Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
0 просмотренных постов скрыто
2

Минцифры: неприступная цифровая крепость?

Получен ответ из МЦ:

Уважаемый Александр Витальевич!

Минцифры России рассмотрело Ваше сообщение и разъясняет следующее.

В соответствии со статьей 11 Федеральный закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ) усиленная квалифицированная электронная подпись (далее – УКЭП) признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:

1) квалифицированный сертификат ключа проверки электронной подписи (далее – квалифицированный сертификат) создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата; 

2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен; 

3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата УКЭП, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом № 63-ФЗ, и с использованием квалифицированного сертификата лица, подписавшего электронный документ.

Дополнительно обращаем Ваше внимание, что в качестве достоверной информации о моменте подписания электронного документа, в силу норм Федерального закона № 63-ФЗ, применяется метка доверенного времени.

Учитывая изложенное, в случае отсутствия метки доверенного времени, действительность УКЭП, используемой для подписания электронного документа, подтверждается на дату проверки этой УКЭП.

***

Ответом я остался недоволен, оценив его на 1 звезду, потому что он опять дан по трафарету без учета конкретных вопросов, поднятых в моих обращениях. Мне это теперь все разъяснили (https://t.me/goskey_goskey), и МЦ следовало также объяснить мне конкретно, что указание в файле проверки по судебному протоколу "Подпись создана 22 января 2025, 14:09:27 (МСК)", в то время как она "Действительна по 30 января 2025, 12:59:00 (МСК)" не означает наличия в подписи метки доверенного времени, так как это лишь локальное время на устройстве подписанта, которое может быть им изменено произвольно, а метка доверенного времени регистрируется и заверяется сторонней организацией. Мне также нужно было объяснить, что подписи формата CAdES-T (с меткой времени) в МП Госключ создаются с сентября 2024 года, так что в подписи, созданной в Госключе 6.12.2023, метки и быть не могло.

Показать полностью
Адвокат Закон Цифровая подпись Министерство цифрового развития Текст Telegram (ссылка)
2

Каптча

Штирлиц сделал серьезное лицо, подошёл к АСуПД и отправил шифровку с электронной подписью, через секунду услышал сигнал. АСуПД предложило подтвердить что он не робот, невыёбываться и написать все как есть, и с матом про светофоры в Америке.

ПС-Мораль: А нет её морали. Забывают люди зачем шли в интернет, после процедур верификации.
Или как Вы все заебали с привязками очередных сервисов к сервисам.
Если так пойдет, и каждый принтер будет дальше выёбываться, сколько времени потратит человечество на всю эту хню, и с госуслугами в частности.

Верификация Капча Пароль Логин Электронная подпись Цифровая подпись Базы Текст Мат
0

Так вот

Может кто не знает, а я расскажу.

Есть доля обмана в слове цифровая подпись. Мы-то думаем, что это подпись, но это не так.

Изначально подпись идентифицировала человека. Его уникальные способности ставить закорючку. На этом строился общественный договор. Если человек, что-то подписал - значит он взял на себя определенные обязательства, в обмен на обязательства второй стороны.

Есть даже целая наука - графологическая экспертиза. Часть криминологии.

Но, как мы знаем [все] появились компьютеры. Заодно алгоритм Диффи — Хеллмана. И жадные до продаж маркетологи распиарили термин: "Цифровая подпись". Можно поискать на википедии.

Изначальный смысл, что это уникальная характеристика человека был скрыт за маркейтинговыми уловками.

Цифровая подпись означает только то, что у кого-то есть доступ до набора байтов. И эта подпись (цифровая) означает только одно - целостность текста. Она не подтверждает, что кто-то взял на себя обязательства. Она означает только одно, что кто-то имеет доступ до набора байтов с помощью который наложили цифровую подпись. Которая говорит только одно - текст был такой, когда накладывали подпись (цифровую).

Вот и все. Отсюда, собственно и растут ноги с мошенничеством с госуслугами.

Кто-то получает доступ до набора байтов. И ваши денюжки уже не ваши. Доступ до набора байтов и денюжки уже не ваши.

Верить цифре - глупость. Вы никогда не узнаете, какие алгоритмы заложил программист. Вы никогда не узнаете, где он ошибся. Вы никогда не узнаете, кто нашел лазейку.

Берегите себя. Берегите близких вам людей.

Всем бобра. )

Показать полностью
Цифровизация Мошенничество Цифровая подпись Текст
16
2

Спрашиваю помощи по электронной подписи госуслуг

В анемнезе - госуслуги, на которых есть моя усиленная эцп физлица. Мне надо подписать ей грант на другом сайте (сценарист я). Сайт с грантом не видит сертификат госуслуг. Возможный выход - поместить его на токен.

Как это сделать и где его можно взять? Спрашивал на госуслугах, оператор ушёл на обед и не вернулся.

Госуслуги Цифровая подпись Текст
9
1

Цифровая подпись MSI AFTERBURNER

Почему MSI Afterburner не имеет цифровую подпись? Скачал с официального сайта , а вот с сайта guru3d подпись имеется, у обоих файлов ещё и иконки разные, но антивирус не ругается.
безопасно устанавливать?

MSI Программа Цифровая подпись Текст
10
0

Сертифицированные токены для ЭП как средство усилить кибербезопасность в 2024 г

Человеческий фактор: главная угроза кибербезопасности

Недавнее исследование компании Orion Soft показало, что 85% ИТ-специалистов считают человеческий фактор, особенно действия сотрудников, не связанных с ИТ, основной причиной утечек данных.  Независимо от того, идет ли речь о неспособности распознать фишинговые письма, случайной утечке информации или даже намеренных действиях, сотрудники остаются слабым звеном в системе безопасности.

Роскомнадзор также опубликовал нелестную статистику. Только за первые несколько месяцев 2024 года, по его данным, было украдено более 510 миллионов записей данных в результате 19 крупных утечек.  Количество утечек данных стремительно растет с 2021 года, и их частота и ущерб только увеличиваются.

В ответ на эти угрозы растет применение сертифицированных токенов для ЭП, которые обеспечивают безопасный и защищённый метод аутентификации и подтверждения транзакций.

Сертифицированные токены для ЭП как средство усилить кибербезопасность в 2024 г Информационная безопасность, Импортозамещение, IT, Российское производство, Политика, Цифровая подпись

Почему сертифицированные токены для ЭП так важны

Сертифицированные токены становятся важной частью безопасной цифровой инфраструктуры по нескольким причинам:

Усиленная аутентификация: В отличие от традиционных паролей или двухфакторной аутентификации, сертифицированные токены для ЭП требуют физического устройства, что обеспечивает более высокий уровень безопасности. Это гарантирует, что только авторизованный пользователь может подписывать документы или получать доступ к конфиденциальным данным.

Защищенная подлинность: Цифровые подписи криптографически защищены, что делает их практически невозможными для подделки. Это гарантирует, что любой подписанный документ или транзакция будут надежными и подлинными.

Соответствие нормативным требованиям: Во многих отраслях требуется строгое соблюдение норм защиты данных, и сертифицированные токены для ЭП помогают компаниям соответствовать этим требованиям, обеспечивая возможность аудита для повышения ответственности.

Снижение рисков кибербезопасности

Человеческие ошибки остаются значительным источником утечек данных. Более половины ИТ-специалистов в исследовании Orion Soft, которое мы упоминали ранее, указали на фишинг как на основную угрозу. Хотя обучение сотрудников основам ИБ является важным, сертифицированные токены для ЭП добавляют дополнительный уровень защиты, снижая вероятность успешных атак даже в случае ошибок сотрудников.

Руководители компаний также осознают эти риски. 71% опрошенных бизнес-лидеров отметили, что кибератаки часто приводят к дорогостоящим простоям, а 59% опасаются утечки финансовых данных. Сертифицированные токены снижают эти риски, обеспечивая полную аутентификацию всех цифровых подписей и запросов на доступ.

Внедрение сертифицированных токенов для повышения безопасности

С увеличением киберугроз только 4% ИТ-специалистов уверены в полной защите своей корпоративной инфраструктуры. Использование сертифицированных токенов для ЭП позволит компаниям значительно снизить уязвимость к атакам. Устройства могут обеспечить безопасность удаленного доступа, защитить конфиденциальные транзакции данных и повысить общую надежность цифровых рабочих процессов.

Показать полностью 1
Информационная безопасность Импортозамещение IT Российское производство Политика Цифровая подпись
0
2

О VPN и рисках утечки персональных данных

Утечки данных могут нанести серьезный урон не только компаниям, откуда они были похищены, но и каждому интернет-пользователю в отдельности.  Воровство таких данных чревато как краткосрочными, так и долгосрочными рисками в области репутации компании и ее финансов.  При этом, хоть за информационную безопасность компаний отдельный юзер ответственности  и не несет, однако защита  личного компьютера являются его персональной зоной ответственности.

О VPN и рисках утечки персональных данных Информационная безопасность, Хакеры, IT, Цифровая подпись, Токены, VPN, Облачные технологии

В наше время, благодаря настоятельным требованиям госорганов, документооборот и прочие бизнес-процессы  уже не возможны без использования ЭП. Преимущества токена именно в том, что он полностью защищает ваш документооборот от атак мошенников. Несанкционированное раскрытие критически важных данных организации, её клиентов и контрагентов может считаться одним из недопустимых событий (НС) и часто приводит к возникновению других НС, таких как финансовые потери, прерывание бизнес-процессов или работы отдельных систем, а также последующие атаки на контрагентов и другие негативные последствия. Однако, что делать, когда само пользование защищенным соединением, он же VPN, таит в себе потенциальную угрозу утечки?

Не все относятся с должной серьезностью к выбору VPN-сервисов, что часто превращается в проблему. В начале 2021 года обнаружилось, что Super VPN «случайно» раскрыл более 360 млн записей.  Утечку обнаружил ИТ-специалист Джеремая Фаулер благодаря тому, что китайский разработчик оставил БД приложения незащищенной и доступной из интернета. Яркий пример простой халатности, которая по многим опросам ИБ является частой причиной утечек. База содержала информацию обо всех платных клиентах сервиса, включая email-адреса, реальные IP-адреса, информацию о геолокации и VPN-серверах, к которым подключались пользователи. Утечка насчитывала 360 308 817 записей и «весила» 133 ГБ. Помимо уже перечисленных выше данных, записи в БД содержали секретные ключи, уникальные идентификаторы пользователей и номера UUID.

Здесь имеет смысл напомнить о  преимуществах токена с ЭП по сравнению с облачной ЭП. Если вы пользуетесь токеном, его преимущество в том, что все ключи храняться имеено на нем. Получить доступ к ключаи можно только похитив у вас токен физически. Облачная ЭП может подвергнуться внешней атаке или стать жертвой халатности сотрудников.

Позднее, в том же  2021 году случилось похожее событие. Утекли данные пользователей сервисами FreeVPN.org и DashVPN.io. Оба принадлежат международной компании ActMobile Networks со штаб-квартирой в США. Личные данные пользователей были оставлены на незащищенном сервере системы управления базами данных MongoDB. Позднее на теневых форумах выставили на продажу базу данных 21 млн пользователей бесплатных VPN-сервисов для операционной системы Android. Тогда пострадали пользователи приложений GeckoVPN, SuperVPN и ChatVPN.

Пользователям необходимо выбирать качественные VPN-сервисы, с постоянными обновлениями, а также необходимо ставить уникальные пароли, чтобы в случае утечки мошенники не могли методом подбора получить доступ к другим сервисам с тем же паролем. Мы отлично знаем, как правильно пользоваться ЭП, и все преимущества токена, физического и неотчуждаемого носителя криптографии. Теперь необходимо внести в правила не использовать одинаковые простые, однотипные и предсказуемые «пароли» из имени и дат рождений, названий компаний и года основания.

Показать полностью 1
Информационная безопасность Хакеры IT Цифровая подпись Токены VPN Облачные технологии
2
3

Машиночитаемые доверенности и как их получить

Социальный Фонд России, который объединил в себе Пенсионный Фонд России и Социальный Фонд России, с 1 Марта 2024 года полностью переходит на документы, обладающие подтверждением полномочий с помощью машиночитаймой доверенности (МЧД). Это означает, что аппаратный токен необходимо иметь, если вы все еще не являетесь его обладателем или обязательно обновить , если вы все еще этого не сделали.

Машиночитаемые доверенности и как их получить IT, Информационная безопасность, Российское производство, Безопасность, Сбербанк-сервис, Предпринимательство, Импортозамещение, Цифровая подпись

Чтобы получить МЧД для работы в СФР пользователю необходимо воспользоваться одним из следующих сервисов:

1. Сервисы операторов ЭДО

2.АРМ МЧД, бесплатное ПО СФР, которое можно скачать по ссылке https://lk.fss.ru//mchd.html;

3.Средства собственного ПО, спецификации для доработки размещены по ссылке https://lk.fss.ru//mchd.html

Выданные ранее квалифицированные сертификаты все еще действуют. Сервис «Электронный листок нетрудоспособности» будет доступен по ранее созданным полномочиям до 1 мая 2024, остальные сервисы до 1 июля 2024 года.

Изменение сроков введения МЧД

До 31 августа 2024 года работники могут использовать сертификаты ЭП сотрудников, в которых прописаны их личные данные и сведения об организации.

С 1 сентября 2024 года новая схема работы с ЭП физлица и МЧД станет обязательной.

При этом важно помнить, что работники, у которых нет сертификата сотрудника, обязаны использовать МЧД с 1 сентября 2023 года. То же касается каждого, кто будет принят в компанию после этого срока, так как он уже не сможет получить сертификат ЭП сотрудника.

Приказ СФР от 11.10.2023 № 2016, утверждающий новый формат доверенности в форме электронного документа, подписанного квалифицированной подписью доверителя, вступил в силу 07.01.2024. При этом подписанный в августе 457-ФЗ продлевает до сентября 2024 года возможность использования сотрудниками сертификатов юридических лиц без МЧД, но некоторые учреждение, например СФР, ограничивает работу по «старым» правилам уже в марте.

Кого коснуться новые правила

Новые правила уже действуют для всех руководителей и коснутся сотрудников, которые участвуют в электронном документообороте компании. С 2022 года руководители ИП и коммерческих компаний получают аппаратный токен с КЭП на у налоговой службы и ее доверенных УЦ. Кредитные организации обращаются в УЦ Банка России, а должностные лица госорганов, руководители и сотрудники бюджетных организаций — в УЦ Федерального казначейства (УЦ ФК).

Сотрудники фирм могут использовать аппаратные токены с ЭП юрлиц до 31 августа 2024 года. Такой сертификат представляет собой набор данных об организации и о самом работнике — его полное имя, СНИЛС или ИНН. Его можно было получить до 1 сентября 2023 года. По новым правилам сотрудники коммерческих организаций начнут применять сертификат ЭП физлица. В нем указывают только Ф. И. О. и ИНН конкретного пользователя. Сертификат физлица можно получить в любом аккредитованном УЦ, приобретя новый аппаратный токен. При этом ЭП может остаться у сотрудника для личного использования.

Показать полностью
IT Информационная безопасность Российское производство Безопасность Сбербанк-сервис Предпринимательство Импортозамещение Цифровая подпись
1
Посты не найдены