Не часто федеральные издания пишут про нашу сферу.
На сайты федерального удостоверяющего центра (УЦ) по выдаче цифровых электронных подписей (ЭП) совершена кибератака, в результате которой был остановлен процесс выдачи ЭП
Журналисты никогда не выучат, что же выдают удостоверяющие центры.
В Минцифры “Ъ” инцидент не прокомментировали.
Из статьи можно узнать, что атака шла с ресурсов, расположенных в США, Нидерландах и Эстонии.
В удостоверяющем центре «Контур», который работает с пострадавшей организацией, подтвердили “Ъ”, что временно недоступны информационные системы партнера, через которого «Контур» помогает получать сертификаты УЦ ФНС. «Получить сертификат определенного класса — руководителя — пока можно только через отделения ФНС»,— рассказали в компании.
Рассказали неправильно, т.к. у УЦ ФНС России есть и другие доверенные лица.
На данный момент Списки отозванных сертификатов, согласно мониторингу ГУЦ, по-прежнему недоступны, размещены по временному адресу http://62.109.21.113/
Please open Telegram to view this post
VIEW IN TELEGRAM
Коммерсантъ
Хакеры собрали подписи
IT-ресурсы удостоверяющих центров были успешно атакованы
Forwarded from Пост Лукацкого
Интересная история с взломом УЦ "Основание", который пишет, что:
🔤 инфраструктура, участвующая в создании сертификатов ключей ЭП, не затронута (по выложенным хакерами скринам они получили доступ к 29 виртуалкам ESXi, с интересными названиями у некоторых, а пишут у себя они про 180 виртуалок)
🔤 криптографические ключи не скомпрометированы 🔓
Но лично мне интересно другое. Судя по тем же опубликованным скринам, там утекли и копии паспортов пользователей (о чем жертва скромно умалчивает), а это означает, что:
🔤 Если удостоверяющий центр обеспечивает взаимодействие субъектов КИИ (а среди клиентов они скорее всего были), то сам УЦ становится субъектом КИИ и должен об инциденте уведомить НКЦКИ. Судя по комментариями в канале это было сделано 🛡
🔤 Утечка персональных данных клиентов должна сопровождаться уведомлением Роскомнадзора, о чем в канале жертвы пока ни слова. Роскомнадзор тоже пока молчит.
🔤 Утечка копий паспортов означает и утечку биометрических ПДн (фотографии на паспорте к ним относятся), а значит УЦ "Основание" должен согласно приказу Минцифры №453 уведомить еще и Минцифры об инциденте, о чем жертва тоже пока молчит 🤕
Мне вот последний пункт наиболее интересен. С уведомлением РКН, НКЦКИ и даже ФинЦЕРТ все понятно - у них есть соответствующие структуры для обработки таких данных. А вот в Минцифры куда направлять сведения об инциденте? Каков порядок такого уведомления?🤔
Но лично мне интересно другое. Судя по тем же опубликованным скринам, там утекли и копии паспортов пользователей (о чем жертва скромно умалчивает), а это означает, что:
Мне вот последний пункт наиболее интересен. С уведомлением РКН, НКЦКИ и даже ФинЦЕРТ все понятно - у них есть соответствующие структуры для обработки таких данных. А вот в Минцифры куда направлять сведения об инциденте? Каков порядок такого уведомления?
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
О внесении изменений в постановления Правительства в части хранения и предоставления машиночитаемых доверенностей (часть 2) Прошло полгода и Минцифры России разработана новая редакция проекта постановления Правительства, которым предусмотрено расширение перечня…
Постановление Правительства Российской Федерации от 11.09.2024 № 1232 "О внесении изменений в некоторые акты Правительства Российской Федерации в части хранения и представления машиночитаемых доверенностей в электронной форме"
Расширен перечень государственных информационных систем, с использованием которых осуществляется хранение, использование и отмена МЧД, новой ГИС - города Москвы
Расширен перечень государственных информационных систем, с использованием которых осуществляется хранение, использование и отмена МЧД, новой ГИС - города Москвы
🔹Заявка Участника закупки на оказание услуг была отклонена Заказчиком с основанием - предоставление Участником ненадлежащей справки о состоянии задолженности по уплате налогов в форме электронного документа, поскольку в составе документов отсутствовал файл электронной подписи *.sig, *.sgn или другом формате.
🔹По мнению Заказчика, факт того, что на трех из четырех страницах файла имелась отметка об ЭП свидетельствует о том, что заявитель самостоятельно сформировал новый «.pdf» файл.
🔹В Московское УФАС России на действия Заказчика поступила жалоба на неправомерное отклонение заявки.
🔹Комиссия УФАС установила, что Участник закупки предоставил справку, полученную с помощью системы ЭДО - АО «ПФ «СКБ Контур», содержащую встроенную электронную подпись должностного лица ФНС России (ни в 63-ФЗ, ни в приказе ФНС России ЕД-7-8/1123@ не установлена обязательность наличия отметки об электронной подписи) и выдало Заказчику предписание об устранении допущенного нарушения.
🔹Не согласившись с принятым решением УФАС, Заказчик заказчик обжаловал его в Арбитражном суде. Суды трех инстанций подтвердили законность решения Московского УФАС России.
Вместе с тем, в материалах дела имеется видеозапись выгрузки справки с АО «ПФ «СКБ Контур», из содержания которой следует, что исходный файл со справкой был получен с использованием ресурсов ЭДО и какие-либо изменения в него не вносились, единый документ подписан начальником налоговой инспекции
P.S. Само решение Арбитражного суда электронную подпись не содержит
Please open Telegram to view this post
VIEW IN TELEGRAM
optimizirovannyij-standart.pdf
441.7 KB
Please open Telegram to view this post
VIEW IN TELEGRAM
Отключение в СМЭВ проверки электронной подписи отличной от ГОСТ 2012, 256 бит
С 02.09.2024 в СМЭВ для расчета хеш-суммы и формирования подписи необходимо использовать алгоритм ГОСТ 2012, 256 бит
Проверка электронных подписей, отличных от ГОСТ 2012, 256 бит, сопровождается ошибкой
Основание - пункт 6.3 "Правила формирования электронной подписи" документа "Методические рекомендации по работе с ЕСМЭВ версии 3.5.0.22"
Странная норма, может кто-то использовал длину ключа 512 бит? Но мы то с вами помним, что ещё 10 лет назад ФСБ России в Порядке перехода к использованию национального стандарта ГОСТ Р 34.10-2012 в средствах ЭП сообщало, что
С 02.09.2024 в СМЭВ для расчета хеш-суммы и формирования подписи необходимо использовать алгоритм ГОСТ 2012, 256 бит
Проверка электронных подписей, отличных от ГОСТ 2012, 256 бит, сопровождается ошибкой
«SMEV-100: ЭП не соответствует подписанным данным: в сообщении используется алгоритм подписи или хэш-суммы, отличный от ГОСТ 2012, 256 бит»
Основание - пункт 6.3 "Правила формирования электронной подписи" документа "Методические рекомендации по работе с ЕСМЭВ версии 3.5.0.22"
Странная норма, может кто-то использовал длину ключа 512 бит? Но мы то с вами помним, что ещё 10 лет назад ФСБ России в Порядке перехода к использованию национального стандарта ГОСТ Р 34.10-2012 в средствах ЭП сообщало, что
Использование варианта, соответствующего длине секретного ключа порядка 256 бит, является предпочтительным, поскольку обеспечивает достаточный уровень криптографической стойкости и лучшие эксплуатационные характеристики, в том числе при совместной реализации со схемой ГОСТ Р 34.10-2001.
Forwarded from Кто не идёт вперёд, тот идёт назад
Арбитражная практика: Суд признал недействительными документы, послужившие основанием для выдачи сертификата ключа УКЭП, http://rusrim.blogspot.com/2024/09/blog-post_15.html
#закупки #Россия #судебная_практика #УЦ #электронные_подписи
#закупки #Россия #судебная_практика #УЦ #электронные_подписи
Когда время - это сервис
Очень часто компании не знают слово "сервис" и не умеют слушать и слышать своего клиента.
В субботу остановились наручные часы, встали и всё, даже "замедления" не было, без часов проблематично т.к. время на телефоне не воспринимаю.
Звоню в All Time, ранее уже там обслуживался, стандартный разговор с оператором - как работаете, называю модель часов, сообщают, что можно подъезжать. Подъехал - большой магазин, всё блестит, отдельное окно замены, подошёл, сказал, что заменить батарейку, показал часы, там очередь. Дождался своей очереди - не меняют батарейки к таким часам, не является официальным дилером. Часовщик поменял бы, но "тут всё под камерами". Почему нельзя было сказать ещё по телефону, что для моей модели замену батарейки не делают - большой вопрос. Магазин большой, а толку нет, про слово "сервис" не слышали. Оставил негативный отзыв. Только нужно отдать должное часовщику, на вопрос - а где тогда поменять? он дал адрес магазина "Clockservice", смотрю по карте - Савеловская, ехать около 20 минут, успеваю до конца дня.
Приехал, небольшой магазинчик, посетителей нет, 5 минут на замену батарейки и проверку герметичности. Мои часы снова ожили, довольный поехал домой, пока ехал написал этот пост. Это не реклама, меня никто не просил его написать, но может кому понадобится данная информация.
Очень часто компании не знают слово "сервис" и не умеют слушать и слышать своего клиента.
В субботу остановились наручные часы, встали и всё, даже "замедления" не было, без часов проблематично т.к. время на телефоне не воспринимаю.
Звоню в All Time, ранее уже там обслуживался, стандартный разговор с оператором - как работаете, называю модель часов, сообщают, что можно подъезжать. Подъехал - большой магазин, всё блестит, отдельное окно замены, подошёл, сказал, что заменить батарейку, показал часы, там очередь. Дождался своей очереди - не меняют батарейки к таким часам, не является официальным дилером. Часовщик поменял бы, но "тут всё под камерами". Почему нельзя было сказать ещё по телефону, что для моей модели замену батарейки не делают - большой вопрос. Магазин большой, а толку нет, про слово "сервис" не слышали. Оставил негативный отзыв. Только нужно отдать должное часовщику, на вопрос - а где тогда поменять? он дал адрес магазина "Clockservice", смотрю по карте - Савеловская, ехать около 20 минут, успеваю до конца дня.
Приехал, небольшой магазинчик, посетителей нет, 5 минут на замену батарейки и проверку герметичности. Мои часы снова ожили, довольный поехал домой, пока ехал написал этот пост. Это не реклама, меня никто не просил его написать, но может кому понадобится данная информация.
Что произошло: с 01.09.2024 сервис ГУЦ не проверяет сертификаты, выданные коммерческими УЦ для служб доверенного времени т.к. изменился порядок проверки квалифицированной ЭП и сертификатов в информационных системах инфраструктуры электронного правительства.
Сертификат не удовлетворяет требованиям к форме квалифицированного сертификата. После 31.08.2023 выдача квалифицированных сертификатов для юридических лиц и индивидуальных предпринимателей должна осуществляться в аккредитованных УЦ Казначейства России, Центрального Банка России и Федеральной налоговой службы, такие сертификаты выданные раннее другими удостоверяющими центрами прекращают свое действие в силу закона с 31.08.2024
Причины: коммерческие УЦ для меток доверенного времени выдавали сертификаты ИС, вписывая в них oid TSP. Так как метка доверенного времени создаётся автоматически, должны использоваться сертификаты автоподписи, т.е. информационных систем, выдаваемых госУЦ, по закону коммерческим УЦ такие сертификаты выдавать запрещено. Технически раньше работало, пока не было контроля УЦ, выдавшего сертификат.
Что делать: получать сертификаты информационных систем в государственных УЦ.
P.S. Лучше бы сервис ГУЦ проверял структуру сертификатов на соответствие 795 приказу, хотя бы стандартные атрибуты имени.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Принимали Вы ранее участие в PKI-Форуме?
Final Results
12%
Принимал ранее и в этом году еду
13%
Принимал ранее, но в этом году не еду
3%
Еду первый раз
71%
Ранее не принимал и сейчас не еду
24 сентября пройдет 2-я онлайн-конференция «IT. Право. Безопасность», традиционно на стыке 3 больших тем, которая соберет множество юристов, и спикеров, и слушателей.
Красной нитью через все доклады пройдет тема защиты данных и личной безопасности, будь то утечки, цифровые улики, анализ дипфейков или буллинг в сети.
В программе:
🔥 Реформа законодательства о ПДн: первые итоги и снятие моратория — как меняется законодательство и чего ждать от новых требований. Как это повлияет на бизнес и регулирование данных.
🔥 Начальная дипфейкология: мир дипфейков - как они создаются, как их распознать, и почему это важно для вашей компании. Реальные примеры и советы.
🔥 Какие ваши доказательства? Работа с цифровыми уликами: от получения доступа до анализа и верификации.
🔥 Дискуссия. Резкий рост числа киберугроз. Основные векторы текущей криминальной активности в сети.
🔥 Кто может стать жертвой кибербуллинга? Как защитить себя в сети.
Участие бесплатное по предварительной регистрации. Приходите сами и зовите коллег!
✍️ Телеграм-канал "Об ЭП и УЦ" - информационный партнер онлайн-конференции «IT. Право. Безопасность»
Красной нитью через все доклады пройдет тема защиты данных и личной безопасности, будь то утечки, цифровые улики, анализ дипфейков или буллинг в сети.
В программе:
🔥 Реформа законодательства о ПДн: первые итоги и снятие моратория — как меняется законодательство и чего ждать от новых требований. Как это повлияет на бизнес и регулирование данных.
🔥 Начальная дипфейкология: мир дипфейков - как они создаются, как их распознать, и почему это важно для вашей компании. Реальные примеры и советы.
🔥 Какие ваши доказательства? Работа с цифровыми уликами: от получения доступа до анализа и верификации.
🔥 Дискуссия. Резкий рост числа киберугроз. Основные векторы текущей криминальной активности в сети.
🔥 Кто может стать жертвой кибербуллинга? Как защитить себя в сети.
Участие бесплатное по предварительной регистрации. Приходите сами и зовите коллег!
Please open Telegram to view this post
VIEW IN TELEGRAM
В первый день работы PKI-Форума пройдут:
🔹Стратегическая сессия "Итоги 5 лет реализации самой масштабной реформы 63-ФЗ"
🔹Экспертная панель «Итоги деятельности аккредитованных УЦ в 2024 году»
🔹Экспертная панель «Мобильная подпись: жесткие вопросы и честные ответы»
Please open Telegram to view this post
VIEW IN TELEGRAM
1. За вклад в становление отрасли (ветераны) - М.А. Игнатьева
2. За вклад в развитие отрасли - К.В. Дробаденко
3. Эксперт года - П.В. Смирнов
4. Удостоверяющий центр года - Т-Банк
5. Организация года (не УЦ) - Национальный технологический центр цифровой криптографии
6. Продукт (решение) года - КриптоПро 5.0 CSP
7. Проект года - X5. Трансформация ЭДО
8. Региональный проект года - Обеспечение системы инженерного ЭДО ООО "Газпром проектирование" сервисом юридически-значимой проверки действительности КЭП
9. Технологии PKI в цифровой экономике - Трансграничное признание ЭП Россия-Казахстан
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Об ЭП и УЦ
«Об ЭП и УЦ» - @ep_uc самый популярный телеграм-канал о сфере электронной подписи
🗣Чат канала https://t.me/joinchat/-y4FR5AKn7hiMzFi
🔄Обратная связь,инфопартнерство - @Ep_Uc_bot
Реклама в канале: @Ep_Uc_bot https://telega.in/c/ep_uc
🗣Чат канала https://t.me/joinchat/-y4FR5AKn7hiMzFi
🔄Обратная связь,инфопартнерство - @Ep_Uc_bot
Реклама в канале: @Ep_Uc_bot https://telega.in/c/ep_uc
Об ЭП и УЦ
О ратификации соглашения о порядке признания электронной подписи Минцифры России разработан проект федерального закона "О ратификации Соглашения между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной…
Белоруссия приняла законопроект о ратификации соглашения с Россией об электронной подписи
После одобрения Советом Республики документ поступит на подпись президенту Республики Беларусь
После одобрения Советом Республики документ поступит на подпись президенту Республики Беларусь
TACC
Белоруссия приняла законопроект о ратификации соглашения с РФ об электронной подписи
Соглашение было подписано 15 апреля в Москве и стало важным шагом в развитии цифровой экономики стран
Forwarded from BIS Journal — Информационная безопасность
17 сентября на XXII международной конференции по проблематике инфраструктуры открытых ключей и электронной подписи прошла стратегическая сессия «Итоги пяти лет реализации самой масштабной реформы 63-ФЗ». Её участники обсудили масштабные изменения 63-ФЗ, которые произошли за указанный срок, и оценили достигнутые результаты.
Подробности — на ib-bank.ru
Подробности — на ib-bank.ru