Электронная подпись под вопросом

Коммерсантъ сообщает - операторы инвестиционных платформ опасаются мошенничества, связанного с использованием электронной подписи

Краудфандинговая отрасль (прим. краудфандинг - народное финансирование, от англ. crowd funding, crowd — «толпа», funding — «финансирование») столкнулась с новым риском — поддельными ЭП. Причем существует как риск реального заключения сделки с использованием такой подписи, выпущенной мошенниками, так и риск попыток недобросовестных заемщиков, не справляющихся с обязательствами, признать такую подпись недействительной. Статистики потерь от таких форм мошенничества пока нет, но есть случаи на десятки миллионов рублей.

«Известны случаи спорных ситуаций на десятки миллионов рублей, связанные с фальсификацией ЭЦП. Суммарно по всем статистику сложно собрать данные, не всегда в фабуле дела фигурирует криптография (прим. - вот, может ЭП тут и не причем, а проблема в нарушение правил конфиденциальности ключа ЭП?)»

На PKI-Форум 2023, в следующем сообщении небольшой опрос для подписчиков

PKI-Форум. День 1

В первый день работы PKI-Форума пройдут:
🔹Ключевая дискуссия "21 год законодательству об ЭП: текущие достижения, направления и стратегия" развития"
🔹Сессия 1. Электронные архивы
🔹Круглый стол 1. TLS-сертификаты и сертификаты подписи кода

Ключевая дискуссия:
1 вопрос - отсутствие у отрасли понимания тактики и стратегии регуляторов в дальнейшем развитии регулирования. С этим связана масса вопросов от "простого выполнения требований регуляторов" до развития сервисов, бизнес-планирования и внедрения новых технологий. Что нам с этим делать?

PKI-Форум. День 2

Во второй день работы PKI-Форума пройдут:
🔹Круглый стол 2. Дискуссионные вопросы отечественной PKI
🔹Сессия 2. Трансграничное признание электронной подписи
🔹Сессия 3. PKI: технологии, продукты, проекты, решения
🔹Сессия 4. Развитие сервисов инфраструктуры открытых ключей

Осуществляете обработку персональных данных?

Для вас пройдет бесплатный вебинар -«Важное в защите персональных данных 2023. Уведомления и импортозамещение»
⚡️ Что нужно сделать организации, чтобы быть в состоянии вовремя направить уведомление по началу и окончанию расследования
⚡️ Какие СЗИ нужны для обеспечения каждого из уровней защищённости
⚡️ Что из популярного иностранного применялось раньше, и что есть сейчас.

Эксперты вебинара:

👨‍💻Евгений Царев:

• Управляющий RTM Group
• Эксперт в сфере информационной безопасности и ИТ-права
• Профессиональный стаж в сфере ИБ более 15 лет
• Участник ТК №122 при Банке России.

👨‍💻Андрей Гончаров

• Ведущий консультант по информационной безопасности RTM Group
• Профессиональный опыт в области ИТ-права с 2015 года.

🕛Дата и время: 14 сентября 2023, начало в 12.00

📌 Участие – бесплатное. 👉 Регистрация на вебинар

⚡️ Принято постановление Правительства Российской Федерации от 12.09.2023 № 1481, вносящее долгожданные изменения в базовые акты по МЧД (ПП 222-224)

PKI-Форум. День 3

В заключительный день работы PKI-Форума пройдут:
🔹Сессия 5. Мобильная, удалённая, дистанционная, облачная подпись: актуальные задачи
🔹Сессия 6. Стандартизация в области PKI, ЭДО, СКАиП
🔹МЧДискурс✅

Олег Пак покинул должность заместителя главы Минцифры и перешел в «Ростелеком», сообщила пресс-служба министерства. Его должность в ведомстве заняла Алена Руденко.

«На новом месте работы Олег Пак продолжит взаимодействие с Минцифры и будет отвечать за реализацию проектов по развитию Госуслуг и платформы ГосТех, созданию ключевых государственных информационных систем»,— говорится в сообщении ведомства.

@kommersant

Основные изменения в постановления Правительства РФ в части хранения и предоставления машиночитаемых доверенностей:
🔹изменения внесены в 222, 223 и 224 постановления Правительства РФ.
🔹с даты вступления в силу изменений - с 21.09.2023 один из ресурсов для хранения машиночитаемой доверенности (ИС головного УЦ) меняется на ЕСИА, в которую операторы остальных систем хранения должны передавать информацию об МЧД, до 01.03.2024 передача осуществляется при наличии технической возможности.
🔹перечень сведений о доверенности дополнен ее внутренним номером и сроком действия.
🔹предоставление сведений об МЧД осуществляется через портал Госуслуг и иные определённые ИС без персональных данных.
🔹минимальный период хранения сведений о доверенности в ЕСИА – 5 лет со дня истечения срока действия документа или времени его отмены.
🔹Федеральное казначейство может установить иной порядок представления МЧД из информационных систем, оператором которых является, а также не передавать сведения об МЧД в ЕСИА.

Как снизить человеческий фактор в ИБ?

19 сентября пройдет бесплатный вебинар «Как белые хакеры помогают защититься от реальных угроз»

⚡ Как эффективно управлять технологическими процессами компании?
⚡ Как снизить вероятность ошибок разработчиков?
⚡ Из чего складывается стоимость пентеста и какой результат?

Эксперты вебинара:

👨‍💻 Артём Бруданин

• Руководитель направления кибербезопасности технического департамента RTM Group
• Профессиональный опыт в сфере ИТ и ИБ более 9 лет
• Участие в более чем 40 технических проектах по проектированию систем защиты информации и анализу защищенности.

👨‍💻 Фёдор Музалевский

• Директор технического департамента RTM Group
• Экспертная работа с 2010 года. Педагогический стаж с 2012 года
• Кандидат физико-математических наук.

🕛Дата и время: 19 сентября, 12.00

📌 Участие – бесплатно. 👉 Регистрация на вебинар

Про "облачную" электронную подпись

На PKI-Форуме тема дистанционной (удаленной, "облачной") квалифицированной подписи была одна из основных, рынок интересовался возможными сроками появления данной технологии, которая по объективным причинам ещё не может быть представлена т.к. отсутствуют требования к средствам реализации "облачной" подписи".

Несмотря на то, что конкретные сроки озвучены не были, их можно узнать из Плана реализации мероприятий инициативы социально-экономического развития Российской Федерации "Электронный документооборот", подготовленного Минцифры России и ФНС России:
🔹Требования к средствам удаленной («облачной») квалифицированной ЭП – 01.03.2024
🔹Сертифицированное решение «облачной» квалифицированной ЭП – 01.09.2024
🔹Получение «облачных» сертификатов в государственных УЦ – 31.12.2025

Направление "облачной" подписи - тот случай, когда регулирование опережает технологии т.к. приказы ведомств, регулирующие:
🔹порядок действий УЦ при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых в "облаке" ключей ЭП,
🔹угрозы безопасности, актуальные при хранении ключа ЭП в УЦ,
🔹порядок уничтожения ключей ЭП, хранимых УЦ по поручению владельцев квалифицированных сертификатов,
вступили в силу с 01.01.2021 и действуют до 01.01.2027 (т.е. из 6 лет уже прошло 2 года и 9 месяцев).

Подписано заключение ФСБ на КриптоПро CSP 5.0 R3
Мы получили выписку из положительного заключения ФСБ России по результатам экспертизы тематических исследований СКЗИ «КриптоПро CSP» версии 5.0 R3 (классов КС1, КС2, КС3). Подробнее о содержании выписки в нашем информационном письме. Среди множества новых возможностей КриптоПро CSP 5.0 R3 можно выделить следующие.

В состав СКЗИ добавлен инструментарий разработчика КриптоПро PKI SDK (КриптоПро TSP SDK, КриптоПро OCSP SDK, КриптоПро ЭЦП SDK и КриптоПро ЭЦП Browser Plug-in), позволяющий встраивать электронную подпись (в том числе усовершенствованную) и обращения к службам штампов времени и проверки статусов сертификатов в клиентское программное обеспечение и веб-страницы.

Реализована поддержка протокола TLS 1.3 с ГОСТ, предназначенного для защиты передаваемых данных между узлами сети с использованием российских криптографических алгоритмов в соответствии с рекомендациями по стандартизации Р 1323565.1.030-2020 и RFC 9367.

Стало возможным реализовывать требования по криптографической защите информации по классу КС3 в среде под управлением ОС Astra Linux SE версий 1.6 и 1.7, сертифицированных ФСБ России и ФСТЭК России, ОС Альт 8 СП, а также под управлением Windows 11 и Windows Server 2022 (с использованием нового СЗИ «КриптоПро SPR» версии 4.0).

Появилась возможность эксплуатировать СКЗИ по классу КС1 в среде под управлением средства контейнеризации Docker Engine и средств оркестрации контейнеров Kubernetes и OpenShift Container Platform.

Расширен список поддерживаемых виртуальных сред (включая QEMU/KVM), Java-машин, операционных систем (включая ОС Аврора 4.0/4.1), платформ и ключевых носителей, аппаратно-программных модулей доверенной загрузки, а также повышена производительность.