Эксперты отмечают резкое увеличение компьютерных атак, осуществляемых не напрямую, а через промежуточных поставщиков услуг, так называемые supply chain attack.
Достаточно вспомнить нашумевший инцидент с компанией MAERSK, шифровальщик-вайпер NotPetya, атаку на SolarWind с последующим распространением зараженного ПО, взлом подрядчика и подмена скрипта на сайте British Airways, а также взлом сайта с счетчиком, используемым на многих российских госресурсах.
Стоит отметить многочисленные атаки через open source библиотеки с появившимся после начала СВО вредоносным функционалом. И все это только верхушка айсберга под названием «атака на подрядчиков».
На конференции SOC Tech 30 ноября будут рассмотрены все этапы жизненного цикла подобных атак, а также технологические решения для их обнаружения и предотвращения. Мы сможем проанализировать данный тип атак с точки зрения технологий, которые позволят их оперативно обнаружить и среагировать должным образом.
#soctech
Телеграм-канал "Об ЭП и УЦ" - информационный партнер конференции SOC Tech
Please open Telegram to view this post
VIEW IN TELEGRAM
МЧД - не первичный учетный документ
Минфин в письме от 06.10.2023 № 07-01-09/94925 сообщил, что Федеральным законом «О бухгалтерском учете» установлен перечень обязательных реквизитов первичного учетного документа. Доверенность, необходимая для использования квалифицированной электронной подписи, созданная в соответствии с требованиями, установленными приказом Минцифры России от 18.08.2021 № 857 «Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи», не является первичным учетным документом в смысле указанного Федерального закона.
Чем является МЧД пока не до конца поняли и операторы ЭДО... поэтому рекомендуют загружать их в свои системы.
Минфин в письме от 06.10.2023 № 07-01-09/94925 сообщил, что Федеральным законом «О бухгалтерском учете» установлен перечень обязательных реквизитов первичного учетного документа. Доверенность, необходимая для использования квалифицированной электронной подписи, созданная в соответствии с требованиями, установленными приказом Минцифры России от 18.08.2021 № 857 «Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи», не является первичным учетным документом в смысле указанного Федерального закона.
Чем является МЧД пока не до конца поняли и операторы ЭДО... поэтому рекомендуют загружать их в свои системы.
Предложение к КРИПТО-ПРО
Специалисты КРИПТО-ПРО в прошлом году прочитали и оперативно реализовали предложение нашего канала по доработке интерфейса для скачивания СКЗИ.
Хотелось бы предложить ещё одну доработку, а именно отображение срока действия демонстрационной лицензии в инструменте "Управление лицензиями КриптоПро PKI", по аналогии с тем, как сейчас отображаются 3-месячные лицензии для TSP, OCSP-client.
Специалисты КРИПТО-ПРО в прошлом году прочитали и оперативно реализовали предложение нашего канала по доработке интерфейса для скачивания СКЗИ.
Хотелось бы предложить ещё одну доработку, а именно отображение срока действия демонстрационной лицензии в инструменте "Управление лицензиями КриптоПро PKI", по аналогии с тем, как сейчас отображаются 3-месячные лицензии для TSP, OCSP-client.
Об ЭП и УЦ
Мобильная электронная подпись
Хочется напомнить, что 1 декабря в 11.00 состоится онлайн-конференция на тему мобильной электронной подписи.
Спикеры определены, общение обещает быть интересным.
Участие бесплатное, регистрация по ссылке
Хочется напомнить, что 1 декабря в 11.00 состоится онлайн-конференция на тему мобильной электронной подписи.
Спикеры определены, общение обещает быть интересным.
Участие бесплатное, регистрация по ссылке
Anti-Malware.ru
Мобильная электронная подпись
Технологиями мобильной подписи уже пользуются 10 млн россиян, что составляет 10-15% от экономически активного населения. Потенциальных пользователей - 80 млн. Мобильная электронная подпись становится
Доступность списка отозванных сертификатов УЦ и ошибки подписания
На практике известны случаи, когда подписание завершалось с ошибкой из-за недоступности CRL. Хотелось бы напомнить УЦ и пользователям про сервис мониторинга головного УЦ, который в режиме онлайн позволяет проверить доступность CRL (например, в настоящий момент ошибки с доступность у ГРЧЦ).
На практике известны случаи, когда подписание завершалось с ошибкой из-за недоступности CRL. Хотелось бы напомнить УЦ и пользователям про сервис мониторинга головного УЦ, который в режиме онлайн позволяет проверить доступность CRL (например, в настоящий момент ошибки с доступность у ГРЧЦ).
Forwarded from ФНС МинФин Инфо
В личных кабинетах юрлица и индивидуального предпринимателя появился раздел с доверенностями
https://www.nalog.gov.ru/rn77/news/activities_fts/14010037/
Раздел «Доверенности» появился в сервисах «Личный кабинет налогоплательщика ЮЛ» и «Личный кабинет налогоплательщика ИП».
В этом разделе будут размещены доверенности для взаимодействия с налоговыми органами, где пользователь является доверителем либо доверенным лицом, с разделением на соответствующие вкладки «Доверитель» и «Представитель» с удобной фильтрацией. Визуализируется карточка доверенности с детализацией данных и актуальным статусом по ней.
https://www.nalog.gov.ru/rn77/news/activities_fts/14010037/
Раздел «Доверенности» появился в сервисах «Личный кабинет налогоплательщика ЮЛ» и «Личный кабинет налогоплательщика ИП».
В этом разделе будут размещены доверенности для взаимодействия с налоговыми органами, где пользователь является доверителем либо доверенным лицом, с разделением на соответствующие вкладки «Доверитель» и «Представитель» с удобной фильтрацией. Визуализируется карточка доверенности с детализацией данных и актуальным статусом по ней.
Сегодня Алексей Викторович решил поднять наши ежедневные грешные вопросы насчет СКЗИ🤠
Что обращает на себя внимание в прикрепленной картинке:
🔹для чего-то указана конкретная сборка 5.0.12922, которая никогда не анонсировалась, всегда была в статусе релиз-кандидата (кстати, есть основания полагать, что сертифицированная сборка 5.0 R3 получит номер 5.0.13000)
🔹для всех сборок КриптоПро CSP 5.0 подойдет одна лицензия (серийный номер начинается на 50)
🔹сам по себе серийный номер - набор цифр, единицей поэкземплярного учета СКЗИ не является (здесь меня не переубедить, смотрим 152-ФАПСИ)
P.S. Пиратство - плохо. Приобретайте лицензии у официальных дилеров.
Но куда интереснее кейсы, когда в интернет-магазинах продают настоящее СКЗИ, сертифицированное ФСБ России.
Что обращает на себя внимание в прикрепленной картинке:
🔹для чего-то указана конкретная сборка 5.0.12922, которая никогда не анонсировалась, всегда была в статусе релиз-кандидата (кстати, есть основания полагать, что сертифицированная сборка 5.0 R3 получит номер 5.0.13000)
🔹для всех сборок КриптоПро CSP 5.0 подойдет одна лицензия (серийный номер начинается на 50)
🔹сам по себе серийный номер - набор цифр, единицей поэкземплярного учета СКЗИ не является (здесь меня не переубедить, смотрим 152-ФАПСИ)
P.S. Пиратство - плохо. Приобретайте лицензии у официальных дилеров.
Но куда интереснее кейсы, когда в интернет-магазинах продают настоящее СКЗИ, сертифицированное ФСБ России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Как проявляется ошибка
🔹при входе в ЛК ЮЛ ошибка - "Неверно установлена категория сертификата при генерации сертификата в удостоверяющем центре. Для исправления категории Вам необходимо обратиться в службу технической поддержки Рутокен", при попытке входа в раздел "Маркировка табака" системы "Честный знак" не отображается для выбора сертификат (при этом, Рутокен подключен, отображается в "Панели управления Рутокен" и работает в других системах, например, в ЕГАИС).
Причина ошибки
🔹при использовании неизвлекаемых ключей (стандарт PKCS#11) на Рутокен ЭЦП 2.0/3.0 функционал данных систем после обновления стал проверять категорию сертификата
Что за категория сертификата
🔹Согласно PKCS#11 в сертификате могут быть установлены следующие категории:
- UNSPECIFIED (не установлена),
- TOKEN_USER (сертификат принадлежит владельцу токена),
- AUTHORITY (сертификат принадлежит центру сертификации),
- OTHER_ENTITY (другое назначение).
Категория устанавливается УЦ в момент создания сертификата. При использовании неизвлекаемых ключей PKCS#11 категория должна быть TOKEN_USER, но УЦ категория устанавливалась некорректно как UNSPECIFIED.
Что нужно сделать, чтобы исправить
🔹самостоятельно поменять категорию в сертификате на TOKEN_USER согласно инструкции.
Please open Telegram to view this post
VIEW IN TELEGRAM
О проекте изменений Технических требований к взаимодействию информационных систем в СМЭВ
Проект соответствующего приказа разработан Минцифры России и вносит изменения в приказ от 23.06.2015 № 210:
🔹Технические требования планируется утвердить в новой редакции.
🔹Входящие электронные сообщения проходят контроль в следующем порядке:
- проверка электронной подписи;
- формально-логическая проверка электронного сообщения.
🔹Проверка ЭП электронного сообщения осуществляется операторами информационных систем, подключенных к СМЭВ.
🔹Проверка ЭП в электронных сообщениях производится на предмет корректности значений ЭП и на предмет действительности соответствующих сертификатов ключей проверки ЭП.
🔹Электронные сообщения, проверка ЭП которых дала положительный результат, подвергаются формально-логической проверке значений реквизитов электронного сообщения.
🔹Ответственным за правомерность использования ЭП является участник взаимодействия, отправивший электронное сообщение - НИКАКИХ МЧД.
🔹Условные три вида ЭП:
- ЭП-СМЭВ: электронная подпись, формируемая в системе взаимодействия при обработке электронных сообщений, передаваемых через систему взаимодействия;
- ЭП-ОВ: электронная подпись, формируемая от имени органа власти, участвующего в межведомственном взаимодействии;
- ЭП-СП: электронная подпись, формируемая должностным лицом органа власти, участвующего в межведомственном взаимодействии, или ЭП, формируемая заявителем (индивидуальным предпринимателем или руководителем юридического лица) на едином портале при подаче заявления на получение государственной услуги в электронном виде.
🔹ЭП-СП должна обязательно содержать ОГРН органа власти🤬
Структура сертификата должностного лица, выдаваемого УЦ ФК, не содержит ОГРН органа власти.
Проект соответствующего приказа разработан Минцифры России и вносит изменения в приказ от 23.06.2015 № 210:
🔹Технические требования планируется утвердить в новой редакции.
🔹Входящие электронные сообщения проходят контроль в следующем порядке:
- проверка электронной подписи;
- формально-логическая проверка электронного сообщения.
🔹Проверка ЭП электронного сообщения осуществляется операторами информационных систем, подключенных к СМЭВ.
🔹Проверка ЭП в электронных сообщениях производится на предмет корректности значений ЭП и на предмет действительности соответствующих сертификатов ключей проверки ЭП.
🔹Электронные сообщения, проверка ЭП которых дала положительный результат, подвергаются формально-логической проверке значений реквизитов электронного сообщения.
🔹Ответственным за правомерность использования ЭП является участник взаимодействия, отправивший электронное сообщение - НИКАКИХ МЧД.
🔹Условные три вида ЭП:
- ЭП-СМЭВ: электронная подпись, формируемая в системе взаимодействия при обработке электронных сообщений, передаваемых через систему взаимодействия;
- ЭП-ОВ: электронная подпись, формируемая от имени органа власти, участвующего в межведомственном взаимодействии;
- ЭП-СП: электронная подпись, формируемая должностным лицом органа власти, участвующего в межведомственном взаимодействии, или ЭП, формируемая заявителем (индивидуальным предпринимателем или руководителем юридического лица) на едином портале при подаче заявления на получение государственной услуги в электронном виде.
🔹ЭП-СП должна обязательно содержать ОГРН органа власти
Структура сертификата должностного лица, выдаваемого УЦ ФК, не содержит ОГРН органа власти.
Please open Telegram to view this post
VIEW IN TELEGRAM
Полномочия МЧД, к которым применимы ограничения
Минцифры спустя 2 месяца после создания справочника с ограничениями добавило в него первые 30 записей
Минцифры спустя 2 месяца после создания справочника с ограничениями добавило в него первые 30 записей
Расширение использования НЭП
Правительством обсуждаются предложения по внесению изменений в Федеральный закон № 63-ФЗ, предусматривающих исключение положений, ограничивающих возможность применения ЮЛ и ИП неквалифицированной электронной подписи при обращении за получением госуслуг.
🚀 Об ЭП и УЦ
Правительством обсуждаются предложения по внесению изменений в Федеральный закон № 63-ФЗ, предусматривающих исключение положений, ограничивающих возможность применения ЮЛ и ИП неквалифицированной электронной подписи при обращении за получением госуслуг.
Please open Telegram to view this post
VIEW IN TELEGRAM
Анализ средств УЦ
Анализ используемых аккредитованными УЦ средств УЦ показывает следующее:
🔹для создания квалифицированных сертификатов используются 7 разных средств УЦ;
🔹подавляющее большинство УЦ (78%) использует КриптоПро УЦ, на втором месте ViPNet с 9 %;
🔹4 УЦ используют средства представленные в единичном экземпляре (больше их никто не использует);
🔹2/3 УЦ используют средства класса КС2, 1/3 - КС3.
🚀 Об ЭП и УЦ
Анализ используемых аккредитованными УЦ средств УЦ показывает следующее:
🔹для создания квалифицированных сертификатов используются 7 разных средств УЦ;
🔹подавляющее большинство УЦ (78%) использует КриптоПро УЦ, на втором месте ViPNet с 9 %;
🔹4 УЦ используют средства представленные в единичном экземпляре (больше их никто не использует);
🔹2/3 УЦ используют средства класса КС2, 1/3 - КС3.
Please open Telegram to view this post
VIEW IN TELEGRAM
Росреестр и ошибка при загрузке архивов с электронной подписью
Росреестр сообщает об ошибке при загрузке в ФГИС ЕГРН обращений в виде файла-архива, содержащего внутри себя еще один файл архива и файл электронной подписи этого архива. Ошибка преимущественно встречается в обращениях, содержащих технический или межевой план.
Росреестр сообщает об ошибке при загрузке в ФГИС ЕГРН обращений в виде файла-архива, содержащего внутри себя еще один файл архива и файл электронной подписи этого архива. Ошибка преимущественно встречается в обращениях, содержащих технический или межевой план.
Please open Telegram to view this post
VIEW IN TELEGRAM
О взаимном признании электронной подписи государствами ЕАЭС
На уходящей неделе Советом Федерации был одобрен законопроект "О ратификации Протокола о внесении изменений в Договор о Евразийском экономическом союзе от 29 мая 2014 года", устанавливающий для участия в закупках взаимное признание электронных подписей, созданных в соответствии с законодательством одного из государств. Правила взаимного признания определяются Советом ЕЭК.
На уходящей неделе Советом Федерации был одобрен законопроект "О ратификации Протокола о внесении изменений в Договор о Евразийском экономическом союзе от 29 мая 2014 года", устанавливающий для участия в закупках взаимное признание электронных подписей, созданных в соответствии с законодательством одного из государств. Правила взаимного признания определяются Советом ЕЭК.