в одном госоргане бухгалтера взбунтовались при попытке перевести их на Астру. Директору поставили ультиматум: "или Астра и ты без зарплаты или мы на Винде, но все как ты привык". Директор не стал сопротивляться, хотя по бумагам там 100%-е импортозамещение операционных систем и офисного ПО 😂
5️⃣ Возможно, существует бюджет на бумагу, заинтересованные подрядчики, "архивные" услуги, что стимулирует создание бумажных копий.

Если верно любое из первых двух предположений, то это плохой знак 👎 Государство не верит в кибербез, потому что не умеет выстраивать процессы. Вот тут в новом канале по ИБ об этом тоже упоминается. Одно дело в чеклисте проставить галочку "наличие бэкапа" и совсем другое дело выстроить процесс резервного копирования с регулярной проверкой возможности восстановления данных в заданное время 👎

Возможно, госорган не в состоянии выполнить растущее число разрозненных нормативных требований по ИБ от разных регуляторов ☹️ В любом случае если это станет трендом (а вот тут Евгений пишет о схожих проблемах), то это нехорошо; я уже привык к Госуслугам (ЕМИАСом не пользуюсь – раз в год только зайду посмотреть, сколько неоказанных мне в реальности услуг на меня навесили), с ними реально стало удобно и число походов по всяким госорганам за справками сократилось многократно 📉

ЗЫ. Спасибо подписчице, что подкинула новость в комментариях 🙏

#стратегия

Помните историю про отключение банков от СМЭВ при отсутствии аттестации ФСТЭК? 🗂 История получает свое развитие. Банки получили от Минцифры письмо, в котором говорится о риске отключения от ЕСИА при отсутствии СКЗИ класса КС3 (VPN и средство ЭП). Не знаю, что стоит за этим письмом (не инцидент же), но описанная в нем логика прослеживается достаточно давно. Например, ФСТЭК еще с 2022-го года считает, что внутренний нарушитель есть всегда, а значит по линии ФСБ 🇷🇺 – это уже модель нарушителя Н3 и средства криптографической защиты не ниже класса КС3. А в 2019-м году на Магнитке зампред ЦБ, Ольга Скоробогатова, прямо говорила, что по их мнению все банки должны использовать СКЗИ классом не ниже КС3.

Отдельной вишенкой на этом "торте" 🍰 является предупреждение от Минцифры 🔢 о том, что если кто-то не исполнит описанные требования, то доступ к ЕСИА может быть ограничен, а к нарушителю может быть отправлена проверка ФСБ 👮

Но, как мне кажется, банки 🏦 – это только начало и требование применения КС3 будет распространено на все компании, подключающиеся к ЕСИА. Что это значит для большинства компаний? Например, запрет на виртуализацию и облака, в которых КС3 просто нельзя реализовать из-за требований ФСБ к криптографии этого класса защиты. В свою очередь это приводит нас к перестройке архитектуры решений, пересмотру используемых решений, росту затрат... А учитывая, что в ЕСИА/ЕБС сегодня загоняют многих, то 🕺

#регулирование #криптография #тенденции

✍️Только у меня глаз задёргался от формулировки из письма Минцифры?

С использованием сертифицированного ФСБ России средства электронной подписи (далее – СЭП), имеющего класс не ниже КСЗ, при этом техническое решение, использующее данное СЭП, должно пройти оценку влияния на СКЗИ в соответствии с требованиями Приказа ФСБ России от 9 февраля 2005 г. № 66 «Положение ПКЗ-2005»

Открываем реестр сертифицированных СКЗИ и читаем, чему там должно быть соответствие:

соответствует Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3 и может использоваться для криптографической защиты (шифрование и имитозащита данных, передаваемых в IP‑пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну

ни слова про средства электронной подписи (796 приказ ФСБ России, как например для HSM), криптошлюз КС3 - только на соответствие СКЗИ.
Безграмотность Минцифры уже не удивляет.

📣Мифы не только про электронную подпись

Вирусные твиты «тупят» ИИ, пишет BIS Journal с ссылкой на исследование учёных из Университета Иллинойса, Массачусетского технологического института и Сингапурского университета управления.

А у нас высказывания депутатов "тупят" СМИ. Чего только стоит фраза, процитированная федеральными СМИ (РИА Новости, Ведомости):

"С 1 июля 2026 года в России начнет функционировать новая правовая норма, позволяющая использовать биометрические данные при совершении дистанционных сделок с недвижимостью. Простыми словами это значит, что граждане смогут подтверждать свою личность с помощью биометрических данных - отпечатков пальцев, лица, радужной оболочки глаза или другого биометрического признака - без необходимости физического присутствия на сделке по купле-продаже, оформлению ипотеки и аренде"

Нейросети это запомнили и уже выдают ответы про отпечатки пальцев и радужную оболочку глаза.

Как на самом деле. Если открыть закон о Единой биометрической системе, то можно увидеть только два фактора биометрии:
🔹изображение лица человека, полученное с помощью фотовидеоустройств;
🔹запись голоса человека, полученная с помощью звукозаписывающих устройств.

О чем на самом деле речь - летом был подписан Федеральный закон 133-ФЗ, вступающий в силу с 1 июля 2026 года, в котором говорится:

сторонами договора об отчуждении объекта недвижимости, если соответствующее заявление и прилагаемые к нему документы в форме электронных документов и (или) электронных образов документов подписаны усиленной квалифицированной электронной подписью заявителей при условии идентификации сторон договора с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»

✅ Документы подписываются КЭП, идентификации через ЕБС🗿 🗣

📣Google ужесточает правила для TLS-сертификатов

Важная новость от GlobalSign на фоне ужесточения политики Chrome.

🔹Chrome, и Mozilla объявили о планах прекратить доверие к корневым TLS-сертификатам, созданным более 15 лет назад. 

Браузеры постепенно перестанут доверять корневым сертификатам старше 15 лет.
График для GlobalSign:
🔹15 апреля 2025 — отзыв доверия к GlobalSign R1 (выпуск уже прекращен).
🔹15 апреля 2027 — Ключевая дата для корня R3. Выпуск 200-дневных сертификатов под ним будет прекращен до 27 августа 2026.
🔹Далее по графику — будут отозваны R5 (в 2029) и современный R6 (через 15 лет с даты создания).

🔹Google Chrome вводит правило, согласно которому публичные TLS-сертификаты, выданные после августа 2026 года, смогут иметь только одно «расширенное назначение ключа» (EKU) — ServerAuth. Это основа HTTPS.

Под вопросом расширение ClientAuth, которое используется для входа на корпоративные порталы, VPN и в API с помощью сертификатов вместо логина/пароля. Такие сертификаты перестанут доверять в Chrome.

Что дальше?
1. Пока ничего: GlobalSign будет использовать старые «многоцелевые» корневые сертификаты, чтобы использовать сертификаты с ClientAuth до августа 2026.
2. Но готовиться заранее: компания планирует перейти раньше этого срока. Для клиентской аутентификации они рекомендуют свой продукт IntranetSSL, не подверженный этим ограничениям.

TLS-сертификаты становятся«одноцелевыми» — только для сайтов. Аутентификация клиентов уходит в специализированные PKI-продукты.

⚡️ СМЭВ ввел лимиты для банков

С 24 октября 2025 года по 31 декабря 2025 года СМЭВ 3 установил ограничения для кредитных организаций по доступу к виду сведений "Предоставление необходимой для уплаты информации".

🔹Лимит: 10 обращений в секунду
🔹Метод: SendRequestRequest
🔹Категория: "Кредитные организации", "Банковской платежный агент" и "Платежный агент"

❌Превышение лимита приведет к временной блокировке отправки запросов через СМЭВ с ошибкой SMEV-100.

Когда для банков введут платный доступ лимит сохранится?

После запуска сервиса могут появиться десятки поддельных страниц или сайтов газовых компаний.

Пользователю могут предлагать «ускоренное оформление договора» или «обновление электронной подписи» и вместе с этим, очевидно, выманивать паспортные данные и реквизиты банковских карт. Нужно максимально быть внимательными.

☑️ Подписывайтесь на MAX

#сенаторшейкин
#советфедерации
#цифровойсенатор

Еще один способ, которым пользуются мошенники, - подделка ЭП. Они могут убедить пользователя выдать доверенность на "представителя компании" или установить сомнительное приложение якобы для подписания документов, в результате чего ЭП окажется в чужих руках, объяснил Шейкин.

Подделать электронную подпись - невозможно.

🚀Об ЭП и УЦ

📣65 стран подписали первую Конвенцию ООН против киберпреступности

Вчера в Ханое 65 государств подписали первую в мире Конвенцию ООН против киберпреступности. От России документ подписал генеральный прокурор Александр Гуцан.

Следующий шаг — ратификация документа национальными парламентами. Конвенция вступит в силу после одобрения 40 государствами.

Проект конвенции был разработан еще 5 лет назад Генеральной прокуратурой Российской Федерации при координирующей роли МИДа.

Статья 11 — Неправомерное использование устройств
1. Каждое Государство-участник принимает такие законодательные и иные меры, какие могут потребоваться, с тем чтобы признать в соответствии со своим внутренним законодательством в качестве уголовных правонарушений, когда такие деяния совершаются умышленно и неправомерно:

a) получение, производство, продажу, приобретение для использования, ввоз, распространение или предоставление иным способом:

i) устройств, включая программное обеспечение, разработанных или адаптированных прежде всего для целей совершения какого-либо из преступлений, признанных таковыми в соответствии со статьями 7–10 настоящей Конвенции; или

ii) пароля, реквизитов доступа, электронной подписи или аналогичных данных, позволяющих получить доступ ко всей информационно-коммуникационной системе или любой ее части;

с намерением, чтобы устройство, включая программное обеспечение, или пароль, реквизиты доступа, электронная подпись или аналогичные данные были использованы в целях совершения любого из преступлений, признанных таковыми в соответствии со статьями 7–10 настоящей Конвенции.

🚀Об ЭП и УЦ

✍️Инфраструктура цифровой
идентификации по мнению Банка России

"Понимаете, каждый год 31 декабря в октябре мы с друзьями ходим в
баню обновляем ключи СМЭВ. Это у нас такая традиция…"

У каждого СКЗИ есть сертификат соответствия требованиям ФСБ. Тут отслеживается как раз версия СКЗИ и версия ПО на этом СКЗИ.
Если сам СКЗИ и ПО на нём давно не обновлялось, то могут возникнуть проблемы при замене мастер-ключей.
Соответствующая новость ранее была размещена на канале 03.10.2025.

❌В рамках работ по смене мастер‑ключей в защищенных сетях ViPNet СМЭВ для сети 6024 (КО) у части участников мог наблюдаться ограниченный доступ к ресурсам СМЭВ.

Рекомендация от поддержки, если возникла проблема с доступом к СМЭВ при замене мастер-ключей:
🔹Завести заявку во ФГИС СЦ с темой: «КО. Смена МК. Наименование организации» и указать серийные номера криптооборудования.
🔹Подготовить удаленный доступ к криптооборудованию с использованием консольного кабеля RS‑232.
🔹Подготовить USB‑флешку емкостью до 8 ГБ, отформатированную в FAT32.

✍️Квартиры отнимают без электронной подписи

История 6-летней давности "Москвич лишился квартиры из-за электронной подписи", была запущена журналистами 1 канала и подхвачена безграмотными СМИ, т.е. всеми. Обсуждение было активное и в конечном счёте привлекло к изменению законодательства об электронной подписи. Никакой электронной подписи там не было, но как широко разошлась новость? Законодательство менять было нужно, но сама система стала причиной нарушений - низкий порог вхождения, множество бесполезных УЦ, тысячи нарушений, нулевой контроль.

В судебной практике много случаев, когда продавцы через суд возвращают себе проданные квартиры, доказывая, что действовали под влиянием мошенников или не осознавали последствий сделки. Суды часто встают на сторону таких истцов, оставляя добросовестных покупателей без жилья и без денег.
И про это снова рассказывает 1 канал. Проблемы были и раньше, поэтому текущая информационная атака имеет заказной характер.

Для наглядности собрал примеры таких судебных дел:
🔹Москва (район Зюзино) Пенсионерка в 2019 г. продала квартиру соседу. В 2022 г. она подала иск, утверждая, что на момент сделки страдала умственной отсталостью и не осознавала своих действий. Суд удовлетворил иск. Медицинская экспертиза подтвердила, что истица не могла объективно оценивать последствия сделки. Квартира возвращена продавщице.
🔹Москва (Замоскворецкий суд). Истица подписала договор купли-продажи под влиянием обмана и психологического давления третьих лиц. Она не получила денег за квартиру, так как те были сняты со счета и переданы мошенникам. Суд признал сделку недействительной (дело № 2-3199/2022). Право собственности на квартиру было возвращено истице, так как суд счел, что она лишилась жилья помимо своей воли.
🔹Майкоп (Адыгея). Пенсионерка продала квартиру в июне 2021 г., но спустя полгода отказалась освобождать жилье. Она представила медицинское заключение о наличии органического расстройства личности. Апелляционный суд признал сделку недействительной, обязав вернуть квартиру пенсионерке. Экспертиза не смогла точно установить момент возникновения болезни, но суд принял решение в пользу истицы.

Основой для удовлетворения таких исков обычно служит статья 177 Гражданского кодекса. Она позволяет признать сделку недействительной, если гражданин в момент ее совершения не был способен понимать значение своих действий или руководить ими. Также часто применяется статья 179 ГК РФ, которая касается сделок, совершенных под влиянием обмана.

Случай с Долиной не стал первым, но получил самую широкую огласку. Я всегда стараюсь находить фактуру, первоисточники - решения судов, к сожалению СМИ себя этим не утруждают, поэтому что нашел:
🔹Суд с Долиной - покупатель подал в кассацию.
🔹Видео со "Смотрим" - суд завтра в 11.30
🔹Суд Санкт-Петербурга

Суды, как видно из примеров, часто встают на сторону пожилых и социально незащищенных продавцов, рассматривая их как уязвимую категорию. Ключевую роль в таких процессах играют последующие судебно-медицинские экспертизы, которые назначаются уже после сделки и могут подтвердить, что на момент подписания договора продавец не отдавал отчета в своих действиях. Причем если эти социально незащищенные лица подожгут госучреждение, то будут отвечать по всей строгости УК РФ и без разницы под чьим влиянием они находились в этот момент.