После стрима обратился подписчик с вопросом:
🔹Может ли такая форма быть согласием на обработку ПД?
Нет, т.к. не включает обязательные реквизиты согласия, предусмотренные ч. 4 ст. 9 №152-ФЗ, например, наименование компании, получающей согласие на обработку персональных данных, срок, в течение которого действует согласие, а также способ его отзыва)
🔹"Сведения о нем после получения СКПЭП будут переданы в ЕСИА в соответствии с ч. 5 ст. 18 63-ФЗ"
Сведения о сертификата (первое предложение части 5) или о самом владельце для регистрации в ЕСИА (последнее предложение)?
🔹"Введение кода, полученного в виде СМС, подтверждает формирование простой ЭП в электронной расписке в получении СКПЭП и Руководства по обеспечению безопасности использования ЭП и средств ЭП"
Это что-то новенькое, желание оптимизировать процесс и сократить бумагу идет в разрез с частью 3 статьи 18 63-ФЗ. Простая ЭП для ознакомления с информацией о сертификате предусмотрена, но только в связке с ЕБС.
При получении квалифицированного сертификата электронной подписи подписал заявление в бумажном виде с такими формулировками, но ознакомление подписал ПЭП по смс, на Вашем стриме вчера звучало, что даже бумажное ознакомление было незаконно из-за наличия ошибки в федеральном законе , есть ли риски того, что ознакомление подписано ПЭП с СМС?
И как узнать, кому и какому количеству доверенных лиц переданы мои персональные данные? Не является ли это нарушением формы согласия ввиду отсутствия конкретного перечня лиц, кому передано согласие?
🔹Может ли такая форма быть согласием на обработку ПД?
Нет, т.к. не включает обязательные реквизиты согласия, предусмотренные ч. 4 ст. 9 №152-ФЗ, например, наименование компании, получающей согласие на обработку персональных данных, срок, в течение которого действует согласие, а также способ его отзыва)
🔹"Сведения о нем после получения СКПЭП будут переданы в ЕСИА в соответствии с ч. 5 ст. 18 63-ФЗ"
Сведения о сертификата (первое предложение части 5) или о самом владельце для регистрации в ЕСИА (последнее предложение)?
🔹"Введение кода, полученного в виде СМС, подтверждает формирование простой ЭП в электронной расписке в получении СКПЭП и Руководства по обеспечению безопасности использования ЭП и средств ЭП"
Это что-то новенькое, желание оптимизировать процесс и сократить бумагу идет в разрез с частью 3 статьи 18 63-ФЗ. Простая ЭП для ознакомления с информацией о сертификате предусмотрена, но только в связке с ЕБС.
🚨 Кредит по СМС: почему суды выносят противоположные решения по одним и тем же делам?
Истории двух пострадавших, два разных банка и два совершенно противоположных вердикта судов. Это идеальный пример того, как в российской судебной системе отсутствует единообразие в делах о мошеннических кредитах.
Дело №1: Псковская область
После смерти бывшего мужа женщина узнала,что на нее хотят взыскать его долги по кредитам. Договоры он оформлял через простую электронную подпись (SMS-код), используя её номера телефонов. Она утверждала, что не давала согласия на это.
⚖️ Решение Великолукского городского суда: Иск отказать❌ Кредиты действительны. Аргументация: Суд установил, что заемщик (муж) выразил свою волю, все действия были выполнены с его паспортными данными, подтвержденными через «Госуслуги». Доказательств, что "подписи ему не принадлежали", истец не предоставила.
Дело №2: Свердловская область,
Александр из Верхней Пышмы стал жертвой мошенников. Они оформили на него кредит в ~460 тыс. рублей, организовав переадресацию с его номера телефона. Договор ДБО он никогда не подписывал, о кредите узнал постфактум.
⚖️ Решение Верхнепышминского городского суда: Иск удовлетворить✅
Кредит недействителен.
Аргументация: Суд указал, что банк не убедился в наличии волеизъявления настоящего клиента. Мошенники получили доступ к конфиденциальной информации, но банк не предпринял всех мер для обеспечения безопасности. Решение первой инстанции поддержал и апелляционный суд.
❌ Где противоречия?
Оба дела, по сути, об одном и том же: кредит оформлен дистанционно с помощью SMS-кода без прямого участия владельца паспорта. Но результаты — противоположные.
1. Бремя доказывания
🔹В первом случае суд переложил его на пострадавшего: «докажи, что это был не он».
🔹Во втором случае суд возложил ответственность на банк: «банк, докажи, что это был именно он и что ты сделал всё для проверки».
2. Толкование «волеизъявления»
🔹Великолукский суд счел ввод SMS-кода достаточным выражением воли заемщика.
🔹Верхнепышминский суд постановил, что сам по себе факт ввода кода — еще не волеизъявление, особенно если номером телефона завладели мошенники.
3. Требования к безопасности
🔹Верхнепышминский суд прямо указал, что банк как профессиональная организация обязана учитывать интересы потребителя и обеспечивать безопасность, чего сделано не было.
🔹Великолукский суд эту тему даже не поднимал.
✍️ Вывод: Ситуация печальная. Исход дела зависит не от закона, а от конкретного суда, судьи и его субъективного понимания процесса и перекладывания рисков на потребителей. Пока высшие инстанции не дадут четкого разъяснения, такие противоречия будут продолжаться
Что делать? Оспаривать решения выше даже если практика противоречива. Верховный Суд уже сформировал свою практику. Дело из Верхней Пышмы — хороший пример успешной защиты своих прав в похожей ситуации.
Истории двух пострадавших, два разных банка и два совершенно противоположных вердикта судов. Это идеальный пример того, как в российской судебной системе отсутствует единообразие в делах о мошеннических кредитах.
Дело №1: Псковская область
После смерти бывшего мужа женщина узнала,что на нее хотят взыскать его долги по кредитам. Договоры он оформлял через простую электронную подпись (SMS-код), используя её номера телефонов. Она утверждала, что не давала согласия на это.
⚖️ Решение Великолукского городского суда: Иск отказать
Дело №2: Свердловская область,
Александр из Верхней Пышмы стал жертвой мошенников. Они оформили на него кредит в ~460 тыс. рублей, организовав переадресацию с его номера телефона. Договор ДБО он никогда не подписывал, о кредите узнал постфактум.
⚖️ Решение Верхнепышминского городского суда: Иск удовлетворить✅
Кредит недействителен.
Аргументация: Суд указал, что банк не убедился в наличии волеизъявления настоящего клиента. Мошенники получили доступ к конфиденциальной информации, но банк не предпринял всех мер для обеспечения безопасности. Решение первой инстанции поддержал и апелляционный суд.
❌ Где противоречия?
Оба дела, по сути, об одном и том же: кредит оформлен дистанционно с помощью SMS-кода без прямого участия владельца паспорта. Но результаты — противоположные.
1. Бремя доказывания
🔹В первом случае суд переложил его на пострадавшего: «докажи, что это был не он».
🔹Во втором случае суд возложил ответственность на банк: «банк, докажи, что это был именно он и что ты сделал всё для проверки».
2. Толкование «волеизъявления»
🔹Великолукский суд счел ввод SMS-кода достаточным выражением воли заемщика.
🔹Верхнепышминский суд постановил, что сам по себе факт ввода кода — еще не волеизъявление, особенно если номером телефона завладели мошенники.
3. Требования к безопасности
🔹Верхнепышминский суд прямо указал, что банк как профессиональная организация обязана учитывать интересы потребителя и обеспечивать безопасность, чего сделано не было.
🔹Великолукский суд эту тему даже не поднимал.
Что делать? Оспаривать решения выше даже если практика противоречива. Верховный Суд уже сформировал свою практику. Дело из Верхней Пышмы — хороший пример успешной защиты своих прав в похожей ситуации.
Please open Telegram to view this post
VIEW IN TELEGRAM
▪️ Два дня деловой программы: учения в штабе и на киберполигоне, мастер-классы от экспертов:
• Андрей Масалович, президент Консорциума, Инфорус
• Антон Карпов, директор по ИБ, VK
• Георгий Руденко, директор по ИБ крупного банка
• Всеслав Соленик, директор по кибербезопасности, СберТех
• Сергей Петренко, директор по ИБ, Цифровой оператор Сириус
• Лев Палей, основатель #ПоИБэшечки и директор по ИБ, Вебмониторэкс
• Антон Кокин, директор по инфраструктуре и ИБ, Трубная металлургическая компания
• Андрей Кузнецов, лидер продуктовой практики Standоff
• Артем Куличкин, и. о. директора по информационной безопасности дочерних компаний страховой группы, СОГАЗ
• Артем Избаенков, член правления, АРСИБ
• Сергей Рысин, генеральный директор, АСИЕ-Групп
▪️ Два дня приключений: вы увидите каньоны, пещеры и водопады во время джип-тура по Красной поляне, сплавитесь по реке Мзымта на рафтах, проведете уютные вечера в кругу единомышленников с барбекю и песнями под гитару.
▪️ Расширение профессиональных границ: инсайты на кулуарных встречах, обмен опытом и контактами с экспертами и участниками, среди которых CISO, а также владельцы и директора ИТ-компаний.
Присоединяйтесь к сильному ИБ-комьюнити! #ИБнужныПРОФИ
Please open Telegram to view this post
VIEW IN TELEGRAM
Исторический пост.
Витрина статистики Удостоверяющего центра Федерального казначейства.
Витрина статистики Удостоверяющего центра Федерального казначейства.
❌Временная приостановка НУЦ выдачи wildcard-сертификатов
На базе НУЦ весной 2022 года был создан удостоверяющий центр для выдачи TLS сертификатов с использованием зарубежных криптографических алгоритмов (RSA).
Второй месяц НУЦ не осуществляет выдачу wildcard-сертификатов, поэтому в форме заявки на сертификат не удается поставить - *, есть возможность указать CN и subjectAltName только вида cert.ru.
Wildcard-сертификат защищает не только одно доменное имя, но и все его поддомены. Это удобно и выгодно, чем использовать отдельные сертификаты для каждого поддомена.
В настоящее время в НУЦ ещё ведутся работы по обновлению сервиса, wildcard до их завершения получить невозможно.
Когда работы завершатся, на портале НУЦ разместят новость с приложением актуальных инструкций.
На базе НУЦ весной 2022 года был создан удостоверяющий центр для выдачи TLS сертификатов с использованием зарубежных криптографических алгоритмов (RSA).
Второй месяц НУЦ не осуществляет выдачу wildcard-сертификатов, поэтому в форме заявки на сертификат не удается поставить - *, есть возможность указать CN и subjectAltName только вида cert.ru.
Wildcard-сертификат защищает не только одно доменное имя, но и все его поддомены. Это удобно и выгодно, чем использовать отдельные сертификаты для каждого поддомена.
В настоящее время в НУЦ ещё ведутся работы по обновлению сервиса, wildcard до их завершения получить невозможно.
Когда работы завершатся, на портале НУЦ разместят новость с приложением актуальных инструкций.
1⃣Опубликован текст второго законопроекта об антифроде, включающем норму о создании Национального УЦ
2⃣Национальный удостоверяющий центр начал выдачу ГОСТ-сертификатов с использованием нового корневого и не возобновил выдачу wildcard-сертификатов
3⃣УЦ ФК перешел на выдачу сертификатов с использование нового подчиненного сертификата
4⃣Госключ интегрирован в приложение Госуслуг
5⃣Введен новый стандарт ГОСТ Р 7.0.97-2025 об оформлении организационно-распорядительных документов
6⃣Росстат с 1 августа 2025 года включил проверку на наличие МЧД при предоставлении первичных статистических данных
7⃣Заключен госконтракт в рамках перехода госорганов на КриптоПро CSP 5.0
8⃣Вышла промежуточная версия КриптоПро CSP 5.0 R4 (сборка 5.0.13600 Wyvern)
9⃣Компании КРИПТО-ПРО исполнилось 25 лет
🔟Браузер Google Chrome отключил поддержу расширения для старого плагина Госуслуг (Manifest V2)
1⃣1⃣Распространение трояна, подписанного КЭП, в Диадоке Контура
1⃣2⃣Судебная практика: "Верховный суд обязал банки распознавать собственников цифровой подписи", Верховный суд Бурятии признал незаконным использование ключа электронной подписи уволенного сотрудника, Верховный Суд против банка: важное решение по кредитам через смс, кредит по СМС: суды выносят противоположные решения по одним и тем же делам, привлечения доверенного лица УЦ к ответственности за нарушение процедуры идентификации личности заявители,
1⃣3⃣Ассоциация российских банков направила письма в Банк России, Росфинмониторинг, Минцифры и МВД о сохранении возможности проверки банками паспортов с использованием сервисов МВД в СМЭВ.
1⃣4⃣Скандал с PKI в Турции
1⃣5⃣Прошла вторая трансляция канала для подписчиков, размещена запись онлайн конференции "Электронная подпись в России 2025"
1⃣6⃣Анонс конференций:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔹Часть 3 статьи 18 63-ФЗ, в которой говорится про ознакомление с информацией, содержащейся в квалифицированном сертификате, после слов «под расписку» дополняется словом «или»
🔹Удостоверяющий центр Федерального казначейства обеспечивает формирование и ведение перечня госорганов, не включенных в ЕГРЮЛ
🔹Информация не только о прекращении действия но и об аннулировании сертификата должна вноситься удостоверяющим центром в реестр сертификатов в течение двенадцати часов
🔹МФЦ обязан обеспечить оказание услуги по внесению в кредитную историю сведений о запрете (снятии запрета) при обращении субъекта кредитной истории
🔹Новое требование к согласию на обработку персональных данных: согласие должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных
🔹Запрещена передача SIM-карт и реквизитов учётных записей
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 1 сентября вступили в силу новые правила обмена данными с госорганами. В конце прошлой недели были подписаны два постановления Правительства, которые обязывают операторов связи и владельцев маркетплейсов предоставлять данные через систему СМЭВ.
➡️ Кто обязан подключаться:
Операторы связи и маркетплейсы (например, Wildberries, Ozon, Яндекс.Маркет).
➡️Кому предоставлять данные:
Уполномоченным органам, ведущим оперативно-розыскную деятельность или обеспечивающим безопасность.
➡️Сроки подключения:
у компаний есть 6 месяцев на подключение к СМЭВ с 1 сентября 2025 года.
➡️Все сообщения - запросы и ответы должны быть в машиночитаемом формате (XML).
Какие данные могут запросить:
🔹От операторов связи: ФИО, дата рождения, место жительства, паспортные данные, номера телефонов абонентов.
🔹От маркетплейсов: Вся эта информация о пользователях, а также данные о размещенных ими товарах.
Скорость ответа имеет значение:
📦 Маркетплейсы должны предоставить информацию в течение 3 рабочих дней.
📞 Операторы связи обязаны ответить максимально быстро — в течение 24 часов.
Минцифры будет консультировать компании и бесплатно предоставит необходимое ПО (адаптер СМЭВ) для подключения.
✅Обязательно использование квалифицированной электронной подписи: со стороны госорганов - должностного лица, с другой стороны - юрлица или ИП, про МЧД информация отсутствует.
Please open Telegram to view this post
VIEW IN TELEGRAM
Получите и распишитесь: госслужащие перейдут на электронную подпись
Сегодня в издании ComNews вышла одноименная статья с моим комментарием о проекте постановления Правительства по расширению видов ЭП используемых в рамках эксперимента госслужбы.
Полная версия направленного комментария:
Сегодня в издании ComNews вышла одноименная статья с моим комментарием о проекте постановления Правительства по расширению видов ЭП используемых в рамках эксперимента госслужбы.
Полная версия направленного комментария:
Простой электронной подписью в соответствии с Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг (утв. постановлением Правительства РФ от 25 января 2013 г. № 33) является электронная подпись, которая посредством использования ключа простой электронной подписи подтверждает факт формирования электронной подписи конкретным заявителем.
Ключом является сочетание 2 элементов - идентификатора и пароля ключа. Идентификатором является СНИЛС, а паролем ключа - пароль учетной записи ЕСИА.
В настоящее время подписание в ходе эксперимента электронных кадровых документов должностными лицами ФОИВ, а также гражданскими служащими от собственного имени в качестве стороны служебного контракта, осуществляется с применением квалифицированной электронной подписи, сертификат которой выдан удостоверяющим центром Федерального казначейства.
Подписание в ходе эксперимента электронных кадровых документов гражданином, претендующим на замещение должности гражданской службы, может осуществляться с применением квалифицированной электронной подписи (КЭП) или усиленной неквалифицированной электронной подписи (НЭП Госключа).
Проектом постановления предлагается расширить виды подписей, используемые для подписания кадровых документов гражданскими служащими от собственного имени в качестве стороны служебного контракта, а также документов гражданином, претендующим на замещение должности гражданской службы, НЭП Госключа и простой электронной подписью.
Несмотря на то, что простая электронная подпись стала неотъемлемой частью нашей цифровой жизни — от банковских операций до получения государственных услуг, её применение для подписания кадровых документов вызывает вопросы. 63-ФЗ предъявляет требования, когда документ, подписанный ПЭП, признаётся равнозначным документу, подписанному собственноручной подписью, но за видимым удобством ПЭП по факту скрывается глубокий системный кризис, превративший этот инструмент из потенциально полезного механизма в опасный технологический суррогат, не обеспечивающий ни безопасности, ни юридической значимости.
НЭП или КЭП— это автономный артефакт, всегда созданный с использованием средств криптозащиты информации, физическое свидетельство волеизъявления конкретного лица в конкретный момент. Их можно проверить независимо, они существует в виде отдельной сущности отдельно от системы, в которой был создан документ. ПЭП — это не артефакт, а событие в системе. Это не пользователь лично фиксирует подпись, а платформа интерпретирует его действие (нажатие кнопки, ввод кода) как "подпись" на основе внутренних правил. Самих "подписей" как объектов не существует — есть лишь записи в логах: User_ID, IP, Timestamp, Action.
ПЭП — это не подпись, а юридический механизм атрибуции цифрового действия, облеченный в форму легального термина для обеспечения правовой определенности для массовой цифровой экономики.
Кроме того, кадровые службы реализуют полномочия доверенных лиц УЦ ФК, т.е. обеспечивают, в том числе с использованием Единой кадровой системы, прием заявлений гражданских служащих на выдачу квалифицированных сертификатов, а также вручение им сертификатов с идентификацией заявителей при их личном присутствии в соответствии с частью 4 статьи 13 Федерального закона "Об электронной подписи", т.е. ни нормативно ни технически нет проблем по обеспечению гражданских служащих квалифицированными сертификатами.
Расширение способов подписания свидетельствует о сложности в применении технологии КЭП, как со стороны ФОИВ, так и кандидатов на госслужбу и направлено на упрощение данной процедуры.
ComNews
Получите и распишитесь: госслужащие перейдут на электронную подпись
Госслужащие смогут подписывать кадровые документы простой электронной подписью. В настоящий момент в ходе эксперимента по внедрению электронного кадрового документооборота в ФОИВ используется усиленная квалифицированная электронная подпись. Эксперимент проходит…
Инициатива выглядит как попытка решить системные проблемы КЭП за счет снижения уровня безопасности и юридической значимости документов. Вместо того чтобы развивать инфраструктуру КЭП, предлагается заменить надежный инструмент на его опасный суррогат в виде ПЭП.
Упрощение процедуры — это важно, но не ценой потери безопасности и действительности кадровых документов.
This media is not supported in your browser
VIEW IN TELEGRAM
📣Не пора ли внедрить современные подходы в систему хранения документов вашей организации?
🗓️ Всего 20 дней осталось до значимого события в сфере архивного дела — Всероссийского профессионального форума АРХИВЫ-2025 «Современный архив и системы хранения электронных документов»!
Нас ждёт насыщенная программа форума:
🔹Практическая конференция с представителями государственных структур, корпораций, крупнейших российских предприятий, банков, высших учебных заведений
🔹Тематические сессии и мастер-классы по актуальным вопросам хранения документов
🔹Выставка современных решений и услуг
🔹Конкурс «Лучший корпоративный архив-2025»
🔹Розыгрыш ценных призов
🔹Нетворкинг с экспертами отрасли
🔹Авторские материалы
🔹Максимум актуальной информации и обмена опытом с коллегами
🗓️Дата: 23 сентября
🏨Место: Москва, гостиничный комплекс «Космос»
🎯Присоединяйтесь к профессиональному сообществу на ключевом отраслевом событии года!
🔗Официальная страница форума: https://assud.ru/pervyj-vserossijskij-forum/
Телеграм-канал «Об ЭП и УЦ» - информационный партнер форума АРХИВЫ-2025
#архивы2025 #архивноедело #форум #конференция
🗓️ Всего 20 дней осталось до значимого события в сфере архивного дела — Всероссийского профессионального форума АРХИВЫ-2025 «Современный архив и системы хранения электронных документов»!
Нас ждёт насыщенная программа форума:
🔹Практическая конференция с представителями государственных структур, корпораций, крупнейших российских предприятий, банков, высших учебных заведений
🔹Тематические сессии и мастер-классы по актуальным вопросам хранения документов
🔹Выставка современных решений и услуг
🔹Конкурс «Лучший корпоративный архив-2025»
🔹Розыгрыш ценных призов
🔹Нетворкинг с экспертами отрасли
🔹Авторские материалы
🔹Максимум актуальной информации и обмена опытом с коллегами
🗓️Дата: 23 сентября
🏨Место: Москва, гостиничный комплекс «Космос»
🎯Присоединяйтесь к профессиональному сообществу на ключевом отраслевом событии года!
🔗Официальная страница форума: https://assud.ru/pervyj-vserossijskij-forum/
Телеграм-канал «Об ЭП и УЦ» - информационный партнер форума АРХИВЫ-2025
#архивы2025 #архивноедело #форум #конференция
3
Пришло время подвести итоги и посмотреть, как изменился рынок удостоверяющих центров за год! 📊
Пять основных выводов:
1️⃣ Объем рынка снизился
В 2025 году выдано 11,6 млн сертификатов против 12,2 млн в 2024 (-4,9%). Причина - "волны перевыпуска" в 15 месяцев.
2️⃣ Рынок стал более концентрированным
Доля топ-10 выросла с 88% до 91,4%. Крупные игроки укрепляют позиции, а мелкие теряют долю.
3️⃣ ГосУЦ лидируют
ФНС и Казначейство вместе занимают 46% рынка. ФНС выдала 3,7 млн сертификатов (+5,7% к 2024).
4️⃣ Главный взлет года — ИИТ
Увеличил выдачу на 110% — с 854 тыс. до 1,79 млн сертификатов (КЭП Госключа). Теперь это уверенный №2 на рынке.
5⃣Топ-10 серьезно обновился
Вошли: АйТи Мониторинг, СКБ КОНТУР, Сертум-Про
Выбыли: ТБанк, ТАКСКОМ,
🔹Государство продолжает играть ключевую роль в области ЭП.
🔹Коммерческие УЦ могут показать рост либо благодаря государству, либо заняв нишу другого УЦ
🔹Рынок становится более зрелым и консолидированным.
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 Яндекс оштрафован за игнорирование запроса о персональных данных: первый прецедент
💡 Первый в истории штраф Яндекса за непредоставление информации об обработке персональных данных. Суд Москвы вынес постановление о штрафе против Яндекса за нарушение ч. 4 ст. 13.11 КоАП РФ. Это первый случай, когда компания наказана за отказ предоставить субъекту персональных данных информацию об обработке его данных, несмотря на официальный запрос, подписанный квалифицированной электронной подписью (КЭП).
📅 Хронология событий:
🔹16 марта 2025 – направлен запрос в Яндекс, подписанный КЭП, о предоставлении информации об обработке персональных данных.
🔹10 рабочих дней, месяц, три месяца – Яндекс проигнорировал запрос, нарушив сроки, установленные законом.
🔹Обращение в Роскомнадзор – после бездействия Яндекса запрос был передан регулятору. Роскомнадзор также запросил информацию у компании, но ответа не последовало .
🔹04.08.2025 – составлен протокол об административном правонарушении (№ АП-77/08/1018).
🔹04.09.2025 – суд вынес постановление о штрафе.
🤔 Почему это важно:
🔹Игнорирование КЭП: Яндекс не смог идентифицировать субъекта, хотя запрос был подписан квалифицированной электронной подписью.
🔹Системная проблема: Компания не только проигнорировала запрос субъекта, но и не ответила на обращение Роскомнадзора. Это показывает привычную практику игнорирования государственных органов .
🔹Нарушение ключевых законов: Яндекс не справился с соблюдением:
🔸 Федерального закона №152-ФЗ «О персональных данных»;
🔸 Федерального закона №63-ФЗ «Об электронной подписи»;
🔸 Федерального закона №149-ФЗ «Об информации», так как не использует средства шифрования для защиты данных.
💸 Штрафы Яндекса за персональные данные
Это не первый случай, когда Яндекс сталкивается с санкциями за нарушения в области персональных данных:
🔹В 2022 году сервис «Яндекс.Еда» был оштрафован на 60 тыс. рублей за утечку данных пользователей .
🔹В апреле 2022 года компания получила повторный штраф в размере 60 тыс. рублей за утечку данных курьеров .
🔹В ноябре 2022 года суд обязал Яндекс выплатить 13 пользователям по 5 тыс. рублей за утечку персональных данных .
🧾 Что означает ч. 4 ст. 13.11 КоАП РФ?
Согласно законодательству, непредоставление субъекту персональных данных информации об их обработке влечёт административную ответственность: Для юридических лиц штраф составляет от 40 тыс. до 100 тыс. рублей .
🔍 Выводы:
🔹Пробелы в безопасности: Крупнейшая IT-компания России не смогла обеспечить базовые требования к обработке персональных данных и проверке электронной подписи.
🔹Игнорирование регуляторов: Яндекс демонстрирует системное пренебрежение не только к запросам граждан, но и к государственным органам.
🔹Недостаток компетенции: Пресс-служба Яндекса не сможет грамотно прокомментировать ситуацию, так как проблема кроется в процессах компании.
💡 Первый в истории штраф Яндекса за непредоставление информации об обработке персональных данных. Суд Москвы вынес постановление о штрафе против Яндекса за нарушение ч. 4 ст. 13.11 КоАП РФ. Это первый случай, когда компания наказана за отказ предоставить субъекту персональных данных информацию об обработке его данных, несмотря на официальный запрос, подписанный квалифицированной электронной подписью (КЭП).
📅 Хронология событий:
🔹16 марта 2025 – направлен запрос в Яндекс, подписанный КЭП, о предоставлении информации об обработке персональных данных.
🔹10 рабочих дней, месяц, три месяца – Яндекс проигнорировал запрос, нарушив сроки, установленные законом.
🔹Обращение в Роскомнадзор – после бездействия Яндекса запрос был передан регулятору. Роскомнадзор также запросил информацию у компании, но ответа не последовало .
🔹04.08.2025 – составлен протокол об административном правонарушении (№ АП-77/08/1018).
🔹04.09.2025 – суд вынес постановление о штрафе.
🤔 Почему это важно:
🔹Игнорирование КЭП: Яндекс не смог идентифицировать субъекта, хотя запрос был подписан квалифицированной электронной подписью.
🔹Системная проблема: Компания не только проигнорировала запрос субъекта, но и не ответила на обращение Роскомнадзора. Это показывает привычную практику игнорирования государственных органов .
🔹Нарушение ключевых законов: Яндекс не справился с соблюдением:
🔸 Федерального закона №152-ФЗ «О персональных данных»;
🔸 Федерального закона №63-ФЗ «Об электронной подписи»;
🔸 Федерального закона №149-ФЗ «Об информации», так как не использует средства шифрования для защиты данных.
💸 Штрафы Яндекса за персональные данные
Это не первый случай, когда Яндекс сталкивается с санкциями за нарушения в области персональных данных:
🔹В 2022 году сервис «Яндекс.Еда» был оштрафован на 60 тыс. рублей за утечку данных пользователей .
🔹В апреле 2022 года компания получила повторный штраф в размере 60 тыс. рублей за утечку данных курьеров .
🔹В ноябре 2022 года суд обязал Яндекс выплатить 13 пользователям по 5 тыс. рублей за утечку персональных данных .
🧾 Что означает ч. 4 ст. 13.11 КоАП РФ?
Согласно законодательству, непредоставление субъекту персональных данных информации об их обработке влечёт административную ответственность: Для юридических лиц штраф составляет от 40 тыс. до 100 тыс. рублей .
🔍 Выводы:
🔹Пробелы в безопасности: Крупнейшая IT-компания России не смогла обеспечить базовые требования к обработке персональных данных и проверке электронной подписи.
🔹Игнорирование регуляторов: Яндекс демонстрирует системное пренебрежение не только к запросам граждан, но и к государственным органам.
🔹Недостаток компетенции: Пресс-служба Яндекса не сможет грамотно прокомментировать ситуацию, так как проблема кроется в процессах компании.
Forwarded from Пост Лукацкого
Интересная история приключилась (те, кто едут на PKI Forum, могут не читать, – все равно там такие вещи затрагивать не будут). В мае 2025 года Fina RDC 2020 (подчиненный центр сертификации Fina Root CA) выдал три TLS-сертификата для IP-адреса 1.1.1.1, используемого DNS-сервисом Cloudflare и APNIC, и сделала она это без разрешения Cloudflare 😮 Сертификаты были обнаружены благодаря системе Certificate Transparency (CT); при этом Cloudflare признала, что их система мониторинга сертификатов дала сбой. При этом информация всплыла лишь через четыре месяца 😦 На момент публикации на Ars два из них были ещё действующими.
Fina CA пояснила, что сертификаты были выпущены “для внутренних тестов”, и это была ошибка при вводе IP-адресов🧑💻 – однако никаких дополнительных подтверждений контроля над 1.1.1.1 они не имели. Cloudflare не нашла доказательств, что сертификаты использовались для MITM-атак или кражи трафика. Однако технически такая возможность существовала – сертификаты могли использоваться для расшифрования зашифрованных запросов через DNS over HTTPS (DoH) и DNS over TLS (DoT), подмены DNS-запросов, внедрения ложных адресов (при доверии Fina CA) 😠
Возможные последствия инцидента:✍️
6️⃣ Компрометация доверия. Атака подчеркивает уязвимость всей модели PKI и ставит под удар доверие к Интернету в целом, где даже один неправильно действующий CA может нарушить безопасность коммуникаций.
2️⃣ Роль Certificate Transparency. Именно публичные CT-логи помогли обнаружить сертификаты. Но задержка в обнаружении в несколько месяцев указывает на слабости текущих механизмов мониторинга.
3️⃣ Действия Cloudflare. Все сертификаты отозваны, усилен мониторинг CT, обновлена triage-процедура на багбаунти, улучшен UI мониторинга в Cloudflare Radar 📡
Microsoft, которая доверяла Fina Root CA через свою систему Windows Root Store📱 , признала проблему и пообещала заблокировать эти сертификаты через список disallowed certificates. Chrome и Firefox никогда не доверяли Fina CA, Safari тоже – пользователи этих браузеров под угрозой не были. Это указывает на проблему централизованного контроля над списками доверенных CA. А к Microsoft остались вопросики – почему ее процессы не выявили поддельные сертификаты раньше, ведь CT-логи позволяют автоматизировать такие проверки ✍️
Что делать (в том же SOC, если он занимается мониторингом корпоративного PKI)?🤔
6️⃣ Мониторинг CT
➡️ Настроить автоматическую проверку CT-логов для корпоративных доменов.
➡️ Включить уведомления о любых сертификатах, выданных на IP/домены организации.
2️⃣ Анализ доверия к CA
➡️ Проверить список доверенных корневых CA в используемых ОС/браузерах/средствах сетевой безопасности/сетевом оборудовании.
➡️ Исключить или ограничить малоизвестные CA, которые не признаны крупными вендорами.
3️⃣ Детекция MITM
➡️ Включить правила для обнаружения подмены TLS-сертификатов в прокси, IDS/IPS и EDR.
➡️ Отслеживать неожиданные цепочки доверия в сертификатах.
4️⃣ Аудит DoH/DoT
➡️ Контролировать и логировать все обращения к корпоративным DNS-серверам.
➡️ В случае корпоративного использования 1.1.1.1 – убедиться, что клиенты используют проверенные сертификаты.
Интересно, НУЦ отслеживает такие кейсы?🤔
ЗЫ. Спасибо подписчику за присланную новость!
#pki #инцидент
Fina CA пояснила, что сертификаты были выпущены “для внутренних тестов”, и это была ошибка при вводе IP-адресов
Возможные последствия инцидента:
Microsoft, которая доверяла Fina Root CA через свою систему Windows Root Store
Что делать (в том же SOC, если он занимается мониторингом корпоративного PKI)?
Интересно, НУЦ отслеживает такие кейсы?
ЗЫ. Спасибо подписчику за присланную новость!
#pki #инцидент
Please open Telegram to view this post
VIEW IN TELEGRAM
Ars Technica
Mis-issued certificates for 1.1.1.1 DNS service pose a threat to the Internet
The three certificates were issued in May but only came to light Wednesday.
1
Если при входе на Госуслуги вы не хотите видеть спамерское сообщение о подтверждении входа с использованием мессенджера - используйте аутентификацию по квалифицированному сертификату, тогда сообщения не будет. Правда это работает только при аутентификации с компьютера.
Об ЭП и УЦ
Исключение паспортных данных из МЧД. Дубль 2. Минцифры неожиданно выяснило, что для внесения изменений в приказ по требованиям к МЧД требуется процедура оценки регулирующего воздействия и повторно разместило проект приказа на regulations. Действующей редакцией…
Внесение изменений в форму МЧД. Попытка No 3
Минцифры России в третий раз опубликовало для общественного обсуждения проект приказа об изменении формы МЧД:
🔹паспортные данные в МЧД не являются обязательными
🔹срок действия доверенности обязательно должен быть указан в МЧД
🔹обеспечена возможность указания сведений о доверителе для филиалов, представительств и иных обособленных подразделений российского юридического лица
🔹указанию в МЧД подлежат идентификатор и наименование конкретного полномочия
Ознакомиться с проектом документа и оставить свои предложения можно на портале regulation.gov.ru.
✍️ Об ЭП и УЦ
Минцифры России в третий раз опубликовало для общественного обсуждения проект приказа об изменении формы МЧД:
🔹паспортные данные в МЧД не являются обязательными
🔹срок действия доверенности обязательно должен быть указан в МЧД
🔹обеспечена возможность указания сведений о доверителе для филиалов, представительств и иных обособленных подразделений российского юридического лица
🔹указанию в МЧД подлежат идентификатор и наименование конкретного полномочия
Численность подгруппы участников правоотношений составляет 442591 шт. (данные основаны на сведениях, содержащихся в ФГИС «ЕСИА» и представленных ФНС России), из которых уникальных доверителей в 2023 году - 19927, в 2024 году 185527, в 2025 году – 237137.
Затраты субъектов регулирования на соблюдение обязательных требований за 6 лет с предполагаемой даты вступления в силу проекта акта составят от 300 млн до 3 млрд рублей
Ознакомиться с проектом документа и оставить свои предложения можно на портале regulation.gov.ru.
Please open Telegram to view this post
VIEW IN TELEGRAM