Регулятор ИБ, каким ты его описываешь, когда приходишь защищать бюджет к руководству, и когда ты общаешься с этим регулятором в реальности 🫰

#юмор

❗️Все сбережения и два слитка золота похитили у пенсионерки
телефонные аферисты

76-летняя пенсионерка ответила на звонок, поступивший с незнакомого ей номера в одном из мессенджеров и попалась на уловки мошенников. Незнакомый мужчина, представился сотрудником финансовой организации и сообщил, что неизвестные завладели электронной подписью москвички и ей необходимо оказать содействие правоохранителям в поимке злоумышленника.

Поверив полученной информации, пенсионерка с готовностью стала выполнять «задания», полагая, что участвует в операции по задержанию преступников.

❗️Введенная в заблуждение женщина сняла деньги, купила по указанию мошенников два слитка золота весом по 100 г. каждый, один их которых передала курьеру, назвавшему кодовое слово, а второй положила в указанный ей постомат.

Оставшиеся сбережения пенсионерка перевела несколькими платежами на продиктованные ей злоумышленниками счета.

Когда через несколько дней женщина рассказала о «операции» своим родственникам и соседям, ей объяснили, что она стала жертвой мошенников. Ущерб превышает 2,9 млн рублей.

Установление лиц, причастных к мошенничеству в отношении
пенсионерки, на контроле в Черемушкинской межрайонной прокуратуре.

📚Внимание! Если по телефону поступили просьбы финансового характера или предложения о передаче денежных средств - прекратите разговор, это мошенники.

Никакие следственные действия правоохранители по телефону не проводят.

Сотрудники государственных и правоохранительных органов никогда не просят граждан снимать денежные средства со счетов, а также передавать их курьерам либо совершать покупки.

Не верьте телефонным звонкам незнакомцев, кем бы они не представлялись,
проверяйте всю полученную информацию.

ПРОКУРАТУРА МОСКВЫ

📣 Официально опубликован приказ Минцифры России от 05.11.2025 № 1001 «О внесении изменений в пункт 2 единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи, утвержденных приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 18 августа 2021 г. № 857»

✍️Продолжение истории со звонком от мошенников

Московский кредитный банк довольно оперативно ответил на вопрос насчёт направленных кодов в СМС. МКВ - это действительно их аббревиатура и смс были от них сервиса:

Вероятно, это был код подтверждения при оформлении заявки на дебетовую карту на сайте банка. На текущий момент на ваше имя заявок нет.

Даже не заявка на кредит, а дебетовая карта, которую можно никогда и не забрать. А без идентификации получателя, здесь 115-ФЗ в полный рост, банк не имеет право осуществлять обслуживание. Цель мошенников самая простая - запугать самим фактом совершения банковской операции без согласия самого клиента, и не важно какая это была операция, следующие звонящие перешли к новой фазе с историей, почему нужно снять деньги и перевести "на безопасный счёт".

Я не знаю, как в данном банке организована борьба с мошенниками, но правильным видится определение всех таких заявок, ip-адресов, с которых они оформлялись, коммуникации со всеми, кто подтвердил заявки. Возможно сейчас кто-то под давлением мошенников снимает свою наличность из банкомата и переводит на "безопасный счёт". Если МКБ ничего не сделает, то будет причастен к преступлениям.

А тем временем по второму пакету по борьбе с кибермошенничеством установлен срок подготовки к рассмотрению Госдумой в первом чтении - январь 2026 года.

✍️Эксперимент "Старт бизнеса онлайн" продлен до 2027 года

Постановлением Правительства от 21.01.2026 № 20 до 1 марта 2027 г. продлен срок проведения эксперимента по предоставлению комплексного сервиса "Старт бизнеса онлайн" (а эксперимент по выдаче сертификатов физлиц за границей - не продлен).

Незначительное количество клиентов, успешно завершивших дистанционное получение квалифицированных сертификатов, объясняется низким количеством лиц, имеющих подтвержденную учетную запись в ЕБС, а также достаточно высокими требованиями к опыту самостоятельной настройки средств электронной подписи.

Первой редакцией постановления предполагалось, что эксперимент пройдет с 01.03.2024 до 01.03.2025.

✍️Исторический пост - "Электронную цифровую подпись зашьют в сим-карту"

Пять лет назад Ведомости опубликовали данную статью:

Минцифры сформировало рабочую группу для перехода на массовое использование россиянами технологии применения усиленной квалифицированной электронной подписи (УКЭП) на базе сим-карты.

Итоги работы данной группы не известны. Тема SIM-карт с криптографией периодически появляется, но также быстро пропадает.

Так почему не взлетела криптография на SIM-картах? Дороговизна производства, несовершенство технологии, развитие альтернативных решений - мобильная подпись и NFC-токены? Ваше мнение, уважаемые подписчики.

В России ежедневно выдаётся около 50 тыс. квалифицированных сертификатов

С 2020 года в России выдано более 85 млн. квалифицированных сертификатов:
🔹2020 - 9,6 млн.
🔹2021 - 13,5 млн.
🔹2022 - 12,1 млн.
🔹2023 - 16,3 млн.
🔹2024* - 16,5 млн.
🔹2025 - 18,3 млн.
* - откорректированные данные.

С учётом срока действия многих сертификатов 15 мес., а не 12 мес. - можно говорить о 20 млн действующих сертификатов по итогам 2025 года.

🚀Об ЭП и УЦ

📝Аккредитация УЦ 2026

В 2026 году аккредитация предстоит 13 УЦ:
🔹1 кв. - 5 УЦ
🔹2 кв. - нет
🔹3 кв. - 1 УЦ
🔹4 кв. - 7 УЦ

У четырёх УЦ до окончания текущей аккредитации осталось менее месяца, истекает 22 февраля. Минимум по двум в ближайшее время ожидаются протоколы Правкомиссии.

Согласно Административному регламенту предоставления Минцифры госуслуги по аккредитации удостоверяющих центров аккредитованные - подать заявление на продление аккредитации могут удостоверяющие центры, срок действия аккредитации которых заканчивается не раньше, чем за шесть месяцев до даты подачи нового заявления.

Достаточно ли полгода для продления аккредитации? История показывает, что не всегда. Нужно ли увеличить данный срок хотя бы до 9 месяцев?

🚀Об ЭП и УЦ

Европол совместно с отраслевыми партнерами выпустил руководство, которое предлагает финансовым организациям конкретный метод определения приоритетов миграции на пост-квантовую криптографию (2 года они уже публиковали исследование по квантовым рискам). Европейцы исходят из предположения, что старые криптографические протоколы, лежащие в основе современных платежей, аутентификации и веб-защиты, будут уязвимы перед квантовыми компьютерами в будущем, но и обновить их все сразу нельзя. Поэтому авторы предлагают простой и рабочий инструмент – двухфакторную модель оценки, которая помогает командам ИБ решить, какие средства шифрования мигрировать в первую очередь.

Quantum Risk Score. Это метрика, оценивающая, насколько велик риск конкретной системы перед квантовой угрозой. Она складывается из трех компонентов:
➡️ Shelf life – насколько долго данные остаются чувствительными (например, финансовые записи или пароли/секреты могут быть актуальны годами).
➡️ Exposure – насколько легко злоумышленнику получить доступ к данным (доступность через интернет, физический доступ).
➡️ Severity – какие будут последствия компрометации (финансовые потери, регуляторные риски).
Каждому параметру присваивается балл от 1 до 3, а затем считается средний Quantum Risk Score.

Migration Time Score. Оценка сложности и длительности миграции:
➡️ Solution availability – насколько доступны пост-квантовые решения для конкретного случая.
➡️ Execution cost & time – сколько ресурсов и времени потребуется на реализацию (обновление ПО/оборудования).
➡️ External dependencies – наличие зависимостей от вендоров, стандартов, партнеров, контрагентов.
Такие же баллы от 1 до 3 дают итоговый Migration Time Score.

Два получившихся показателя комбинируются в матрицу приоритетов:
➡️ Высокий приоритет – высокая квантовая уязвимость и либо ясный путь миграции, либо длинная цепочка зависимостей (что требует раннего планирования).
➡️ Средний – умеренные риски и/или такие случаи удобны для включения в обычные циклы обновления.
➡️ Низкий – низкий риск и небольшая срочность.
Важно, что сам процесс инвентаризации криптографических зависимостей уже полезен: он выявляет, какие системы используют какие алгоритмы, какие данные зависят от них и где слабые места – это укрепляет базовое управление криптографией.

Два примера, приведенные в тексте, хорошо иллюстрируют модель:
➡️ POS-терминалы для платежей: эти системы широко распространены, ключи у них живут долго, и инфраструктура обновляется редко. Quantum Risk Score оказывается средним, Migration Time Score – высоким. По модели такие системы должны быть включены в стратегический план миграции заблаговременно.
➡️ Публичные веб-сайты: здесь риск тоже значимый, т.к. данные клиентов в открытом доступе, но средства миграции через гибридный PQC/TLS уже доступны в браузерах и сетевых платформах. Это делает TLS-защиту логичным первоочередным кандидатом для начала миграции.

Авторы отчета обращают внимание и на криптографические "антипаттерны", которые усложняют переход: вручную управляемые сертификаты, жестко зашитые пароли и секреты, устаревшие конфигурации TLS. Их устранение не только снижает риск квантового взлома в будущем, но и укрепляет текущую безопасность и облегчает будущие миграции.

Не знаю, насколько эти рекомендации актуальны для нас, так как по словам ФСБ наши текущие алгоритмы вполне себе надежны. Банк России на грядущем меньше чем через месяц Уральском форуме (опять в параллель с конференцией ФСТЭК) тему постквантовой криптографии вообще не поднимает, судя по программе. Хотя и ряд других тем про инновационные технологии в финтехе (IoT, ИИ, DLT, беспилотный транспорт, роботизация и гиперавтоматизация) на Урале не будут рассматриваться; из всех "модных" тем там только биометрия, цифровой рубль и OpenAPI. На всякий случай просто напомню про свою презентацию про риски современным технологиям в финансовой сфере.

#криптография #pqc #framework