Госзакупки, ЕСИА и блокировки❌

Последствия цифровизации не заставили себя ждать и чтобы пользователи не обрывали линию поддержки Госзакупки разместили с тегом "критическое" новость "Авторизация в личных кабинетах ЕИС в сфере закупок для организаций, зарегистрированных с использованием ЕСИА". Причина - блокировки на 72 часа со стороны Госуслуг в целях защиты пользователей после самостоятельного восстановления доступа к учетной записи.
 
❓Почему вообще блокируют? Внятного пояснения нет, только общее описание:

При подозрительных действиях в вашем личном кабинете на Госуслугах портал ограничивает вход на другие сайты, а также в приложение «Госключ». Система портала автоматически распознаёт такие действия исходя из схем мошенников по взлому учётной записи.
К таким событиям с высоким риском относятся, например:
🔹вход в учётную запись с нового устройства
🔹восстановление пароля
Ограничение нужно для защиты ваших личных данных

Зашёл сам на Госуслуги с компьютера вместо телефона - получил блок.

При подозрительных действиях с учётной записью ЕСИА блокируется вход на "чувствительные ресурсы" (к которым, кстати, относится и Госключ). Норма была введена законом о борьбе с кибермошенничеством.

✅Минцифры в рамках общественного обсуждения второго пакета законопроекта об антифроде учло предложение канала о расширении способов восстановления доступа к учётной записи ЕСИА новым способом - с использованием квалифицированной электронной подписи. Законопроект прошел оценку регулирующего воздействия, но согласование его норм ещё продолжается.

🚀Об ЭП и УЦ

Почему стыдно за Госключ Минцифры. Акт второй

В августе мы словили знатный испанский стыд. Позволим себе процитировать себя же:

Не проводя никаких опросов и исследований, не анализируя уязвимость одного решения, презирая принципы конкуренции Минцифры решило, что лучше знает, как бизнесу подписывать свои документы.

Тут же вспоминается закрытый для всех удостоверяющих центров, но доступный для Госключа сервис по проверке биометрических данных из загран паспорта.

Нам тогда показалось, что дно достигнуто, но, как часто бывает, тут снизу постучали.

В приведенном письме целый зам руководителя Минцифры собирает операторов ЭДО, чтобы заставить их использовать подписать соглашение о намерении использовать Госключ.

"Почему же это плохо? Ведь инструмент надо развивать, а операторы - это правильный институт для тиражирования" - может спросить нас читатель. Дадим пару комментариев, почему нас так задевают подобные действие сотрудников гос органов.

1. Подписать соглашение о намерении надо именно с использованием Госключа.
Само по себе такое требование - это чистой воды популизм, ничего общего не имеющий с удобством сервиса. Кстати, очень много говорит сама формулировка этого пункта. Там же просто кровь из глаз. Как можно настолько не читать что пишешь и подписываешь - загадка.
Минцифры предлагает ген директорам сбегать в налоговую ножками и получить себе сертификат ЮЛ в Госключе или найти какого-то зама и выдать ему МЧД. Кстати, не раскрывается вопрос, а можно ли сотруднику получить в Госключе НЭП.

2. В программе предполагается (смотри пункт 2), что зам министра планирует операторам рассказывать про "Планы операторов электронного документооборота по расширению внедрения и применения технологии мобильной электронной подписи «Госключ» на 2026 год". Ну а потом уже можно самих операторов послушать.

3. Минцифры - единственный орган власти, который не согласовал проект федерального закона об операторах ЭДО, потому что "не видит в нём смысла". Чисто потребительский подход: на уровень федерального закона мы вас не пустим, но там, где нам надо, мы вас попользуем. Кажется, что операторам на встрече надо просить что-то у Минцифры взамен своего согласия продвигать Госключ.

4. Если сервис хороший, то им будут пользоваться без административного ресурса. Тот же ЕПГУ - действительно удобный инструмент для решения многих задач, аналога которому в мире особо нет.
Но даже использование административного ресурса для достижения каких-то своих показателей может быть тоньше и красивее.

5. Ну и не будем забывать, что многие крупные операторы являются удостоверяющими центрами. И именно Минцифры решила, что УЦ не надо иметь доступ к сервису удаленной идентификации по заграну с биометрией, потому что такой технологией должен обладать только Госключ. Лицемерие чистой воды...

6. А само соглашение бессмысленно и тоскливо. Чего стоит хотя бы пункт:

2.1. Министерство в рамках реализации Соглашения выражает следующие намерения:
2.1.1. обеспечить функционирование платформы подписания документов в соответствии с требованиями законодательства Российской Федерации;

То есть, если бы не соглашение, то такого намерения у Минцифры бы не было?

Ну а операторам, конечно, не позавидуешь. Это какие же надо иметь ... скилы, чтобы регулятору в лицо сказать, что ваш продукт нам не особо-то нужен, мы на нем не заработаем, скорее наоборот, вы потом нас же заставите платить за каждую транзакцию. А ещё объяснить, что следующий год и так наполнен работой через край и отрывать разработчиков для хотелок Минцифры - решение плохое.

В общем снова цитируем себя же: "Стыдно, господа, стыдно".

🚀 ЭДО для бизнеса

#минцифры #госключ #эп

✍️Когда цифровизация идет не в ту сторону - возвращается бумага

Госдума 17 декабря приняла закон, упрощающий пациентам доступ к участию в клинических исследованиях лекарств - предлагается оформление информационного листка в виде документа на бумажном носителе либо электронного документа. Ранее предполагалось, что с 1 января 2026 года подписание будет только в электронном виде с использованием ПЭП ЕСИА или КЭП.

Из пояснительной записки:

В настоящее время имеется несогласованность текста закона, предлагается более точная формулировка. Возникает искусственное ограничение для граждан участвовать в проведении клинических исследований (КИ) по факту наличия учетной записи в Единой системе идентификации и аутентификации (ЕСИА) или усиленной квалифицированной электронной подписи. В случаях клинических исследований с острыми тяжелыми состояниями, срочным набором участников или реанимационными исследованиями, такие пациенты не смогут быстро получить учетную запись в ЕСИА для подписания форм информированного согласия (ФИС). Даже использование уже имеющейся учетной записи может быть проблематичным, так как пароль логин могут не быть у пациента под рукой, что делает процесс подписания ФИС более сложным по сравнению с простым ручным подписанием.

Как сообщает Vademecum - в начале 2024 года, с подачи Минцифры, корректировками в 61-ФЗ «Об обращении лекарственных средств» был регламентирован перевод добровольного информированного согласия пациента на участие в КИ из «бумаги» в «цифру». И хотя тематические поправки в закон готовились загодя, еще с лета 2023 года, представленная ко второму чтению версия документа стала для профсообщества неприятной неожиданностью.

«У них есть свои KPI, планы, когда все должны перейти на электронный документооборот».

Приводится статистика: по данным Минцифры, на конец апреля 2025 года в мобильном приложении «Госключ», применяемом для выдачи и использования УКЭП и УНЭП (неквалифицированная), было зарегистрировано более 20,8 млн пользователей. Тем не менее сертификатов УКЭП было выдано только 1,8 млн. (прим. @ep_uc - сколько из них действующих?).

📣Канал "Об ЭП и УЦ" объявляет голосование в номинации "PKI-профанация года". Победителя определяют подписчики, он получит ржавый ключ с сертификатом поверки эЦэПэ.

В номинации заявлены:
🔹Билайн - "собственноручная графическая электронная подпись"
🔹 ИнфоТеКС Интернет Траст - многочисленные безграмотные статьи (1, 2, 3)
🔹Ключник - за хаб с токенами
🔹Контур - вирус с КЭП
🔹Минцифры - за отсутствие нового корневого сертификата ГУЦ, отсутствие формата сертификата НЭП Госключа, голосование с ПЭП ЕСИА, использование несертифицированной криптографии
🔹МосМетро - за "галочку" о равнозначности ПЭП
🔹Озон банк - соглашение об использовании ПЭП кодом из СМС
🔹Росэлторг - за развод госслужащих на сертификаты, несвоевременную смену сертификата УЦ
🔹Теле2 - цифровая подпись по СМС
🔹 F.doc и Такском - схемы с "облачной" КЭП для медиков
🔹Цифровой рубль - неактуальный сертификат соответствия
🔹Яндекс - воздушный зазор между ЦОД, ПЭП по кнопке "Понятно", неумение проверить КЭП

😂Госключ вне голосования получает приз зрительских симпатий за интеграцию с Мах - Махххинация года.

✍️Инструктаж по охране труда - только в электронном виде

Правительство России внесло в Госдуму законопроект, который меняет порядок оформления инструктажей по охране труда.

Что предлагается?
🔹Полный переход в электронный вид: все документы, подтверждающие прохождение инструктажей, должны будут оформляться работодателем исключительно через цифровую платформу "Работа в России".
🔹Электронная подпись: для подписания документов можно использовать либо КЭП, либо НЭП Госключа.

перевод инструктажей в электронный вид позволит оптимизировать работу крупных промышленных предприятий и государственных компаний, минимизировать возможность фальсификации документов, автоматизировать контроль за прохождением работниками инструктажей

- говорится в пояснительной записке.

Ранее профсоюзы неоднократно заявляли против электронного ознакомления для всех видов инструктажей.

Согласно тексту законопроекта изменения вступят в силу с 1 сентября 2027 года.

🚀Об ЭП и УЦ

✍️Почему стыдно за Госключ😂

17 декабря телеграм-канал Госключа опубликовал новость "Подписание Госключом самостоятельно - теперь в MAX". Для нашего канала неожиданностью это не стало, ещё 2 августа был опубликован пост "Национальный мессенджер не самостоятельное средство электронной подписи, а замена страницы Госуслуг". Удивляет подход самого Госключа - внедрение изменений, которые затрагивают несколько сот тысяч их пользователей, без всякого предварительного оповещения.

Теперь за что стыдно, за нежелание представителей Госключа отвечать на прямые вопросы, которые прежде всего касаются их технологии, и за удаление этих вопросов из своего чата.

Можно до бесконечности цитировать часть 10 статьи 1 156-ФЗ и делать упор на фразе "физическими лицами реализуется только с применением многофункционального сервиса обмена информацией", но в этой формулировке есть ещё юридические лица и индивидуальные предприниматели и они также по формулировке закона должны осуществляться подписание НЭП/КЭП Госключа только через мессенджер. Так неправильно написано в самой норме.

Ещё одна ошибка, в используемой формулировке Сертификат ключа проверки которых создан и используется в инфраструктуре - нет вопросов применительно к НЭП, т.к. есть соответствующее постановление Правительства 2152 на которое и даётся прямая ссылка. Применительно к КЭП вопрос открытый, такой формулировки во всем законодательстве об электронной подписи не существует и не может существовать т.к. квалифицированный сертификат создаётся в инфраструктуре коммерческого удостоверяющего центра - ИнфоТеКС Интернет Траст.

👮‍♂Врачебная тайна или киберпреступление: программист больницы арестован за фальшивый больничный

Использовал чужой ключ электронной подписи - уголовное дело о неправомерном доступе к КИИ. В Первомайской больнице Нижегородской области возбуждено уголовное дело против программиста, которого обвиняют в неправомерном доступе к охраняемой компьютерной информации - системе критической информационной инфраструктуры.

🔐По данным следствия, в декабре он, используя чужую учетную запись и ключ электронной подписи врача, внес в систему фиктивные данные об открытии электронного больничного листа для местного жителя. Эти действия, как утверждают в СУ СКР, привели к модификации данных и нарушению целостности информационной системы.

Программист арестован по ходатайству следствия. Ему вменяют часть 4 статьи 274.1 УК РФ, которая предусматривает наказание вплоть до 8 лет лишения свободы.

Летом был подписан Федеральный закон 281-ФЗ о штрафах за передачу реквизитов аккаунтов, по которому за передачу логинов и паролей предусмотрен штраф 30–200 тыс. ₽ в зависимости от того, кто нарушил закон (физлицо, ИП или юрлицо). Самого врача не нужно оштрафовать за такую передачу? А если бы врач соблюдал требования закона и обеспечил конфиденциальность своего ключа электронной подписи, то нарушения бы не было.

У врачей нет понимания, что кусок пластика, подключенный к компьютеру - аналог их собственноручной подписи, который может использоваться не только для рабочих обязанностей, но и в любых правоотношениях, их самих нужно лечить элементарной цифровой гигиене. Хуже врачей - только бухгалтеры, каждый бухгалтер-удаленщик нарушитель.

P.S. Картинку рисовала нейросеть, беда там с написанием кириллицы😜

✍️УЦ ФНС России на год продлены полномочия доверенных лиц, которые истекали 31.12.2025.

По итогам 2025 года доверенные лица вручили более 1 млн. квалифицированных сертификатов от имени УЦ ФНС России.

🚀Об ЭП и УЦ

🛡️ Второй пакет против мошенников: национальный УЦ, детские SIM, блокировка дропперов и война с фишингом

В ближайшее время в Госдуму будет внесён второй антифрод пакет законов, подготовленный Правительством.

✍️Что в законопроекте:
🔐 Восстановление доступа на Госуслугах только доверенными способами, в т.ч. КЭП, МФЦ, банки или биометрия.

🔐 Создание национального удостоверяющего центра для выдачи сертификатов безопасности.

🧒 Детские SIM-карты: родители смогут контролировать контент и защищать детей от вовлечения в мошеннические схемы.

💳 Борьба по дропперам: лимит - не более 20 банковских карт на человека (и не более 5 в одном банке).

📞 Маркировка международных звонков.

🤖 ИИ против мошенников: операторы связи смогут использовать искусственный интеллект для выявления мошеннических звонков ("голосовой антифрод").

⚡Быстрая жалоба через Госуслуги - система автоматически оповестит банки и операторов.

🌐 Борьба с фишингом: вводится оперативная (внесудебная) блокировка фишинговых сайтов

Мы создаём многоуровневую систему защиты, где человек больше не остаётся один на один с мошенником. Государство, банки, операторы связи, цифровые платформы – вся цифровая инфраструктура страны теперь вовлечена в противодействие киберпреступности

- вице-премьер Д.Ю. Григоренко

Первый антифрод-пакет из ~30 мер (маркировка звонков от юрлиц, запрет на иностранные мессенджеры для госорганов, самозапрет на кредиты) был утверждён Федеральным законом от 01.04.2025 № 41-ФЗ.

Ждём в ближайшее время размещение законопроекта в базе Госдумы.

✍️Утверждена Программа профилактики рисков в сфере электронной подписи на 2026 год

Минцифры России приказом от 19.12.2025 № 1219 утвердило Программу профилактики рисков причинения вреда охраняемым законом ценностям при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи на 2026 год.

Основные положения программы:
🔹Объекты контроля: 46 аккредитованных удостоверяющих центров. На текущий момент аккредитованные доверенные третьи стороны отсутствуют.
🔹Категория риска: все объекты отнесены к категории низкого риска. В связи с этим плановые контрольные мероприятия не проводятся.
🔹Ключевые проблемы:
- Недостаточная правовая грамотность контролируемых лиц.
- Потребность в повышении информированности о требованиях законодательства в сфере ЭП.
🔹Цели на 2026 год:
- Предупреждение нарушений через информирование и консультирование.
- Повышение уровня правовой грамотности удостоверяющих центров.
- Совершенствование риск-ориентированного подхода.
🔹Профилактические мероприятия:
- Информирование (через официальный сайт Минцифры).
- Обобщение и публикация правоприменительной практики (доклад до 1 марта).
- Объявление предостережений при признаках возможных нарушений.
- Консультирование (письменное, устное, публичные разъяснения на сайте).
- Профилактические визиты (обязательные только по особому поручению высшего руководства; по инициативе контролируемых лиц)
🔹Ответственный за реализацию: Правовой департамент Минцифры России.
🔹Ключевые показатели эффективности: снижение числа нарушений, повышение грамотности, количество консультаций и предостережений.

Программа нацелена на создание единообразного понимания требований и профилактику нарушений в сфере электронной подписи.

🚀Об ЭП и УЦ

🛡️Второй пакет против кибермошенничества внесён в Госдуму

По данным МВД в 2024 году в России зарегистрировано 380 тысяч кибермошенничеств с ущербом почти 189 млрд рублей. Для борьбы с фродом Минцифры разработало новый законопроект, который вносит изменения в ключевые законы - о связи, информации, электронной подписи, персданных и др., а также вводит целый ряд новых мер:

🔒 Автоматическая защита абонентов: операторы связи смогут применять меры защиты, если выявят подозрительное поведение.
🤝Взаимодействие банков и операторов: через систему "Антифрод" для оперативного пресечения мошеннических транзакций.
🌐Быстрая блокировка фишинга и вредоносных сайтов: внесудебный механизм для оперативного удаления опасных ресурсов.
🔐Усиление авторизации: упорядочивание процедур входа на сайты и Портал Госуслуг для повышения безопасности.

🚀Об ЭП и УЦ

🔐 Цифровые долгожители: 14 лет приказам ФСБ России

✍️27 декабря 2011 года были подписаны Приказы ФСБ России № 795 и № 796, которые до сих пор являются основой для разработчиков средств квалифицированной электронной подписи и удостоверяющих центров.

2011 год - это запуск СМЭВ, Госуслуги только начинали объединять первые ведомства (для коммерции СМЭВ ещё был недоступен), год презентации iPhone 4s - про мобильную подпись и речи не могло быть, КриптоПро CSP 3.6, а для хранения ключей ЭП ещё использовались дискеты 3.5", два года до запуска Telegram🚀

🔹Приказ № 795 регулирует форму квалифицированного сертификата, изменения в него вносились дважды - в 2021 и 2024 гг.
🔹Приказ № 796 утверждает требования к средствам электронной подписи и средствам удостоверяющего центра, изменения вносились три раза - в 2020, 2021 и 2022 гг.

Оба приказа в рамках регуляторной гильотины действуют до 1 января 2027 г.
Знаменитой Инструкции 152-ФАПСИ в следующем году исполняется 25 лет🎉

🚀Об ЭП и УЦ

🆕Росреестр обновил методичку о способах защиты недвижимости от мошенников

Что там про КЭП:
🔹Совершить сделки в электронном виде с применением КЭП можно, только при наличии письменного согласия, направленного в Росреестр через МФЦ. При поступлении такого заявления в ЕГРН делается специальная отметка. Если её не будет, поступившие электронные документы с КЭП рассматриваться не будут.
❗️Через портал Госуслуг невозможно совершить электронные сделки с недвижимостью.

1 июля 2026 года вступит в силу 133-ФЗ, предлагающий новую меру защиты электронных сделок от мошенничества - использование Единой биометрической системы.
✅ Для проведения сделки документы нужно будет подписать КЭП и пройти идентификацию через ЕБС.

🚀Об ЭП и УЦ

✍️Пользователи Госключа жалуются на обязательную установку Max❌

Пользователи Госключ на практике столкнулись с проблемой: без установки мессенджера Max они не могут получить или использовать ранее полученные сертификаты.

Соответствующие отзывы появились на Rustore: люди сообщают, что при попытке входа система выводит окно с требованием установить Max, которое невозможно пропустить, сообщают о блокировке доступа на 72 часа после неудачных попыток, а некоторые об исчезновении ранее полученных сертификатов.

Что пишут пользователи?
🔹Приложение нулевое!Всё сделал,но как только касается макса-выкидывант назад на вход гос.услуг!В россии не когда не чего до ума не доводили!!!
🔹Не проходит авторизация. "Не удалось подключить подтверждение входа через мессенджер МАХ. Попробуйте в следующий раз". И мах и госключ скачаны с рустор, обновлены до последних версий
🔹Это просто шедевр. Особено понравилась привязка к Максу. Открываешь приложение, вводишь немыслимый код Госуслуг и тут подтвержерие через Мах. Заходишь в Макс за кодом и приложение закрылось. Заного и так по кругу. Как зайти я не понимаю.
🔹Теперь отправить доки можно только через скам. Госключ стал полностью бесполезен. Надо покупать коммерческую эцп
🔹Даже не пишите про СМС и безопастность,у меня в госуслугах индентификация через тотр, мне не нужны смс.Спрашивается,зачем мне мессенджер макс,который даже не минцифры разработало,чтобы подписать документы?Зачем между госуслугами и госключом прослойка в виде стороннего коммерческого приложения?У меня электронный судебный процесс в разгаре,а вы все макс впихиваете куда попало.Это не защита,а вредительство!
PS после ответа разрабов: идентификация у меня через тотр, а отправить на подпись не могу
🔹После каждого обновления пропадает УКЭП из профиля. И при последующем входе, если не пользовался какое-то время при повторной авторизации просит вновь создать унэп и укэп остаётся неотображенной. При этом на госуслугах укэп существует.
🔹Дарить неизвестной конторе с ненадежным гендиром свой доступ к государственным сервисам я не хочу, потому что при взломе мошенниками моего аккаунта Max я останусь без квартиры и трусов. Не войти

Ответы разработчика типовые:
🔹Для минимизации рисков перехвата SMS и кражи учетных данных Госуслуги переходят на более безопасный способ аутентификации. Подтверждение входа по SMS останется доступным для тех пользователей, у которых нет смартфона и которые не могут установить приложение MAX
🔹Доступ будет разблокирован в течение 72 часов. Если доступ нужен раньше, рекомендуем создать Цифровой ID в мессенджере MAX или обратитесь лично с паспортом и СНИЛС в центр обслуживания. Если Цифровой ID уже есть, вы можете его удалить и создать заново. Когда Цифровой ID будет создан, доступ восстановится автоматически

Кто из подписчиков на практике столкнулся с данной неоправданной новацией?