Сегодня 15.01.2026 истекли сертификаты соответствия ФСБ России на ПАК КриптоПро УЦ 2.0 исполнения 5, 6, 9 и 10 и КриптоПро CSP версии 4.0
Please open Telegram to view this post
VIEW IN TELEGRAM
Цифровой аферист из Томска: как "воровали Госуслуги" и "продавали подписи"
Согласно информации прокуратуры Томской области житель Томска предстанет перед судом за цифровую аферу:
1️⃣ Кража "цифровых личностей": он покупал анонимные SIM-карты и регистрировал их на граждан, чьи данные находил в нелегальных источниках.
2️⃣ "Захватывал" аккаунты "Госуслуг": получил доступ к 80 учётным записям, менял пароли и личные данные, блокируя законных владельцев.
3️⃣ "Продавал электронные подписи": через приложение "Госключ" создавал "электронные подписи" и продавал их в связке с SIM-картами в Интернете.
4️⃣ Оформлял и продавал банковские карты: в 5 случаях дистанционно оформлял платёжные карты на чужие имена и сбывал их по 1,5 тысячи рублей.
Ему инкриминируют неправомерный оборот средств платежей и неправомерный доступ к компьютерной информации. Обвиняемый вину признал полностью, находится под подпиской о невыезде.
⁉️К третьему пункту у нашего канала больше всего вопросов. Для получения квалифицированных сертификатов Госключа требуется не только подтвержденная учётная запись ЕСИА, но мобильный телефон для установки приложения, а также подтверждение личности получателя сертификата при личном присутствии или онлайн (при этом все способы онлайн - действующий сертификат, биометрия (лицо, голос), загранпаспорт - не могли быть использованы).
Как злоумышленник подтверждал личность заявителей?
Где хранил ключи электронных подписей, т.к. они не на SIM-карты записываются. Вопросов больше, чем ответов.
Согласно информации прокуратуры Томской области житель Томска предстанет перед судом за цифровую аферу:
1️⃣ Кража "цифровых личностей": он покупал анонимные SIM-карты и регистрировал их на граждан, чьи данные находил в нелегальных источниках.
2️⃣ "Захватывал" аккаунты "Госуслуг": получил доступ к 80 учётным записям, менял пароли и личные данные, блокируя законных владельцев.
3️⃣ "Продавал электронные подписи": через приложение "Госключ" создавал "электронные подписи" и продавал их в связке с SIM-картами в Интернете.
4️⃣ Оформлял и продавал банковские карты: в 5 случаях дистанционно оформлял платёжные карты на чужие имена и сбывал их по 1,5 тысячи рублей.
Ему инкриминируют неправомерный оборот средств платежей и неправомерный доступ к компьютерной информации. Обвиняемый вину признал полностью, находится под подпиской о невыезде.
⁉️К третьему пункту у нашего канала больше всего вопросов. Для получения квалифицированных сертификатов Госключа требуется не только подтвержденная учётная запись ЕСИА, но мобильный телефон для установки приложения, а также подтверждение личности получателя сертификата при личном присутствии или онлайн (при этом все способы онлайн - действующий сертификат, биометрия (лицо, голос), загранпаспорт - не могли быть использованы).
Как злоумышленник подтверждал личность заявителей?
Где хранил ключи электронных подписей, т.к. они не на SIM-карты записываются. Вопросов больше, чем ответов.
🔍 Контроль за УЦ усиливается: спрос за нарушения спустя год
Правительство решило ужесточить надзор за аккредитованными удостоверяющими центрами. В Госдуму внесен законопроект, который существенно увеличивает "срок давности" для привлечения УЦ к ответственности.
Сейчас нарушения УЦ попадают под общий срок исковой давности по КоАП - 3 месяца. Новый законопроект предлагает увеличить его для статей, связанных с нарушениями в сфере электронной подписи (ст. 13.33 КоАП), до одного года.
Это значит, что Минцифры получит больше времени на проведение проверок, сбор доказательств и привлечение к ответственности.
Под годичный срок давности попадут нарушения, например:
🔹Выдача сертификата с заведомо недостоверными данными о владельце (штраф до 250 тыс. руб.).
🔹Нарушение порядка выдачи квалифицированного сертификата (штраф до 30 тыс. руб.).
🔹Отсутствие круглосуточного доступа к реестру сертификатов (штраф 30-50 тыс. руб.).
🔹Сертификат, оформленный с нарушением требований (штраф до 150 тыс. руб.).
В пояснительной записке указано, что цель — увеличение срока давности привлечения к административной ответственности позволит выполнить в полной мере все процессуальные действия. Короткий срок не позволял завершить проверку.
Новые правила начнут действовать с 1 сентября 2026 года.
Это важный сигнал для рынка: контроль становится серьезнее, что в долгосрочной перспективе должно повысить доверие к электронной подписи.
Правительство решило ужесточить надзор за аккредитованными удостоверяющими центрами. В Госдуму внесен законопроект, который существенно увеличивает "срок давности" для привлечения УЦ к ответственности.
Сейчас нарушения УЦ попадают под общий срок исковой давности по КоАП - 3 месяца. Новый законопроект предлагает увеличить его для статей, связанных с нарушениями в сфере электронной подписи (ст. 13.33 КоАП), до одного года.
Это значит, что Минцифры получит больше времени на проведение проверок, сбор доказательств и привлечение к ответственности.
Под годичный срок давности попадут нарушения, например:
🔹Выдача сертификата с заведомо недостоверными данными о владельце (штраф до 250 тыс. руб.).
🔹Нарушение порядка выдачи квалифицированного сертификата (штраф до 30 тыс. руб.).
🔹Отсутствие круглосуточного доступа к реестру сертификатов (штраф 30-50 тыс. руб.).
🔹Сертификат, оформленный с нарушением требований (штраф до 150 тыс. руб.).
В пояснительной записке указано, что цель — увеличение срока давности привлечения к административной ответственности позволит выполнить в полной мере все процессуальные действия. Короткий срок не позволял завершить проверку.
Новые правила начнут действовать с 1 сентября 2026 года.
Это важный сигнал для рынка: контроль становится серьезнее, что в долгосрочной перспективе должно повысить доверие к электронной подписи.
Forwarded from Пост Лукацкого
Регулятор ИБ, каким ты его описываешь, когда приходишь защищать бюджет к руководству, и когда ты общаешься с этим регулятором в реальности 🫰
#юмор
#юмор
Please open Telegram to view this post
VIEW IN TELEGRAM
"Два юриста - три мнения" известная фраза, но что будет если пару юристов спросить про нашу сферу, например:
Пока ответ только один и он неправильный. Оказывается:
про графическую подпись:
Графическая подпись - что-то экспериментальное, 63-ФЗ "Об электронной подписи" не регулируется. А миф про простую ЭП слишком глубоко засел в головах таких юристов.
Может ли она иметь ту же юридическую силу?
Хотелось бы, чтобы клиенты нашего салона (спа и массаж, не медицинский) на планшете вводили данные и подписывали согласие на оказание услуг (ознакомление с противопоказаниями). Сейчас они заполняют бумажную анкету. Подскажите, как сделать это юридически корректно: нужна электронная подпись в конце электронной анкеты? Равнозначна ли анкета, заполненная электронно, анкете бумажной? Может ли она иметь ту же юридическую силу?
Пока ответ только один и он неправильный. Оказывается:
Ввод кода юридически приравнивается к собственноручной подписи (ст. 5, 6 ФЗ № 63).
про графическую подпись:
Вариант с «рисованием» (Графическая подпись): Подпись стилусом или пальцем — это «аналог собственноручной подписи» (АСП). Согласно п. 2 ст. 160 ГК РФ, она имеет силу только если между сторонами есть соглашение о ее использовании. То есть, чтобы подпись на планшете стала легитимной, клиент формально должен сначала подписать (на бумаге или через ПЭП) соглашение о том, что он признает «каракули на планшете» своей подписью.
Графическая подпись - что-то экспериментальное, 63-ФЗ "Об электронной подписи" не регулируется. А миф про простую ЭП слишком глубоко засел в головах таких юристов.
Forwarded from ПРОКУРАТУРА МОСКВЫ
телефонные аферисты
76-летняя пенсионерка ответила на звонок, поступивший с незнакомого ей номера в одном из мессенджеров и попалась на уловки мошенников. Незнакомый мужчина, представился сотрудником финансовой организации и сообщил, что неизвестные завладели электронной подписью москвички и ей необходимо оказать содействие правоохранителям в поимке злоумышленника.
Поверив полученной информации, пенсионерка с готовностью стала выполнять «задания», полагая, что участвует в операции по задержанию преступников.
Оставшиеся сбережения пенсионерка перевела несколькими платежами на продиктованные ей злоумышленниками счета.
Когда через несколько дней женщина рассказала о «операции» своим родственникам и соседям, ей объяснили, что она стала жертвой мошенников. Ущерб превышает 2,9 млн рублей.
Установление лиц, причастных к мошенничеству в отношении
пенсионерки, на контроле в Черемушкинской межрайонной прокуратуре.
Никакие следственные действия правоохранители по телефону не проводят.
Сотрудники государственных и правоохранительных органов никогда не просят граждан снимать денежные средства со счетов, а также передавать их курьерам либо совершать покупки.
Не верьте телефонным звонкам незнакомцев, кем бы они не представлялись,
проверяйте всю полученную информацию.
ПРОКУРАТУРА МОСКВЫ
Please open Telegram to view this post
VIEW IN TELEGRAM
16 января 2026 г. ликвидирована организация ООО "Солар" (данные Rusprofile) из Екатеринбурга (способ прекращения деятельности: исключение из ЕГРЮЛ в связи наличием недостоверных сведений).
Являясь 5 лет назад аккредитованным удостоверяющим центром Солар в нарушение законодательства об электронной подписи выдавал сотнями, а может и тысячами, сертификаты на подставных лиц, без идентификации настоящих владельцев.
Количество жалоб в сети просто зашкаливало (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12). Минцифры России 20.12.2021 досрочно прекращена аккредитация удостоверяющего центра "Солар". Ответственность за многочисленные нарушения никто не понёс - в отношении директора УЦ Солар Головинским районным судом г. Москвы было возбуждено уголовное дело по ч. 1 ст. 201 УК РФ (Злоупотребление полномочиями), которое было направлено по подсудности в Кировский районный суд г. Екатеринбурга. Суд Екатеринбурга возвращает обвинительное заключение т.к. оно было составлено с нарушением требований УК РФ. В августе 2023 года жалоба прокурора была отклонена, судебный акт оставлен без изменения.
Являясь 5 лет назад аккредитованным удостоверяющим центром Солар в нарушение законодательства об электронной подписи выдавал сотнями, а может и тысячами, сертификаты на подставных лиц, без идентификации настоящих владельцев.
Количество жалоб в сети просто зашкаливало (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12). Минцифры России 20.12.2021 досрочно прекращена аккредитация удостоверяющего центра "Солар". Ответственность за многочисленные нарушения никто не понёс - в отношении директора УЦ Солар Головинским районным судом г. Москвы было возбуждено уголовное дело по ч. 1 ст. 201 УК РФ (Злоупотребление полномочиями), которое было направлено по подсудности в Кировский районный суд г. Екатеринбурга. Суд Екатеринбурга возвращает обвинительное заключение т.к. оно было составлено с нарушением требований УК РФ. В августе 2023 года жалоба прокурора была отклонена, судебный акт оставлен без изменения.
Forwarded from TAdviser
Региональные игроки потеснили «федералов» на рынке услуг удостоверяющих центров
https://www.tadviser.ru/a/404271
https://www.tadviser.ru/a/404271
Вчера первый раз в новом году столкнулся со звонком от мошенников:
Мошенники знали не только номер телефона, но и ФИО с адресом, что не удивительно, все наши персональные данные утекли десятки, если не сотни раз из разных баз данных.
Госуслуги не взломали, четырёхзначный код пришел от МКВ. Конечно это никакое не Межрегиональное курьерское бюро и не Минеральные кавказские воды, а Московский кредитный банк, клиентом которого я не являюсь. Выясняю, доступ к какому сервису они пытались получить.
Звонок поступил на номер в Т-Мобайл и никакая распиаренная фрод-рулетка не смогла перехватить звонки от мошенников (по номерам - крымский оператор). Более того, оператор связи "легализовал" звонивших мошенников, как "Доставка" в своем приложении.
Код из смс конечно так никто и не назвал, атака не прошла дальше первой фазы.
Евгений Александрович, это отдел курьерской доставки ЕМS вас беспокоит, меня зовут Ангелина.
Мы на ваше имя получили письмо формата А4. Вам сегодня его доставить или на завтра доставку перенести?
Доставка по адресу, курьер предварительно свяжется с вами, уточнит детали доставки. Если хотите, можно по рабочему адресу. Если работаете, то есть тут без разницы.
Письмо выдается под подпись курьеру. Под вашу ответственность могу поставить пометку, что в почтовый ящик.
Заберите его как можно скорее с почтового ящика. Там пакет документов, и просмотрите, пожалуйста, номер отправления, номер заявки вам.
Поступило в официальном, в виде смс-уведомления. Просмотрите, пожалуйста, какой номер заявки на курьера могу указать.
Да, сейчас просмотрите, мне нужно указать номер заявки на курьера, чтобы он смог взять заказ.
Какой номер указывать?
Мошенники знали не только номер телефона, но и ФИО с адресом, что не удивительно, все наши персональные данные утекли десятки, если не сотни раз из разных баз данных.
Госуслуги не взломали, четырёхзначный код пришел от МКВ. Конечно это никакое не Межрегиональное курьерское бюро и не Минеральные кавказские воды, а Московский кредитный банк, клиентом которого я не являюсь. Выясняю, доступ к какому сервису они пытались получить.
Звонок поступил на номер в Т-Мобайл и никакая распиаренная фрод-рулетка не смогла перехватить звонки от мошенников (по номерам - крымский оператор). Более того, оператор связи "легализовал" звонивших мошенников, как "Доставка" в своем приложении.
Код из смс конечно так никто и не назвал, атака не прошла дальше первой фазы.
Пока в нашей стране оголтело навязывают использование мессенджера везде, где только можно, в Узбекистане с 1 февраля при первичном оформлении национального паспорта (ID-карты) гражданам будет бесплатно предоставляться сертификат электронной цифровой подписи (да, у них ЭЦП), а также автоматически осуществляться бесплатная регистрация в Единой информационной системе идентификации пользователей системы «Электронное правительство».
Казахстан утвердил Цифровой кодекс, Узбекистан выдаёт цифровой паспорт с сертификатом, а у нас в 2022 году Минцифры заморозило проект выдачи цифровых паспортов на неопределенный срок, про Цифровой кодекс лучше не вспоминать.
Казахстан утвердил Цифровой кодекс, Узбекистан выдаёт цифровой паспорт с сертификатом, а у нас в 2022 году Минцифры заморозило проект выдачи цифровых паспортов на неопределенный срок, про Цифровой кодекс лучше не вспоминать.
Приколы Дальневосточного городка
Газпромбанк отправляет жителей Хабаровского края, получивших карту «Муравьев-Амурский», для получения квалифицированного сертификата в Удостоверяющий центр Федерального казначейства, который не выдаёт сертификаты физическим лицам.
Газпромбанк отправляет жителей Хабаровского края, получивших карту «Муравьев-Амурский», для получения квалифицированного сертификата в Удостоверяющий центр Федерального казначейства, который не выдаёт сертификаты физическим лицам.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
⚡️Изменение требований к машиночитаемым доверенностям Приказом Минцифры от 05.11.2025 № 1001 внесены изменения в единые требования к формам МЧД, утвержденные 857 приказом. Что изменилось: 🔹паспортные данные в МЧД не являются обязательными. 🔹обеспечена возможность…
Please open Telegram to view this post
VIEW IN TELEGRAM
📢 Кадровый документооборот через Max
Идею прорабатывает Минтруд через внесение изменений в Трудовой кодекс, основные моменты:
🔹Обмен документами: работодатели смогут направлять, а сотрудники запрашивать документы и их копии прямо в чате.
🔹Дистанционное оформление: трудовые договоры и допсоглашения для удалёнщиков можно будет подписывать через Max с помощью неквалифицированной электронной подписи. Max должен быть подключён к информационной системе работодателя.
🔹Интеграция с "Работой в России": мессенджер станет частью государственной платформы для трудовых отношений.
⁉️Что с подписью?
Трудовой договор и допники к нему - НЭП Госключа через мессенджер Max. Говорится и про простую подпись - через Max работодатель сможет отправлять сотруднику запрошенные документы и их копии, а также давать доступ к документам, подписанным простой электронной подписью (ПЭП ЕСИА?). Сейчас такая возможность есть только в личном кабинете работника на Госуслугах.
Вступление в силу - уже с 1 сентября 2026.
Идею прорабатывает Минтруд через внесение изменений в Трудовой кодекс, основные моменты:
🔹Обмен документами: работодатели смогут направлять, а сотрудники запрашивать документы и их копии прямо в чате.
🔹Дистанционное оформление: трудовые договоры и допсоглашения для удалёнщиков можно будет подписывать через Max с помощью неквалифицированной электронной подписи. Max должен быть подключён к информационной системе работодателя.
🔹Интеграция с "Работой в России": мессенджер станет частью государственной платформы для трудовых отношений.
⁉️Что с подписью?
Трудовой договор и допники к нему - НЭП Госключа через мессенджер Max. Говорится и про простую подпись - через Max работодатель сможет отправлять сотруднику запрошенные документы и их копии, а также давать доступ к документам, подписанным простой электронной подписью (ПЭП ЕСИА?). Сейчас такая возможность есть только в личном кабинете работника на Госуслугах.
Вступление в силу - уже с 1 сентября 2026.
✍️Суд выяснил в чьей ответственности служба меток доверенного времени
Уважаемые подписчики, вы же помните историю с судами и меткой доверенного времени?
Случилось невозможное, метка доверенного времени постепенно начала внедряться в судебное делопроизводство, приказом Судебного департамента при Верховном Суде от 30.12.2025 № 265 внесены изменения в Инструкцию по судебному делопроизводству в кассационных судах общей юрисдикции:
Пока это кассационные суды общей юрисдикции, но начало положено. Ещё один интересный момент, если метку создать нет возможности, то до окончания срока действия сертификата должно оставаться не менее 45 (прим. @ep_uc - календарных) дней.
Уважаемые подписчики, вы же помните историю с судами и меткой доверенного времени?
Случилось невозможное, метка доверенного времени постепенно начала внедряться в судебное делопроизводство, приказом Судебного департамента при Верховном Суде от 30.12.2025 № 265 внесены изменения в Инструкцию по судебному делопроизводству в кассационных судах общей юрисдикции:
Подписание судебного акта (его электронной копии) в форме электронного документа, копии судебного акта в виде электронного образа документа, осуществляется отсоединенной усиленной квалифицированной электронной подписью судьи, формируемой в виде отдельного файла в формате SIG. При подписании документа несколькими судьями каждая электронная подпись должна содержаться в отдельном файле. В электронную подпись в обязательном порядке включается метка доверенного времени, сформированная в момент подписания документа. В случае, если по техническим причинам получение метки доверенного времени в момент подписания невозможно, срок окончания действия сертификата ключа электронной подписи, которым подписывается документ, должен истекать не ранее 45 дней с момента подписания.
Пока это кассационные суды общей юрисдикции, но начало положено. Ещё один интересный момент, если метку создать нет возможности, то до окончания срока действия сертификата должно оставаться не менее 45 (прим. @ep_uc - календарных) дней.
Московский кредитный банк довольно оперативно ответил на вопрос насчёт направленных кодов в СМС. МКВ - это действительно их аббревиатура и смс были от них сервиса:
Вероятно, это был код подтверждения при оформлении заявки на дебетовую карту на сайте банка. На текущий момент на ваше имя заявок нет.
Даже не заявка на кредит, а дебетовая карта, которую можно никогда и не забрать. А без идентификации получателя, здесь 115-ФЗ в полный рост, банк не имеет право осуществлять обслуживание. Цель мошенников самая простая - запугать самим фактом совершения банковской операции без согласия самого клиента, и не важно какая это была операция, следующие звонящие перешли к новой фазе с историей, почему нужно снять деньги и перевести "на безопасный счёт".
Я не знаю, как в данном банке организована борьба с мошенниками, но правильным видится определение всех таких заявок, ip-адресов, с которых они оформлялись, коммуникации со всеми, кто подтвердил заявки. Возможно сейчас кто-то под давлением мошенников снимает свою наличность из банкомата и переводит на "безопасный счёт". Если МКБ ничего не сделает, то будет причастен к преступлениям.
А тем временем по второму пакету по борьбе с кибермошенничеством установлен срок подготовки к рассмотрению Госдумой в первом чтении - январь 2026 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Много сообщений Коммуникационная Платформа Пока пользователи в отзывах сообщают об административном ресурсе и принудительной установке этого beta-мессенджера посмотрим, что за компания его разработала. 🔹Разработчик - ООО "Коммуникационная Платформа", основной…
Мах
ООО "Коммуникационная Платформа" вчера изменила наименование на ООО "МАХ" (данные Rusprofile).
Требуется ли внесение изменений в постановление Правительства - вопрос открытый.
Об ЭП и УЦ
Эксперимент "Старт бизнеса онлайн" будет снова продлен на год Минфин России предлагает продлить эксперимент ещё на один год - до 1 марта 2027 г. Соответствующий проект постановления Правительства размещен на портале нормативных правовых актов. Обоснование:…
Постановлением Правительства от 21.01.2026 № 20 до 1 марта 2027 г. продлен срок проведения эксперимента по предоставлению комплексного сервиса "Старт бизнеса онлайн" (а эксперимент по выдаче сертификатов физлиц за границей - не продлен).
Незначительное количество клиентов, успешно завершивших дистанционное получение квалифицированных сертификатов, объясняется низким количеством лиц, имеющих подтвержденную учетную запись в ЕБС, а также достаточно высокими требованиями к опыту самостоятельной настройки средств электронной подписи.
Первой редакцией постановления предполагалось, что эксперимент пройдет с 01.03.2024 до 01.03.2025.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пять лет назад Ведомости опубликовали данную статью:
Минцифры сформировало рабочую группу для перехода на массовое использование россиянами технологии применения усиленной квалифицированной электронной подписи (УКЭП) на базе сим-карты.
Итоги работы данной группы не известны. Тема SIM-карт с криптографией периодически появляется, но также быстро пропадает.
Так почему не взлетела криптография на SIM-картах? Дороговизна производства, несовершенство технологии, развитие альтернативных решений - мобильная подпись и NFC-токены? Ваше мнение, уважаемые подписчики.
Please open Telegram to view this post
VIEW IN TELEGRAM