RSA Conference 2023

24-27 апреля 2023 г. в Сан-Франциско прошла RSAC 2023, посвященная экспертным взглядам, инновациям и передовому опыту в области кибербезопасности. К сожалению, побывать на такой конференции нет никакой возможности, да что говорить, когда и в нашей стране получается так, что тоже нет возможности побывать на отечественной конференции, но не об этом.

Основные вопросы повестки RSAC:
🔹Надвигающийся кризис идентичности
🔹Реагирование на угрозы требует нового мышления
🔹Новая основа безопасности
🔹Борьба с развивающимися киберугрозами: лидерство с прорывом
🔹Безопасность как часть ответственного ИИ: дома или в разногласиях?
🔹Группа криптографов и др.

Секцию по криптографии модерировал человек-легенда Доктор Уитфилд Диффи. Криптография с открытым ключом и протокол согласования ключей Диффи-Хеллмана сделали криптографию масштабируемой для Интернета и произвели революцию в сфере безопасности.

Вопросы секции - каждый год лидеры в области криптографии выходят на основную сцену конференции RSA, чтобы обсудить актуальные проблемы, стоящие перед индустрией кибербезопасности и нашим все более цифровым обществом.
Будут ли криптовалюты греметь в вашем кармане? Сломают ли квантовые вычисления наши нынешние системы с открытым ключом? Научится ли машинное обучение взламывать наши системы? Это только часть вопросы, которые обсудили известные криптографы.

Совет Федерации постановлением от 26.04.2023 "О вкладе публичного акционерного общества «Сбербанк России» в инновационное развитие страны" предложил Сберу обратиться в Минцифры с предложением рассмотреть с участием Банка России вопрос о встраивании в программное обеспечение коммерческих организаций средств электронной подписи, сертификат которой применяется в инфраструктуре электронного правительства (приложение «Госключ»), для использования электронной подписи клиентами таких организаций

Новая редакция Единого формата МЧД

Третья по счету редакция Единого формата не заставила себя ждать, по ссылке доступен файл от 11.04.2023, когда был размещен сказать сложно, также размещена XSD-схема Единого формата от 18.04.2023.

Это далеко не последние изменения, но может авторам лист регистрации изменений всё-таки завести и информировать операторов об обновлении файлов?

Никогда такого не было и вот опять - бухгалтер украла 1,6 миллиона при помощи электронной подписи

Обвиняемая оказывала индивидуальному предпринимателю услуги по бухгалтерскому учету. Пользуясь доверием, злоумышленница получила от бизнесмена USB-носитель с ключом электронной подписи и незаконно изготовила 97 подложных электронных платежных поручений.

На портале «Российская общественная инициатива» размещена инициатива под названием "Обязать компании, банки, бюджетные организации и госорганы принимать документы, подписанные УКЭП"

Граждане РФ использующие ЭП, имеют ограниченный вариант ее использования: в основном это Госуслуги, ФНС, Росреестр и торги (при добавлении областей использования), но вот к примеру если направить к примеру претензию в ВУЗ, продавцу, оператору сотовой связи в государственные органы и т.д., то этот документ не примут и скажут приходить самому.
И нет никакого документа, регламентирующего обмен документами подписанными ЭП между ФЛ и ЮЛ.

В 2010 году делопроизводитель отдела территориального органа одного ФОИВ, получив по электронной почте из центрального аппарата файл, подписанный через КриптоАРМ присоединённой ЭП, отправил письмо в корзину... ведь оно не читалось. Кажется, что за 13 лет ничего не изменилось. Но если по существу - шансов набрать 100 тыс. голосов у данной инициативы нет никаких.

С Днем Победы в Великой Отечественной войне!

Мифы об электронной подписи. Миф 4. Про машиночитаемость МЧД

На самом деле термины "Машиночитаемая доверенность", "МЧД" в законодательстве отсутствуют, корректное определение - "Доверенность в электронной форме в машиночитаемом виде". Если про электронную форму понятно, то что значит "машиночитаемый вид"?

Cогласно параграфу 2.3.3.1 Государственной системы документационного обеспечения управления (ГСДОУ) - Под машиночитаемым документом понимается документ, пригодный для автоматического считывания содержащейся в нем информации

Основными видами носителей, применяемых при создании машиночитаемых документов, являются перфорационные (перфокарты, перфоленты) и магнитные (магнитные ленты, магнитные диски) носители записи.
И не нужно здесь удивляться насчет перфокарт, документ одобрен коллегией Главархива СССР 27.04.1988.

Основное, что нам нужно - пригодность документа для автоматического считывания содержащейся в нем информации. Что этому будет мешать?
Тип полномочия, который может принимать значение либо 0 – текстовое человекочитаемое полномочие, либо 1 – машиночитаемое полномочие. Текстовое человекочитаемое полномочие - машиночитаемым не является.
По оценкам разных специалистов количество доверенностей с текстовыми полномочиями составит 80-90 %, на "машиночитаемость" придется 10-20%.
Таким образом подавляющее число МЧД машиночитаемыми не будут.

Вышла промежуточная версия КриптоПро CSP 5.0 R3 (cборка 5.0.12800 Ra). Список изменений и ссылки на скачивание.

Мифы об электронной подписи. Миф 5. Про использование МЧД

Звучит данный миф следующим образом - до сентября 2023 года действует переходный период по применению МЧД. В это время подписывать документы можно по‑старому или использовать новый способ. Про это говорят, но не уточняют, а все участники взаимодействия могут ещё подписывать по-старому?

В соответствии со статьями 17.2 и 17.3 63-ФЗ с 1 сентября 2023 года в случае, когда при электронном взаимодействии от имени юридического лица, индивидуального предпринимателя, кредитной организации, оператора платежных систем и иных лиц, поднадзорных Центральному банку Российской Федерации, действует представитель по доверенности, то электронный документ подписывается квалифицированной электронной подписью физического лица, являющегося таким представителем, и одновременно предоставляется машиночитаемая доверенность, оформленная на него в соответствии с гражданским законодательством Российской Федерации.

Таким образом, до 31 августа 2023 года законодательством Российской Федерации установлен добровольный порядок применения машиночитаемой доверенности для юридических лиц, индивидуальных предпринимателей, кредитных организаций, операторов платежных систем и иных лиц, поднадзорных Центральному банку Российской Федерации.

А что должно использовать должностное лицо государственного органа, органа местного самоуправления, подведомственной государственному органу или органу местного самоуправления организации, когда действует перед третьими лицами от имени и в интересах соответствующих государственного органа, органа местного самоуправления или организации?

В отношении данной категории лиц "переходного периода" не было. Ни один из переносов не затронул должностных лиц.

Переносы для всех остальных:
Норма должна была вступить - 1.01.2022
1 перенос - до 1.03.2022
2 перенос - до 1.01.2023
3 перенос - до 1.09.2023

Значит данная категория лиц одновременно с документом, подписываемым квалифицированной ЭП, должна представлять также доверенность от руководителя государственного органа, органа местного самоуправления, учреждения или организации, подписанная квалифицированной ЭП - данная норма вступила в силу 1 января 2022 года и не переносилась.

Может кто-нибудь скажет госсектору, что они уже полтора года должны использовать МЧД? Наш канал провёл небольшой мониторинг готовности и он никакой, далее данная страница будет актуализироваться и дополняться.

К каким основным итогам 63-ФЗ мы пришли: 100% УЦ - нарушители нормы ч. 3 ст. 18, 100% госсектора - нарушители нормы про МЧД п. 2 ч. 3 ст. 17.2

Предложения правительства о новых требованиях к идентификации участников онлайн-собраний акционеров и участников компаний, подписанию ими бюллетеней находятся в высокой степени готовности, они предусматривают переходный период до конца 2026 года (Интерфакс)

Разработанные поправки предполагают возможность использования квалифицированной и неквалифицированной ЭП. При этом поправки предусматривают переходный период: до конца 2026 года разрешается использовать для подписания бюллетеней на дистанционных собраниях простую ЭП, но это будет допустимо только в том случае, если идентификация прошла с помощью биометрических данных или российского загранпаспорта с биометрией.

Простая электронная подпись - имитация?

Директор Национальной ассоциации профессиональных коллекторских агентств Б. Воронин в статье "Будьте готовы отказаться: сотовые операторы стали навязывать всем «электронную подпись». Что делать?" высказал мнение, что "простая ЭП - это не подпись, это ее имитация".

Наш канал не согласен с таким утверждением и встаёт на защиту простой подписи. Во-первых, данный вид подписи предусмотрен Федеральным законом 63-ФЗ. Во-вторых, простая ЭП полностью оправдывает своё название, не нужно ставить какое-либо программное обеспечение, как пример, ввел код из смс - подписал простой ЭП, куда проще? В-третьих, документ, подписанный простой ЭП, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашениями между участниками электронного взаимодействия.
Простой ЭП подписать соглашение об использовании простой ЭП нельзя, такое соглашение, как вариант, должно подписываться на бумаге.

Сбер перешёл на национальные сертификаты

С 12 мая 2023 г. веб-версия и мобильное приложение интернет-банка «Сбербизнес» полностью перешли на работу с сертификатами Национального удостоверяющего центра Минцифры.
По мнению Сбербанка установка российских сертификатов "гарантирует безопасный доступ ко всем сайтам с любых устройств, на которых они установлены".

- https://www.cnews.ru/news/line/2023-05-12_internet-bank_sberbiznes

Дело о странном кредите с электронной подписью. Продолжение.

Напомним нашим подписчикам суть дела - банк получил от ООО заявление на кредит через систему банк-клиент с электронной подписью генерального директора компании, а еще платежные поручения по перечислению денежных средств физ.лицам. Когда кредитные деньги были выданы и ушли по платежным документам, организация заявила, что никаких кредитов не оформляла. Далее банк пытается отсудить у ООО кредитный долг и подаёт в суд.


Первая часть Мерлезонского балета:
🔹Арбитражный суд города Москвы отказал в удовлетворении иска банка
🔹Апелляция - 9 арбитражный апелляционный суд оставил решение без изменения, а апелляционную жалобу - без удовлетворения
🔹Кассация - АС Московского округа оставил решение суда первой инстанции и постановление суда апелляционной инстанции без изменения, а кассационную жалобу - без удовлетворения.
🔹Судебная коллегия Верховного Суда РФ по результатам рассмотрения кассационной жалобы отменяет акты нижестоящих судов и направляет дело на новое рассмотрение в Арбитражный суд города Москвы тому же судье. Организация подаёт встречный иск о признании кредитного договора незаключенным.

Вторая часть Мерлезонского балета:
🔹Арбитражный суд города Москвы иск банка удовлетворяет полностью, во встречном иске организации отказывает.
🔹Общество, не согласившись с таким решением, подаёт апелляционную жалобу. Апелляционная инстанция - 9 арбитражный апелляционный, оставляет решение суда первой инстанции без изменения, а апелляционную жалобу - без удовлетворения
Почитайте текст апелляции, он того стоит.

25.05.2022 г. в ходе судебного заседания в Верховном суде РФ по настоящему делу генеральный директор Козлов И.В. заявил, что неоднократно передавал принадлежащий ему ключ ЭЦП третьим лицам, а именно бухгалтерам руководимого им ООО.
При этом в Банк заявления от ООО на регистрацию новых владельцев сертификатов ключа проверки электронной подписи не подавались.
Таким образом, является обоснованным суждение суда первой инстанции о том, что даже если доступ к электронной подписи Клиента, USB-ключам и Системе получен в результате заражения компьютерной техники вредоносными программами, которые позволили третьим лицам получить удаленный доступ к компьютеру Клиента, Банк также не может нести ответственность за данные действия.

Как эффективно настроить кадровый электронный документооборот в компании? 💻

🗓️6 июня 2023 года в Москве состоится Всероссийский практический HR-форум Кадровый электронный документооборот 2023.

В рамках деловой программы форума Кадровый электронный документооборот 2023 будут подняты актуальные вопросы, связанные с нормативно-правовой базой, безопасностью персональных данных и порядком перевода бумажной документации в электронную.

Ведущие эксперты представят уникальные кейсы полного цикла от внедрения электронного документооборота до расчета его эффективности. Посетив форум, вы сможете создать эффективную стратегию улучшения кадровых процессов с помощью КЭДО.

❓Ключевые вопросы Форума:
🔹Как организовать процесс перехода на КЭДО?
🔹Как обеспечить информационную безопасность?
🔹Как с помощью КЭДО настроить HR-процессы?

Среди спикеров, подтвердивших свое участие, представители крупных компаний: АЛЬФА-БАНК, ЛЕНТА, ГРИНАТОМ, УРАЛХИМ, НИПИГАЗ, BIOCAD и многие другие.

➡️С полным списком спикеров и деловой программой вы можете ознакомиться на сайте.

До встречи на Форуме!

Телеграм-канал "Об ЭП и УЦ" - информационный партнер данного мероприятия.