✍️Простая электронная подпись и "рекомендации" Банка России (часть 3)

В прошлом году Банк России разместил на своем сайте рекомендации "Недостаточное информирование клиентов при подписании документов простой электронной подписью" (спасибо подписчику за ссылку). Прочитав их задаёшься вопросом - а сам Банк России достаточно информирован по данному вопросу?

В рекомендациях говорится, что банки и микрофинансовые организации активно используют ПЭП, например, код из SMS, для подписания договоров.

На что обращается внимание:
1️⃣ Не показывают документы перед "подписанием", условия объясняют "на словах".
2️⃣ Одним кодом подписывается целый пакет документов разом: от договора до согласия на рекламу.

Как должно быть (по рекомендациям ЦБ):
🔹Документы показывают ДО подписания - на телефоне, планшете или бумаге.
🔹Код используется только для тех документов, которые вы увидели и с которыми согласились.
🔹SMS с кодом должна содержать не просто цифры, а указание, что именно вы подписываете.

📣Самое главное - Банк России ничего не говорит про норму части 2 статьи 6 63-ФЗ и случаи признания электронного документа, подписанного ПЭП, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

часть 1, часть 2

✍️Об ЭП и УЦ

Госзакупки, ЕСИА и блокировки❌

Последствия цифровизации не заставили себя ждать и чтобы пользователи не обрывали линию поддержки Госзакупки разместили с тегом "критическое" новость "Авторизация в личных кабинетах ЕИС в сфере закупок для организаций, зарегистрированных с использованием ЕСИА". Причина - блокировки на 72 часа со стороны Госуслуг в целях защиты пользователей после самостоятельного восстановления доступа к учетной записи.
 
❓Почему вообще блокируют? Внятного пояснения нет, только общее описание:

При подозрительных действиях в вашем личном кабинете на Госуслугах портал ограничивает вход на другие сайты, а также в приложение «Госключ». Система портала автоматически распознаёт такие действия исходя из схем мошенников по взлому учётной записи.
К таким событиям с высоким риском относятся, например:
🔹вход в учётную запись с нового устройства
🔹восстановление пароля
Ограничение нужно для защиты ваших личных данных

Зашёл сам на Госуслуги с компьютера вместо телефона - получил блок.

При подозрительных действиях с учётной записью ЕСИА блокируется вход на "чувствительные ресурсы" (к которым, кстати, относится и Госключ). Норма была введена законом о борьбе с кибермошенничеством.

✅Минцифры в рамках общественного обсуждения второго пакета законопроекта об антифроде учло предложение канала о расширении способов восстановления доступа к учётной записи ЕСИА новым способом - с использованием квалифицированной электронной подписи. Законопроект прошел оценку регулирующего воздействия, но согласование его норм ещё продолжается.

🚀Об ЭП и УЦ

Почему стыдно за Госключ Минцифры. Акт второй

В августе мы словили знатный испанский стыд. Позволим себе процитировать себя же:

Не проводя никаких опросов и исследований, не анализируя уязвимость одного решения, презирая принципы конкуренции Минцифры решило, что лучше знает, как бизнесу подписывать свои документы.

Тут же вспоминается закрытый для всех удостоверяющих центров, но доступный для Госключа сервис по проверке биометрических данных из загран паспорта.

Нам тогда показалось, что дно достигнуто, но, как часто бывает, тут снизу постучали.

В приведенном письме целый зам руководителя Минцифры собирает операторов ЭДО, чтобы заставить их использовать подписать соглашение о намерении использовать Госключ.

"Почему же это плохо? Ведь инструмент надо развивать, а операторы - это правильный институт для тиражирования" - может спросить нас читатель. Дадим пару комментариев, почему нас так задевают подобные действие сотрудников гос органов.

1. Подписать соглашение о намерении надо именно с использованием Госключа.
Само по себе такое требование - это чистой воды популизм, ничего общего не имеющий с удобством сервиса. Кстати, очень много говорит сама формулировка этого пункта. Там же просто кровь из глаз. Как можно настолько не читать что пишешь и подписываешь - загадка.
Минцифры предлагает ген директорам сбегать в налоговую ножками и получить себе сертификат ЮЛ в Госключе или найти какого-то зама и выдать ему МЧД. Кстати, не раскрывается вопрос, а можно ли сотруднику получить в Госключе НЭП.

2. В программе предполагается (смотри пункт 2), что зам министра планирует операторам рассказывать про "Планы операторов электронного документооборота по расширению внедрения и применения технологии мобильной электронной подписи «Госключ» на 2026 год". Ну а потом уже можно самих операторов послушать.

3. Минцифры - единственный орган власти, который не согласовал проект федерального закона об операторах ЭДО, потому что "не видит в нём смысла". Чисто потребительский подход: на уровень федерального закона мы вас не пустим, но там, где нам надо, мы вас попользуем. Кажется, что операторам на встрече надо просить что-то у Минцифры взамен своего согласия продвигать Госключ.

4. Если сервис хороший, то им будут пользоваться без административного ресурса. Тот же ЕПГУ - действительно удобный инструмент для решения многих задач, аналога которому в мире особо нет.
Но даже использование административного ресурса для достижения каких-то своих показателей может быть тоньше и красивее.

5. Ну и не будем забывать, что многие крупные операторы являются удостоверяющими центрами. И именно Минцифры решила, что УЦ не надо иметь доступ к сервису удаленной идентификации по заграну с биометрией, потому что такой технологией должен обладать только Госключ. Лицемерие чистой воды...

6. А само соглашение бессмысленно и тоскливо. Чего стоит хотя бы пункт:

2.1. Министерство в рамках реализации Соглашения выражает следующие намерения:
2.1.1. обеспечить функционирование платформы подписания документов в соответствии с требованиями законодательства Российской Федерации;

То есть, если бы не соглашение, то такого намерения у Минцифры бы не было?

Ну а операторам, конечно, не позавидуешь. Это какие же надо иметь ... скилы, чтобы регулятору в лицо сказать, что ваш продукт нам не особо-то нужен, мы на нем не заработаем, скорее наоборот, вы потом нас же заставите платить за каждую транзакцию. А ещё объяснить, что следующий год и так наполнен работой через край и отрывать разработчиков для хотелок Минцифры - решение плохое.

В общем снова цитируем себя же: "Стыдно, господа, стыдно".

🚀 ЭДО для бизнеса

#минцифры #госключ #эп

✍️Когда цифровизация идет не в ту сторону - возвращается бумага

Госдума 17 декабря приняла закон, упрощающий пациентам доступ к участию в клинических исследованиях лекарств - предлагается оформление информационного листка в виде документа на бумажном носителе либо электронного документа. Ранее предполагалось, что с 1 января 2026 года подписание будет только в электронном виде с использованием ПЭП ЕСИА или КЭП.

Из пояснительной записки:

В настоящее время имеется несогласованность текста закона, предлагается более точная формулировка. Возникает искусственное ограничение для граждан участвовать в проведении клинических исследований (КИ) по факту наличия учетной записи в Единой системе идентификации и аутентификации (ЕСИА) или усиленной квалифицированной электронной подписи. В случаях клинических исследований с острыми тяжелыми состояниями, срочным набором участников или реанимационными исследованиями, такие пациенты не смогут быстро получить учетную запись в ЕСИА для подписания форм информированного согласия (ФИС). Даже использование уже имеющейся учетной записи может быть проблематичным, так как пароль логин могут не быть у пациента под рукой, что делает процесс подписания ФИС более сложным по сравнению с простым ручным подписанием.

Как сообщает Vademecum - в начале 2024 года, с подачи Минцифры, корректировками в 61-ФЗ «Об обращении лекарственных средств» был регламентирован перевод добровольного информированного согласия пациента на участие в КИ из «бумаги» в «цифру». И хотя тематические поправки в закон готовились загодя, еще с лета 2023 года, представленная ко второму чтению версия документа стала для профсообщества неприятной неожиданностью.

«У них есть свои KPI, планы, когда все должны перейти на электронный документооборот».

Приводится статистика: по данным Минцифры, на конец апреля 2025 года в мобильном приложении «Госключ», применяемом для выдачи и использования УКЭП и УНЭП (неквалифицированная), было зарегистрировано более 20,8 млн пользователей. Тем не менее сертификатов УКЭП было выдано только 1,8 млн. (прим. @ep_uc - сколько из них действующих?).

📣Канал "Об ЭП и УЦ" объявляет голосование в номинации "PKI-профанация года". Победителя определяют подписчики, он получит ржавый ключ с сертификатом поверки эЦэПэ.

В номинации заявлены:
🔹Билайн - "собственноручная графическая электронная подпись"
🔹 ИнфоТеКС Интернет Траст - многочисленные безграмотные статьи (1, 2, 3)
🔹Ключник - за хаб с токенами
🔹Контур - вирус с КЭП
🔹Минцифры - за отсутствие нового корневого сертификата ГУЦ, отсутствие формата сертификата НЭП Госключа, голосование с ПЭП ЕСИА, использование несертифицированной криптографии
🔹МосМетро - за "галочку" о равнозначности ПЭП
🔹Озон банк - соглашение об использовании ПЭП кодом из СМС
🔹Росэлторг - за развод госслужащих на сертификаты, несвоевременную смену сертификата УЦ
🔹Теле2 - цифровая подпись по СМС
🔹 F.doc и Такском - схемы с "облачной" КЭП для медиков
🔹Цифровой рубль - неактуальный сертификат соответствия
🔹Яндекс - воздушный зазор между ЦОД, ПЭП по кнопке "Понятно", неумение проверить КЭП

😂Госключ вне голосования получает приз зрительских симпатий за интеграцию с Мах - Махххинация года.

✍️Инструктаж по охране труда - только в электронном виде

Правительство России внесло в Госдуму законопроект, который меняет порядок оформления инструктажей по охране труда.

Что предлагается?
🔹Полный переход в электронный вид: все документы, подтверждающие прохождение инструктажей, должны будут оформляться работодателем исключительно через цифровую платформу "Работа в России".
🔹Электронная подпись: для подписания документов можно использовать либо КЭП, либо НЭП Госключа.

перевод инструктажей в электронный вид позволит оптимизировать работу крупных промышленных предприятий и государственных компаний, минимизировать возможность фальсификации документов, автоматизировать контроль за прохождением работниками инструктажей

- говорится в пояснительной записке.

Ранее профсоюзы неоднократно заявляли против электронного ознакомления для всех видов инструктажей.

Согласно тексту законопроекта изменения вступят в силу с 1 сентября 2027 года.

🚀Об ЭП и УЦ

✍️Почему стыдно за Госключ😂

17 декабря телеграм-канал Госключа опубликовал новость "Подписание Госключом самостоятельно - теперь в MAX". Для нашего канала неожиданностью это не стало, ещё 2 августа был опубликован пост "Национальный мессенджер не самостоятельное средство электронной подписи, а замена страницы Госуслуг". Удивляет подход самого Госключа - внедрение изменений, которые затрагивают несколько сот тысяч их пользователей, без всякого предварительного оповещения.

Теперь за что стыдно, за нежелание представителей Госключа отвечать на прямые вопросы, которые прежде всего касаются их технологии, и за удаление этих вопросов из своего чата.

Можно до бесконечности цитировать часть 10 статьи 1 156-ФЗ и делать упор на фразе "физическими лицами реализуется только с применением многофункционального сервиса обмена информацией", но в этой формулировке есть ещё юридические лица и индивидуальные предприниматели и они также по формулировке закона должны осуществляться подписание НЭП/КЭП Госключа только через мессенджер. Так неправильно написано в самой норме.

Ещё одна ошибка, в используемой формулировке Сертификат ключа проверки которых создан и используется в инфраструктуре - нет вопросов применительно к НЭП, т.к. есть соответствующее постановление Правительства 2152 на которое и даётся прямая ссылка. Применительно к КЭП вопрос открытый, такой формулировки во всем законодательстве об электронной подписи не существует и не может существовать т.к. квалифицированный сертификат создаётся в инфраструктуре коммерческого удостоверяющего центра - ИнфоТеКС Интернет Траст.

👮‍♂Врачебная тайна или киберпреступление: программист больницы арестован за фальшивый больничный

Использовал чужой ключ электронной подписи - уголовное дело о неправомерном доступе к КИИ. В Первомайской больнице Нижегородской области возбуждено уголовное дело против программиста, которого обвиняют в неправомерном доступе к охраняемой компьютерной информации - системе критической информационной инфраструктуры.

🔐По данным следствия, в декабре он, используя чужую учетную запись и ключ электронной подписи врача, внес в систему фиктивные данные об открытии электронного больничного листа для местного жителя. Эти действия, как утверждают в СУ СКР, привели к модификации данных и нарушению целостности информационной системы.

Программист арестован по ходатайству следствия. Ему вменяют часть 4 статьи 274.1 УК РФ, которая предусматривает наказание вплоть до 8 лет лишения свободы.

Летом был подписан Федеральный закон 281-ФЗ о штрафах за передачу реквизитов аккаунтов, по которому за передачу логинов и паролей предусмотрен штраф 30–200 тыс. ₽ в зависимости от того, кто нарушил закон (физлицо, ИП или юрлицо). Самого врача не нужно оштрафовать за такую передачу? А если бы врач соблюдал требования закона и обеспечил конфиденциальность своего ключа электронной подписи, то нарушения бы не было.

У врачей нет понимания, что кусок пластика, подключенный к компьютеру - аналог их собственноручной подписи, который может использоваться не только для рабочих обязанностей, но и в любых правоотношениях, их самих нужно лечить элементарной цифровой гигиене. Хуже врачей - только бухгалтеры, каждый бухгалтер-удаленщик нарушитель.

P.S. Картинку рисовала нейросеть, беда там с написанием кириллицы😜

✍️УЦ ФНС России на год продлены полномочия доверенных лиц, которые истекали 31.12.2025.

По итогам 2025 года доверенные лица вручили более 1 млн. квалифицированных сертификатов от имени УЦ ФНС России.

🚀Об ЭП и УЦ

🛡️ Второй пакет против мошенников: национальный УЦ, детские SIM, блокировка дропперов и война с фишингом

В ближайшее время в Госдуму будет внесён второй антифрод пакет законов, подготовленный Правительством.

✍️Что в законопроекте:
🔐 Восстановление доступа на Госуслугах только доверенными способами, в т.ч. КЭП, МФЦ, банки или биометрия.

🔐 Создание национального удостоверяющего центра для выдачи сертификатов безопасности.

🧒 Детские SIM-карты: родители смогут контролировать контент и защищать детей от вовлечения в мошеннические схемы.

💳 Борьба по дропперам: лимит - не более 20 банковских карт на человека (и не более 5 в одном банке).

📞 Маркировка международных звонков.

🤖 ИИ против мошенников: операторы связи смогут использовать искусственный интеллект для выявления мошеннических звонков ("голосовой антифрод").

⚡Быстрая жалоба через Госуслуги - система автоматически оповестит банки и операторов.

🌐 Борьба с фишингом: вводится оперативная (внесудебная) блокировка фишинговых сайтов

Мы создаём многоуровневую систему защиты, где человек больше не остаётся один на один с мошенником. Государство, банки, операторы связи, цифровые платформы – вся цифровая инфраструктура страны теперь вовлечена в противодействие киберпреступности

- вице-премьер Д.Ю. Григоренко

Первый антифрод-пакет из ~30 мер (маркировка звонков от юрлиц, запрет на иностранные мессенджеры для госорганов, самозапрет на кредиты) был утверждён Федеральным законом от 01.04.2025 № 41-ФЗ.

Ждём в ближайшее время размещение законопроекта в базе Госдумы.